Este artigo fornece uma visão geral da Prática Profissional 4 (PP4) – Conceção, que é a prática profissional que “identifica e seleciona estratégias e tácticas apropriadas para determinar como a continuidade e a recuperação de uma perturbação serão alcançadas”. As actividades de conceção da estratégia são essenciais para traduzir os resultados recolhidos durante a fase de análise em estratégias acionáveis que a organização pode implementar e aperfeiçoar ao longo do tempo para melhorar a capacidade de responder e recuperar de uma perturbação.

PP4 VISÃO GERAL

O PP4 descreve três áreas principais que devem ser consideradas no processo de conceção da estratégia, incluindo a conceção de estratégias e tácticas de continuidade e recuperação, medidas de atenuação de ameaças e uma estrutura de resposta a incidentes. Vamos analisar cada uma delas mais detalhadamente.

  • Estratégias e tácticas de continuidade e recuperação. As actividades de conceção estratégica e tática são tomadas para abordar os riscos relacionados com a continuidade identificados durante a fase de análise para facilitar a recuperação de um produto, serviço, processo, atividade ou recurso. As BPM recomendam a identificação de estratégias a vários níveis dentro de uma organização, de forma semelhante à abordagem recomendada para a realização de análises de impacto no negócio (BIAs). A identificação da estratégia inclui a realização de desenvolvimento a nível estratégico, tático e operacional. Estas distinções podem ser um pouco artificiais e as BPM têm em conta este facto, dividindo as abordagens recomendadas em estratégias de recuperação de alto nível (concebidas para continuar a fornecer produtos e serviços) e tácticas (concebidas para recuperar os requisitos de recursos).
  • Medidas de atenuação das ameaças. Enquanto as estratégias de continuidade e recuperação são priorizadas e concebidas com base no produto, serviço ou processo, a mitigação de ameaças (riscos) visa ameaças ou eventos específicos. O objetivo dos esforços de mitigação de ameaças é identificar controlos para reduzir a probabilidade ou o impacto de uma ameaça específica. Em alguns casos, os processos de mitigação de ameaças podem estar fora da jurisdição direta da continuidade do negócio e incluir medidas de mitigação que requerem o envolvimento de outros especialistas na matéria.
  • Uma estrutura de resposta a incidentes. O estabelecimento de uma estrutura de resposta a incidentes envolve a constituição das equipas certas e a criação de estruturas de resposta para garantir que uma organização pode responder e recuperar de uma perturbação. O PP4 observa que o objetivo da conceção de uma estrutura de resposta a incidentes é “assegurar que existe um mecanismo documentado e totalmente compreendido para responder a um incidente que tenha o potencial de causar perturbações na organização”. Pode ser útil criar equipas de resposta em cada um dos níveis de uma organização (estratégico, tático e operacional), e a PP4 salienta que caberá à organização conceber a estrutura e o enquadramento mais relevantes.

Ao abordar cada uma destas áreas, a PP4 pressupõe que uma organização terá processos e estratégias suficientes para permitir a documentação do plano e actividades adicionais na fase de implementação (PP5). A combinação dos resultados das PP4 e PP5 permitiria uma resposta e recuperação suficientes após um incidente.

PP4 VALOR

O desafio na conceção de qualquer estratégia de continuidade do negócio, mitigação de ameaças ou estrutura de resposta é garantir que ela seja adaptada à organização. Não existem soluções “tamanho único”. Devido a esta realidade, a ISO 22301 é propositadamente vaga, afirmando que as organizações precisam de determinar e selecionar estratégias e estabelecer requisitos de recursos sem fornecer detalhes sobre o aspeto dessas estratégias. O PP4 também reconhece esta realidade; no entanto, o PP4 documenta estratégias, tácticas e orientações de alto nível que podem ser aplicadas a organizações individuais. Vamos explorar alguns dos benefícios mais significativos:

Identifica abordagens estratégicas e tácticas para reduzir o risco de continuidade do negócio
Uma vez que um plano de continuidade é tão bom quanto a estratégia que reflecte, é essencial que as organizações se concentrem nas actividades de conceção da estratégia. A conceção da estratégia envolve a compreensão dos requisitos recolhidos durante a BIA e a avaliação do risco e a sua tradução efectiva em estratégias acionáveis. Além disso, os profissionais precisam de considerar os custos/benefícios de qualquer estratégia proposta. O PP4 acrescenta valor a este processo, fornecendo aos profissionais um ponto de partida para identificar estratégias de alto nível, incluindo:

Para complementar as estratégias de alto nível, o PP4 descreve ainda as considerações tácticas que devem ser consideradas para que uma estratégia de alto nível seja eficaz, incluindo

Para serem mais eficazes, os profissionais têm de selecionar uma estratégia adequada com base nos requisitos de recuperação e, em seguida, avaliá-la em relação a quaisquer considerações tácticas para garantir que a estratégia será eficaz.

Identifica os controlos para minimizar os riscos específicos das ameaças
O PP4 fornece valor ao documentar o processo que pode ser utilizado para identificar controlos específicos das ameaças e medidas proactivas para reduzir a probabilidade ou o impacto de um evento específico. Esta atividade complementa uma análise de ameaças (se realizada) durante a fase de análise. Uma organização utilizaria a análise para determinar as ameaças mais relevantes e trabalharia com peritos na matéria para desenvolver controlos adicionais. O processo de identificação de controlos exigirá provavelmente uma análise de custo/benefício para determinar se o custo de implementação de um controlo se justifica pelo nível ou risco que seria remediado e pelos potenciais custos para a organização se o risco não fosse mitigado. Exemplos de controlos podem incluir melhorias na segurança da informação, sistemas de supressão de incêndios, etc.

