BIA – Business Impact Analysis

A análise do impacto é um processo central para a definição do risco, para a definição das prioridades, para as medidas de mitigação do risco, para os planos de DRP (Disaster and Recovery Plans) e para os BCP (Business Continuity Plans).

O profissional de proteção de dados não pode limitar-se às Avaliações de Impacto sobre Proteção de Dados. Pelo menos, no que respeita à segurança da informação, tem que lidar com o conceito mais alargado de BIA – Business Impact Analysis, isto é, com a análise de impacto que não diz diretamente respeito à proteção de dados. Mas, o planeamento e gestão da comunicação associados à resposta a uma violação de dados também pode beneficiar de uma análise de impacto.

As BlAs são usadas para avaliar os processos críticos (e as soluções informáticas que os apoiam) e são a base para determinar prazos, prioridades, recursos e interdependências. As auditorias à Proteção de Dados não podem deixar de proceder a uma adequada avaliação dos BIAs, concretamente os que dizem respeito à segurança da informação em geral e, em particular, os que se referem aos planos de disaster-recovey e aos planos de continuidade de negócios.

O auditor de proteção de dados tem que saber quais as questões fundamentais a considerar na elaboração de um BIA e procurar evidências de que um determinado BIA foi conduzido de forma apropriada.

Os incidentes e as crises têm uma natureza dinâmica. Alteram-se ao longo do tempo e conforme as circunstâncias, evoluindo, por vezes, de forma rápida e imprevisível. Também por isso, a sua gestão deve ser dinâmica, proativa e bem documentada.  

Este caracter dinâmico dos incidentes e das crises dificultam a utilização de soluções padronizadas pelo que deve ser colocado um grande esforço no método e nos instrumentos dessa metodologia. A BIA é um desses instrumentos.

Uma BIA criteriosa e rigorosa é um elemento crucial para toda a Gestão de Incidentes e Resposta a Incidentes, nas suas diversas fases: Planeamento e preparação; Deteção; Inicio; Registo/documentação (Recording); Avaliação; Contenção (limitar o alcance do incidente); Erradicação; Escalada; Resposta; Restauração; Fecho; Reporting; Revisão pós-incidente; Lições aprendidas. Mas, também é importante, que a Gestão de Incidentes e a Resposta aos Incidentes gerem informação e alimentem a base de conhecimento que melhor de forma continua as BIAs.

Todas estas fases, para serem devidamente executadas, pressupõem trabalho prévio e orientações claras por parte da organização. Um correto planeamento e preparação deve permitir que o incidente encaixe nas classificações estabelecidas e que por essa via seja fácil responder a perguntas como “Quem resolve?”, “Qual o impacto e urgência”? “Qual a prioridade”? “Quais os SLAs?”, “Quais os protocolos, quais os procedimentos a usar?”.

Para cada tipo de incidente (que pode agrupar ameaças, vulnerabilidades e riscos) teremos que realizar uma BIA especifica que poderá ter fases de resposta a incidentes próprias ou genéricas.

Continue reading “BIA – Business Impact Analysis”