Já conhece este modelo.
O que começa com "O objetivo desta política é estabelecer requisitos de continuidade de negócio em conformidade com as obrigações legais, regulatórias e contratuais aplicáveis..."
Catorze páginas. Ninguém lê. Vive numa pasta chamada "Compliance Docs" que é aberta duas vezes por ano: uma para a auditoria, outra quando alguém clica nela por engano.
Depois acontece o incidente.
Ransomware. Interrupção na cloud. Falha na cadeia de abastecimento. Alarme de incêndio às 2h da manhã.
E o plano de continuidade de negócio? O que ia salvar tudo?
Ninguém o encontra. E mesmo que encontrassem, foi escrito para um auditor, não para uma pessoa sob pressão.
É esse o problema que resolvemos hoje.
Por Que Razão a Maioria das Políticas BC/DR Falha
Não porque o conteúdo está errado. A maioria dos modelos cobre as cláusulas certas, a estrutura certa, o vocabulário certo.
Falham porque:
- São escritas para auditores, não para pessoas. Se a primeira frase inclui "em conformidade com os requisitos legais aplicáveis", já perdeu o leitor.
- Não nomeiam ninguém. "A gestão de topo deve assegurar..." não significa nada se nenhuma pessoa específica for responsável.
- Nunca foram testadas. Um plano sem exercícios práticos é uma suposição. E as organizações não sobrevivem com suposições.
- Existem em silos. A continuidade de negócio fica numa pasta, a recuperação de desastres noutra, as comunicações de crise ficam na cabeça de alguém.
- Ficam obsoletas. Escritas uma vez, aprovadas uma vez, esquecidas até ao próximo ciclo de certificação.
Soa familiar?
O Que Construí e Porquê
Peguei no modelo que uso em projetos reais de consultoria e implementações de ISO 22301 e transformei-o numa Política BC/DR gratuita e descarregável.
Mas não publiquei apenas um documento. Reescrevi as regras sobre o que um modelo de política deve parecer.
O que torna este diferente:
1. É Escrito para Pessoas
Frases curtas. Verbos ativos. "Nós" e "você", não "a organização" e "o utilizador".
Cada secção é escrita de forma a que um responsável de departamento no primeiro dia compreenda o seu papel durante uma perturbação.
Do modelo:
"Os planos são inúteis se ninguém os consegue encontrar durante uma crise. Os nossos são: práticos, acessíveis, específicos e testados."
Não é linguagem ISO. É realidade operacional.
2. Tem uma Voz
Ao longo do modelo, encontrará caixas de comentário: orientação direta e prática da Cyber Academy nas margens.
Por exemplo:
"A maioria das BIA falha porque é feita pela TI de forma isolada. Uma BIA é um exercício de negócio. Se o CFO, o responsável de Operações e o responsável de Vendas não estiveram presentes, a sua BIA está incompleta."
"Se os seus exercícios correm sempre na perfeição, não são suficientemente exigentes. Um bom exercício deve deixar as pessoas desconfortáveis. Esse é o objetivo."
"Registar uma não conformidade sem análise de causa raiz é burocracia. Fazer análise de causa raiz sem acompanhamento é teatro. Faça ambas."
Estas caixas de comentário são a diferença entre um modelo genérico e uma estrutura construída por quem já fez isto na prática.
3. Mapeia o Que é Relevante em 2026
Não apenas ISO 22301. Este modelo referencia:
Norma / RegulamentoPorquêISO 22301A espinha dorsal. Requisitos do BCMS.ISO 27001Continuidade de negócio e segurança da informação são as duas faces da mesma moeda. Os controlos do Anexo A, A.5.29 e A.5.30, estão aqui.NIS2O Artigo 21 exige continuidade de negócio, gestão de backups e recuperação de desastres para entidades essenciais e importantes. O Artigo 20 responsabiliza pessoalmente a gestão.DORAOs Artigos 11-12 exigem testes de continuidade de negócio e recuperação de desastres em TIC para entidades financeiras.