Facilita a conceção de estruturas de resposta a incidentes relevantes para a organização
Para utilizar estratégias de continuidade do negócio e fornecer comando e controlo após uma perturbação, as organizações necessitam de estabelecer algum tipo de estrutura de resposta a incidentes. A ISO 22301 (secção 8.4.2) e o PP4 contêm orientações semelhantes para a criação de uma estrutura de resposta a incidentes. Onde o PP4 acrescenta valor adicional é na documentação das considerações que o profissional deve avaliar durante o processo de design. Nenhuma das fontes declara como as equipas devem ser ou os tipos de indivíduos que devem fazer parte da equipa; no entanto, a PP4 fornece orientações sobre as funções e responsabilidades para a estrutura de resposta como um todo. Isto significa que quaisquer equipas criadas como parte deste processo devem ser capazes de:

  • Mobiliza as equipas [response and recovery]
  • Ativar planos
  • Invoca recursos
  • Comunica às partes interessadas
  • Comunica com os meios de comunicação social
  • Toma conta do bem-estar do pessoal
  • Escalonar actividades
  • Fornecer comando e controlo
  • Estabelece limites para as despesas e a delegação
  • Tem em conta a alteração das prioridades em função da situação

Ao conceber estratégias e tácticas de continuidade e recuperação, medidas de mitigação de ameaças e uma estrutura adequada de resposta a incidentes, uma organização estará pronta para implementar as soluções documentadas nos planos de continuidade e recuperação do negócio.

PP4 ESTUDO DE CASO

A empresa X é uma organização do sector privado em ascensão que fornece serviços de monitorização de segurança a proprietários de casas. Recentemente, estabeleceu um programa de continuidade de negócios e de recuperação de desastres de TI e concluiu a fase de análise realizando uma BIA e uma avaliação de riscos. Ao longo deste processo, identificaram uma série de serviços críticos a nível estratégico, sendo o mais sensível em termos de tempo a capacidade de fornecer monitorização doméstica e notificar as autoridades no caso de um arrombamento na localização de um cliente. A nível tático/operacional, a organização identificou então uma variedade de recursos necessários para continuar a prestar este serviço crítico, incluindo um call center (centro de monitorização de eventos), infraestrutura de TI (incluindo um sistema telefónico), pessoal do call center e uma variedade de sistemas necessários para ligar aos alarmes dos clientes e contactar as autoridades locais. A empresa X dispõe de uma equipa de gestão de crises (CMT), mas não dispõe de outras equipas de resposta formal.

Devido a acordos contratuais muito rigorosos nos contratos dos clientes, ao potencial de responsabilidades legais e aos potenciais impactos na segurança dos clientes, é atribuído ao Serviço de Monitorização Doméstica um período máximo tolerável de interrupção de 30 minutos. O RTO associado é de apenas 15 minutos, o que torna a resposta e a recuperação muito difíceis. Além disso, durante uma análise de ameaças, notaram que as falhas de energia e de telecomunicações representam o nível de risco mais elevado. Usando a informação do PP4 como ponto de partida, a organização inicia o processo de conceção da estratégia:

Com base numa análise inicial da estratégia, o profissional apresenta duas soluções potenciais à direção: diversificar ou utilizar um fornecedor contratado para fornecer o centro de atendimento telefónico e as capacidades de resposta após uma perturbação. O profissional observa que a replicação pode ser uma estratégia aceitável se a direção estiver disposta a aceitar um risco adicional; no entanto, a direção indica que isso não se enquadra na sua tolerância ao risco. A direção solicita que o profissional prossiga a estratégia de diversificação e identifique uma potencial localização secundária que proporcione redundância e elevada disponibilidade.

Utilizando os critérios tácticos do PP4 e a orientação da administração, o profissional avalia as opções disponíveis:

A empresa X decide que deve reformular sua estrutura de resposta a incidentes para acomodar a nova estratégia. A empresa X tinha anteriormente um CMT, mas agora decide que precisará de entidades de resposta adicionais para lidar com o novo local. A empresa X decide criar equipas de recuperação de departamento para monitorizar as actividades de recuperação tácticas/operacionais para os centros de monitorização de eventos nas localizações primária e secundária, para além de equipas para outros departamentos envolvidos no processo de resposta e recuperação, tais como TI e instalações. Utilizando o PP4 como ponto de partida, o profissional concebeu estratégias e estruturas de resposta adequadas à organização.

PENSAMENTOS FINAIS

Documentar o processo para traduzir os requisitos da fase de análise em estratégias concretas é uma atividade essencial para os profissionais de continuidade de negócio. O PP4 fornece exemplos de estratégias e tácticas de alto nível que podem servir como ponto de partida para os profissionais e servir como um roteiro para trabalhar através do processo.

Se quiseres discutir os GPGs, ou alinhar-te com a ISO 22301 ou procurar obter a certificação, entra em contacto connosco. Estamos ansiosos por te ouvir!