A Gestão da Continuidade dos Negócios (GCN) (parte 1) Posted on Janeiro 21, 2013 by hayrton
Novos Target GEDWeb Setoriais A Target criou o GED WEB Setorial Setorial que abrange abrange os segmentos segmentos eletroeletrô eletroeletrônico, nico, construção, transportes, máquinas, máquinas, petroquímica, saúde e vestuário. No caso ca so do GED WEB Setorial Eletroeletrônico, os usuários podem pesquisar, visualizar, adquirir, imprimir e controlar o acervo de normas técnicas brasileiras, Mercosul, internacionais e estrangeiras através de uma base de dados sempre atualizada. Esse sistema garante que sua organização tenha acesso com descontos a 10 cursos essenciais ao setor, aos arquivos de 431 normas brasileiras (NBR) e do Mercosul (NM) mais utilizadas, às 312 NBR e NM mais em destaque, às 839 NBR e NM indispensáveis, aos 310 Regulamentos Técnicos setoriais, às 39 Normas Regulamentadoras e aos 2.223 projetos de normas em consulta nacional disponibilizados pela Associação Brasileira de Normas Técnicas (ABNT). Clique no link para mais informações.
A ISO publicou a ISO 22301:2012 22301:2012 – Societal security — Business continuity management systems — Requirements que
especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar, revisar, manter e melhorar continuamente um sistema de gestão documentado para proteger contra, reduzir a probabilidade de ocorrência, preparar, responder e se recuperar de incidentes perturbadores quando eles surgir. Os requisitos especificados na norma são genéricos e pretendem que sejam aplicáveis a todas as organizações, e suas partes, independentemente do tipo, tamanho e natureza da organização. A extensão da aplicação destes requisitos depende do ambiente operacional da organização e complexidade. Em português, esse padrão pode ser traduzido como ISO 22301:2012 Segurança social – Sistemas de gestão da continuidade de negócios – Requisitos, que foi escrito pelos maiores especialistas em continuidade de negócios e oferece a melhor estrutura para a gestão da continuidade de negócios em uma organização. Um dos recursos que o diferenciam em comparação a outras estruturas/padrões de continuidade de negócios é o fato de que uma organização pode obter a certificação por meio de um corpo de certificação reconhecido, e assim ser capaz de comprovar a conformidade aos seus clientes, parceiros, proprietários e outros stakeholders. A ISO 22301 substituiu a 25999-2 – estes dois padrões são muito similares, mas a ISO 22301 pode ser considerada como uma atualização da BS 25999-2. E quais são os benefícios da continuidade de negócios? Quando implementada corretamente, a gestão de continuidade de negócios irá reduzir a probabilidade de incidentes disruptivos, e se algum chegar a ocorrer, a organização estará pronta para responder de forma apropriada, reduzindo drasticamente o dano em potencial de tal incidente. Qualquer organização – grande ou pequena, com ou sem fins lucrativos, públicas ou privadas pode implementar este padrão que foi concebido de tal forma que é aplicável em qualquer tamanho ou tipo de organização. A continuidade de negócios faz parte da gestão de risco global em uma empresa, com áreas que se sobrepõe à gestão de segurança e de TI. Saiba quais os termos básicos usados para isso: ● Sistema de gestão da continuidade de negócios (BCMS-Business Continuity Management System) parte do sistema de gestão global que cuida de como a continuidade de negócios é planejada, implementada, mantida e aprimorada continuamente; ● Máxima interrupção aceitável (MAO) – quantidade de tempo máxima em que uma atividade pode ser interrompida sem incorrer em danos inaceitáveis (Período de disrupção máximo tolerado – MTPD); ● Objetivo de tempo de recuperação (RTO) – tempo pré-determinado em que uma atividade deve ser retomada, ou recursos devem ser recuperados; ● Objetivo de ponto de recuperação (RPO) – perda de dados máxima, por exemplo, a quantidade mínima de dados que precisa ser restaurada ● Objetivo de continuidade de negócios mínimo (MBCO) – nível mínimo de serviços ou produtos que uma organização precisa produzir após retomar as suas operações de negócios.
