Fórum de discussão

Grato

Gestão de riscos é genérica, pode ser aplicada para identificar  e tratar qualquer risco de segurança relacionada a TI ou não. 

Gerenciamento de Continuidade de Negócio (GCN), como o nome já diz, está preocupado com a continuidade do negócio, com o funcionamento da empresa diante de uma crise ou incidente maior. No GCN são feitos os planos de recuperação de desastre (PRD) e os planos de continuidade de negócio (PCN). É para isto essencialmente que se tem um GCN.  

Nós usamos a gestão de riscos como base para identificar riscos que podem afetar o funcionamento do negócio e com isto produzir os planos de desastre e de continuidade de negócio. A gestão de risco é essencial para isto, sem uma gestão de riscos não dá pra fazer isto. Só que precisamos de um GCN porque existem boas práticas focadas para produzir o PRD e PCN e isto não é tratado na 27005. A 27005 não diz como você tem que fazer isto.  E existe a norma 22301, que não é foco deste curso, que inclui vários requisitos que devem ser considerados no PRD e PCN, onde levantar e tratar riscos é só uma parte.  Então, sem um GCN não se terá PRDs e PCNs completos.  E existe um processo de GCN, não é só elaborar os planos, tem que identificar necessidades de recuperação das partes interessadas, produzir os planos, implementar os arranjos de continuidade, fazer acordos com fornecedores, monitorar, fazer melhorias. Isto requer um processo focado e a gestão de riscos não tem este processo focado.