• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como usar o Scrum no projeto de implementação da ISO 27001

    O Scrum é um framework, baseado no método Ágil, usado principalmente do desenvolvimento de software. Originalmente, ele foi desenvolvido para o desenvolvimento de produtos complexos, é existem muitas organizações no mundo que utilizam este framework para vários projetos.

    Devido aos três pilares básicos do Scrum (i.e., transparência, inspeção e adaptação), o Scrum provê uma excelente fundamentação para implementar qualquer projeto de forma relativamente fácil. Adicionalmente, o Scrum melhora as relações pessoais entre os membros da equipe, e promove a motivação do pessoal envolvido no projeto, o que implica que os membros podem entender, comunicar e trabalhar melhor juntos. Isto leva a uma equipe mais eficiente, o que também significa que os tempos de implementação para o projeto pode ser reduzido. Assim, quero mostrar a você, do meu ponto de vista, como o Scrum pode ser útil para um projeto da ISO 27001.

    O processo Scrum e os Sprints

    O elemento mais importante no processo do Scrum é o Sprint, porque tudo se concentra nos Sprints. Sprints são, basicalmente, iterações para o desenvolvimento do projeto. Em cada Sprint, ou em cada iteração, você pode desenvolver parcialmente seu projeto, terminando e entregando uma parte do produto para o seu cliente.

    Por exemplo: se você está escrevendo um livro usando o processo do Scrum, seu projeto pode ser dividido em diferentes iterações (Sprints), e em cada um você pode terminar uma parte do produto final (por exemplo, uma seção do livro). No primeiro Sprint, você pode terminar a Seção 1 e entregá-la para os seus clientes. No segundo Sprint, complete a Seção 2, e assim por diante.

    Cada Sprint é composto dos seguintes eventos:

    • Planejamento do Sprint: Planejamento das atividades que serão realizadas em cada Sprint.
    • Reunião diária: A equipe discute quais atividades foram realizadas, quais atividades ela quer realizar, e quais obstáculos existem que poderiam impedir a continuação do trabalho.
    • Revisão do Sprint: Revisão do produto que foi completado durante cada Sprint, verificando se ele satisfaz os requisitos.
    • Retrospectiva do Sprint: O principal objetivo desta reunião é melhorar a operação das pessoas envolvidas na aplicação do método Scrum (é para se melhorar o processo do Scrum, não o produto), o que geralmente é muito positivo para as pessoas e seus trabalhos.

    Se você revisar seu processo de implementação de, por exemplo, um controle da ISO 27001 – você não verá uma combinação entre o conteúdo do Sprint e as etapas de implementação que você realiza? Veja também: Lista de verificação para implementação da ISO 27001.

    Requisitos e implementação da ISO 27001 e o Scrum

    A aplicação usual do Scrum é em projetos complexo, i.e., um projeto onde requisitos frequentemente mudam durante a realização do projeto. Projetos de implementação da ISO 27001 não são esse tipo de projeto (i.e., os requisitos da norma não mudam), mas o Scrum pode ser útil para a implementação da norma.

    Com base na minha experiência como auditor líder internacional para a ISO 27001, existem muitas organizações que iniciaram seus projetos sem conhecer exatamente quais são os requisitos da norma (quero dizer, por exemplo, os documentos e registros obrigatórios), e muitas delas terminam a implementação sem conhecer estes requisitos. Usando o Scrum, uma organização realizará tantos Sprints quanto possível até que os requisitos sejam definidos.

    Uma vez que você tenha definido os requisitos (na forma da Declaração de Aplicabilidade, assim como o contexto e requisitos d as partes interessadas), a norma não define quem implementa estes requisitos ou como. Estes requisitos são genéricos, o que significa que duas pessoas podem ter duas diferentes interpretações do mesmo requisito. Mas, geralmente estes requisitos são implementados por uma única pessoa, como o CISO, ou uma pessoa similar responsável pela segurança da informação – mas esta não é a melhor forma, porque então a ISO 27001 seria implementada a partir do ponto de vista de uma única pessoa, ao invés de um ponto de vista consensado. (Veja também: Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?)

    Do meu ponto de vista, se a implementação de cada requisite é discutida entre o CISO, a gestão, e outras pessoas envolvidas na implementação da ISO 27001 (por exemplo, um consultor externo), os requisitos serão mais precisos, e mais adequados aos requisitos da organização. Da mesma forma, todas as pessoas estarão alinhadas com os requisitos, e estes requisitos estarão alinhados com o negócio. Assim, baseado nestas informações, este tipo de projeto é perfeitamente adequado para o Scrum (i.e., uma equipe claramente definida responsável pela implementação, responsabilidades, e reuniões e discussões frequentes).

    Basicamente, o Scrum pode ajudar você com tudo que foi mencionado acima porque, de acordo com o Scrum, existe um perfil específico responsável pelos requisitos do produto: o dono do produto (poderia ser o CISO). E também, os Sprints (reuniões, a implementação passo a passo de todos os requisitos) são estabelecidos para o desenvolvimento de requisitos específicos em várias iterações.

    Este artigo também pode ajudar você: ISO 27001 project – How to make it work.

    Scrum – Para o benefício do seu projeto de implementação da ISO 27001

    O Scrum pode ser seu melhor amigo durante a implementação da ISO 27001, porque ele estabelece uma forte organização do projeto onde todos sabem suas responsabilidades, o que também pode ajudar você a reduzir os tempos de implementação, e provê uma clara definição de quem é o responsável pelos requisitos, e como implementá-los.

    Talvez você esteja implementando a ISO 27001 usando uma metodologia de implementação que é muito similar ao Scrum. Assim, o Scrum dá a você um framework e uma metodologia clara para implementar a ISO 27001 sem “reinventar a roda”. O benefício? Certamente – eficiência para sua organização, o que influencia também a satisfação dos seus clientes.

    Use este treinamento on-line gratuito ISO 27001:2013 Lead Implementer Course para saber mais sobre os requisitos e as etapas da implementação.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Antonio Jose Segovia
    Autor
    Antonio Jose Segovia
    Antonio Jose Segovia é um Engenheiro de IT, um Engenheiro Técnico am Sistemas de Computação, e possui várias certificações profissionais no setor de tecnologia (algumas delas são Fortigate, Allot, and Infoblox). Ele também é Auditor Líder qualificado pelo BUREAU VERITAS em ISO 27001, ISO 20000, ISO 22301, ISO 27018, e UNE 71506, bem como um especialista em segurança da informação, hacker ético e professor universitário em um programa de mestrado online em segurança da informação. Anteriormente, ele também foi Auditor Chefe qualificado pela AENOR e AENOR INTERNACIONAL em ISO 27001. Com mais de 10 anos de experiência no setor de TIC, ele visitou companhias de todos os tipos na Espanha, Portugla, Itália, Reino Unido, Chile, Peru e Costa Rica.