23/04/2015

AvaliaodeRiscosvs.Anlisedeimpactononegcio|27001Academy

ISO27001&ISO22301
Blog

AvaliaodeRiscosvs.Anlise
deimpactononegcio
DejanKosutic|March18,2014

SevocestimplementandoaISO27001,ouespecialmenteaISO
22301pelaprimeiravez,vocprovavelmenteestintrigadocomaavaliaoderiscoseaanlisede
impactononegcio.Qualopropsitodelas?Comoelassodiferentes?Elaspodemserrealizadasao
mesmotempo?
Deformaresumida,aavaliaoderiscosmostrarquaistiposdeincidentesvocpoderenfrentar,
enquantoqueaanlisedeimpactononegciomostraravocquorapidamentevocprecisa
recuperarsuasatividadesafetadasporincidentesparaevitarmaioresdanos.

Opropsitodaavaliaoderiscos(RArisk
assessment)
Opropsitodaavaliaoderiscosidentificardeformasistemticaquaisincidentespodemocorrer
emsuaorganizao,eento,atravsdoprocessodetratamentoderiscos,prepararaorganizaode
formaaminimizarosdanosdetaisincidentes.
muitoimportanteentenderqueaavaliaoeotratamentoderiscos(mitigao)precisamser
realizadosemsequenciavocnopodeimplementarsalvaguardas/controlesamenosquevocsaiba
quaisdelessoosmaisapropriados,evocnopodesaberquaissalvaguardassomaisapropriadas
antesdeidentificarondeosproblemaspotenciaisesto.VejatambmAvaliaoetratamentode
riscossegundoaISO270016etapasbsicas.
Emminhaexperincia,osempregados(eaorganizaocomoumtodo)estoemgeralcientesde
apenas25a40%dosriscosento,nopossveltentarlembrardetodososriscosdecabea,eesta
identificaoprecisaserfeitadeformasistemtica.
AavaliaoderiscosobrigatriatantoparaaISO27001quantoparaaISO22301,eemmuitos
casospodeserfeitaparaambasasnormasaomesmotempo:CanISO27001riskassessmentbeused
forISO22301?

data:text/htmlcharset=utf8,%3Cdiv%20id%3D%22fdbs%22%20style%3D%22margin%3A%200px%3B%20padding%3A%200px%200px%2065px%3B%2

1/3

23/04/2015

AvaliaodeRiscosvs.Anlisedeimpactononegcio|27001Academy

Opropsitodaanlisedeimpactononegcio(BIA
businessimpactanalysis)
Opropsitodestaanliseprimariamentedaravoc:(1)umaideiasobreotempoadequadode
recuperao,e(2)otempoadequadodoseubackup,umavezqueotempoumfatorcruciala
diferenadeapenasalgumashoraspodesignificaravidaouamortedecertasorganizaes,casoelas
sejamvtimasdeumgrandeincidente.Porexemplo,sevocestemumainstituiofinanceira,um
tempoderecuperaodequatrohoraspodesignificarqueprovavelmenteaorganizaosobrevivera
interrupo,mascasoestetempoderecuperaosejade12horas,istopodeserinaceitvelparacertas
atividades/sistemasemumbanco,eainterrupodeumdiainteiroprovavelmentesignificariaquetal
banconuncamaisseriacapazdeabrirsuasportasnovamente.Enoexistenenhumanormamgica
quepossalhedarotempoadequadoparasuaorganizaonoapenasporqueotempoadequadopara
cadaindstriadiferente,mastambmporqueotempoadequadoparacadaumadassuasatividades
podeserdiferente.Ento,vocprecisarealizaraanlisedeimpactononegcioparachegara
conclusescorretas.
Maisprecisamente,aanlisedeimpactononegciooajudaradeterminaraInterrupoMxima
Aceitvel/ObjetivoparaTempodeRecuperao(MaximumAcceptableOutage/RecoveryTime
Objective),MximaPerdadeDados/ObjetivoparaPontodeRecuperao(MaximumData
Loss/RecoveryPointObjective),recursosnecessrioseoutrasinformaesimportantesqueajudaro
vocadesenvolveraestratgiadecontinuidadedenegcioparacadaumadesuasatividades.Veja
maisaqui:Comoimplementaraanlisedeimpactononegcio(businessimpactanalysisBIA)
deacordocomaISO22301.
Comovocpodeterimaginado,aanlisedeimpactononegcioobrigatriaparaaimplementao
daISO22301,monoparaaISO27001.

Adiferenaentreasduas
Comojconclumos,aBIAgeralmenteutilizadaapenasemcontinuidadedonegcio/
implementaodaISO22301elapodeserfeitaparaaseguranadainformao,masnofariamuito
sentido.Aavaliaoderiscosobrigatriaparaambas.
Adicionalmente,assadasdaavaliaoderiscossoumpoucodiferentesdasdaBIAaavaliaode
riscosdavocumalistaderiscosjuntocomseusvalores,enquantoqueaBIAdavocotempo
adequadodentrodoqualvocprecisaserecuperar(RTO)equantainformaovocpodeaceitar
perder(RPO).
Ento,emboraestasduasestejamrelacionadasporqueelastemfoconosprocessoseativosda
organizao,elasoutilizadasemcontextosdiferentes.

Qualvemprimeiroavaliaoderiscosouanlisede
impactononegcio?
Naverdade,aISO22301permiteambasasabordagens,evocpodeouvirmuitasteoriassobrequal
amelhor.Contudo,euprefirofazeraavaliaoderiscosprimeiro,porquedestaformavocteruma
data:text/htmlcharset=utf8,%3Cdiv%20id%3D%22fdbs%22%20style%3D%22margin%3A%200px%3B%20padding%3A%200px%200px%2065px%3B%2

2/3

23/04/2015

AvaliaodeRiscosvs.Anlisedeimpactononegcio|27001Academy

melhorimpressodequaisincidentespodemocorrer(aquaisriscosvocestexposto),edessaforma
estarmaispreparadoparafazeraanlisedeimpactononegcio(aqualfocanasconsequnciasdestes
incidentes)adicionalmente,sevocescolheaabordagembaseadaemativosparaaavaliaoderiscos,
voctermaisfacilidadeemidentificartodososrecursosmaistardeemsuaanlisedeimpactono
negcio.Oquevocdefinitivamentenodeveriafazerrealizaraavaliaoderiscoseaanlisede
impactononegcioaomesmotempo,porquecadaumdelesemseparadojcomplexoobastante
combinlasnormalmentesignificaproblemas.
Parasabermaissobrelevantamentoderiscos,registreseparaestewebnargratuitoThebasicsof
riskassessmentandtreatmentaccordingtoISO27001.
NsagradecemosaRhandLealpelatraduoparaoportugus.

data:text/htmlcharset=utf8,%3Cdiv%20id%3D%22fdbs%22%20style%3D%22margin%3A%200px%3B%20padding%3A%200px%200px%2065px%3B%2

3/3