O que para muitos parece uma dúvida do tipo: quem veio primeiro, o ovo ou a galinha, para quem pesquisou documentos como o The BCI Guide e 10 Práticas Profissionais do DRII, saberia que é um erro grosseiro de conceito.
Ops...Estou falando dos problemas e ainda não disse que erro grosseiro é esse. O erro é realizar uma BIA antes do Risk Assessment (Análise de Riscos) ou como em vários casos eu já vi, realizar uma BIA sem Risk Assessment.
Faça uma reflexão, como é possível analisar os impactos nos negócios de uma organização sem conhecer os riscos que ela está sujeita? Impressionante é ver que o mercado aceitou esse erro e hoje acredita que o primeiro passo de um processo de continuidade de negócios é realizar uma BIA.
Como consultorias renomadíssimas podem cometer um erro tão grosseiro? Simples, a BIA é quase sempre vendida para alavancar o desenvolvimento de um plano de continuidade. De posse das informações sobre impactos financeiros é possível decidir se vale a pena investir ou não em um plano de continuidade e soluções de contingência para evitar eventuais perdas.
Algo lá no fundinho do meu coração me diz que ela serve como FUD (Fear, uncertainty, and doubt). Alguém chega com uma ferramenta de última geração, insere uns dados que vieram sei lá de onde e sai com um maravilhoso gráfico. Ah! Eles chamam isso de probabilidade subjetiva, eu chamo isso de outro nome científico: "inter femores" (Nas Coxas).
O correto é realizar uma análise de risco que irá identificar os riscos que sua organização está sujeita e com base nessas informações realizar uma análise de impacto nos negócios. Portanto, é impossível realizar uma análise de impactos nos negócios sem conhecer os riscos na organização. E sim, a análise de risco é realizada antes da análise de impactos nos negócios.
Sempre que eu participei de projetos que não foram realizadas análise de riscos eu não fiquei contente com os resultados. Não, eu não sou uma das consultorias que vende BIA como motivador de projeto, apenas acreditei em projetos anteriores realizados pela organização.
Se lhe surgir a oportunidade de realizar uma BIA, exija uma análise de riscos ou conheça seus riscos.
17 comentários:
Wagner, e ainda existem organizações que querem saber o orçamento de um PCN sem fazer o BIA ... quanta dificuldade de entender conceitos básicos. Parabéns pelo post, instrutivo e simples, é isso aí.
O que me assusta é a quantidade de bobagens que eu ouço, leio por aí. Outro dia me perguntaram se eu fazia uma BIA de TI, porque uma consultoria havia oferecido uma ferramenta que fazia isso automaticamente. Acredite se quiser.
Wagner, já conversamos disso antes, mas pela sua descrição entendo que a nomenclatura do DRII para "análise de risco" seria mais uma "análise de ameaças", não? Afinal de contas, o básico do básico mostra que sem conhecer o impacto não se conhece o risco.
Algo similar ao que acontece com a famosa "threat analysis" da Microsoft...
Realmente Augusto, é uma visão muito forte nas ameaças e nos controles implementados para diminuir a probabilidade delas acontecerem.
Fiquei de responder a essa pergunta a um bom tempo ..acho que agora vai...
Analisando as 10 praticas do DRII e GPG atualizado de 2008 do BCI, eu notei grande influencia do mercado nacional as praticas recomendadas na BS 25999 onde ...
“Within the BCM programme, a RA should focus on the specific technologies and inherent risks of the business activities identified as most urgent in the BIA results rather than on all risks to the organisation.” BS 25999-1 Section 6
E notável a influencia da cultura do mercado Inglês na BS 25999, mas acredito que a sua implementação no mercado brasileiro precisa ser remodelada.
Notáveis de RA no Brasil como Brasiliano recomendam RA seguindo do BIA, o mesmo pode ser observado no livro “Manual de Analise de Risco Corporativo do Brasiliano”.
Em um pais onde o mercado de RA esta muito mais maduro e desenvolvido, devido influencia direta do mercado Americano as consultorias deveriam repensas suas estratégias afim de mitigar as resistências.
Oi Ricardo,
eu já li este livro do Brasiliano e vários outros que seguem a linha do Brasiliano.
Agora, existem várias abordagem de análise de riscos, cada uma com características específicas. O que eu não acho racional nas abordagens generalizadas como a do Brasiliano é: eles agem como só ouvesse uma análise de riscos. O que não é verdade. Por exemplo: uma análise de riscos de BCP não vai substituir ou ter a mesma abrangência de uma análise de riscos focada em ativos como a de um sistema de gestão (ISO 27001).
Portanto, o correto é realmente, fazer uma análise de riscos e depois a BIA. A AR é subsídio, input para a BIA. E acho que a abordagem do Brasiliano peca no excesso, afinal eles defendem/aplicam uma análise de riscos que considere tudo e isso é impraticável.
Obrigado por comentar e fomentar a discussão sobre o tema.
Blz..Wagner
Tenho que concordar com vc, sobre as iniciativas de RA..mas não tenho convicção que esse problema é nacional...existe uma crescente demanda por ERM e claramente não parte do mercado nacional.
