Flavio Malfatti Sartorato
Juliano Forster
Luiz Cezar Quaquio
Wellington Fonseca Leal
A norma britânica BS 25999 foi criada pela BSI em 2006 e, cerca de um ano depois - em outubro e 2007 - foi publicada no Brasil pela Associação Brasileira de Normas Técnicas (ABNT), com o nome ABNT NBR 15999-1.
A BS 25999 é a primeira norma para o gerenciamento da continuidade do negócio, sendo um código de práticas que assume a forma de guia e recomendações. Estabelece os processos, os princípios e terminologias da GCN (Gestão da Continuidade dos Negócios), provendo a base para o entendimento, desenvolvimento e implementação da continuidade do negócio dentro das organizações e proporciona confiança nos negócios entre empresas e entre empresas e clientes. Ela tem sido desenvolvida por praticantes da comunidade global e é desenhada para manter o negócio funcionando durante desafios ou circunstâncias inesperadas, protegendo seu pessoal, preservando sua reputação e provendo a habilidade de continuar operando e fazendo negócios.
Além disso, fornece um conjunto de controle base de melhores práticas e abrange todo o ciclo de vida da GCN.
A BS 25999 é publicada em duas partes, a parte 1 desta norma irá substituir o documento PAS 56 - Publically Available Specification 56:
BS 25999-1:2006 – Código de práticas para a Gestão da continuidade dos negócios. Destina-se a fornecer um sistema base de boas práticas para gestão da continuidade dos negócios, servindo como um único ponto de referência para maioria das situações que envolvem a continuidade dos negócios.
Conteúdo
Esta eção define o escopo da norma, deixando claras as melhores práticas genéricas que devem ser adaptadas na implementação da organização.
Esta seção descreve as terminologias e definições usadas dentro do corpo da norma.
Uma pequena visão geral é o assunto da norma. Ela não é um guia para iniciantes, mas uma descrição completa dos processos, seus relacionamentos com o gerenciamento dos riscos e as razões e benefícios para uma organização implementá-la.
Para implementar a continuidade dos negócios é preciso estar claro, inequívoca e adequadamente explícitas as políticas.
O Programa de gestão é o coração de todo o processo de GCN e a norma define uma abordagem para a gestão.
Para aplicar apropriadamente uma estratégia e táticas de gestão da continuidade dos negócios, deve-se se conhecer a organização plenamente, suas atividades críticas, recursos, deveres, obrigações, ameaças e riscos.
Assim que há uma plena compreensão da organização, uma estratégia completa da continuidade dos negócios pode ser defina apropriadamente.
A tática significa saber onde deve ser feito à continuidade dos negócios. Isto inclui uma estrutura de gestão de incidentes, gestão de incidentes e planos para a continuidade dos negócios.
Sem um teste da GCM, uma organização não pode garantir que irá satisfazer suas necessidades. Executando, dando manutenção e revendo os processos, permitirá que a continuidade dos negócios cumpra seu objetivo de dar continuidade nas metas da organização.
Continuidade dos Negócios deve fazer parte da maneira de como a organização é gerenciada.
BS 25999-2:2007 – Especificações do processo para alcançar a certificação para continuidade dos negócios adequada à dimensão e complexidade de uma organização. As especificações são genéricas e planejadas para serem aplicadas em toda a organização, ou partes delas, independente do tipo, tamanho ou natureza do negócio. A extensão da aplicação dessas especificações depende da dimensão e complexidade da organização. Portanto, a concepção e implementação para corresponder às necessidades dessa norma será influenciada pelos requisitos regulatórios, de clientes e de negócios, os produtos e serviços, os processos empregados e o tamanho e estrutura da organização. Não é intenção da British Standard implicar na uniformidade da estrutura do Sistema de Gestão da Continuidade do Negócio (SGCN), mas para organização desenhar o SGCN apropriado as suas necessidades e as necessidades das partes interessadas.