4. Nomeia Funções, Não Abstrações
Em vez de "Pessoal adequado deve ser designado com responsabilidades," a secção de Funções inclui uma tabela com uma coluna chamada: "O Que Fazem na Prática."
Porque "Gestão de Topo" não significa nada até escrever: "Aparecer nas revisões de gestão, não apenas assinar. Se a liderança ignorar a continuidade de negócio, todos os outros também o farão."
5. As Secções Chamam-se pelo Que São
- A Secção 5 não é "Avaliação do Desempenho". É "Verificar Que Funciona".
- A Secção 6 não é "Melhoria". É "Corrigir o Que Está Partido".
Totalmente auditável face às cláusulas 4 a 10 da ISO 22301. Mas escrita de forma a que uma pessoa queira continuar a ler para além da página dois.
O Que Contém
#SecçãoO Que Cobre1ObjetivoPorque existe, em três frases, não três parágrafos2ÂmbitoA quem se aplica. Spoiler: a todos.3Funções e ResponsabilidadesNomeadas, específicas, com uma coluna "O Que Fazem na Prática"4PolíticaBIA, avaliação de risco, estratégias, planos, resposta a incidentes (tabela de 3 níveis), comunicações, exercícios (tabela progressiva), recuperação de desastres, formação5Verificar Que FuncionaMonitorização, auditoria interna, revisão pela gestão6Corrigir o Que Está PartidoNão conformidades, análise de causa raiz, ações corretivas7ConformidadeAplicação e responsabilização da gestão face à NIS2/DORA8ReferênciasTabela a explicar a relevância de cada norma
Todos os campos a preencher estão assinalados em itálico roxo para que saiba exatamente o que personalizar.
Para Quem É Este Modelo
- Gestores de continuidade de negócio a construir ou reconstruir um BCMS de raiz
- CISOs e responsáveis de GRC que precisam de uma política BC/DR integrada, sem silos separados
- Consultores a implementar ISO 22301 para clientes e cansados de começar do zero em cada projeto
- Organizações a preparar-se para NIS2 ou DORA que precisam de demonstrar medidas de continuidade de negócio
- Qualquer pessoa que passou por uma auditoria e pensou: "Tem de existir um modelo melhor do que este."
👉 Descarregue o Modelo de Política BC/DR - GratuitoUse-o. Adapte-o. Torne-o seu.
Elimine as caixas de comentário antes de publicar ou mantenha-as como orientação interna para a sua equipa. A decisão é sua.
Quer o Próximo Antes de Todos?
Este modelo é a primeira peça do diretório oficial de documentação da Cyber Academy que estamos a construir.
A seguir: modelo de BIA, programa de exercícios, registo de informação documentada e muito mais, tudo com a mesma voz, a mesma qualidade e a mesma filosofia de "construído para pessoas".
📩 Subscreva a Lista da Cyber AcademyEnviamos um e-mail quando o próximo recurso for publicado.Sem spam. Sem sequências. Apenas ferramentas.Pode cancelar a subscrição das nossas comunicações a qualquer momento.Visite a nossa Política de Privacidade para saber mais sobre as condições de cancelamento de subscrição, as nossas políticas de privacidade e o nosso compromisso de proteção e respeito pela privacidade.
Quer Ir Mais Longe?
Um modelo é uma linha de partida. Não uma linha de chegada.
Se pretende a metodologia, os estudos de caso e a prática para construir um BCMS que resista a auditorias e a incidentes reais:
- ISO 22301 Lead Implementer, o programa de certificação completo
- ISO 27001 Lead Implementer, porque continuidade de negócio e segurança da informação são inseparáveis
- DORA Lead Manager, para a resiliência digital no setor financeiro
- NIS2 Lead Implementer, para entidades essenciais e importantes
Todas as formações: Certificadas ou Reembolsadas.
