Muitas organizações debatem-se para definir o melhor método para satisfazer as expectativas empresariais relativamente à recuperação das tecnologias de informação (TI). A ISO 27031 fornece orientações aos profissionais de continuidade do negócio e de recuperação de desastres de TI sobre como planear a continuidade e a recuperação de TI como parte de um sistema de gestão da continuidade do negócio (BCMS) mais abrangente. A norma ajuda o pessoal de TI a identificar os requisitos das Tecnologias de Informação e Comunicação (TIC) e a implementar estratégias para reduzir o risco de perturbação, bem como a reconhecer, responder e recuperar de uma perturbação das TIC.

 

 

A ISO 27031 introduz uma abordagem de sistemas de gestão para abordar as TIC em apoio a um sistema de gestão da continuidade das actividades mais amplo, tal como descrito na ISO 22301. A ISO 27031 descreve um sistema de gestão para a preparação das TIC para a continuidade das actividades (IRBC). Um IRBC é um sistema de gestão centrado na recuperação de desastres informáticos. O IRBC utiliza o mesmo modelo Plan-Do-Check-Act (PDCA) que o sistema de gestão da continuidade das actividades descrito na norma ISO 22301. O objetivo do IRBC é implementar estratégias que reduzam o risco de interrupção dos serviços de TIC, bem como responder e recuperar de uma interrupção. Os profissionais de continuidade do negócio e de TI acharão a utilização do modelo PDCA muito familiar, mas com as alterações necessárias para apoiar a capacidade de recuperação das TIC com base nos requisitos e expectativas do negócio.

 

Como norma de orientação, as organizações não podem ser certificadas na ISO 27031 como na ISO 22301, mas o sistema de gestão segue muitos dos mesmos passos que os profissionais de preparação experientes estão habituados a implementar com o planeamento da continuidade do negócio. O diagrama seguinte apresenta o sistema de gestão do IRBC detalhado na ISO 27031.

 

 

Sistemas de gestão do IRBC A ISO 27031 utiliza o mesmo sistema básico de gestão PDCA utilizado na ISO 22301, mas adapta-o à natureza técnica do IRBC. Para além das alterações técnicas ao PDCA, a ISO 27031 também se baseia nas conclusões da Análise de Impacto no Negócio (BIA) desenvolvidas e aprovadas como parte do SGCN mais amplo de uma organização. Para o IRBC, o sistema de gestão PDCA é dividido da seguinte forma:

 

  • Plano: a fase de Plano cria e actualiza a estrutura de governação para o sistema global de gestão do IRBC. Os principais resultados da fase de Planeamento são uma política de IRBC que aborda adequadamente a continuidade da tecnologia de informação e comunicação e as opções de estratégia que a organização pode implementar para satisfazer os requisitos empresariais.

  • Fazer: a fase Fazer centra-se na realização de actividades e na implementação de soluções que permitem à organização monitorizar, responder e recuperar de uma interrupção dos serviços TIC. Os principais resultados da fase Fazer são a implementação de estratégias, a geração de planos e a execução de actividades de formação e sensibilização para promover a continuidade dos serviços TIC.

  • Verificação: a fase de verificação inclui a análise e a avaliação do desempenho do sistema de gestão do IRBC. Os principais resultados da fase de verificação incluem a monitorização contínua das tecnologias da informação e da comunicação quanto a perturbações e níveis de desempenho, bem como análises periódicas da capacidade de resposta e recuperação das TIC.

  • Agir: a fase Agir dá à administração a oportunidade de rever o desempenho do esforço do IRBC, bem como de orientar a implementação de acções corretivas que melhorem o desempenho do sistema de gestão e/ou reduzam o risco de futuras perturbações dos serviços TIC.

 

Vamos analisar mais detalhadamente cada fase.

 

PLANO Muitas organizações podem já realizar alguns dos componentes do “Plano” da ISO 27031 como parte dos seus programas de Recuperação de Desastres de Tecnologias de Informação (ITDR). A ISO 27031 considera o ITDR como um componente do IRBC, mas, na realidade, existem muito poucas diferenças. Na fase de Plano, a organização implementa uma política para governar processos e requisitos para o IRBC. A política estabelece a estrutura de governação para o sistema de gestão do IRBC. O IRBC utiliza os dados da BIA da organização para traduzir os requisitos de negócio em requisitos de desempenho das TIC para os serviços de TIC. A fase de planeamento termina com a criação de opções de estratégia do IRBC, que serão implementadas na fase de execução.