Conteúdo
Define o escopo da norma, os requisitos para a sua implementação e como documentar o sistema de gestão da continuidade dos negócios.
O pedido será revisto para assegurar que seja dentro do âmbito de aplicação da CB da acreditação. O CB irá reunir uma equipe de auditoria para corresponder ao Cliente da indústria específica e ambiente tecnológico.
Esta seção descreve as terminologias e definições usadas dentro do corpo da norma.
Essa segunda parte da norma é baseada no modelo de Melhoria Contínua (Planejar-Executar-Checar-Agir). O primeiro passo é planejar o SGCN, estabelecendo e inserindo dentro da organização.
Esta seção abrange quatro seções da Parte 1 da norma, que é entender a organização, determina a estratégia de continuidade de negócios, desenvolver e implementar uma resposta para a Continuidade dos Negócios e finalmente executar/dar manutenção/revisar todo o processo.
Para garantir que o SGCN é continuamente monitorado, a fase de Checagem deve abranger uma auditoria interna e uma gestão das revisões do SGCN.
Para garantir que o SGCN seja simultaneamente mantido e melhorado de forma permanente, este capítulo aborda as medidas corretivas e preventivas.
As empresas hoje em dia possuem uma dependência cada vez maior de um ambiente computacional. Este ambiente é fundamental para que as empresas mantenham, criem e troquem informações.
Empresas que possuem um ambiente computacional bem desenvolvido e confiável ganham diferenciais estratégicos permitindo assim atingir uma maior produtividade, competitividade e sucesso nos negócios.
A Gestão da Continuidade do Negócio (BCM) é um amplo mapa de riscos e suas respectivas soluções. Ela engloba dois programas: o Plano de Recuperação de Desastres, que tem como foco o ambiente computacional das empresas e o Plano de Continuidade de Negócios, que diagnostica incidentes que podem comprometer toda a planta ou organização e estabelece procedimentos para que as atividades não sejam interrompidas ou minimizadas.
Os departamentos focados pela Gestão da Continuidade do Negócio é a Tecnologia da Informação, o Financeiro e Operações.
As Principais Características da Continuidade de Negócios são:
Disponibilidade
É possível ter uma alta disponibilidade através da capacitação de funcionários, uso de tecnologias de proteção, componentes redundantes, replicação dos dados.
Confiabilidade
Caso ocorram incidentes que comprometam o funcionamento normal dos sistemas, ações previsíveis e garantia de retorno rápido dos serviços é indispensável.
Recuperação
Backup dos dados e proteção, de forma a possibilitar a recuperação parcial ou total do ambiente nos tempos programados. Conhecer os planos de recuperação e mantê-los em dia testando-os criteriosamente de tempos em tempos.
- Identificar riscos e prováveis impactos;
- Traçar estratégias e planos de ação;
- Reduzir os danos ao patrimônio público, ao meio-ambiente e as pessoas;
- Diminuir o impacto sobre a receita e a perda de participação de mercado da empresa.
- Organizar testes e exercícios;
- Proteger a imagem da empresa;
- Minimizar ações judiciais e coordenar a comunicação com os vários públicos.
A Certificação
O Banco Nossa Caixa, terceiro maior banco público do país, acaba de ganhar o certificado da norma internacional BS 25999-2:2007. A instituição é o primeiro banco do mundo a receber esta certificação.
A BS 25999 certifica que o Banco está preparado para manter as suas atividades do SPB (Sistema de Pagamentos Brasileiros) em caso de interrupções originadas por problemas internos ou por adversidades, como inundações, desastres, atentados e terrorismo.
Com este certificado o banco garante a confiabilidade de seus processos e a integridade do serviço de SPB a qualquer tempo.
O Banco Nossa Caixa teve como parceria nesta certificação a empresa Módulo, empresa especializada em Governança, Riscos e Compliance, que prestou consultoria e forneceu o software Módulo Risk Manager.
