15 de janeiro de 2014 Governança de TI, Segurança

Continuidade de Negócios: análise de impacto e avaliação de riscos

Uma boa avaliação de riscos e análise de impacto nos negócios são essenciais em qualquer processo de continuidade de negócios, porém, as pessoas que cuidam desse planejamento muitas vezes ficam confusas sobre as definições, relacionamento e resultados esperados entre os dois processos. Essa questão pode atrapalhar esse planejamento e fazer com que a empresa não atinja seus resultados de negócios.

O objetivo deste artigo é fornecer uma abordagem sobre a melhor forma de projetar e executar a BIA e os processos de avaliação de risco para alcançar resultados que se alinham com a forma como risco e a continuidade dos negócios são vistos pela gestão.

Definições de BIA e Avaliação de Riscos

Para entender a relação entre a BIA e avaliação de risco, é preciso ter um entendimento comum sobre a definição de dois processos.

Business Impact Analysis

A definição de BIA é a identificação e análise de processos de negócios / atividades (incluindo os recursos necessários), com o objetivo de compreender o impacto do tempo de inatividade, o que leva a atribuição de objetivos de recuperação e priorização.

Risk Assessment

Análise de Risco é definida como a avaliação do risco de negócios que possam afetar a capacidade de uma organização para entregar seus produtos e serviços mais importantes, com o objetivo de compreender a efetividade dos controles existentes, bem como controles adicionais para diminuir a probabilidade ou gravidade de uma interrupção.

A diferença entre esses dois pontos está no prazo e definição de “risco do negócio”. Um risco de negócio não é uma ameaça (por exemplo, roubo, furto, terremoto), é uma situação que leva a uma interrupção na capacidade de uma organização para oferecer produtos e serviços. Normalmente se dá ao assumir esses riscos e a possibilidade de perder os recursos necessários, incluindo pessoal, instalações, equipamentos, fornecedores e tecnologia. Dito de outra forma, uma ameaça pode levar a um risco do negócio (por exemplo, um furacão pode causar uma perda de facilidade de acesso ou uma pandemia pode resultar em elevado absentismo), mas o risco do negócio não é sinônimo de ameaça.

O que devo considerar?

Avaliação da Ameaça

Há uma grande diferença entre a avaliação de risco e uma avaliação da ameaça. A avaliação da ameaça é tipicamente um inventário de todas as ameaças que podem afetar a organização.

As conclusões obtidas a partir de uma avaliação das ameaças podem ser benéficas durante o processo de planejamento, a fim de destacar onde são garantidos os procedimentos de resposta e de recuperação específicas. Com base no feedback, os executivos normalmente já se sentem confortáveis ​​com a sua compreensão das ameaças potenciais que podem afetar diretamente os negócios.

Resultados

Os resultados esperado após esse esforço são os seguintes:

Relatório da BIA

Os principais resultados gerados com a BIA, permitem as seguintes análises:

  • Compreensão dos processos negócio/atividades, incluindo:
    • Os clientes (internos e externos);
    • Saídas / Entregas;
    • Entradas (que permitem que o processo funcione, incluindo recursos e outras dependências de terceiros);
    • Compreender uma estimativa do impacto do tempo de inatividade, o que serve como justificativa de negócios para estabelecer objetivos de recuperação;
    • Identificação dos objetivos de recuperação e de prioridades de recuperação para os processos e recursos de negócios;
    • Coleta de informações que podem ajudar a identificar estratégias apropriadas de recuperação e documentar planos para o futuro.

Após a BIA, a organização deve ser capaz de identificar as atividades críticas que contribuem para a entrega de seus mais importantes produtos e serviços, a lista de todos os recursos necessários para a recuperação, e priorizar atividades e recursos por objetivo à recuperação.

Avaliação de Risco

Os principais resultados associados com a avaliação de risco incluem:

  • Compreensão dos riscos potenciais de negócios, incluindo a sua probabilidade e impacto
  • Identificação e potenciais melhorias de controle ou novas estratégias para mitigar o risco do negócio, protegendo os recursos

Após a avaliação dos riscos, a organização deve ser capaz de compreender todos os riscos do negócio (priorizados por aqueles que têm alto impacto e têm uma elevada probabilidade de ocorrência), e uma lista de como mitigar e as opções de controle para enfrentar os riscos do negócio.

Relação entre a BIA e Avaliação de Riscos

Uma maneira bem interessante é primeiro conduzir o projeto de BIA e depois realizar a avaliação de Riscos. Primeiro, temos que aceitar que como foi dito:

  1. Os resultados do BIA são:
    1. A identificação dos recursos necessários para realizar as atividades de negócios;
    2. A compreensão / estimativa do impacto do tempo de inatividade.
  2. Os resultados da avaliação de risco são:
    1. A identificação dos recursos necessários que podem ser afetados por uma ampla variedade de ameaças (conhecidos e desconhecidos);
    2. Uma compreensão do impacto nos negócios e o que contribui para a priorização de melhorias de controle e estratégias futuras de mitigação de risco.

Ao compreender esses pontos devemos entender que realizar uma avaliação de risco antes de compreender o impacto ou a identificação dos recursos necessários pode ser muito complicado.

Conclusões

O planejamento de continuidade de negócios e avaliação de riscos são elementos fundamentais para qualquer negócio.

A implementação de um programa efetivo de continuidade de negócio permite que as organizações reduzam efetivamente os riscos associados a incidentes e, assim, melhor preparado para responder e se recuperar de uma perda de recursos necessários.

Sem uma compreensão dos impactos e potenciais recursos estabelecidos pela BIA, seria difícil entender o risco do negócio de uma perda de recursos ou ajustar os controles para proteger esses recursos a partir de interrupções. Ao pensar na abordagem deste artigo, as organizações passam a ter um melhor conhecimento sobre suas operações e desta maneira garantir a tranquilidade para os clientes, colaboradores, acionistas e parceiros.

Posso ajudar com sua estratégia de continuidade de negócios?

Allan Pitter Pressi

Mais artigos deste autor »

Especialista em Segurança da Informação, Gestão da Continuidade de Negócios, DPO, Riscos e Compliance (LGPD,GPDR,ISO,BACEN)

CONTEÚDOS RELACIONADOS

2 Comentários

Leonardo Mariano
1

Allan,
Muito bom o artigo! Esclarece bem a fase inicial da Continuidade de Negócios.
Trabalho com Continuidade de Negócios há 2 anos e por ser um assunto não muito presente nas empresas, é um pouco complicado encontrar fóruns debatendo este assunto (exceto LinkedIn). Me alegra ver o ProfissionaisTI abordando o assunto.
Espero ver mais artigos de Continuidade de Negócios no ProfissionaisTI como, estratégia de recuperação, desenvolvimento e manutenção de planos, conscientização e ROI, testes…
Att,
Leonardo Mariano

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!