ISO 22301.

ISO 22301 é a norma internacional para sistemas de gestão da continuidade de negócio (BCMS). Define os requisitos para planear, operar, monitorizar e melhorar um BCMS que permita retomar as operações críticas após uma interrupção. É cada vez mais exigida pelos reguladores financeiros desde o DORA, e pelos supervisores NIS 2 para operadores de serviços essenciais.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll entries

A perspetiva da Cyber Academy

ISO 22301 é a norma internacional para sistemas de gestão da continuidade de negócio (BCMS). Define os requisitos para planear, operar, monitorizar e melhorar um BCMS que permita retomar as operações críticas após uma interrupção. É cada vez mais exigida pelos reguladores financeiros desde o DORA, e pelos supervisores NIS 2 para operadores de serviços essenciais.

A ISO 22301 é a norma de requisitos para um sistema de gestão de continuidade de negócio, um SGCN. Ela define o que uma organização deve fazer para manter as operações críticas em funcionamento durante uma interrupção.

O que a ISO 22301 realmente exige

A palavra sistema importa. A ISO 22301 não é um plano que se escreve uma vez e se arquiva. É um ciclo gerido.

Esse ciclo tem quatro partes:

  • Compreender o que a sua organização faz.
  • Decidir quais atividades não pode dar-se ao luxo de perder por muito tempo.
  • Construir a capacidade de mantê-las funcionando, ou de recuperá-las depressa.
  • Manter essa capacidade fiável através de exercícios, análises e melhoria.

Por ser uma norma de requisitos, um organismo acreditado pode auditá-lo e certificá-lo em relação a ela. Isso dá a um cliente ou a um regulador algo concreto em que confiar.

Uma estrutura partilhada com outras normas ISO

A ISO 22301 segue a estrutura de alto nível, como a ISO 27001 e outras normas ISO modernas de sistema de gestão. Por isso partilha o mesmo esqueleto:

  • Contexto da organização
  • Liderança
  • Planeamento
  • Apoio
  • Operação
  • Avaliação do desempenho
  • Melhoria

Tudo assenta num ciclo Plan-Do-Check-Act. É uma vantagem se já opera um sistema de gestão de segurança da informação. Reutiliza a mesma governação, a mesma linguagem do risco e a mesma maquinaria de auditoria interna. Acopla a continuidade por cima em vez de erguer uma estrutura paralela.

O trabalho por trás do certificado

Três atividades estão no centro de um programa. Um profissional dedica-lhes a maior parte do seu tempo, não à documentação.

Análise de impacto no negócio

O BIA identifica as suas atividades prioritárias. Determina com que rapidez cada uma tem de ser reposta.

É isto que produz os objetivos de tempo de recuperação. Esses objetivos orientam todas as decisões seguintes. Sem um BIA defensável, a sua estratégia de continuidade é mera suposição.

Apreciação de riscos

Aqui examina o que poderia perturbar essas atividades prioritárias. Os exemplos incluem:

  • Um surto de ransomware
  • A falha de um fornecedor
  • Um centro de dados inundado

Assim, a sua estratégia responde a ameaças reais, e não a uma lista de verificação genérica.

Estratégia e planos de continuidade

Agora usa o BIA e o panorama de riscos. Escolhe como proteger e recuperar cada atividade. Depois redige e dota de recursos os procedimentos que as pessoas seguem de facto quando as luzes se apagam.

Por que os reguladores a apontam cada vez mais

A ISO 22301 já foi uma norma discreta de resiliência operacional. As organizações maduras adotavam-na por escolha. Isso mudou.

Os reguladores financeiros apoiam-se agora na DORA. Os supervisores fazem cumprir a NIS 2. Ambos esperam agora uma capacidade de continuidade demonstrável para as operações críticas. A ISO 22301 é a forma mais reconhecida de a evidenciar.

A norma não nomeia nenhuma regulamentação específica. Mas a sua disciplina corresponde com clareza ao que esses regimes exigem:

  • Atividades prioritárias
  • Objetivos de recuperação definidos
  • Planos testados
  • Dependências mapeadas

Certificar-se em relação a ela permite-lhe responder a um supervisor com uma atestação independente, e não com uma autoavaliação.

Como se relaciona com a ISO 27001

Um ponto de confusão comum é a ligação com a ISO 27001. São irmãs, não substitutas.

  • A ISO 27001 rege a segurança da informação. Protege a confidencialidade, a integridade e a disponibilidade da informação.
  • A ISO 22301 rege a continuidade. Mantém o negócio a operar durante uma interrupção.

A disponibilidade é a ponte entre ambas. Uma organização séria quanto à resiliência opera frequentemente as duas. Certifica-as em conjunto para partilhar auditorias e análises pela gestão.

A continuidade é a resposta a uma pergunta que a segurança sozinha não consegue resolver. O que acontece quando a prevenção falha e ainda assim tem de entregar?

Frequently asked questions

01A ISO 22301 é uma certificação ou apenas uma orientação?

É uma norma de requisitos certificável. Um organismo de certificação acreditado pode auditar o seu sistema de gestão da continuidade de negócio de acordo com ela e emitir um certificado, que é o que a torna útil para responder a clientes e reguladores.

02Qual é a diferença entre a ISO 22301 e um plano de recuperação após desastre?

A recuperação após desastre trata sobretudo de restaurar os sistemas de TI. A ISO 22301 abrange toda a organização, pessoas, instalações, fornecedores e processos, e pergunta se você consegue continuar a entregar produtos e serviços críticos enquanto a recuperação técnica está em curso. O DR é um componente da continuidade, não a sua totalidade.

03Preciso da ISO 22301 se já possuo a ISO 27001?

Não automaticamente, mas elas complementam-se. A ISO 27001 protege a informação; a ISO 22301 mantém o negócio em funcionamento quando algo falha. Como ambas seguem a mesma High-Level Structure, muitas organizações operam-nas e certificam-nas em conjunto para partilhar governança e auditorias.

04Qual é o papel da análise de impacto no negócio?

A BIA identifica as suas atividades prioritárias e com que rapidez cada uma deve ser recuperada. Produz os objetivos de tempo de recuperação que orientam toda a sua estratégia de continuidade, de modo que uma BIA sólida é o alicerce de um SGCN credível.

05A DORA ou a NIS 2 exigem a ISO 22301?

Nenhuma delas nomeia a norma, mas ambas esperam uma continuidade e uma resiliência operacional demonstráveis para as atividades críticas. A certificação ISO 22301 é uma forma amplamente reconhecida de evidenciar essa capacidade a um supervisor com uma garantia independente em vez de uma autoavaliação.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.