Graças ao sucesso obtido, o projeto, pioneiro para empresas do setor financeiro, será exportado para os Estados Unidos e Europa.
Para o banco a certificação demonstra atenção e respeito aos clientes e acionistas e ao segmento financeiro, além de uma maior confiabilidade em seus processos.
Ambiente
O SPB (Sistema de Pagamentos Brasileiro) foi o ambiente de certificação da Nossa Caixa, por ser a unidade de negócios que não pode parar, sob o risco de colocar a instituição a perdas financeiras ou de causar danos à imagem da mesma.
“O SPB é um processo da mais alta relevância, sendo que o ambiente do Banco foi recentemente reestruturado para melhor atender as exigências legais. A certificação demonstra que estamos alinhados às melhores práticas adotadas pelo mercado, agregando valor aos nossos negócios e vantagem competitiva. Certificando o ambiente SPB na BS 25999, garantimos que a excelência dos investimentos recentes refletirá em benefícios aos nossos clientes”, comenta José Waldir P. Carvalho, gerente da Divisão de Segurança de Tecnologia da Informação da Nossa Caixa.
A ferramenta Módulo Risk Manager foi utilizada durante todo o processo de certificação para mapear os riscos com alto nível de detalhes e fornecer informações relevantes para a construção dos planos de ação de cada demanda do projeto. A Módulo criou o BIA (Business Impact Analisys), realizou análises de riscos, capacitou às áreas envolvidas e fez duas pré-auditorias. O software também proporcionou ao processo mais agilidade, estruturação dos processos de gestão e apoio na construção do manual do SGCN - Sistema de Gestão da Continuidade de Negócios.
A área de Tecnologia da Informação elaborou o plano através da análise dos riscos de interrupção e dos impactos no negócio do sistema SPB. Todos os procedimentos estipulados foram submetidos a testes de confiabilidade e, agora, devem ser refeitos a cada seis meses.
Os ambientes - produção, homologação e contingência - do Sistema de Pagamentos Brasileiro (SPB) da Nossa Caixa, funcionam 24 horas por dia, em sistema de disponibilidade total, durante os sete dias da semana.
“Um Plano de Contingência é uma exigência comum das agências reguladoras e está presente em publicações como o Código Civil, a Lei Sarbanes-Oxley, Basiléia, as resoluções do Banco Central, como por exemplo, a Resolução 3380, nos programas de qualidade da BMF (Bolsa de Mercadorias e Futuros) e nas recomendações do Tribunal de Contas da União. Por isso, com a certificação concedida pelo BSI, o Banco Nossa Caixa deu um grande passo no sentido de se colocar em conformidade com todas essas leis e regulamentações”, afirma Fernando Nery, sócio-fundador da Módulo.
“A capacidade de uma organização em manter as operações essenciais durante e após um evento desastroso, bem como a velocidade em que ela é capaz de restabelecer a funcionalidade total, pode significar a diferença entre o sucesso e a falha.” Cid Vieira - Diretor Comercial do BSI.
A módulo foi à parceira do Banco Nossa Caixa para obter a certificação.
A estrutura de trabalho da empresa Módulo para a implementação da BS 25999 nas empresas se divide em 8 fases:
Fase I - Detalhar o escopo e planejar
Fase II - Gestão da Continuidade do Negócio (GCN)
Fase III - Security Governance & Análise de Impacto no Negócio (BIA)
Fase IV - Estratégia de Continuidade
Fase V – Desenvolver e Implementar os Planos
Fase VI - Testar e manter a GCN
Fase VII - Campanha de divulgação e treinamento de GCN
Fase VIII - Apresentar resultados
Componentes da Contingência e GCN
REFERÊNCIAS
http://www.saopaulo.sp.gov.br http://www.terra.com.br/istoedinheiro http://www.aliceramos.com http://www.25999.info http://www.bs25999.biz http://www.bs25999.com/ http://www.bs25999.net