LÁ VEM A ISO 22301 substituindo a BS 25999

Já é avisado de maneira informal, desde o segundo semestre de 2011, que a BS 25999 está com os dias contados. A norma desenvolvida pelo British Standard Institute, tradicional em pré-desenvolver as bases das normas internacionais ISO, chegou ao seu ponto máximo, mesmo com uma aceitação ainda baixa. A transição de uma norma regional para uma mundial, como aconteceu com a ISO 27001, em 2005, que substituiu a norma BS 7799-2, é normal. A principal vantagem de se tornar uma ISO é a aceitação mundial ainda mais forte e o respaldo.

Quais são as principais mudanças trazidas pela ISO 22301 em relação à BS 25999-2? Com base na versão preliminar publicada em fevereiro de 2011, no site BSi (Draft Review). O título da ISO 22301 será ISO 22301 Segurança Social – Sistemas de gestão de continuidade de negócios – Requisitos. Embora “Segurança Social” possa soar um pouco estranho em relação à continuidade de negócios, eis a sua definição de acordo com a ISO: “… normalização no domínio da segurança social, com a finalidade de aumentar os recursos de gestão de crises e continuidade de negócios, ou seja, por meio do aprimoramento da interoperabilidade técnica, humana, organizacional e funcional, bem como da conscientização situacional entre todas as partes interessadas.” Ou seja, continuidade é muito mais do que TI, como menciono há muito tempo em meu blog e site. As questões de proteção a marcas, respeito à sociedade, acionistas, e questões ambientais são fundamentais para a Gestão de Continuidade de Negócios. Bom, que a ISO também entende dessa forma.

Alguns detalhes: A base conceitual é a mesma, e muita coisa como Política de Continuidade, Análises de Riscos e outros, são considerados Business Continuity Options. O BIA recebe atenção especial e será muito reforçado e enfatizado em várias partes para que sua precisão seja ainda maior. Muitas empresas ainda subestimam esta fase ou decidem de forma muito subjetiva, o que representa uma possível falha para toda a GCN. O conteúdo de gestão da BS 25999-2 passa para a nova norma, assim como acontece na ISO 9001, ISO 14001 e ISO 27001. Isto será apresentado como complemento. O modelo PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Verificar-Agir) é confuso e gera dúvidas, espero que na última versão isto seja corrigido, pois acho que complicará a vida dos gestores de continuidade de negócios.

A ISO 22301 enfatizará a definição dos objetivos estratégicos, desempenho e métricas. Portanto, em minha opinião, reforça a ideia de que a Gestão de Continuidade de Negócios é um Domínio de Gestão de Riscos Estratégicos. Ela define claramente o que é esperado em termos de gestão e resume essas expectativas em uma única seção. (similar a COBIT e outras referências de apoio a Governança Corporativa e de TI). A ISO 22301 vai exigir/recomendar um planejamento e preparação muito mais cuidadoso dos recursos necessários, para garantir a continuidade dos negócios. Ou seja, a certificação será muito mais rígida.

Conclusão: O que era uma boa referência conceitual, influenciada desde 2005 por DRI, BCI e BSI, traduzindo uma expectativa de mais de 10 anos de profissionais de continuidade de negócios de todo o mundo, através da norma BS 25.999-1 e BS 25.999-2, ficará ainda melhor. Creio que a norma ISO 22.301 reflete parte do momento de amadurecimento do mercado mundial em relação ao tema GESTÃO DE RISCO ESTRATÉGICO e GRC. É preciso ter mais normas internacionais complementando este pacote. Temos a ISO 38500 de Governança de TIC, a ISO 27001 de Gestão de Segurança da Informação, a ISO 14001 de Gestão Ambiental, ISO 26001 de Responsabilidade Social Corporativa, ISO 31.000 de Gestão de Riscos, e agora a ISO 22.301 para Gestão de Continuidade de Negócios. Todas são complementares e congruentes. Pode-se usá-las em separado ou em sinergia para otimização de custos.

Fique atento também a toda a família e: ISO/TR 22312:2011 Societal security — Technological capabilities ISO 22320:2011 Societal security — Emergency management — Requirements for incident response ISO/PAS 22399:2007 Societal security – Guideline for incident preparedness and operational continuity management

Por: Jeferson D’Addario, Sócio-Diretor da DARYUS Consultoria, consultor sênior há mais de 14 anos em TI, Gestão de Riscos e Continuidade de Negócios. Certificado pelo DRII-USA, BCI-UK, ISO 27001 lead auditor, COBIT, ISFS e ITIL. Formação em Economia e TI, é criador, coordenador e professor da pós-graduação em GTSI - Gestão de Segurança na Faculdade Impacta (SP), ganhador do prêmio SECMASTER 2006, possui mais de 33 projetos de BCP para empresas líderes. Foi o responsável em trazer e conduzir os cursos do DRII no Brasil, e desde 2005 é membro da ISACA, sendo colaborador na tradução do COBIT 4.1, e instrutor do DRII.[ www.daryus.com.br]