Atingindo a melhoria continua através do uso de modelos de maturidade

Como qualquer outro sistema de gestão ISO, a ISO 27001 possui um requisito para melhoria contínua (cláusula 10.2). Isso ocorre porque nenhum processo, não importa quão bem estabelecido e implementado, em conformidade com normas ISO ou não, pode manter altos níveis de desempenho sem continuamente fazer ajustes para se adaptar a mudanças no cenário.

Desta forma, atingir a melhoria contínua está além de um requisite normativo; ela é uma necessidade de negócio apenas tornada clara e mandatória pelos sistemas de gestão ISO. Contudo, como uma organização pode atingir a melhoria contínua? As cláusulas de sistemas de gestão ISO sobre este assunto são vagas, então para ajudar você com isso, falarei um pouco sobre modelos de maturidade.

O que são modelos de maturidade?

Um modelo de maturidade é qualquer estrutura sistemática com níveis que descrevem quão bem certos aspectos de uma organização podem produzir resultados confiáveis e sustentáveis. Fiz uso desta definição ampla porque uma busca na Internet pode apresentar a você modelos de maturidade sobre diversos assuntos: gestão de projetos, gestão da qualidade, do aprendizado, da segurança e, claro, de processos.

Visão geral de modelos de maturidadeFigura 1: Visão geral de modelos de maturidade

Entre os muitos modelos de maturidade existentes (e.g., COBIT, CMMi, OPM3, SSE-CMM, etc.), vejamos o modelo definido pela ISO/IEC 15504 (veja a interpretação gráfica na Figura 2), a norma ISO para modelos de maturidade. Seus níveis de maturidade são os seguintes:

0 – Incompleto: Nenhum processo implementado ou pouca / nenhuma evidencia de qualquer atingimento sistemático do propósito do processo
1 – Executado: O processo atinge seu resultado esperado
2 – Gerenciado: O processo é implementado de uma forma gerenciada (planejado, monitorado e ajustado) com pacotes de produto apropriadamente estabelecidos, controlados e mantidos

Estes níveis são mais relacionados a processo pontuais e conhecimento individual requerido para fazer o processo funcionar como esperado. Os outros níveis, mais maduros, são:

3 – Estabelecido: O processo é implementado usando um processo definido (padronizado) que é capaz de atingir os resultados esperados
4 – Previsível: O processo opera dentro de limites definidos para atingir seus resultados esperados
5 – Otimizado: O processo é continuamente melhorado para atingir objetivos relevantes atuais e futuros

Estes últimos três níveis requerem uma visão empresarial e conhecimento corporativo para fazer com que diferentes processos de diferentes unidades organizacionais trabalhem em conjunto.

Modelo de Maturidade da ISO/IEC 15504Figura 2: Modelo de Maturidade da ISO/IEC 15504

Se você comparar estes níveis com a ISO 27001, ou quaisquer outros sistemas de gestão ISO, você verá que eles estabelecem requisitos para o nível cinco do modelo de maturidade. Contudo, e sobre os seus próprios processos – os processos que fazem o seu negócio acontecer? Como você pode fazê-los atingir este nível?

Usando modelos de maturidade para direcionar a melhoria de seus processos

Se você prestar atenção a descrição dos níveis, você verá que os níveis superiores são construídos a partir de pequenos incrementos sobre os níveis anteriores. Assim, para gradualmente melhorá-los (de acordo com a capacidade dos seus recursos ou objetivos definidos), você tem que:

  1. Assegurar que o processo pode atingir os resultados esperado (e.g.: fazer um bolo, montar uma parte de um equipamento, etc.);
  2. Incluir tarefas de gestão (e.g.: identificar o que você tem que fazer / controlar para fazer o bolo / montar o equipamento antes de iniciar a tarefa);
  3. Assegurar que todas as pessoas trabalhando com o processo realizem as mesmas etapas / tarefas (e.g., para o mesmo sabor, todos usam a mesma receita, e para o mesmo equipamento, todas as pessoas usam as mesmas instruções). Esta etapa é crítica porque você tem que equilibrar o nível de padronização com as necessidades específicas das unidades de negócio. Eu recomendaria a regra “definir global, implementar local” para começar, onde você padroniza apenas os aspectos comuns dos processos e deixa as unidades de negócio definirem alguns aspectos específicos de acordo com seus cenários locais. Com o tempo, mais aspectos comuns podem aparecer espontaneamente e ser adicionados ao modelo global;
  4. Definir níveis de tolerância mínimo e máximo dentro dos quais o processo pode trabalhar. Não atingir o exato resultado esperado nem sempre é um mau resultado, uma vez que o esforço para se atingir baixos níveis de erro pode ser oneroso e o resultado atual pode ser aceito pelo cliente; e
  5. Fazer uso de resultados de monitoramento e outras informações para trabalhar proativamente em ajustes, prevenindo perdas e tirando vantagem de oportunidades.

Geralmente, projetos de implementação de sistemas de gestão falham por falta de apoio da gestão ou por uma percepção inadequada do nível de maturidade dos processos. Assumir que um processo seja mais ou menos maduro do que ele realmente é pode levar a erros no planejamento de recursos / cronograma e aumentar o stress entre a equipe do projeto e os usuários. O caso mais comum é que os processos dentro da organização não estejam no mesmo nível, e um modelo de maturidade pode ajudar você a identificar estas lacunas.

Conheça a si mesmo antes de ir a batalha

O SGSI da ISO 27001 é uma grande ferramenta para agregar valor ao seu negócio, mas a avaliação do nível de maturidade dos processos de sua organização é fundamental para o planejamento da implementação, estabelecimento, operação e melhoria da segurança da informação. Fazer este dever de casa de ante mão pode economizar a você muito tempo e esforço.

Faça o download deste eBook gratuito9 Steps to Cybersecuritypara ver algumas sugestões sobre como a segurança cibernética pode ser incluída nas melhorias de seus processos.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001