Normas como a 4360 e diversas metodologias discutidas na união européia fazem esse mercado
desenvolver-se muito mais rápido que o de BCM.
Relendo a BS 25999, podemos observar que a BS sabe disso, tanto que compara as realidade encontradas por um gestor de BCM e um de ERM.
Creio que o problema seja realmente a profundidade, a área de BS 25999 não acredita como nós que ERM seja possível de prever 100% dos cenários possíveis, e sendo assim recomenda o contrário BIA -> RA.
Como vc eu acredito em RA -> BIA, mas em uma instituição onde já existe ERM seria refazer o trabalho implementar a BS 25999 na forma como esta escrita.
Voltaremos a discutir quando a ISO 31k sair do forno.
[]'s...
Senhores,
Vou discordar. Os planos de continuidade devem ser elaborados para o cenário de pior caso, OK?
Estes cenários normalmente serão classificados com baixa probabilidade e alto impacto, tendo menos peso no resultado da avaliaçãode risco.
Realizo o BIA para focar os investimentos nos processos críticos e definir estratégias adequadas a estes processos no cenário de pior caso.
Então a análise de risco(físico e lógico) e o BIA tem objetivos complementares, mas não tem uma ordem correta para a aplicação, inclusive podem ocorrer de forma independente, dependendo do escopo do projeto.
Vamos imaginar um datacenter, vc necessita do BIA para definir as prioridades, ou seja, quais sistemas suportam processos de negócios críticos e com RTO reduzido. Para estes sistemas vc vai implementar uma estratégia de HOTSITE, por exemplo,sem necessitar de avaliação de risco para tomar esta decisão. Vc faz a avaliação de risco para melhorar os controles existentes no datacenter, como equipamentos de prevenção de incêndio, gerador, controle de acesso, etc., mas não prepara o local para a queda de uma aeronave.
Olá Guindani,
primeiro obrigado por participar da discussão e troca de experiências...
Você tem toda razão quando fala do objetivo da BIA e sobre a priorização no tratamento de riscos...Pode procurar por outros posts onde eu deixo claro exatamente isto.
Quanto a ordem de execução de AR e BIA, concordo que elas podem ser executadas em paralelo e são complementares...
O que pretendi esclarecer no conteúdo é, não é possível realizar uma BIA sem conhecimento dos riscos. Eu posso até fazer em paralelo, mas o input da AR deve ser usado na BIA. O que acontece é que muitas pessoas não executam a AR, ai fazem BIA apenas para justificar investimento sem um conhecimento claro dos riscos ou fazem um AR depois da BIA. Ou seja, os inputs da AR não foram consideradas na BIA.
BCP são planos de respostas e isso será implementado de acordo com a BIA e posteriormente a definição de estratégia. O AR além de input é também ferramenta para melhorias de controles, como você mencionou.
Os planos de continuidade devem ser elaborados para o cenário de pior caso, OK?
Não, os programas de continuidade deve focar os objetivos do negócio..levando em conta
as expectativas de resiliência do comite executivo.
Quando falamos de RA e BIA não estamos falando apenas de processos, muitas vezes o
fator cultural fala muito mais forte.
E por mais que justifiquemos os framework's ERM estão muito mais maduros, diversas empresas
sem um projetos significativos de BC ja praticam ERM de forma coerente e levam em conta
probabilidade, motricidade, matriz de risco, matriz de perda esperada e etc's.
Muitos projetos de BC/DR fracassam tanto na venda quanto na implementação por levar a palavra "DISASTER" muito a ferro e fogo.
Claro que cliente é cliente, mas em um projeto de bs 25999 eu deixaria o BIA sendo realizado pela
equipe de "ERM" como estratégia para minimizar a resistência e possibilitando implementar a cultura de BCMS ja de inicio.
Senhores,
Não podemos confundir Gestão de Continuidade dos Negócios, Programa de Continuidade dos Negócios e Planos de Continuidade dos Negócios. Concordo que o programa é focado no negócio e em suas necessidades, já foi o tempo em que PCN era uma questão apenas de TI, hoje, mesmo no Brasil a ficha já caiu!
Mas os planos devem ser feitos para o cenário de pior caso - "worst case scenario" como dizem os americanos, é para desastre mesmo. Como comentei no post anterior, na minha visão, a AR serve para melhorar controles,ou seja, não adianta ter um excelente site backup se o local normal de trabalho é uma porcaria.
Lembro também que definir um local alternativo é premissa básica para a eleboração das estratégias de continuidade, sem local alternativo sem PCN, sem local alternativo vc apenas mitiga riscos ou assume os riscos. Dai a importância do BIA como ferramenta de apoio para a priorização dos processos, pois nossa estratégia não pode ser simplesmente replicar o ambiente, o custo seria muito alto, como diz o ditado não podemos gastar vela boa com defunto ruim.
