• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Resiliência organizacional de acordo com a ISO 22316 – Esta é outro termo da moda?

    Os Sistemas de gestão de segurança da informação (ISO 27001) de continuidade de negócio (ISO 22301), enquanto tentam abranger toda a organização, ainda não possuem componentes e dimensões para protege uma organização de forma holística. O conceito de resiliência expande estas abordagens e aumentam a prontidão e desenvolvimento das organizações.

    Resiliência – O que é isto?

    Realmente precisamos desta nova abordagem? O que é realmente novo? Já existem tantas normas – iremos lidar com todas? Outra certificação? Fazemos isso o tempo todo!

    Todas estas são questões e declarações boas e válidas. O conceito de resiliência não é novo. Se interpretamos a definição de resiliência como a “habilidade… para absorver e se adaptar em um ambiente de mudança”, percebemos que a Mãe Natureza (evolução) tem aplicado este princípio com sucesso já há algum tempo. Como tal, é bem razoável adotar esta abordagem também para organizações (dirigidas por humanos). Para estabilidade e crescimento em longo prazo não há outra receita a não ser se adaptar.

    Outra norma?

    A nova norma ISO 22316 fornece diretrizes (recomenda uma abordagem) para aumentar a resiliência de uma organização. Ela faz isso ao propor princípios, atributos, e atividades para contribuir para organizações mais resilientes. Esta norma (um documento de diretrizes) não pode ser usada para certificar uma organização; ao invés disso, ela serve como um guarda-chuva cobrindo uma gama de disciplinas de gestão, que precisam todas ser suficientemente maduras e capazes de interagir umas com as outras de uma forma sinérgica.

    Duas destas disciplinas de gestão são a segurança da informação (ISO 27001) e a continuidade de negócio (ISO 22301). Estas normas de sistemas de gestão servem para implementar as respectivas abordagens, e as organizações podem ser certificadas por estas duas normas.

    Resiliência organizacional expande o conceito de prontidão também para ameaças que podem se desenvolver lentamente, mas ainda seriam fatais para a organização se não antecipadas apropriadamente. Enquanto os sistemas de gestão acima mencionados lidam com eventos disruptivos súbitos clássicos (tais como falhas de TI e um incêndio industrial), uma abordagem de resiliência também lida com ameaças políticas, legais, demográficas, climáticas e outras, que poderiam não impactar a organização de um momento para o outro, mas após meses ou anos a frente. Quantas organizações líderes desapareceram porque elas não foram resilientes o bastante: Swissair, Kodak, Nokia, …?

    Abordagem estruturada

    Um dos maiores valores da ISO 22316 está baseado no fato de que ela propõe uma abordagem estruturada para a resiliência. Enquanto organizações podem estar mais ou menos bem sucedidas no caminho para a resiliência (especialmente aquelas que implementaram um SGSI ou SGCN de acordo com a ISO 27001 ou ISO 22301), o novo documento de diretrizes sobre resiliência organizacional provê diretrizes concretas sobre o que empreender.

    Princípios

    O fundamento da resiliência está baseado em um par de princípios. Vamos discutir dois exemplos:

    • O comportamento de todos os membros de uma organização precisa contribuir para a resiliência organizacional, e qualquer comportamento passivo ou contraproducente deveria ser evitado. Isto também significa que a força de trabalho deveria consistir ela mesma de pessoas resilientes, construindo a resiliência de baixo para cima. Se existe um não engajamento dentro da força de trabalho, um alto grau de absenteísmo, ou se a força de trabalho está lutando contra a gestão, estes são comportamentos que não contribuem para a resiliência organizacional.
    • Diversidade de habilidades é muito importante, visto que novas ameaças, desafios e oportunidades podem se originar de diferentes áreas dentro da organização ou de seu ambiente. Somente se a gestão e toda a força de trabalho tiverem uma visão 360° sobre o que é possivelmente ameaçador ou possivelmente uma oportunidade, uma organização pode aumentar o seu nível de resiliência.

    Atributos

    Com base nestes princípios básicos, uma organização deveria exibir uma gama de atributos, suportando-a em seu caminho para uma maior resiliência. Novamente, vamos dar uma olhada em dois destes atributos propostos:

    Atividades

    O terceiro nível desta abordagem propõe uma gama de atividades, que também contribuem para a meta final, por exemplo:

    • Objetivos individuais devem estar alinhados com os objetivos da organização
    • Clareza sobre o propósito da organização, o qual pode necessitar de mudanças
    • Acompanhamento de ideias inovadoras
    • Pensamento além das atividades atuais

    Disciplina de gestão

    Finalmente, mas não por último, é sugerido para uma organização implementar e refinar uma gama de disciplinas de gestão. Já conhecemos duas delas: segurança da informação e continuidade de negócio. A ISO 22316 propõe uma gama de disciplinas de gestão adicionais a serem nutridas, ex.:

    • Gestão ambiental
    • Gestão de facilidades
    • Controle financeiro
    • Gestão da saúde e segurança
    • Gestão da qualidade
    • Gestão de riscos

    No topo disso, inteligência de negócio, monitoramento de tendências de clientes assim como de políticas, meio ambiente e de requisitos legais, contribuem para a resiliência organizacional.

    Precisamos de resiliência organizacional?

    É difícil imaginar uma organização que não se beneficiaria da implementação de uma abordagem estruturada para a resiliência organizacional. No ambiente altamente competitivo de hoje, nutrir este pilar de força de uma organização pode ser um dos “segredos” do sucesso sustentável. Em resumo, uma organização precisa identificar e implementar suas disciplinas de gestão chave (tais como segurança da informação de acordo com a ISO 27001 e a GCN com a ISO 22301). Isto é o fundamento para construir resiliência organizacional; a ISO 22316 é a ferramenta apropriada para este propósito.

    Faça o download deste artigo:  Clause-by-clause explanation of ISO 22301 para ver como aumentar a resiliência da sua organização usando a ISO 22301.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Tag: #ISO 27001