Práticas Profissionais
Sobre as Práticas Profissionais
Login to AccessCriadas e mantidas pelo Disaster Recovery Institute (DRI) International, as Práticas Profissionais para a Gestão da Continuidade de Negócios são um conjunto de conhecimentos que visam auxiliar no desenvolvimento, implementação e manutenção de programas de continuidade de negócios. Também podem ser utilizadas como uma ferramenta para a realização de avaliações de programas existentes.
A utilização das Práticas Profissionais para desenvolver, implementar e manter um programa de continuidade de negócios pode reduzir a probabilidade de lacunas significativas em um programa e aumentar sua coesão. O uso das Práticas Profissionais para avaliar um programa pode identificar lacunas ou deficiências para que possam ser corrigidas.
A Gestão da Continuidade de Negócios (GCN ou BCM em inglês) é um processo de gestão holístico que identifica ameaças potenciais à uma organização e os impactos às operações de negócio que tais ameaças, se concretizadas, podem causar, além de fornecer um framework para a construção da resiliência organizacional com a capacidade de uma resposta efetiva que salvaguarde os interesses dos principais interessados, stakeholders, reputação, marca e atividades de criação de valor. Os termos estão definidos no Glossário Internacional de Resiliência publicado e mantido pelo DRI International.
Práticas Profissionais 2023
Como parte dos esforços contínuos do DRI International para manter a relevância e a utilidade das Práticas Profissionais, uma extensa revisão do conteúdo, forma e função foi realizada a partir de 1º de novembro de 2021 e finalizada em 1º de agosto de 2022. Os objetivos eram fornecer informações que incluíssem:
- Uma versão aprimorada da Prática Profissional Cinco: Prontidão e Resposta a Incidentes de modo a incluir mais sobre atividades de preparação relacionadas a gestão de incidentes;
- Mais informações sobre a identificação de várias ameaças cibernéticas e estratégias para correção integrando atividades de segurança cibernética à gestão da continuidade dos negócios;
- O aprimoramento do uso de seguros como ferramenta de transferência de riscos e fornecimento de tipos de apólices de seguro mais específicas que devem ser parte integral da gestão da continuidade dos negócios;
- Introdução de técnicas mais robustas de backup de dados;
- Mais estratégias específicas de tecnologia, e;
- Mais estratégias de fabricação.
Além disso, os títulos de quatro Práticas Profissionais foram modificados:
- Prática Profissional Um foi alterada de “Iniciação e Gestão do Programa” para “Gestão do Programa”;
- Prática Profissional Cinco foi alterada de “Resposta a Incidentes” para “Prontidão e Resposta a Incidentes” para enfatizar as atividades que são necessárias para criar um plano de resposta eficaz;
- Prática Profissional Oito foi alterada de “Exercício, Avaliação e Manutenção do Plano de Continuidade dos Negócios” para “Exercício/Teste, Avaliação e Manutenção do Plano de Continuidade dos Negócios” para melhor consistência, e;
- Prática Profissional Dez foi alterada de “Coordenação com Agências Externas” para “Coordenação com Agências e Recursos Externos”.
Sumário Executivo
Objetivos das Práticas Profissionais para Gestão de Continuidade dos Negócios
1. Gestão do Programa
- Estabelecer a necessidade de um programa de continuidade dos negócios.
- Introduzir conceitos-chave, tais como a gestão do programa, conscientização sobre riscos, impactos em funções/processos críticos, estratégias de recuperação, treinamento e conscientização, e exercícios/testes.
2. Avaliação de Risco
- Identificar os riscos que podem impactar os recursos da organização, seus processos ou sua reputação.
- Avaliar os riscos para determinar os potenciais impactos negativos para a organização, permitindo definir a forma mais efetiva para reduzir tais impactos.
3. Análise de Impacto nos Negócios
- Identificar e priorizar todas as funções, processos e dependências de modo a determinar quais terão maior impacto sobre a organização em caso de indisponibilidade. Esta análise deve ser mantida e estar disponível para permitir à organização realizar o entendimento de incidentes e/ou de suas consequências. Quantificar o impacto para a organização, para seus serviços e para as partes afetadas.
- Analisar, documentar e comunicar os resultados para identificar todas as lacunas entre as os requisitos definidos e a capacidade da organização para atender tais requisitos.
4. Estratégias de Continuidade de Negócios
- Selecionar estratégias para reduzir as lacunas identificadas durante a avaliação de risco e análise de impacto nos negócios.
- Identificar as principais funções da organização, incluindo potenciais fornecedores de serviço terceirizados, com apoio do responsável pela análise de impacto nos negócios.
5. Prontidão e Resposta a Incidentes
- Compreender os tipos de incidentes que podem pôr em perigo vidas, propriedades, operações ou o próprio meio ambiente, bem como seus impactos potenciais.
- Estabelecer e manter mecanismos para proteger as vidas, propriedades, operações e o meio ambiente de potenciais incidentes, através da implantação de um sistema de gestão de incidentes com o fim de comandar, controlar e coordenar as respostas, continuidade e recuperação de atividades com recursos internos e externos.
6. Desenvolvimento e Implantação do Plano
- Documentar os planos a serem usados durante um incidente para que a organização possa se manter em funcionamento.
- Definir os critérios dos exercícios e testes a serem aplicados para comprovar que os planos atingirão o objetivo desejado.
7. Programas de Conscientização e Treinamento
- Estabelecer e manter programas de treinamento e conscientização a fim de que os colaboradores estejam preparados a responder a incidentes disruptivos de maneira calma e eficiente.
8. Exercício / Teste, Avaliação e Manutenção do Plano de Continuidade de Negócios
- Estabelecer um programa de exercícios e testes, avaliação e manutenção do plano de continuidade de negócios para aprimorar o estado de preparação da organização.
9. Comunicação em Crise
- Criar e manter um plano de comunicação em crise.
- Assegurar que o plano de comunicação em crise fornecerá uma comunicação efetiva e em tempo hábil com as partes internas e externas.
10. Coordenação com Agências e Recursos Externos
- Estabelecer políticas e procedimentos para coordenar as atividades de resposta com os órgãos públicos e recursos privados pertinentes, conforme a Prática Profissional Cinco: Prontidão e Resposta a Incidentes.