Home > Gestão

O padrão da continuidade de negócios

Recém-criado padrão BS 25999 estabelece diretrizes para a elaboração uma estratégia de continuidade e promete não deixar companhias na mão em situações de emergência

Camila Fusco

02/07/2007 às 12h51

Foto:

Logo depois dos atentados terroristas de 2001 que devastaram centenas de companhias nos Estados Unidos – e que propagaram seus efeitos por todo o mundo –, uma preocupação que ressoou entre boa parte das organizações esteve na elaboração de planos de contingência de negócios.
Quando o tema começava a assentar, voltou à pauta com novo vigor quatro anos mais tarde, com o furacão Katrina, que deixou um rastro de destruição no Golfo do México e em diversos Estados norte-americanos. Dessa vez, no entanto, muitas já aparentavam estar mais preparadas para lidar com a situação. Difícil saber se, de fato, essas companhias tinham um plano suficientemente forte e testado para manter a continuidade dos negócios ou também contaram com a sorte.
Um padrão nascente tem o objetivo de fazer com que a visão do plano de continuidade de negócios seja mais pragmática e conte menos com golpes de sorte a partir de então. Trata-se do BS 25999, que tem como objetivo esclarecer, padronizar e estabelecer diretrizes para a elaboração e testes da estratégia de continuidade. Em entrevista ao COMPUTERWORLD, John Di Maria, gerente de certificações e marketing da BSI International, detalha a estrutura da norma e garante: de nada adianta um plano sem testes prévios. Leia os principais trechos:

COMPUTERWORLDRecentemente o senhor esteve no Brasil para explicar aos executivos locais as diretrizes previstas para a BS 25999. O que prevê a norma?
John DiMaria – A proposta do padrão é fornecer uma base para que as empresas compreendam, desenvolvam e implementem planos de continuidade de negócio e também fornecer confiança nas transações entre empresas e com os consumidores. A norma permite ainda a uma organização medir ou avaliar suas ações em direção à continuidade dos negócios de uma forma consistente frente a seus sistemas. A abordagem da continuidade de negócios não é nova, mas o padrão enfatiza a importância de elaborar o plano com base nas melhores práticas da indústria.

CWE qual é essa postura prática da norma?
DiMaria
– Assim como outros padrões da indústria, o padrão 25999 é criado a partir das melhores práticas. Especificamente, ele foi construído sobre o escopo daquilo que uma companhia precisa endereçar na estrutura de continuidade de negócios, assim como no roadmap de implantação e nos aspectos que os sistemas precisam sustentar para garantir o prosseguimento das operações. Ele traz também uma visão geral sobre gerenciamento, orienta sobre como avaliar as respostas dos sistemas e construir uma visão de continuidade na organização, além de informar às companhias a necessidade de prever os custos decorrentes das novas ferramentas eventualmente implantadas. Além disso, prevê algo que geralmente é esquecido pelas companhias, que é o exercício dos métodos e dos sistemas destinados à sustentação das operações.

CW Você mencionou que os testes geralmente ficam de fora dos planos de continuidade da maior parte das empresas. Além desse, quais os erros mais comuns das organizações nesse sentido?
DiMaria
– Entre os principais erros está a falta de avaliação apropriada dos riscos e a deficiência em compreender exatamente as necessidades de elaborar e testar os sistemas antes de colocá-los em vigor. Geralmente, as companhias mantêm estratégias de recuperação de desastres, mas não sabem como colocá-las efetivamente em prática. De nada adianta ter um plano se você não sabe realmente se ele funciona.

CW- O padrão é dividido em duas partes. Quais são elas e quais os cronogramas de divulgação?
DiMaria – A primeira parte, que leva o nome de BS 25999-1, aborda as diretrizes que as empresas devem adotar para ter um plano de continuidade de negócios eficiente. Esta parte está disponível para consulta no site www.bs25999.com. A segunda parte do padrão, 25999-2, deve estar pronta em outubro e especifica as exigências de processos e auditoria, além de estabelecer monitoramento e controle de riscos.

CW A norma ISO 20000, que abrange controles para gerenciamento de serviços de TI, tem suas origens na norma BS 15000. É possível dizer que a BS 25999 também poderá caminhar para uma ISO destinada a continuidade de negócios?
DiMaria – Geralmente caminha-se nessa direção. Se você olhar a história, além da BS 15000 que originou a ISO 20.000, existe também a BS 7799, que resultou na ISO 27.000. Geralmente as normas ISO são originadas de um padrão. No entanto, antes de isso acontecer é tradicional a realização de comitês técnicos para debate.

CW E quais os passos para uma adequação? Quem confere a certificação?
DiMaria
– Primeiro de tudo, a companhia precisa “vestir a camisa” sobre o padrão, e conhecer a fundo suas implicações. Posteriormente, pode contratar uma consultoria para auxiliar no processo de adequação segundo diretrizes da BS 25999, mas não é obrigatório. Geralmente o passo posterior é realizar um procedimento de análise e correção de falhas e caminhar para a auditoria de certificação. No entanto, são necessárias também verificações periódicas para garantir que o sistema continua adequado.

CW – Como o padrão deve auxiliar as companhias?
DiMaria – Justamente no fornecimento de uma forma organizada para implementar o padrão de continuidade de negócios e garantir o cumprimento de boas práticas nesse tema.

CW – Já é possível prever a popularidade do padrão entre as companhias mundiais?
DiMaria
– Logo que a primeira parte foi divulgada, foram registrados 5 mil downloads. Fizemos uma pesquisa na Europa – com 857 companhias – e 94% delas disseram que aprovavam um padrão formal para gerenciamento da continuidade.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail