• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Atingindo a melhoria continua através do uso de modelos de maturidade

    Como qualquer outro sistema de gestão ISO, a ISO 27001 possui um requisito para melhoria contínua (cláusula 10.2). Isso ocorre porque nenhum processo, não importa quão bem estabelecido e implementado, em conformidade com normas ISO ou não, pode manter altos níveis de desempenho sem continuamente fazer ajustes para se adaptar a mudanças no cenário.

    Desta forma, atingir a melhoria contínua está além de um requisite normativo; ela é uma necessidade de negócio apenas tornada clara e mandatória pelos sistemas de gestão ISO. Contudo, como uma organização pode atingir a melhoria contínua? As cláusulas de sistemas de gestão ISO sobre este assunto são vagas, então para ajudar você com isso, falarei um pouco sobre modelos de maturidade.

    O que são modelos de maturidade?

    Um modelo de maturidade é qualquer estrutura sistemática com níveis que descrevem quão bem certos aspectos de uma organização podem produzir resultados confiáveis e sustentáveis. Fiz uso desta definição ampla porque uma busca na Internet pode apresentar a você modelos de maturidade sobre diversos assuntos: gestão de projetos, gestão da qualidade, do aprendizado, da segurança e, claro, de processos.

    Visão geral de modelos de maturidadeFigura 1: Visão geral de modelos de maturidade

    Entre os muitos modelos de maturidade existentes (e.g., COBIT, CMMi, OPM3, SSE-CMM, etc.), vejamos o modelo definido pela ISO/IEC 15504 (veja a interpretação gráfica na Figura 2), a norma ISO para modelos de maturidade. Seus níveis de maturidade são os seguintes:

    0 – Incompleto: Nenhum processo implementado ou pouca / nenhuma evidencia de qualquer atingimento sistemático do propósito do processo
    1 – Executado: O processo atinge seu resultado esperado
    2 – Gerenciado: O processo é implementado de uma forma gerenciada (planejado, monitorado e ajustado) com pacotes de produto apropriadamente estabelecidos, controlados e mantidos

    Estes níveis são mais relacionados a processo pontuais e conhecimento individual requerido para fazer o processo funcionar como esperado. Os outros níveis, mais maduros, são:

    3 – Estabelecido: O processo é implementado usando um processo definido (padronizado) que é capaz de atingir os resultados esperados
    4 – Previsível: O processo opera dentro de limites definidos para atingir seus resultados esperados
    5 – Otimizado: O processo é continuamente melhorado para atingir objetivos relevantes atuais e futuros

    Estes últimos três níveis requerem uma visão empresarial e conhecimento corporativo para fazer com que diferentes processos de diferentes unidades organizacionais trabalhem em conjunto.

    Modelo de Maturidade da ISO/IEC 15504Figura 2: Modelo de Maturidade da ISO/IEC 15504

    Se você comparar estes níveis com a ISO 27001, ou quaisquer outros sistemas de gestão ISO, você verá que eles estabelecem requisitos para o nível cinco do modelo de maturidade. Contudo, e sobre os seus próprios processos – os processos que fazem o seu negócio acontecer? Como você pode fazê-los atingir este nível?

    Usando modelos de maturidade para direcionar a melhoria de seus processos

    Se você prestar atenção a descrição dos níveis, você verá que os níveis superiores são construídos a partir de pequenos incrementos sobre os níveis anteriores. Assim, para gradualmente melhorá-los (de acordo com a capacidade dos seus recursos ou objetivos definidos), você tem que:

    1. Assegurar que o processo pode atingir os resultados esperado (e.g.: fazer um bolo, montar uma parte de um equipamento, etc.);
    2. Incluir tarefas de gestão (e.g.: identificar o que você tem que fazer / controlar para fazer o bolo / montar o equipamento antes de iniciar a tarefa);
    3. Assegurar que todas as pessoas trabalhando com o processo realizem as mesmas etapas / tarefas (e.g., para o mesmo sabor, todos usam a mesma receita, e para o mesmo equipamento, todas as pessoas usam as mesmas instruções). Esta etapa é crítica porque você tem que equilibrar o nível de padronização com as necessidades específicas das unidades de negócio. Eu recomendaria a regra “definir global, implementar local” para começar, onde você padroniza apenas os aspectos comuns dos processos e deixa as unidades de negócio definirem alguns aspectos específicos de acordo com seus cenários locais. Com o tempo, mais aspectos comuns podem aparecer espontaneamente e ser adicionados ao modelo global;
    4. Definir níveis de tolerância mínimo e máximo dentro dos quais o processo pode trabalhar. Não atingir o exato resultado esperado nem sempre é um mau resultado, uma vez que o esforço para se atingir baixos níveis de erro pode ser oneroso e o resultado atual pode ser aceito pelo cliente; e
    5. Fazer uso de resultados de monitoramento e outras informações para trabalhar proativamente em ajustes, prevenindo perdas e tirando vantagem de oportunidades.

    Geralmente, projetos de implementação de sistemas de gestão falham por falta de apoio da gestão ou por uma percepção inadequada do nível de maturidade dos processos. Assumir que um processo seja mais ou menos maduro do que ele realmente é pode levar a erros no planejamento de recursos / cronograma e aumentar o stress entre a equipe do projeto e os usuários. O caso mais comum é que os processos dentro da organização não estejam no mesmo nível, e um modelo de maturidade pode ajudar você a identificar estas lacunas.

    Conheça a si mesmo antes de ir a batalha

    O SGSI da ISO 27001 é uma grande ferramenta para agregar valor ao seu negócio, mas a avaliação do nível de maturidade dos processos de sua organização é fundamental para o planejamento da implementação, estabelecimento, operação e melhoria da segurança da informação. Fazer este dever de casa de ante mão pode economizar a você muito tempo e esforço.

    Faça o download deste eBook gratuito9 Steps to Cybersecuritypara ver algumas sugestões sobre como a segurança cibernética pode ser incluída nas melhorias de seus processos.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Rhand Leal
    Autor
    Rhand Leal
    Rhand Leal tem 10 anos de experiência em segurança da informação, e por 6 anos manteve um sistema de gestão de segurança da informação baseado na ISO 27001. Rhand possui uma especialização em Gestão de Negócios pela Fundação Getúlio Vargas. Entre suas certificações estão: ISO 27001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), entre outras. Ele é membro do Capítulo Brasília do ISACA.
    Tag: #ISO 27001