BIA – Business Impact Analysis

A análise do impacto é um processo central para a definição do risco, para a definição das prioridades, para as medidas de mitigação do risco, para os planos de DRP (Disaster and Recovery Plans) e para os BCP (Business Continuity Plans).

O profissional de proteção de dados não pode limitar-se às Avaliações de Impacto sobre Proteção de Dados. Pelo menos, no que respeita à segurança da informação, tem que lidar com o conceito mais alargado de BIA – Business Impact Analysis, isto é, com a análise de impacto que não diz diretamente respeito à proteção de dados. Mas, o planeamento e gestão da comunicação associados à resposta a uma violação de dados também pode beneficiar de uma análise de impacto.

As BlAs são usadas para avaliar os processos críticos (e as soluções informáticas que os apoiam) e são a base para determinar prazos, prioridades, recursos e interdependências. As auditorias à Proteção de Dados não podem deixar de proceder a uma adequada avaliação dos BIAs, concretamente os que dizem respeito à segurança da informação em geral e, em particular, os que se referem aos planos de disaster-recovey e aos planos de continuidade de negócios.

O auditor de proteção de dados tem que saber quais as questões fundamentais a considerar na elaboração de um BIA e procurar evidências de que um determinado BIA foi conduzido de forma apropriada.

Os incidentes e as crises têm uma natureza dinâmica. Alteram-se ao longo do tempo e conforme as circunstâncias, evoluindo, por vezes, de forma rápida e imprevisível. Também por isso, a sua gestão deve ser dinâmica, proativa e bem documentada.  

Este caracter dinâmico dos incidentes e das crises dificultam a utilização de soluções padronizadas pelo que deve ser colocado um grande esforço no método e nos instrumentos dessa metodologia. A BIA é um desses instrumentos.

Uma BIA criteriosa e rigorosa é um elemento crucial para toda a Gestão de Incidentes e Resposta a Incidentes, nas suas diversas fases: Planeamento e preparação; Deteção; Inicio; Registo/documentação (Recording); Avaliação; Contenção (limitar o alcance do incidente); Erradicação; Escalada; Resposta; Restauração; Fecho; Reporting; Revisão pós-incidente; Lições aprendidas. Mas, também é importante, que a Gestão de Incidentes e a Resposta aos Incidentes gerem informação e alimentem a base de conhecimento que melhor de forma continua as BIAs.

Todas estas fases, para serem devidamente executadas, pressupõem trabalho prévio e orientações claras por parte da organização. Um correto planeamento e preparação deve permitir que o incidente encaixe nas classificações estabelecidas e que por essa via seja fácil responder a perguntas como “Quem resolve?”, “Qual o impacto e urgência”? “Qual a prioridade”? “Quais os SLAs?”, “Quais os protocolos, quais os procedimentos a usar?”.

Para cada tipo de incidente (que pode agrupar ameaças, vulnerabilidades e riscos) teremos que realizar uma BIA especifica que poderá ter fases de resposta a incidentes próprias ou genéricas.

Por exemplo, a fase da “Escalada” pressupõe que a Classificação de Incidentes e Protocolos de Reação incluam o tópico das funções e responsabilidades (accountability). Respondendo a perguntas como, por exemplo, “Devo ser eu a resolver isto?”, “A quem devo escalar o incidente?”, “Como devo escalar o incidente?”, “Qual o protocolo de escalada de incidentes?”. Algumas respostas serão especificas a um determinado tipo de ameaça/risco e outras genéricas

A Classificação dos diversos tipos de Incidentes e respetivos Protocolos de Reação devem conter informação sobre funções, responsabilidades e autoridades, clarificando limites de atuação.

As BIAs também desempenham um papel central na atribuição das prioridades, já que, por definição as prioridades são função da urgência x impacto (podendo utilizar-se importância como sinónimo de impacto).

Esta matriz de prioridade define o conceito de criticidade que é parte fundamental de qualquer plano de resposta e consequente afetação de recursos.

Contudo, na prática, as BlAs ao analisarem os processos críticos têm que considerar questões como a urgência e assim, acabam por servir de base para a definição de SLAs, como no exemplo abaixo.

Método

Existem diferentes abordagens para a realização de uma BIA.

Uma das formas é a abordagem através de um questionário. Esta abordagem envolve o desenvolvimento de um questionário detalhado e a sua resposta por operacionais e responsáveis das áreas envolvidas. A informação recolhida é sistematizada e analisada.

Se, no decurso da análise, for considerado que há necessidade de informações adicionais, realizam-se os contactos necessários à obtenção dessa informação suplementar.

Outra abordagem assenta na realização de entrevistas a grupos de operacionais e responsáveis para recolha de informação e mesmo tipificação da informação a recolher. Depois de recolhida a informação procede-se à sua sistematização e análise.

Depois da sistematização e análise é boa prática juntar as partes envolvidas numa sala para se extraírem conclusões sobre os diversos níveis de rutura e os potenciais impactos.

Sempre que possível, a equipa deve analisar situações passadas e quantificar o impacto. O método da entrevista facilita a resposta a esta necessidade de encontrar medidas objetivas e mensuráveis. Há vantagem em evidenciar estas métricas em termos do desejável ou SLA (“forecast”) e do historicamente verificado (“actual”).

Vejamos um exemplo de Classificação de Incidentes e Protocolo de Reação

Classificação de Incidentes e Protocolo de Reação

A classificação de incidentes e os protocolos de reação são elementos centrais de uma BIA. Em baixo exemplifica-se uma descrição de níveis de incidente e respetivas reações.

No caso, os níveis de incidente seguem a seguinte tipificação.

  • Negligenciável – Incidentes que não impliquem um prejuízo significativo como uma falha de sistema operativo com retoma imediata e sem perda de informação ou uma falha de eletricidade que seja reposta de imediato por um sistema UPS (uninterruptible power supply).
  • Menor – Incidentes que, embora não negligenciáveis, produzem efeitos de pouca importância.
  • Maior – Incidentes que causa um impacto negativo em processos de negócio e afetem outros sistemas, departamentos ou mesmo clientes.
  • Critico – Incidentes com impacto significativo na continuidade do negócio e que tenham repercussão em sistemas de terceiros.

Os critérios de sistematização podem ser variados. O exemplo acima coloca como único critério principal o tempo de indisponibilidade, mas podem ser considerados outros como o financeiro ou o reputacional. Um incidente de roubo de dados poderá não ter impacto no tempo de indisponibilidade, mas poderá ter graves repercussões nos aspectos financeiros e reputacionais.

Protocolos de Reação

A definição dos protocolos de Reação decorrentes da Classificação de Incidentes terá que ter em consideração dois fatores. Por um lado, os custos do incidente, seja o tempo de indisponibilidade, a perda financeira ou a perda reputacional e, pelo outro lado, o custo das medidas corretivas.

Algo que se pode representar graficamente da seguinte forma.

Como se referiu no princípio a análise do impacto é um processo central para a definição de risco e para a mitigação do risco. As BIAs, ao considerarem a dimensão urgência, acabam por determinar as prioridades e os SLAs.

Não é coisa pouca.

Para uma BIA bem-sucedida há que contar com bons inputs, designadamente a colaboração de profissionais competentes, a utilização de um bom catálogo de ameaças e vulnerabilidades (riscos) e adequados planos de mitigação e resposta. O paralelismo com uma Avaliação de Impacto sobre Proteção de Dados é evidente quer no que diz respeito à sua elaboração quer na sua relevância.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)