DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits, exames de cursos e planos anuais do Conformio.
Oferta por tempo limitado – termina em 25 de abril de 2024
Use o código promocional:
SPRING30

Resiliência organizacional de acordo com a ISO 22316 – Esta é outro termo da moda?

Advisera Wolfgang Mahr Wolfgang Mahr
dezembro 15, 2016

Os Sistemas de gestão de segurança da informação (ISO 27001) de continuidade de negócio (ISO 22301), enquanto tentam abranger toda a organização, ainda não possuem componentes e dimensões para protege uma organização de forma holística. O conceito de resiliência expande estas abordagens e aumentam a prontidão e desenvolvimento das organizações.

Resiliência – O que é isto?

Realmente precisamos desta nova abordagem? O que é realmente novo? Já existem tantas normas – iremos lidar com todas? Outra certificação? Fazemos isso o tempo todo!

Todas estas são questões e declarações boas e válidas. O conceito de resiliência não é novo. Se interpretamos a definição de resiliência como a “habilidade… para absorver e se adaptar em um ambiente de mudança”, percebemos que a Mãe Natureza (evolução) tem aplicado este princípio com sucesso já há algum tempo. Como tal, é bem razoável adotar esta abordagem também para organizações (dirigidas por humanos). Para estabilidade e crescimento em longo prazo não há outra receita a não ser se adaptar.

Outra norma?

A nova norma ISO 22316 fornece diretrizes (recomenda uma abordagem) para aumentar a resiliência de uma organização. Ela faz isso ao propor princípios, atributos, e atividades para contribuir para organizações mais resilientes. Esta norma (um documento de diretrizes) não pode ser usada para certificar uma organização; ao invés disso, ela serve como um guarda-chuva cobrindo uma gama de disciplinas de gestão, que precisam todas ser suficientemente maduras e capazes de interagir umas com as outras de uma forma sinérgica.

Duas destas disciplinas de gestão são a segurança da informação (ISO 27001) e a continuidade de negócio (ISO 22301). Estas normas de sistemas de gestão servem para implementar as respectivas abordagens, e as organizações podem ser certificadas por estas duas normas.

Resiliência organizacional expande o conceito de prontidão também para ameaças que podem se desenvolver lentamente, mas ainda seriam fatais para a organização se não antecipadas apropriadamente. Enquanto os sistemas de gestão acima mencionados lidam com eventos disruptivos súbitos clássicos (tais como falhas de TI e um incêndio industrial), uma abordagem de resiliência também lida com ameaças políticas, legais, demográficas, climáticas e outras, que poderiam não impactar a organização de um momento para o outro, mas após meses ou anos a frente. Quantas organizações líderes desapareceram porque elas não foram resilientes o bastante: Swissair, Kodak, Nokia, …?

Abordagem estruturada

Um dos maiores valores da ISO 22316 está baseado no fato de que ela propõe uma abordagem estruturada para a resiliência. Enquanto organizações podem estar mais ou menos bem sucedidas no caminho para a resiliência (especialmente aquelas que implementaram um SGSI ou SGCN de acordo com a ISO 27001 ou ISO 22301), o novo documento de diretrizes sobre resiliência organizacional provê diretrizes concretas sobre o que empreender.

Princípios

O fundamento da resiliência está baseado em um par de princípios. Vamos discutir dois exemplos:

  • O comportamento de todos os membros de uma organização precisa contribuir para a resiliência organizacional, e qualquer comportamento passivo ou contraproducente deveria ser evitado. Isto também significa que a força de trabalho deveria consistir ela mesma de pessoas resilientes, construindo a resiliência de baixo para cima. Se existe um não engajamento dentro da força de trabalho, um alto grau de absenteísmo, ou se a força de trabalho está lutando contra a gestão, estes são comportamentos que não contribuem para a resiliência organizacional.
  • Diversidade de habilidades é muito importante, visto que novas ameaças, desafios e oportunidades podem se originar de diferentes áreas dentro da organização ou de seu ambiente. Somente se a gestão e toda a força de trabalho tiverem uma visão 360° sobre o que é possivelmente ameaçador ou possivelmente uma oportunidade, uma organização pode aumentar o seu nível de resiliência.

Atributos

Com base nestes princípios básicos, uma organização deveria exibir uma gama de atributos, suportando-a em seu caminho para uma maior resiliência. Novamente, vamos dar uma olhada em dois destes atributos propostos:

Atividades

O terceiro nível desta abordagem propõe uma gama de atividades, que também contribuem para a meta final, por exemplo:

  • Objetivos individuais devem estar alinhados com os objetivos da organização
  • Clareza sobre o propósito da organização, o qual pode necessitar de mudanças
  • Acompanhamento de ideias inovadoras
  • Pensamento além das atividades atuais

Disciplina de gestão

Finalmente, mas não por último, é sugerido para uma organização implementar e refinar uma gama de disciplinas de gestão. Já conhecemos duas delas: segurança da informação e continuidade de negócio. A ISO 22316 propõe uma gama de disciplinas de gestão adicionais a serem nutridas, ex.:

  • Gestão ambiental
  • Gestão de facilidades
  • Controle financeiro
  • Gestão da saúde e segurança
  • Gestão da qualidade
  • Gestão de riscos

No topo disso, inteligência de negócio, monitoramento de tendências de clientes assim como de políticas, meio ambiente e de requisitos legais, contribuem para a resiliência organizacional.

Precisamos de resiliência organizacional?

É difícil imaginar uma organização que não se beneficiaria da implementação de uma abordagem estruturada para a resiliência organizacional. No ambiente altamente competitivo de hoje, nutrir este pilar de força de uma organização pode ser um dos “segredos” do sucesso sustentável. Em resumo, uma organização precisa identificar e implementar suas disciplinas de gestão chave (tais como segurança da informação de acordo com a ISO 27001 e a GCN com a ISO 22301). Isto é o fundamento para construir resiliência organizacional; a ISO 22316 é a ferramenta apropriada para este propósito.

Faça o download deste artigo:  Clause-by-clause explanation of ISO 22301 para ver como aumentar a resiliência da sua organização usando a ISO 22301.

Nós agradecemos a Rhand Leal pela tradução para o português.

Tag: #ISO 27001
Post anterior Viabilizando comunicações durante incidentes disruptivos de acordo com a ISO 22301
Próximo post Além do Gerente de GCN: Papéis adicionais a considerar durante um incidente de interrupção

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
by Rhand Leal