A perspetiva da Cyber Academy
ISO 22301 é a norma internacional para sistemas de gestão da continuidade de negócio (BCMS). Define os requisitos para planear, operar, monitorizar e melhorar um BCMS que permita retomar as operações críticas após uma interrupção. É cada vez mais exigida pelos reguladores financeiros desde o DORA, e pelos supervisores NIS 2 para operadores de serviços essenciais.
A ISO 22301 é a norma de requisitos para um sistema de gestão de continuidade de negócio, um SGCN. Ela define o que uma organização deve fazer para manter as operações críticas em funcionamento durante uma interrupção.
O que a ISO 22301 realmente exige
A palavra sistema importa. A ISO 22301 não é um plano que se escreve uma vez e se arquiva. É um ciclo gerido.
Esse ciclo tem quatro partes:
- Compreender o que a sua organização faz.
- Decidir quais atividades não pode dar-se ao luxo de perder por muito tempo.
- Construir a capacidade de mantê-las funcionando, ou de recuperá-las depressa.
- Manter essa capacidade fiável através de exercícios, análises e melhoria.
Por ser uma norma de requisitos, um organismo acreditado pode auditá-lo e certificá-lo em relação a ela. Isso dá a um cliente ou a um regulador algo concreto em que confiar.
Uma estrutura partilhada com outras normas ISO
A ISO 22301 segue a estrutura de alto nível, como a ISO 27001 e outras normas ISO modernas de sistema de gestão. Por isso partilha o mesmo esqueleto:
- Contexto da organização
- Liderança
- Planeamento
- Apoio
- Operação
- Avaliação do desempenho
- Melhoria
Tudo assenta num ciclo Plan-Do-Check-Act. É uma vantagem se já opera um sistema de gestão de segurança da informação. Reutiliza a mesma governação, a mesma linguagem do risco e a mesma maquinaria de auditoria interna. Acopla a continuidade por cima em vez de erguer uma estrutura paralela.
O trabalho por trás do certificado
Três atividades estão no centro de um programa. Um profissional dedica-lhes a maior parte do seu tempo, não à documentação.
Análise de impacto no negócio
O BIA identifica as suas atividades prioritárias. Determina com que rapidez cada uma tem de ser reposta.
É isto que produz os objetivos de tempo de recuperação. Esses objetivos orientam todas as decisões seguintes. Sem um BIA defensável, a sua estratégia de continuidade é mera suposição.
Apreciação de riscos
Aqui examina o que poderia perturbar essas atividades prioritárias. Os exemplos incluem:
- Um surto de ransomware
- A falha de um fornecedor
- Um centro de dados inundado
Assim, a sua estratégia responde a ameaças reais, e não a uma lista de verificação genérica.
Estratégia e planos de continuidade
Agora usa o BIA e o panorama de riscos. Escolhe como proteger e recuperar cada atividade. Depois redige e dota de recursos os procedimentos que as pessoas seguem de facto quando as luzes se apagam.
Por que os reguladores a apontam cada vez mais
A ISO 22301 já foi uma norma discreta de resiliência operacional. As organizações maduras adotavam-na por escolha. Isso mudou.
Os reguladores financeiros apoiam-se agora na DORA. Os supervisores fazem cumprir a NIS 2. Ambos esperam agora uma capacidade de continuidade demonstrável para as operações críticas. A ISO 22301 é a forma mais reconhecida de a evidenciar.
A norma não nomeia nenhuma regulamentação específica. Mas a sua disciplina corresponde com clareza ao que esses regimes exigem:
- Atividades prioritárias
- Objetivos de recuperação definidos
- Planos testados
- Dependências mapeadas
Certificar-se em relação a ela permite-lhe responder a um supervisor com uma atestação independente, e não com uma autoavaliação.
Como se relaciona com a ISO 27001
Um ponto de confusão comum é a ligação com a ISO 27001. São irmãs, não substitutas.
- A ISO 27001 rege a segurança da informação. Protege a confidencialidade, a integridade e a disponibilidade da informação.
- A ISO 22301 rege a continuidade. Mantém o negócio a operar durante uma interrupção.
A disponibilidade é a ponte entre ambas. Uma organização séria quanto à resiliência opera frequentemente as duas. Certifica-as em conjunto para partilhar auditorias e análises pela gestão.
A continuidade é a resposta a uma pergunta que a segurança sozinha não consegue resolver. O que acontece quando a prevenção falha e ainda assim tem de entregar?
Frequently asked questions
01A ISO 22301 é uma certificação ou apenas uma orientação?
É uma norma de requisitos certificável. Um organismo de certificação acreditado pode auditar o seu sistema de gestão da continuidade de negócio de acordo com ela e emitir um certificado, que é o que a torna útil para responder a clientes e reguladores.
02Qual é a diferença entre a ISO 22301 e um plano de recuperação após desastre?
A recuperação após desastre trata sobretudo de restaurar os sistemas de TI. A ISO 22301 abrange toda a organização, pessoas, instalações, fornecedores e processos, e pergunta se você consegue continuar a entregar produtos e serviços críticos enquanto a recuperação técnica está em curso. O DR é um componente da continuidade, não a sua totalidade.
03Preciso da ISO 22301 se já possuo a ISO 27001?
Não automaticamente, mas elas complementam-se. A ISO 27001 protege a informação; a ISO 22301 mantém o negócio em funcionamento quando algo falha. Como ambas seguem a mesma High-Level Structure, muitas organizações operam-nas e certificam-nas em conjunto para partilhar governança e auditorias.
04Qual é o papel da análise de impacto no negócio?
A BIA identifica as suas atividades prioritárias e com que rapidez cada uma deve ser recuperada. Produz os objetivos de tempo de recuperação que orientam toda a sua estratégia de continuidade, de modo que uma BIA sólida é o alicerce de um SGCN credível.
05A DORA ou a NIS 2 exigem a ISO 22301?
Nenhuma delas nomeia a norma, mas ambas esperam uma continuidade e uma resiliência operacional demonstráveis para as atividades críticas. A certificação ISO 22301 é uma forma amplamente reconhecida de evidenciar essa capacidade a um supervisor com uma garantia independente em vez de uma autoavaliação.