 

A formulação da estratégia IRBC significa essencialmente a criação de ofertas de serviços de TI que o pessoal das TIC incluirá no catálogo de serviços ou, de forma mais genérica, como opções para consideração e seleção empresarial. Por exemplo, uma organização com uma entrada no catálogo de serviços para um servidor virtual adicionaria entradas para abordar a capacidade de recuperação de um servidor virtual através de uma variedade de meios para abordar uma série de objectivos de recuperação. A organização pode optar por fornecer duas estratégias de recuperação para a recuperação de uma máquina virtual com diferentes tempos de recuperação para satisfazer os requisitos comerciais identificados através da BIA. Essas duas estratégias de recuperação são então incorporadas no catálogo de serviços da organização como entradas separadas ou incorporadas em entradas existentes do catálogo de serviços.

 

Para serem eficazes, a norma ISO 27031 afirma que as estratégias IRBC acima descritas têm de incorporar seis componentes na monitorização, resposta e recuperação de perturbações nas tecnologias da informação e da comunicação. Os seis componentes são:

 

  1. Competências e conhecimentos: As estratégias de recuperação incluem a consideração das competências técnicas especializadas e dos conhecimentos necessários para operar os serviços TIC antes, durante e depois de uma interrupção. As estratégias que incluem considerações sobre competências e conhecimentos centram-se em garantir que nenhum indivíduo detenha competências ou conhecimentos especializados que sejam necessários para operar os sistemas TIC da organização.

  2. Instalações: As estratégias de recuperação incluem a atenuação do risco associado à operação de sistemas TIC baseados numa única instalação. As estratégias que incluem considerações sobre as instalações garantem que os sistemas TIC podem ser operados mesmo que uma instalação primária fique inoperacional.

  3. Tecnologia: As estratégias de recuperação incluem a consideração dos requisitos técnicos necessários para cumprir os requisitos de recuperação da organização, especificamente o Objetivo de Tempo de Recuperação (RTO) e o Objetivo de Ponto de Recuperação (RPO). As estratégias que incluem considerações tecnológicas envolvem a garantia de que o hardware e as aplicações podem ser recuperados dentro do tempo e da recuperação de dados exigidos pela organização. Essas considerações devem incluir sistemas de suporte, como energia, refrigeração, pessoal, suporte de fornecedores e conetividade WAN.

  4. Dados: As estratégias de recuperação incluem a consideração de como proteger os dados exigidos pela organização. As estratégias que incluem considerações de dados incluem segurança, validade e disponibilidade dos dados exigidos pelos utilizadores finais.

  5. Processos: As estratégias de recuperação incluem a consideração de como sustentar os processos necessários para monitorizar, operar e recuperar os sistemas TIC de modo a satisfazer os requisitos do negócio. As estratégias que consideram os processos identificam os processos TIC necessários antes, durante e depois de uma perturbação dos sistemas TIC.

  6. Fornecedores: As estratégias de recuperação incluem a consideração de como informar e envolver os fornecedores que são necessários para recuperar e operar os sistemas TIC. As estratégias que incluem considerações sobre os fornecedores identificam quais os fornecedores envolvidos na operação e recuperação dos sistemas TIC antes, durante e após a ocorrência de uma perturbação.

 

Cada opção de estratégia IRBC terá em conta os seis componentes e resulta frequentemente na criação de níveis para classificar as tecnologias de informação e comunicação que satisfazem as necessidades da organização. Durante a fase Do, os serviços de TIC serão atribuídos a um nível, o que permite a seleção da estratégia. Assim que as TI identificam as opções de estratégia, a direção da organização deve considerar a quantidade de risco reduzida pela estratégia em relação ao custo da implementação da estratégia. No geral, o resultado da fase Plan é uma lista de estratégias a adicionar ou atualizar no catálogo de serviços, o que permite à organização selecionar o nível adequado de recuperabilidade.