Conteúdo da ISO 22301 Introdução 0.1 Geral 0.2 O modelo Planeje-Faça-Verifique-Aja (PDCA) 0.3 Componentes do PDCA neste padrão internacional 1 Escopo 2 Referências normativas 3 Termos e definições 4 Contexto da organização 4.1 Compreendendo a organização e seu contexto 4.2 Compreendendo as necessidades e expectativas das partes interessadas 4.3 Determinado o escopo do sistema de gestão 4.4 Sistema de gestão da continuidade de negócios 5 Liderança 5.1 Geral 5.2 Gestão de compromisso 5.3 Política 5.4 Papéis organizacionais, responsabilidades e autoridades 6 Planejamento 6.1 Ações para abordar riscos e oportunidades 6.2 Objetivos da continuidade de negócios e planos para alcançá-los 7 Suporte 7.1 Recursos 7.2 Competência 7.3 Conscientização 7.4 Comunicação 7.5 Informações documentadas 8 Operação 8.1 Planejamento e controle operacional 8.2 Análise de impacto nos negócios e avaliação de riscos 8.3 Estratégia de continuidade de negócios 8.4 Estabelecer e implementar procedimentos de continuidade de negócios 8.5 Exercícios e testes 9 Avaliação de desempenho 9.1 Monitoramento, medida, análise e avaliação 9.2 Auditoria interna 9.3 Análise crítica da gestão 10 Melhoria 10.1 Não-conformidade e ação corretiva 10.2 Melhoria contínua Bibliografia
Se uma organização deseja implementar a norma, alguns documentos são obrigatórios: lista de requisitos legais, regulamentares e outros; escopo do BCMS; política de continuidade de negócios; objetivos da continuidade de negócios; evidência de competências pessoais; registros de comunicação com as partes interessadas; análise de impacto nos negócios; avaliação de riscos, incluindo tratamento de riscos; estrutura de resposta a incidentes; planos de continuidade de negócios; procedimentos de recuperação; resultados de ações preventivas; resultados de monitoramento e medida; resultados de auditoria interna; resultados de revisão de gestão; e resultados de ações corretivas. A recuperação de desastres é apenas uma parte da gestão de continuidade de negócios (GCN), processo fundamental para o gerenciamento de riscos e o bom funcionamento de uma organização ou de um serviço de entrega. Além de identificar os potenciais impactos que ameaçam uma organização, a GCN fornece uma estrutura para contingência (para evitar interrupções) e resposta a incidentes, de forma que ajude a empresa a recuperar ou manter suas atividades em caso de uma interrupção de suas operações normais. Dessa forma, evita perdas financeiras e danos irreversíveis, e garante que as funções críticas de negócios estejam disponíveis para os clientes, fornecedores, reguladores e outras entidades que devem ter acesso a essas funções. As atividades previstas em um plano de continuidade de negócios incluem uma série de tarefas diárias – tais como gerenciamento de projetos, sistema de backups, controle de mudanças e help desk –, e são baseadas em normas, políticas, orientações e procedimentos necessários para garantir que uma empresa continue o seu funcionamento sem interrupção, independentemente de incidentes ou circunstâncias adversas. É importante, ainda, que esse plano seja testado e atualizado periodicamente, a fim de garantir a sua eficácia. Para determinar a estratégia de continuidade de negócios, é preciso entender a organização, por meio da identificação e análise de seus principais produtos, serviços, processos e recursos críticos. A estratégia deve considerar diversos recursos organizacionais, como pessoas, instalações, tecnologia, informações, equipamentos, partes interessadas, emergências civis, etc. Uma pesquisa do BCI – Business Continuity Institute, realizada com 613 gestores de organizações de 60 países, revela que 67% dos participantes vão procurar alinhar a ISO 22301 nos próximos três anos. Para 85% dos entrevistados, a principal vantagem da nova norma ISO 22301 é o fornecimento de uma linguagem comum para o trabalho internacional. O levantamento aponta, ainda, que 57% dos participantes desenvolveram um modelo de continuidade de negócios alinhado com um ou mais padrões de GCN; 17% estão em conformidade com um padrão; e 13% possuem uma certificação de GCN. A existência de uma norma ISO credencia a GCN como matéria internacional, mas ainda não resultou em mudanças no Brasil, na opinião de William Alevate, especialista em continuidade de negócios da Módulo. “Temos, desde 2008, a norma brasileira NBR 15999, que é a norma que deve
