Wolfgang Mahr
dezembro 15, 2016
Os Sistemas de gestão de segurança da informação (ISO 27001) de continuidade de negócio (ISO 22301), enquanto tentam abranger toda a organização, ainda não possuem componentes e dimensões para protege uma organização de forma holística. O conceito de resiliência expande estas abordagens e aumentam a prontidão e desenvolvimento das organizações.
Realmente precisamos desta nova abordagem? O que é realmente novo? Já existem tantas normas – iremos lidar com todas? Outra certificação? Fazemos isso o tempo todo!
Todas estas são questões e declarações boas e válidas. O conceito de resiliência não é novo. Se interpretamos a definição de resiliência como a “habilidade… para absorver e se adaptar em um ambiente de mudança”, percebemos que a Mãe Natureza (evolução) tem aplicado este princípio com sucesso já há algum tempo. Como tal, é bem razoável adotar esta abordagem também para organizações (dirigidas por humanos). Para estabilidade e crescimento em longo prazo não há outra receita a não ser se adaptar.
A nova norma ISO 22316 fornece diretrizes (recomenda uma abordagem) para aumentar a resiliência de uma organização. Ela faz isso ao propor princípios, atributos, e atividades para contribuir para organizações mais resilientes. Esta norma (um documento de diretrizes) não pode ser usada para certificar uma organização; ao invés disso, ela serve como um guarda-chuva cobrindo uma gama de disciplinas de gestão, que precisam todas ser suficientemente maduras e capazes de interagir umas com as outras de uma forma sinérgica.
Duas destas disciplinas de gestão são a segurança da informação (ISO 27001) e a continuidade de negócio (ISO 22301). Estas normas de sistemas de gestão servem para implementar as respectivas abordagens, e as organizações podem ser certificadas por estas duas normas.
Resiliência organizacional expande o conceito de prontidão também para ameaças que podem se desenvolver lentamente, mas ainda seriam fatais para a organização se não antecipadas apropriadamente. Enquanto os sistemas de gestão acima mencionados lidam com eventos disruptivos súbitos clássicos (tais como falhas de TI e um incêndio industrial), uma abordagem de resiliência também lida com ameaças políticas, legais, demográficas, climáticas e outras, que poderiam não impactar a organização de um momento para o outro, mas após meses ou anos a frente. Quantas organizações líderes desapareceram porque elas não foram resilientes o bastante: Swissair, Kodak, Nokia, …?
Um dos maiores valores da ISO 22316 está baseado no fato de que ela propõe uma abordagem estruturada para a resiliência. Enquanto organizações podem estar mais ou menos bem sucedidas no caminho para a resiliência (especialmente aquelas que implementaram um SGSI ou SGCN de acordo com a ISO 27001 ou ISO 22301), o novo documento de diretrizes sobre resiliência organizacional provê diretrizes concretas sobre o que empreender.
O fundamento da resiliência está baseado em um par de princípios. Vamos discutir dois exemplos:
Com base nestes princípios básicos, uma organização deveria exibir uma gama de atributos, suportando-a em seu caminho para uma maior resiliência. Novamente, vamos dar uma olhada em dois destes atributos propostos:
O terceiro nível desta abordagem propõe uma gama de atividades, que também contribuem para a meta final, por exemplo:
Finalmente, mas não por último, é sugerido para uma organização implementar e refinar uma gama de disciplinas de gestão. Já conhecemos duas delas: segurança da informação e continuidade de negócio. A ISO 22316 propõe uma gama de disciplinas de gestão adicionais a serem nutridas, ex.:
No topo disso, inteligência de negócio, monitoramento de tendências de clientes assim como de políticas, meio ambiente e de requisitos legais, contribuem para a resiliência organizacional.
É difícil imaginar uma organização que não se beneficiaria da implementação de uma abordagem estruturada para a resiliência organizacional. No ambiente altamente competitivo de hoje, nutrir este pilar de força de uma organização pode ser um dos “segredos” do sucesso sustentável. Em resumo, uma organização precisa identificar e implementar suas disciplinas de gestão chave (tais como segurança da informação de acordo com a ISO 27001 e a GCN com a ISO 22301). Isto é o fundamento para construir resiliência organizacional; a ISO 22316 é a ferramenta apropriada para este propósito.
Faça o download deste artigo: Clause-by-clause explanation of ISO 22301 para ver como aumentar a resiliência da sua organização usando a ISO 22301.
Nós agradecemos a Rhand Leal pela tradução para o português.