Antonio Jose Segovia
março 31, 2017
O Scrum é um framework, baseado no método Ágil, usado principalmente do desenvolvimento de software. Originalmente, ele foi desenvolvido para o desenvolvimento de produtos complexos, é existem muitas organizações no mundo que utilizam este framework para vários projetos.
Devido aos três pilares básicos do Scrum (i.e., transparência, inspeção e adaptação), o Scrum provê uma excelente fundamentação para implementar qualquer projeto de forma relativamente fácil. Adicionalmente, o Scrum melhora as relações pessoais entre os membros da equipe, e promove a motivação do pessoal envolvido no projeto, o que implica que os membros podem entender, comunicar e trabalhar melhor juntos. Isto leva a uma equipe mais eficiente, o que também significa que os tempos de implementação para o projeto pode ser reduzido. Assim, quero mostrar a você, do meu ponto de vista, como o Scrum pode ser útil para um projeto da ISO 27001.
O elemento mais importante no processo do Scrum é o Sprint, porque tudo se concentra nos Sprints. Sprints são, basicalmente, iterações para o desenvolvimento do projeto. Em cada Sprint, ou em cada iteração, você pode desenvolver parcialmente seu projeto, terminando e entregando uma parte do produto para o seu cliente.
Por exemplo: se você está escrevendo um livro usando o processo do Scrum, seu projeto pode ser dividido em diferentes iterações (Sprints), e em cada um você pode terminar uma parte do produto final (por exemplo, uma seção do livro). No primeiro Sprint, você pode terminar a Seção 1 e entregá-la para os seus clientes. No segundo Sprint, complete a Seção 2, e assim por diante.
Cada Sprint é composto dos seguintes eventos:
Se você revisar seu processo de implementação de, por exemplo, um controle da ISO 27001 – você não verá uma combinação entre o conteúdo do Sprint e as etapas de implementação que você realiza? Veja também: Lista de verificação para implementação da ISO 27001.
A aplicação usual do Scrum é em projetos complexo, i.e., um projeto onde requisitos frequentemente mudam durante a realização do projeto. Projetos de implementação da ISO 27001 não são esse tipo de projeto (i.e., os requisitos da norma não mudam), mas o Scrum pode ser útil para a implementação da norma.
Com base na minha experiência como auditor líder internacional para a ISO 27001, existem muitas organizações que iniciaram seus projetos sem conhecer exatamente quais são os requisitos da norma (quero dizer, por exemplo, os documentos e registros obrigatórios), e muitas delas terminam a implementação sem conhecer estes requisitos. Usando o Scrum, uma organização realizará tantos Sprints quanto possível até que os requisitos sejam definidos.
Uma vez que você tenha definido os requisitos (na forma da Declaração de Aplicabilidade, assim como o contexto e requisitos d as partes interessadas), a norma não define quem implementa estes requisitos ou como. Estes requisitos são genéricos, o que significa que duas pessoas podem ter duas diferentes interpretações do mesmo requisito. Mas, geralmente estes requisitos são implementados por uma única pessoa, como o CISO, ou uma pessoa similar responsável pela segurança da informação – mas esta não é a melhor forma, porque então a ISO 27001 seria implementada a partir do ponto de vista de uma única pessoa, ao invés de um ponto de vista consensado. (Veja também: Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?)
Do meu ponto de vista, se a implementação de cada requisite é discutida entre o CISO, a gestão, e outras pessoas envolvidas na implementação da ISO 27001 (por exemplo, um consultor externo), os requisitos serão mais precisos, e mais adequados aos requisitos da organização. Da mesma forma, todas as pessoas estarão alinhadas com os requisitos, e estes requisitos estarão alinhados com o negócio. Assim, baseado nestas informações, este tipo de projeto é perfeitamente adequado para o Scrum (i.e., uma equipe claramente definida responsável pela implementação, responsabilidades, e reuniões e discussões frequentes).
Basicamente, o Scrum pode ajudar você com tudo que foi mencionado acima porque, de acordo com o Scrum, existe um perfil específico responsável pelos requisitos do produto: o dono do produto (poderia ser o CISO). E também, os Sprints (reuniões, a implementação passo a passo de todos os requisitos) são estabelecidos para o desenvolvimento de requisitos específicos em várias iterações.
Este artigo também pode ajudar você: ISO 27001 project – How to make it work.
O Scrum pode ser seu melhor amigo durante a implementação da ISO 27001, porque ele estabelece uma forte organização do projeto onde todos sabem suas responsabilidades, o que também pode ajudar você a reduzir os tempos de implementação, e provê uma clara definição de quem é o responsável pelos requisitos, e como implementá-los.
Talvez você esteja implementando a ISO 27001 usando uma metodologia de implementação que é muito similar ao Scrum. Assim, o Scrum dá a você um framework e uma metodologia clara para implementar a ISO 27001 sem “reinventar a roda”. O benefício? Certamente – eficiência para sua organização, o que influencia também a satisfação dos seus clientes.
Use este treinamento on-line gratuito ISO 27001:2013 Lead Implementer Course para saber mais sobre os requisitos e as etapas da implementação.
Nós agradecemos a Rhand Leal pela tradução para o português.