Field notes

O Modelo de Política de BC/DR Que Não Morre no SharePoint

Download gratuito. Construído a partir de projetos reais. Não é mais um copy-paste de ISO.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de leitura
The BC/DR Policy Template That Doesn't Die in SharePoint

Já conhece este modelo.

O que começa com "O objetivo desta política é estabelecer requisitos de continuidade de negócio em conformidade com as obrigações legais, regulatórias e contratuais aplicáveis..."

Catorze páginas. Ninguém lê. Vive numa pasta chamada "Compliance Docs" que é aberta duas vezes por ano: uma para a auditoria, outra quando alguém clica nela por engano.

Depois acontece o incidente.

Ransomware. Interrupção na cloud. Falha na cadeia de abastecimento. Alarme de incêndio às 2h da manhã.

E o plano de continuidade de negócio? O que ia salvar tudo?

Ninguém o encontra. E mesmo que encontrassem, foi escrito para um auditor, não para uma pessoa sob pressão.

É esse o problema que resolvemos hoje.

Por Que Razão a Maioria das Políticas BC/DR Falha

Não porque o conteúdo está errado. A maioria dos modelos cobre as cláusulas certas, a estrutura certa, o vocabulário certo.

Falham porque:

  • São escritas para auditores, não para pessoas. Se a primeira frase inclui "em conformidade com os requisitos legais aplicáveis", já perdeu o leitor.
  • Não nomeiam ninguém. "A gestão de topo deve assegurar..." não significa nada se nenhuma pessoa específica for responsável.
  • Nunca foram testadas. Um plano sem exercícios práticos é uma suposição. E as organizações não sobrevivem com suposições.
  • Existem em silos. A continuidade de negócio fica numa pasta, a recuperação de desastres noutra, as comunicações de crise ficam na cabeça de alguém.
  • Ficam obsoletas. Escritas uma vez, aprovadas uma vez, esquecidas até ao próximo ciclo de certificação.

Soa familiar?

O Que Construí e Porquê

Peguei no modelo que uso em projetos reais de consultoria e implementações de ISO 22301 e transformei-o numa Política BC/DR gratuita e descarregável.

Mas não publiquei apenas um documento. Reescrevi as regras sobre o que um modelo de política deve parecer.

O que torna este diferente:

1. É Escrito para Pessoas

Frases curtas. Verbos ativos. "Nós" e "você", não "a organização" e "o utilizador".

Cada secção é escrita de forma a que um responsável de departamento no primeiro dia compreenda o seu papel durante uma perturbação.

Do modelo:

"Os planos são inúteis se ninguém os consegue encontrar durante uma crise. Os nossos são: práticos, acessíveis, específicos e testados."

Não é linguagem ISO. É realidade operacional.

2. Tem uma Voz

Ao longo do modelo, encontrará caixas de comentário: orientação direta e prática da Cyber Academy nas margens.

Por exemplo:

"A maioria das BIA falha porque é feita pela TI de forma isolada. Uma BIA é um exercício de negócio. Se o CFO, o responsável de Operações e o responsável de Vendas não estiveram presentes, a sua BIA está incompleta."

"Se os seus exercícios correm sempre na perfeição, não são suficientemente exigentes. Um bom exercício deve deixar as pessoas desconfortáveis. Esse é o objetivo."

"Registar uma não conformidade sem análise de causa raiz é burocracia. Fazer análise de causa raiz sem acompanhamento é teatro. Faça ambas."

Estas caixas de comentário são a diferença entre um modelo genérico e uma estrutura construída por quem já fez isto na prática.

3. Mapeia o Que é Relevante em 2026

Não apenas ISO 22301. Este modelo referencia:

Norma / RegulamentoPorquêISO 22301A espinha dorsal. Requisitos do BCMS.ISO 27001Continuidade de negócio e segurança da informação são as duas faces da mesma moeda. Os controlos do Anexo A, A.5.29 e A.5.30, estão aqui.NIS2O Artigo 21 exige continuidade de negócio, gestão de backups e recuperação de desastres para entidades essenciais e importantes. O Artigo 20 responsabiliza pessoalmente a gestão.DORAOs Artigos 11-12 exigem testes de continuidade de negócio e recuperação de desastres em TIC para entidades financeiras.

