Definindo os objetivos de continuidade do negócio na ISO 22301

Objetivos de continuidade do negócio são, em conjunto com a análise de impacto no negócio, provavelmente um dos mais difíceis elementos da implementação da ISO 22301. Muitos dos que implementam a continuidade do negócio tem problemas como estes: Quais tipos de objetivos existem? Para que fins são utilizados? Como são definidos? Vejamos…

Propósito dos objetivos de continuidade do negócio

Peter Drucker (um dos pensadores mais influentes na teoria da administração) disse, “O que se mede se gerencia.” O mesmo vale para a continuidade do negócio – se você não sabe quão bem está indo, você terá muitas dificuldades em direcionar sua continuidade do negócio na direção desejada. E é exatamente esta direção desejada que é uma parte essencial da medição: a definição de objetivos.

Tipos de objetivos

Existem ao menos dois níveis para os quais você precisa definir objetivos:

1) Objetivos estratégicos – para o seu Sistema de Gestão de Continuidade do Negócio como um todo, e

2) Objetivos táticos – Objetivos para Tempo de Recuperação (Recovery Time Objectives – RTOs), Objetivos para Ponto de Recuperação (Recovery Point Objectives – RPOs), Objetivos Mínimos de Continuidade de Negócio (Minimum Business Continuity Objectives – MBCOs), e objetivos de exercício e teste.

Claro que, dependendo do tamanho e complexidade da sua organização, você pode escolher adicionar outras camadas de objetivos – por exemplo, ao nível de unidades organizacionais individuais (departamentos, unidades de negócio, etc.)

Neste artigo do blog irei focar apenas nos objetivos para o seu SGCN como um todo, enquanto que para objetivos táticos favor consulte o artigo Como implementar a análise de impacto no negócio (business impact analysis – BIA) de acordo com a ISO 22301.

Você pode decidir se irá descrever seus objetivos de continuidade do negócio e seu sistema de medição em uma política de continuidade de negócio ou em um documento separado. Organizações menores normalmente terão estes escritos na política de continuidade do negócio, enquanto organizações maiores tenderão a ter um documento separado para todos os objetivos de negócio (talvez um Balanced Scorecard), e um procedimento separado que irá descrever como gerir todos aqueles objetivos e medições neste Balanced Scorecard.

Exemplos de objetivo

Para definir bons objetivos, o segredo está em definir objetivos que são fáceis de medir – você já deve ter ouvido o conceito S.M.A.R.T.: objetivos precisam ser eSpecíficos, Mesuráveis, Atingíveis, Relevantes, e Temporais.

Desta forma, objetivos como “Nós queremos implementar continuidade de negócio” ou “Nós queremos atingir a resiliência” não iriam ajudar, iriam? Quero dizer, como você saberia se atingiu estes objetivos?

Por outro lado, objetivos similares a este podem trabalhar a seu favor:

  • “Estar em conformidade com a lei/regulamentação xyz até 31 de dezembro de 2015, utilizando a metodologia da ISO 22301.”
  • “Obter ao menos 5 novos clientes nos próximos 12 meses devido ao certificado da ISO 22301.”
  • “Durante 2015, melhorar nosso tempo de recuperação em 12 horas sem incorrer em novos custos.”

Estes objetivos são mensuráveis? Sim – o que você tem que fazer é medir se você atingiu o que você planejou após o período de tempo definido. O último objetivo da lista anterior pode ser medido através dos resultados de exercícios e testes.

Entradas para a criação de objetivos

Eu admito que identificar objetivos estratégicos para o seu SGCN não é uma tarefa fácil. Mas, para tornar este trabalho mais fácil, você deveria começar com a estratégia de sua organização – O que sua organização tenta atingir? Como ela quer atingir – utilizando quais competências? Como a continuidade do negócio pode ajudar a realizar esta estratégia? Uma vez que você tenha encontrado esta ligação, será mais fácil estabelecer os objetivos do SGCN.

Adicionalmente, você tem que pensar sobre os benefícios que você identificou – como eles podem ser traduzidos em objetivos? Veja o artigo ISO 22301 benefits: How to get your management’s approval for a business continuity project.

Decidindo sobre objetivos relevantes

Uma vez que pensar em tudo isto é impossível para apenas uma pessoa, você deveria incluir toda a sua equipe de projeto neste brainstorming; da mesma forma, se alguém em sua organização já está lidando como medição de desempenho – isto é, o departamento de controle, eles poderiam ajudar você em muito. Sua Alta Administração deveria dar um impulso com tais objetivos – você poderia tentar discuti-los com seu patrocinador antes de apresentá-los ao seu CEO.

Para concluir, somente se você souber exatamente o que você quer atingir, você será capaz de saber quão longe ou quão perto você está de realmente atingi-lo. Igualmente importante – você será capaz de responder a esta questão de seu gestor: Nosso investimento em continuidade do negócio fez sentido?

Este artigo é uma amostra do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.