 

DO A fase Do do sistema de gestão do IRBC inclui a implementação das estratégias identificadas na fase do Plano, a elaboração de planos de recuperação para os serviços de TIC e a execução de actividades de formação e sensibilização para garantir que o pessoal envolvido no programa IRBC seja qualificado e informado. O programa IRBC implementa as estratégias adequadas identificadas na fase de Plano para melhorar a prontidão das TIC para os serviços de tecnologias de informação e comunicação no âmbito.

 

As estratégias que reduzem o risco de uma perturbação não eliminam totalmente a possibilidade de uma perturbação das tecnologias da informação e da comunicação. O pessoal de TI aplica estratégias e elabora planos para ultrapassar o risco residual quando os incidentes de perturbação se tornam realidade. A documentação do plano de resposta e recuperação é necessária para garantir que o pessoal compreende as actividades necessárias para satisfazer as expectativas da empresa. A ISO 27031 inclui muitas das mesmas considerações que são utilizadas na ISO 22301, incluindo o objetivo e o âmbito do plano, funções e responsabilidades definidas, pessoal alternativo, critérios de invocação do plano e informações de contacto.

 

A parte final da fase Do consiste na realização de actividades de formação e sensibilização para garantir que o pessoal envolvido no sistema de gestão do IRBC (incluindo os que desempenham funções nos planos de resposta e recuperação) está ciente das suas responsabilidades antes, durante e após uma perturbação.

 

CHECK A fase de Check do sistema de gestão do IRBC inclui as actividades típicas associadas à fase de Check do sistema BCM, incluindo a análise da gestão e os testes e exercícios. A fase de verificação também inclui actividades contínuas que monitorizam a perturbação dos serviços TIC e medem o desempenho relacionado com a prontidão das TIC.

 

ACT A fase Act incorpora a análise da gestão do programa IRBC, incluindo o desempenho do programa, o desempenho da preparação para as TIC e a afetação de recursos. Para além da análise da gestão, o programa IRBC implementa acções corretivas que foram identificadas durante outras fases do sistema de gestão. O objetivo das acções corretivas é enraizar uma cultura de melhoria contínua na organização e envolver a administração na definição de prioridades para a melhoria contínua.

 

Então, e se a organização ainda não tiver um programa de GCN em vigor? Muitas vezes, os profissionais de TI são solicitados a implementar medidas de mitigação, resposta e recuperação antes de um programa de BCM mais amplo. Nestes casos, a organização não efectuou uma análise holística do impacto comercial para identificar os requisitos comerciais das aplicações e do hardware. Algumas organizações de TI usarão a intuição e experiências passadas para estabelecer requisitos de resposta e recuperação de TIC, como RTO e RPO. No entanto, a utilização da intuição e de experiências passadas conduz frequentemente a lacunas entre as expectativas empresariais de recuperação das tecnologias de informação e comunicação e a capacidade de recuperação efectiva. Uma forma fácil de desenvolver requisitos de recuperação para os serviços TIC é considerar a realização de uma análise de impacto da aplicação (AIA) mais centrada nas utilizações dos serviços TIC e medir o impacto para a organização de uma perturbação baseada num ou num grupo de serviços relacionados.

 

Um AIA eficaz identificará:

 

  • As partes interessadas (incluindo os utilizadores) das tecnologias da informação e da comunicação;

  • O impacto (quantitativo e qualitativo) de uma perturbação das TIC ao longo do tempo; e

  • Soluções manuais que os utilizadores podem implementar durante uma interrupção.

 

O programa IRBC detalhado na norma ISO 27031 ajuda os profissionais de TI e de continuidade do negócio, juntamente com os patrocinadores do programa, a manter uma resiliência eficaz das TIC. Ao implementar um sistema de gestão IRBC, os profissionais de TI e de continuidade do negócio ajudam a sua organização a monitorizar, responder e recuperar de uma perturbação das TIC. A ISO 27031 aplica e adapta os conceitos de BCM descritos na ISO 22301 para ajudar a reduzir o risco de perturbações nas tecnologias de informação e comunicação, bem como no negócio como um todo.