4. Nomeia Funções, Não Abstrações

Em vez de "Pessoal adequado deve ser designado com responsabilidades," a secção de Funções inclui uma tabela com uma coluna chamada: "O Que Fazem na Prática."

Porque "Gestão de Topo" não significa nada até escrever: "Aparecer nas revisões de gestão, não apenas assinar. Se a liderança ignorar a continuidade de negócio, todos os outros também o farão."

5. As Secções Chamam-se pelo Que São

  • A Secção 5 não é "Avaliação do Desempenho". É "Verificar Que Funciona".
  • A Secção 6 não é "Melhoria". É "Corrigir o Que Está Partido".

Totalmente auditável face às cláusulas 4 a 10 da ISO 22301. Mas escrita de forma a que uma pessoa queira continuar a ler para além da página dois.

O Que Contém

#SecçãoO Que Cobre1ObjetivoPorque existe, em três frases, não três parágrafos2ÂmbitoA quem se aplica. Spoiler: a todos.3Funções e ResponsabilidadesNomeadas, específicas, com uma coluna "O Que Fazem na Prática"4PolíticaBIA, avaliação de risco, estratégias, planos, resposta a incidentes (tabela de 3 níveis), comunicações, exercícios (tabela progressiva), recuperação de desastres, formação5Verificar Que FuncionaMonitorização, auditoria interna, revisão pela gestão6Corrigir o Que Está PartidoNão conformidades, análise de causa raiz, ações corretivas7ConformidadeAplicação e responsabilização da gestão face à NIS2/DORA8ReferênciasTabela a explicar a relevância de cada norma

Todos os campos a preencher estão assinalados em itálico roxo para que saiba exatamente o que personalizar.

Para Quem É Este Modelo

  • Gestores de continuidade de negócio a construir ou reconstruir um BCMS de raiz
  • CISOs e responsáveis de GRC que precisam de uma política BC/DR integrada, sem silos separados
  • Consultores a implementar ISO 22301 para clientes e cansados de começar do zero em cada projeto
  • Organizações a preparar-se para NIS2 ou DORA que precisam de demonstrar medidas de continuidade de negócio
  • Qualquer pessoa que passou por uma auditoria e pensou: "Tem de existir um modelo melhor do que este."

👉 Descarregue o Modelo de Política BC/DR - GratuitoUse-o. Adapte-o. Torne-o seu.

Elimine as caixas de comentário antes de publicar ou mantenha-as como orientação interna para a sua equipa. A decisão é sua.

Quer o Próximo Antes de Todos?

Este modelo é a primeira peça do diretório oficial de documentação da Cyber Academy que estamos a construir.

A seguir: modelo de BIA, programa de exercícios, registo de informação documentada e muito mais, tudo com a mesma voz, a mesma qualidade e a mesma filosofia de "construído para pessoas".

📩 Subscreva a Lista da Cyber AcademyEnviamos um e-mail quando o próximo recurso for publicado.Sem spam. Sem sequências. Apenas ferramentas.Pode cancelar a subscrição das nossas comunicações a qualquer momento.Visite a nossa Política de Privacidade para saber mais sobre as condições de cancelamento de subscrição, as nossas políticas de privacidade e o nosso compromisso de proteção e respeito pela privacidade.

Quer Ir Mais Longe?

Um modelo é uma linha de partida. Não uma linha de chegada.

Se pretende a metodologia, os estudos de caso e a prática para construir um BCMS que resista a auditorias e a incidentes reais:

Todas as formações: Certificadas ou Reembolsadas.

👉 Consulte o programa completo

👉 Agende uma chamada de descoberta

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.