ENTRE EM CONTATO 1-888-553-2256

The ISO 27001 & ISO 22301 Blog

Antonio Jose Segovia

Como usar o Scrum no projeto de implementação da ISO 27001

O Scrum é um framework, baseado no método Ágil, usado principalmente do desenvolvimento de software. Originalmente, ele foi desenvolvido para o desenvolvimento de produtos complexos, é existem muitas organizações no mundo que utilizam este framework para vários projetos.

Devido aos três pilares básicos do Scrum (i.e., transparência, inspeção e adaptação), o Scrum provê uma excelente fundamentação para implementar qualquer projeto de forma relativamente fácil. Adicionalmente, o Scrum melhora as relações pessoais entre os membros da equipe, e promove a motivação do pessoal envolvido no projeto, o que implica que os membros podem entender, comunicar e trabalhar melhor juntos. Isto leva a uma equipe mais eficiente, o que também significa que os tempos de implementação para o projeto pode ser reduzido. Assim, quero mostrar a você, do meu ponto de vista, como o Scrum pode ser útil para um projeto da ISO 27001.

O processo Scrum e os Sprints

blogpost-banner-bia-pt

O elemento mais importante no processo do Scrum é o Sprint, porque tudo se concentra nos Sprints. Sprints são, basicalmente, iterações para o desenvolvimento do projeto. Em cada Sprint, ou em cada iteração, você pode desenvolver parcialmente seu projeto, terminando e entregando uma parte do produto para o seu cliente.

Por exemplo: se você está escrevendo um livro usando o processo do Scrum, seu projeto pode ser dividido em diferentes iterações (Sprints), e em cada um você pode terminar uma parte do produto final (por exemplo, uma seção do livro). No primeiro Sprint, você pode terminar a Seção 1 e entregá-la para os seus clientes. No segundo Sprint, complete a Seção 2, e assim por diante.

Cada Sprint é composto dos seguintes eventos:

  • Planejamento do Sprint: Planejamento das atividades que serão realizadas em cada Sprint.
  • Reunião diária: A equipe discute quais atividades foram realizadas, quais atividades ela quer realizar, e quais obstáculos existem que poderiam impedir a continuação do trabalho.
  • Revisão do Sprint: Revisão do produto que foi completado durante cada Sprint, verificando se ele satisfaz os requisitos.
  • Retrospectiva do Sprint: O principal objetivo desta reunião é melhorar a operação das pessoas envolvidas na aplicação do método Scrum (é para se melhorar o processo do Scrum, não o produto), o que geralmente é muito positivo para as pessoas e seus trabalhos.

Se você revisar seu processo de implementação de, por exemplo, um controle da ISO 27001 – você não verá uma combinação entre o conteúdo do Sprint e as etapas de implementação que você realiza? Veja também: Lista de verificação para implementação da ISO 27001.

Requisitos e implementação da ISO 27001 e o Scrum

A aplicação usual do Scrum é em projetos complexo, i.e., um projeto onde requisitos frequentemente mudam durante a realização do projeto. Projetos de implementação da ISO 27001 não são esse tipo de projeto (i.e., os requisitos da norma não mudam), mas o Scrum pode ser útil para a implementação da norma.

Com base na minha experiência como auditor líder internacional para a ISO 27001, existem muitas organizações que iniciaram seus projetos sem conhecer exatamente quais são os requisitos da norma (quero dizer, por exemplo, os documentos e registros obrigatórios), e muitas delas terminam a implementação sem conhecer estes requisitos. Usando o Scrum, uma organização realizará tantos Sprints quanto possível até que os requisitos sejam definidos.

Uma vez que você tenha definido os requisitos (na forma da Declaração de Aplicabilidade, assim como o contexto e requisitos d as partes interessadas), a norma não define quem implementa estes requisitos ou como. Estes requisitos são genéricos, o que significa que duas pessoas podem ter duas diferentes interpretações do mesmo requisito. Mas, geralmente estes requisitos são implementados por uma única pessoa, como o CISO, ou uma pessoa similar responsável pela segurança da informação – mas esta não é a melhor forma, porque então a ISO 27001 seria implementada a partir do ponto de vista de uma única pessoa, ao invés de um ponto de vista consensado. (Veja também: Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?)

Do meu ponto de vista, se a implementação de cada requisite é discutida entre o CISO, a gestão, e outras pessoas envolvidas na implementação da ISO 27001 (por exemplo, um consultor externo), os requisitos serão mais precisos, e mais adequados aos requisitos da organização. Da mesma forma, todas as pessoas estarão alinhadas com os requisitos, e estes requisitos estarão alinhados com o negócio. Assim, baseado nestas informações, este tipo de projeto é perfeitamente adequado para o Scrum (i.e., uma equipe claramente definida responsável pela implementação, responsabilidades, e reuniões e discussões frequentes).

Basicamente, o Scrum pode ajudar você com tudo que foi mencionado acima porque, de acordo com o Scrum, existe um perfil específico responsável pelos requisitos do produto: o dono do produto (poderia ser o CISO). E também, os Sprints (reuniões, a implementação passo a passo de todos os requisitos) são estabelecidos para o desenvolvimento de requisitos específicos em várias iterações.

Este artigo também pode ajudar você: ISO 27001 project – How to make it work.

Scrum – Para o benefício do seu projeto de implementação da ISO 27001

O Scrum pode ser seu melhor amigo durante a implementação da ISO 27001, porque ele estabelece uma forte organização do projeto onde todos sabem suas responsabilidades, o que também pode ajudar você a reduzir os tempos de implementação, e provê uma clara definição de quem é o responsável pelos requisitos, e como implementá-los.

Talvez você esteja implementando a ISO 27001 usando uma metodologia de implementação que é muito similar ao Scrum. Assim, o Scrum dá a você um framework e uma metodologia clara para implementar a ISO 27001 sem “reinventar a roda”. O benefício? Certamente – eficiência para sua organização, o que influencia também a satisfação dos seus clientes.

Use este treinamento on-line gratuito ISO 27001:2013 Lead Implementer Course para saber mais sobre os requisitos e as etapas da implementação.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.