nortear os projetos de GCN no país. Tanto a ISO 22301, quanto a NBR 15999, se apoiam na norma britânica BS 25999 que, em 2006, trouxe para o mundo uma linguagem reconhecida mundialmente para o tema GCN”, enfatiza. Ramos acredita que, com a adoção da ISO 22301, a GCN no Brasil tende a ser levada mais a sério. “A norma ISO 22301fixa de vez a gestão de continuidade no aspecto do negócio de uma organização e salienta que a GCN é voltada para qualquer tipo de negócio – organizações públicas, ambientais, governos, bancos, telecomunicações”, diz. Entre as principais ameaças à continuidade do negócio, segundo outro relatório do BCI, estão: interrupções não planejadas de TI e telecomunicações; violações de dados; ataques cibernéticos; condições meteorológicas adversas (vendavais, furacões, inundações, neve, seca, etc.) e interrupção de fornecimento de serviços públicos (água, gás, eletricidade, coleta de lixo, etc.). “Em tempos de crise econômica, é positivo ver que o investimento em GCN se mantém firme para a maioria dos entrevistados e tem aumentado para 25% deles”, destaca o estudo. Um estudo do Chartered Management, instituto britânico especializado em gestão, aponta a relevância de smartphones e tecnologias móveis em estratégias de GCN, destacada pelo fato de quatro em cada dez entrevistados terem relatado que suas operações foram interrompidas pela queda da BlackBerry, em outubro de 2011 (ainda que apenas 5% tenham sofrido grande ruptura). Entretanto, nem todos os impactos do uso dos dispositivos móveis são negativos para a GCN. Há benefícios, por exemplo, em casos de emergência, quando eles permitem o acesso às informações necessárias para continuidade de negócios de qualquer lugar, e facilitam a comunicação entre os funcionários responsáveis pela recuperação das operações. Além dos dispositivos móveis, as redes sociais também são um canal adicional que pode ajudar na agilidade das respostas em situações de crise e interrupções, e garantir a resiliência nos negócios. Um relatório divulgado em janeiro de 2012 pelo instituto de pesquisas Gartner aponta que a mídia social “mantém a promessa de transformar a gestão de continuidade de negócios, especialmente em momentos de crise de incidentes e práticas de comunicação”. Mídias sociais são usadas por mais de 80% da população mundial e, segundo o Gartner, as empresas devem incluí-las como ferramenta de comunicação de crise. Marcelo Ramos cita ainda a virtualização e a computação em nuvem como importantes tendências em continuidade de negócios. “A virtualização diminui o número de máquinas e, com isso, concentra um maior poder de continuidade. Também permite que pessoas trabalhem em casa e acessem seus equipamentos de forma integral, diminuindo o impacto causado por uma interrupção que afete um ambiente físico comum”, justifica. O estudo do Chartered Management confirma a tendência de que o desenvolvimento e a implementação de planos de continuidade têm sido considerados prioridade pelas organizações. Os resultados mostraram que 81% dos gestores cujas organizações têm aplicado a GCN em seus negócios concordam que esse sistema efetivamente reduz as interrupções. A mesma porcentagem de entrevistados declara que o custo de desenvolvimento da GCN se
justifica pelos benefícios que ela traz à sua organização. O Plano Nacional de Gerenciamento de Riscos e Desastres, lançado pelo governo federal no último mês de agosto com um investimento de R$ 18,8 bilhões, demonstra um aumento da preocupação em relação ao tema no Brasil. “O número de incidentes e desastres naturais tem crescido nos últimos anos, causando tanto a perda de vidas, quanto prejuízos financeiros e de imagem para organizações e governos. Para isso, é preciso investir sério em continuidade”, ressalta Marcelo Ramos, gerente de projetos da Módulo e consultor em GCN.
A Gestão da Continuidade dos Negócios (GCN) (parte 2 – final) Posted on Janeiro 22, 2013 by hayrton
Curso: Curtos-Circuitos e Seletividade em Instalações Elétricas Industriais – Conheça as Técnicas e Corretas Especificações Modalidade: Presencial ou Ao Vivo pela Internet Dias: 18 e 19 de Março Horário: 09:00 às 18:00 horas Carga Horária: 16h Professor: José Ernani da Silva Preço: A partir de 3 x R$ 257,81 (*) O curso permanecerá gravado e habilitado para acesso pelo prazo de 30 dias a partir da data da sua realização.
