PAS 56 – Guia para a Gestão da Continuidade do Negócio
Um dos principais objectivos da implantação de um Sistema de Gestão da Segurança da Informação e/ou da definição de um processo formal para a Gestão da Segurança da Informação nas organizações, é assegurar que se encontram reunidas as condições que possibilitam a continuidade da realização dos seus processos de negócio, através da garantia da integridade, confidencialidade e disponibilidade da sua informação crítica de negócio, bem como das infra-estruturas de suporte ou a esta associadas.
A necessidade da definição de um modelo e estrutura para a Gestão da Continuidade do Negócio das organizações é pois, um dos aspectos que ganha especial relevância tanto no referencial BS ISO/IEC 17799:2005, como no referencial BS ISO/IEC 27001:2005, que apresentam respectivamente, o conjunto de boas práticas que as organizações devem seguir ao nível da gestão da segurança da informação e os requisitos para a implantação de um sistema de gestão da segurança da informação (Information Security Management System – ISMS). As práticas de gestão e controlos definidos nestes documentos têm por objectivo garantir que, uma vez ocorrido um incidente de segurança, de maior ou menor impacto (decorrentes de desastres naturais, ou de meras falhas temporárias de energia, por exemplo), a organização tem à sua disposição os meios que lhe permitem assegurar a continuidade do seu negócio, através da realização dos processos e actividades críticos que lhe estão associados.
Uma das dificuldades associadas à definição de um Plano de Continuidade de Negócio, ou mesmo do processo de Gestão da Continuidade do Negócio nas organizações prende-se com a complexidade que o desenvolvimento destes dois importantes elementos pode acarretar para estas. Atendendo às necessidades e dificuldades identificadas a este nível, a BSI (British Standards Institution), conjuntamente com o BCI (Business Continuity Institute), desenvolveu e publicou um conjunto de directrizes – ‘PAS 56 – Guia para a Gestão da Continuidade do Negócio’ (Publically Available Specification 56 – Guide to Business Continuity Management) -, que visa auxiliar as organizações nos processos de definição, desenvolvimento, implementação e gestão de um programa de Gestão da Continuidade do Negócio, atendendo à sua envolvente de riscos e requisitos de negócio.
Aplicável a todas as organizações, independentemente da sua dimensão e da natureza do seu negócio, o PAS 56 descreve as actividades e resultados envolvidos no estabelecimento de um processo de Gestão da Continuidade do Negócio, fornecendo ainda um conjunto de recomendações e boas práticas, bem como directrizes para a definição de critérios de avaliação da eficácia deste processo na organização, de acordo com as suas necessidades. De referir que o processo de Gestão da Continuidade não se cinge meramente a actividades de resposta a incidentes, abrangendo problemáticas como a recuperação de desastres, a gestão de situações de crise, gestão do risco bem como tecnologias de suporte, que devem ser geridas de forma unificada no sentido de assegurar a adequação e eficácia do processo de gestão da continuidade do negócio como um todo.
Encontra-se previsto que este documento dê origem, num futuro próximo, ao referencial BS 25999, norma esta que se dividirá em duas partes: ‘BS 25999-1 - Código de Práticas para a Gestão da Continuidade do Negócio’ (parte que substituirá o actual PAS 56), e ‘BS 25999-2 – Especificação para a Gestão da Continuidade do Negócio’, referencial que possivelmente, permitirá a obtenção de uma certificação a este nível, por parte das organizações.
Labels: Continuidade de Negócio
Data 20.11.06
