A GCN tem como objetivo pura e simplesmente garantir a Continuidade dos Negócios implementando um sistema de Gestão de Continuidade de Negócios. Para atingir este objetivo é necessário um conjunto de estratégias e consequentemente planos. Nestes planos entram os planos de continuidade de negócios. Esta idéia de que planos são desenvolvidos para o cenário de pior caso é um pouco míope na minha opinião, me lembra muito o famoso plano B.

Um PCN deve ser um grande plano de ação para resposta a incidentes previstos ou não, sendo ele de pior caso ou não. Obviamente que o PCN não é para qualquer situação, mas apenas para situações onde os controles não são suficientes e/ou o incidente não é previsto.

Quanto ao “é para desastres mesmo” discordo totalmente. Se esta abordagem fosse adequada recall (http://www.allhandsconsulting.com/product_recall.htm), e Sucession Plan (http://www4.agr.gc.ca/AAFC-AAC/display-afficher.do?id=1175783631879&lang=e) não seriam responsabilidade e parte dos planos.

Sera mesmo ?

“Constraints of Preparedness

Too much emphasis is placed on dramatic, worst-case scenarios – as if these were the only possible disasters which may occur” slide 6

http://www.ready.gov/business/mentor/index.htm
http://www.ready.gov/business/redirect.html?url=http://www.eden.lsu.edu/LearningOps/ReadyBusiness/ReadyBusinessWorkshopFINAL.ppt

Worst-case esta mais para as blue ships, empresas de pequeno e medio porte precisam de mais investimentos em continuidade nas areas de logistica e supply chain, sem contar em incendio.

obs: o trabalho vai acabar saindo fora da piramide …..

Não, os programas de continuidade deve focar os objetivos do negócio..levando em conta
as expectativas de resiliência do comite executivo.

Quando falamos de RA e BIA não estamos falando apenas de processos, muitas vezes o
fator cultural fala muito mais forte.

E por mais que justifiquemos os framework’s ERM estão muito mais maduros, diversas empresas
sem um projetos significativos de BC ja praticam ERM de forma coerente e levam em conta
probabilidade, motricidade, matriz de risco, matriz de perda esperada e etc’s.

Muitos projetos de BC/DR fracassam tanto na venda quanto na implementação por levar a palavra “DISASTER” muito a ferro e fogo.

Claro que cliente é cliente, mas em um projeto de bs 25999 eu deixaria o BIA sendo realizado pela
equipe de “ERM” como estratégia para minimizar a resistência e possibilitando implementar a cultura de BCMS ja de inicio.

primeiro obrigado por participar da discussão e troca de experiências…

Você tem toda razão quando fala do objetivo da BIA e sobre a priorização no tratamento de riscos…Pode procurar por outros posts onde eu deixo claro exatamente isto.

Quanto a ordem de execução de AR e BIA, concordo que elas podem ser executadas em paralelo e são complementares…

O que pretendi esclarecer no conteúdo é, não é possível realizar uma BIA sem conhecimento dos riscos. Eu posso até fazer em paralelo, mas o input da AR deve ser usado na BIA. O que acontece é que muitas pessoas não executam a AR, ai fazem BIA apenas para justificar investimento sem um conhecimento claro dos riscos ou fazem um AR depois da BIA. Ou seja, os inputs da AR não foram consideradas na BIA.

BCP são planos de respostas e isso será implementado de acordo com a BIA e posteriormente a definição de estratégia. O AR além de input é também ferramenta para melhorias de controles, como você mencionou.

Vamos imaginar um datacenter, vc necessita do BIA para definir as prioridades, ou seja, quais sistemas suportam processos de negócios críticos e com RTO reduzido. Para estes sistemas vc vai implementar uma estratégia de HOTSITE, por exemplo,sem necessitar de avaliação de risco para tomar esta decisão. Vc faz a avaliação de risco para melhorar os controles existentes no datacenter, como equipamentos de prevenção de incêndio, gerador, controle de acesso, etc., mas não prepara o local para a queda de uma aeronave.

Tenho que concordar com vc, sobre as iniciativas de RA..mas não tenho convicção que esse problema é nacional…existe uma crescente demanda por ERM e claramente não parte do mercado nacional.

Normas como a 4360 e diversas metodologias discutidas na união européia fazem esse mercado
desenvolver-se muito mais rápido que o de BCM.

Relendo a BS 25999, podemos observar que a BS sabe disso, tanto que compara as realidade encontradas por um gestor de BCM e um de ERM.

Creio que o problema seja realmente a profundidade, a área de BS 25999 não acredita como nós que ERM seja possível de prever 100% dos cenários possíveis, e sendo assim recomenda o contrário BIA -> RA.

Como vc eu acredito em RA -> BIA, mas em uma instituição onde já existe ERM seria refazer o trabalho implementar a BS 25999 na forma como esta escrita.

Voltaremos a discutir quando a ISO 31k sair do forno.

[]‘s…

eu já li este livro do Brasiliano e vários outros que seguem a linha do Brasiliano.

Agora, existem várias abordagem de análise de riscos, cada uma com características específicas. O que eu não acho racional nas abordagens generalizadas como a do Brasiliano é: eles agem como só ouvesse uma análise de riscos. O que não é verdade. Por exemplo: uma análise de riscos de BCP não vai substituir ou ter a mesma abrangência de uma análise de riscos focada em ativos como a de um sistema de gestão (ISO 27001).

Portanto, o correto é realmente, fazer uma análise de riscos e depois a BIA. A AR é subsídio, input para a BIA. E acho que a abordagem do Brasiliano peca no excesso, afinal eles defendem/aplicam uma análise de riscos que considere tudo e isso é impraticável.

Obrigado por comentar e fomentar a discussão sobre o tema.

Analisando as 10 praticas do DRII e GPG atualizado de 2008 do BCI, eu notei grande influencia do mercado nacional as praticas recomendadas na BS 25999 onde …

“Within the BCM programme, a RA should focus on the specific technologies and inherent risks of the business activities identified as most urgent in the BIA results rather than on all risks to the organisation.” BS 25999-1 Section 6

E notável a influencia da cultura do mercado Inglês na BS 25999, mas acredito que a sua implementação no mercado brasileiro precisa ser remodelada.

Notáveis de RA no Brasil como Brasiliano recomendam RA seguindo do BIA, o mesmo pode ser observado no livro “Manual de Analise de Risco Corporativo do Brasiliano”.

Em um pais onde o mercado de RA esta muito mais maduro e desenvolvido, devido influencia direta do mercado Americano as consultorias deveriam repensas suas estratégias afim de mitigar as resistências.

Algo similar ao que acontece com a famosa “threat analysis” da Microsoft…