Engenheiros e Projetistas têm a constante preocupação de saber especificar adequadamente os equipamentos elétricos que são submetidos à corrente de curto-circuito, pois um sistema elétrico está sujeito a eventuais falhas que podem envolver elevadas correntes de curtos-circuitos, e que fatalmente irão submeter os equipamentos a esforços térmicos e dinâmicos. Este curso é dividido em dois tópicos: curto-circuito e coordenação da proteção (seletividade). O tópico Curto-Circuito discute: a) Cálculo de corrente de curto-circuito simétrica e assimétrica; b) Especificação dos equipamentos de proteção do ponto de vista de corrente de curto-circuito; c) Recomendações práticas das normas nacionais e internacionais vigentes, como ANSI-VDE-IEC-NEC-ABNT. O tópico Coordenação da Proteção discute: a) Importância e conceitos de proteção exigidos em normas; b) Filosofia e técnicas de proteção para dispositivos de proteção de Baixa, Média e Alta Tensão; c) Ajuste de relés fase e neutro de sobrecorrentes. Para atender à demanda daqueles que não podem se locomover até as instalações da Target, tornamos disponível este curso Ao Vivo através da Internet. Recursos de última geração permitem total aproveitamento mesmo à distância. Os cursos oferecidos pela Target são considerados por seus participantes uma “consultoria em sala”, ou seja, o participante tem a possibilidade de interagir com renomados professores, a fim de buscar a melhor solução para problemas técnicos específicos e particulares.
Em continuação ao texto, segue abaixo um pequeno descritivo de alguns dos principais itens constantes da norma ISO 22301. Item 4: Contexto da organização
Determinar questões internas e externas que são relevantes para a sua finalidade e que afetam a sua capacidade de atingir os resultados esperados do Sistema de Gestão da Continuidade dos Negócios (SGCN):
● atividades da organização, funções, serviços, produtos, parcerias, cadeias de
abastecimento, relações com as partes interessadas, bem como o potencial impacto relacionado a um incidente disruptivo; ● interligações entre a política de continuidade de negócios e os objetivos da organização e outras políticas, incluindo a sua estratégia global de gestão de risco; ● a quantidade de risco da organização; ● necessidades e expectativas das partes interessadas relevantes; ● requisitos legais aplicáveis, regulamentares e outros requisitos que a organização subscreva Faz ainda parte deste cláusula, a identificação do âmbito de aplicação do SGCN, tendo em conta os objetivos estratégicos da organização, produtos e serviços essenciais, tolerância de riscos, e quaisquer obrigações regulamentares, contratuais ou das partes interessadas. Item 5: Liderança
Os líderes do processo de gestão devem demonstrar um compromisso contínuo com o SGCN. Através da sua liderança e ações, a gestão pode criar um ambiente no qual diferentes atores sejam plenamente envolvidos e em que o sistema de gestão pode operar efetivamente em sinergia com os objetivos da organização. Eles são responsáveis por: ● assegurar que o SGCN é compatível com a direção estratégica da organização; ● integrar os requisitos do SGCN nos processos de negócio da organização; ● fornecer os recursos necessários para o SGCN; ● comunicar a importância de uma eficaz gestão de continuidade de negócios; ● assegurar que o SGCN atinge os resultados planeados; ● orientar e suportar a melhoria contínua; ● estabelecer e comunicar uma política de continuidade de negócios; ● assegurar que os objetivos do SGCN e planos são estabelecidos; ● assegurar que as responsabilidades e autoridades para funções relevantes são atribuídas. Item 6: Planejamento
Esta é uma fase crítica no que se refere ao estabelecimento de objetivos estratégicos e princípios orientadores para o SGCN como um todo. Os objetivos de um SGCN são a expressão da intenção da organização para tratar dos riscos identificados e / ou para cumprir com os requisitos das necessidades organizacionais. Os objetivos de continuidade de negócios devem: ● ser coerentes com a política de continuidade de negócios; ● ter em conta o nível mínimo de produtos e serviços que é aceitável para a organização atingir seus objetivos; ● ser mensuráveis; ● ter em conta os requisitos aplicáveis;
● ser monitorizados e atualizados conforme apropriado. Item 7: Suporte