Quanto a questão cultural, este é o maior desafio dos profissionais de GCN, pq a participação das pessoas é fundamental, afinal o principal motivador da GCN é a proteção das pessoas, sem elas nada acontece. Hoje existem estudos relacionados ao gerenciamento do medo, ou seja, esta tudo planejado, tenho local alternativo para trabalhar, mas a reação das pessoas é imprevisível. dependendo do tipo de incidente, dificilmente convencerie os funcionários a se deslocarem ao local alternativo. E o motivo é obvio, basta olhar para a piramide de Maslow, a primeira coisa que as pessoas irão se preocupar é com seu bem estar e com seus familiares, o trabalho fica em segundo plano ou em último.
Mas os planos devem ser feitos para o cenário de pior caso - “worst case scenario” como dizem os americanos, é para desastre mesmo.
Sera mesmo ?
"Constraints of Preparedness
Too much emphasis is placed on dramatic, worst-case scenarios – as if these were the only possible disasters which may occur" slide 6
http://www.ready.gov/business/mentor/index.htm
http://www.ready.gov/business/redirect.html?url=http://www.eden.lsu.edu/LearningOps/ReadyBusiness/ReadyBusinessWorkshopFINAL.ppt
Worst-case esta mais para as blue ships, empresas de pequeno e medio porte precisam de mais investimentos em continuidade nas areas de logistica e supply chain, sem contar em incendio.
obs: o trabalho vai acabar saindo fora da piramide .....
Vamos por partes...Ninguém está confundindo CGN com PCN, alias sou um crítico desta abordagem no mercado, é só olhar uma thread que abri em um forum:
http://www.istf.com.br/vb/showthread.php?t=12631
A GCN tem como objetivo pura e simplesmente garantir a Continuidade dos Negócios implementando um sistema de Gestão de Continuidade de Negócios. Para atingir este objetivo é necessário um conjunto de estratégias e consequentemente planos. Nestes planos entram os planos de continuidade de negócios. Esta idéia de que planos são desenvolvidos para o cenário de pior caso é um pouco míope na minha opinião, me lembra muito o famoso plano B.
Um PCN deve ser um grande plano de ação para resposta a incidentes previstos ou não, sendo ele de pior caso ou não. Obviamente que o PCN não é para qualquer situação, mas apenas para situações onde os controles não são suficientes e/ou o incidente não é previsto.
Quanto ao "é para desastres mesmo" discordo totalmente. Se esta abordagem fosse adequada recall (http://www.allhandsconsulting.com/product_recall.htm), e Sucession Plan (http://www4.agr.gc.ca/AAFC-AAC/display-afficher.do?id=1175783631879&lang=e) não seriam responsabilidade e parte dos planos.
Ok Senhores,
O debate está ótimo e vejo que os conceito, GCN,PCN,PCO,PCC,PGC,PS,PIH e todas as outras siglas que podemos ter neste universo que é continuidaede dos negócios, estão alinhados. Trabalho e tento enterder CN a uns 5 anos e uma coisa tenho como certa, apesar que não gosto de dizer - isso é assim ou isso não é assim, em CN não tem certo nem errado, não tem receita, temos apenas um direcionamento ou modelo, agora formalizado pela BS 25999, norma baseada nas práticas do DRII e BCI que tem muiiiiitos anos.
Por exemplo, conheço um banco de tamanho médio que definiu suas prioridades sem BIA nem RA e hoje tem planos muito consistentes, e pq fizeram assim, pq o dono mandou. Talvez pela ausência necessária do certo e do errado, eu não tenha sido entendido quando falo de "cenário de pior caso". Adotamos, aqui na empresa, esta premissa para nossos planos de continuidade das áreas de negócio e para os sites de TI. Em resumo, consideramos a destruição total do ambiente, equipamentos, documentos, etc. Então para este cenário, os planos definem o ambiente alternativo, todos os recursos(infra e TI), quais processos que serão executados e quem vai executá-los, sem perder o foco principal, que é a proteção das pessoas. Mas é claro que temos alguns planos voltados ao gerenciamento de crises, para estes podemos tratar outros cenários como uma greve, um recall, a gripe aviária, etc. Já os Planos de Sucessão, como citado, considero uma obrigação do gestor, já que a situação é prevista. Abraços.
Quando penso em analise de risco, me vem à mente. Fazer analise de risco? Começar por onde? Ativos? Quais? Sistemas? Quais? Processos de Negócio? Quais? Osu um defensor do BIA antes da analise de risco. Não BIA objetivando convencer o PCN, mas BIA para identificar onde estão os maiores impactos em momento de interrupção, onde a empresa perde mais e assim, com estes processos determinados, definir por onde começar com a Análise de Risco e assim mitigar os riscos e pensar em PCN para estes processos. Isso de forma gradativa até englobar todos os processos de negócio da empresa. É isso, simples assim...
Boa tarde,
Sou novo por aqui, mas preciso muito das suas experiências.
Me passaram essa demanda de criar o BIA, já fiz o Risk Assessment, mas agora estou perdido no BIA, por onde começo, quem procuro, o que faço, por favor me ajudem.
Obrigado
SKYPE: DCZULATTO
Wagner, parabéns pelo Post. Simples, claro e objetivo!
Postar um comentário