Como usar o Scrum no projeto de implementação da ISO 27001

Advisera Antonio Jose Segovia Antonio Jose Segovia
março 31, 2017

O Scrum é um framework, baseado no método Ágil, usado principalmente do desenvolvimento de software. Originalmente, ele foi desenvolvido para o desenvolvimento de produtos complexos, é existem muitas organizações no mundo que utilizam este framework para vários projetos.

Devido aos três pilares básicos do Scrum (i.e., transparência, inspeção e adaptação), o Scrum provê uma excelente fundamentação para implementar qualquer projeto de forma relativamente fácil. Adicionalmente, o Scrum melhora as relações pessoais entre os membros da equipe, e promove a motivação do pessoal envolvido no projeto, o que implica que os membros podem entender, comunicar e trabalhar melhor juntos. Isto leva a uma equipe mais eficiente, o que também significa que os tempos de implementação para o projeto pode ser reduzido. Assim, quero mostrar a você, do meu ponto de vista, como o Scrum pode ser útil para um projeto da ISO 27001.

O processo Scrum e os Sprints

O elemento mais importante no processo do Scrum é o Sprint, porque tudo se concentra nos Sprints. Sprints são, basicalmente, iterações para o desenvolvimento do projeto. Em cada Sprint, ou em cada iteração, você pode desenvolver parcialmente seu projeto, terminando e entregando uma parte do produto para o seu cliente.

Por exemplo: se você está escrevendo um livro usando o processo do Scrum, seu projeto pode ser dividido em diferentes iterações (Sprints), e em cada um você pode terminar uma parte do produto final (por exemplo, uma seção do livro). No primeiro Sprint, você pode terminar a Seção 1 e entregá-la para os seus clientes. No segundo Sprint, complete a Seção 2, e assim por diante.

Cada Sprint é composto dos seguintes eventos:

  • Planejamento do Sprint: Planejamento das atividades que serão realizadas em cada Sprint.
  • Reunião diária: A equipe discute quais atividades foram realizadas, quais atividades ela quer realizar, e quais obstáculos existem que poderiam impedir a continuação do trabalho.
  • Revisão do Sprint: Revisão do produto que foi completado durante cada Sprint, verificando se ele satisfaz os requisitos.
  • Retrospectiva do Sprint: O principal objetivo desta reunião é melhorar a operação das pessoas envolvidas na aplicação do método Scrum (é para se melhorar o processo do Scrum, não o produto), o que geralmente é muito positivo para as pessoas e seus trabalhos.

Se você revisar seu processo de implementação de, por exemplo, um controle da ISO 27001 – você não verá uma combinação entre o conteúdo do Sprint e as etapas de implementação que você realiza? Veja também: Lista de verificação para implementação da ISO 27001.

Requisitos e implementação da ISO 27001 e o Scrum

A aplicação usual do Scrum é em projetos complexo, i.e., um projeto onde requisitos frequentemente mudam durante a realização do projeto. Projetos de implementação da ISO 27001 não são esse tipo de projeto (i.e., os requisitos da norma não mudam), mas o Scrum pode ser útil para a implementação da norma.

Com base na minha experiência como auditor líder internacional para a ISO 27001, existem muitas organizações que iniciaram seus projetos sem conhecer exatamente quais são os requisitos da norma (quero dizer, por exemplo, os documentos e registros obrigatórios), e muitas delas terminam a implementação sem conhecer estes requisitos. Usando o Scrum, uma organização realizará tantos Sprints quanto possível até que os requisitos sejam definidos.

Uma vez que você tenha definido os requisitos (na forma da Declaração de Aplicabilidade, assim como o contexto e requisitos d as partes interessadas), a norma não define quem implementa estes requisitos ou como. Estes requisitos são genéricos, o que significa que duas pessoas podem ter duas diferentes interpretações do mesmo requisito. Mas, geralmente estes requisitos são implementados por uma única pessoa, como o CISO, ou uma pessoa similar responsável pela segurança da informação – mas esta não é a melhor forma, porque então a ISO 27001 seria implementada a partir do ponto de vista de uma única pessoa, ao invés de um ponto de vista consensado. (Veja também: Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?)

Do meu ponto de vista, se a implementação de cada requisite é discutida entre o CISO, a gestão, e outras pessoas envolvidas na implementação da ISO 27001 (por exemplo, um consultor externo), os requisitos serão mais precisos, e mais adequados aos requisitos da organização. Da mesma forma, todas as pessoas estarão alinhadas com os requisitos, e estes requisitos estarão alinhados com o negócio. Assim, baseado nestas informações, este tipo de projeto é perfeitamente adequado para o Scrum (i.e., uma equipe claramente definida responsável pela implementação, responsabilidades, e reuniões e discussões frequentes).

Basicamente, o Scrum pode ajudar você com tudo que foi mencionado acima porque, de acordo com o Scrum, existe um perfil específico responsável pelos requisitos do produto: o dono do produto (poderia ser o CISO). E também, os Sprints (reuniões, a implementação passo a passo de todos os requisitos) são estabelecidos para o desenvolvimento de requisitos específicos em várias iterações.

Este artigo também pode ajudar você: ISO 27001 project – How to make it work.

Scrum – Para o benefício do seu projeto de implementação da ISO 27001

O Scrum pode ser seu melhor amigo durante a implementação da ISO 27001, porque ele estabelece uma forte organização do projeto onde todos sabem suas responsabilidades, o que também pode ajudar você a reduzir os tempos de implementação, e provê uma clara definição de quem é o responsável pelos requisitos, e como implementá-los.

Talvez você esteja implementando a ISO 27001 usando uma metodologia de implementação que é muito similar ao Scrum. Assim, o Scrum dá a você um framework e uma metodologia clara para implementar a ISO 27001 sem “reinventar a roda”. O benefício? Certamente – eficiência para sua organização, o que influencia também a satisfação dos seus clientes.

Use este treinamento on-line gratuito ISO 27001:2013 Lead Implementer Course para saber mais sobre os requisitos e as etapas da implementação.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT Engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.
Post anterior O que implementar primeiro: ISO 22301 ou ISO 27001?
Próximo post Como aplicar controles de segurança da informação no trabalho remoto de acordo com a ISO 27001

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Avaliações de risco qualitativa vs. quantitativas em segurança da informação: diferenças e semelhanças
by Rhand Leal