A gestão do dia a dia de um sistema de gestão de continuidade de negócios eficaz baseia-se na utilização dos recursos apropriados para cada tarefa. Estes incluem, equipas competentes com formação relevante (e demonstrável) e serviços de apoio, sensibilização e comunicação. Esta, deve ser apoiada por boa e documentada gestão de informação. Devem ser consideradas nesta área, comunicações internas e externas da organização, incluindo o formato, o conteúdo e o momento adequado para tais comunicações. São também especificadas nesta cláusula as exigências sobre a criação, atualização e controle da informação documentada. Item 8: Operação
Após o planejamento do SGCN, a organização deverá operacionalizá-lo. Esta cláusula inclui: ● Análise de Impacto de Negócios (AIN): Esta atividade permite à organização identificar os processos críticos que sustentam os seus principais produtos e serviços, as interdependências entre os processos e os recursos necessários para operar os processos num nível minimamente aceitável. ● Avaliação de Riscos: A ISO 22301 propõe a referência à norma ISO 31000 para implementar este processo. O objetivo deste requisito é o de estabelecer, implementar e manter um processo formal e documentado de avaliação de riscos que sistematicamente identifica, analisa e avalia o risco de incidentes disruptivos para a organização. ● Estratégia de Continuidade de Negócios: Após serem estabelecidos os requisitos através da AIN e da avaliação dos riscos, podem ser desenvolvidas as estratégias necessárias e identificados os mecanismos que permitam à organização proteger e recuperar as suas atividades críticas tendo por base a tolerância ao risco organizacional e de acordo com os objetivos definidos de tempo de recuperação. A experiência e as boas práticas indicam claramente que uma implementação antecipada de uma estratégia global de Gestão de Continuidade de Negócios (GCN), permitirá à organização garantir que as atividades de GCN são alinhadas com e apoiam a estratégia global de negócios da organização. A estratégia de continuidade de negócios deve ser uma componente integral da estratégia corporativa de uma instituição. ● Procedimentos de continuidade de negócios: A organização deve documentar os procedimentos (incluindo os arranjos necessários) para garantir a continuidade das atividades e gestão de um incidente disruptivo. Os procedimentos têm de: ■ estabelecer um protocolo de comunicações interno e externo adequado; ■ ser específicos sobre as medidas imediatas que devem ser tomadas durante uma interrupção;
■ ser flexíveis de modo a responderem a ameaças imprevistas e
ás alterações das condições internas e externas; ■ ser focados no impacto de eventos que potencialmente poderão interromper as operações; ■ ser desenvolvidos com base em pressupostos declarados e em uma análise de interdependências, e; ■ ser eficientes de forma a minimizar as consequências através da implementação de estratégias de mitigação apropriadas. Exercitar e testar: Para assegurar que os procedimentos de continuidade de negócios são consistentes com os objetivos de continuidade de negócios, a organização terá que testá-los regularmente. Exercitar e testar são os processos de validação dos planos de continuidade de negócios e procedimentos de modo a assegurar que as estratégias selecionadas são capazes de fornecer as respostas e resultados de recuperação nos prazos acordados pela gestão. Item 9: Avaliação de desempenho
Uma vez implementado o SGCN, a ISO 22301 exige um acompanhamento contínuo do sistema, bem como revisões periódicas para melhorar o seu funcionamento: ● monitorizar em toda a sua extensão, a política da organização de continuidade de negócios, objetivos e metas de modo a que os mesmos sejam atingidos; ● medir o desempenho dos processos, procedimentos e funções que protegem as suas atividades prioritárias; ● monitorizar o cumprimento desta norma e dos objetivos de continuidade de negócios; ● monitorizar evidências históricas de desempenho deficiente do SGCN ● condução de auditorias internas em intervalos planeados e ● avaliar tudo isso na revisão pela gestão em intervalos planeados. Item: Melhoria
A melhoria contínua pode ser definida como todas as ações tomadas em toda a organização para aumentar a eficácia (atingir objetivos) e eficiência (uma relação custo / benefício ideal) dos processos e controlos de segurança para trazer maiores benefícios para a organização e para as suas partes interessadas. Uma organização pode melhorar continuamente a eficácia de seu sistema de gestão através da utilização da política de continuidade de negócios, objetivos, resultados de auditorias, análise de eventos monitorizados, indicadores, ações corretivas e preventivas e revisão da gestão.