Indo além do selo das melhores práticas
02, julho, 2018 - Postado por Felipe Pereira da Silva
Não são raros os casos onde se identifica uma empresa certificada em uma determinada norma, como as da ISO, apenas para atender as exigências impostas por cliente(s). Neste sentido, não se extrai o potencial que a adoção de melhores práticas como essas podem trazer para o negócio da empresa como um todo. Este artigo traz uma reflexão sobre como agregar valor ao negócio com a aplicação dessas e outras melhores práticas, que ao contrário do que possa parecer, não tem o objetivo de trazer medidas alheias à realidade do negócio, apenas com o intuito de fornecer a certificação, um selo.
É possível observar um aumento por regulamentação e obtenção de certificações no cenário global. Em 2016 foi identificado um aumento em 8% de certificados emitidos relacionados as normas ISO no cenário global, de acordo com pesquisa realizada pela própria International Organization for Standardization (ISO). Muito disso se dá pela percepção de impactos ocorridos no passado por falta de medidas de controle e processos de qualidade. Consequentemente, em um efeito cascata, cada vez mais se exige a aderência a melhores práticas que abrangem processos de governança e de gestão. A exemplo disso pode-se citar a lei 13.303, que em 2016 foi atualizada e passou a exigir processos de governança e gestão de riscos por parte das empresa públicas e sociedades de economia mista. Outro exemplo ainda mais recente foi a resolução 4.658 do Banco Central do Brasil (BACEN) que passou a exigir que todas as instituições financeiras estabelecessem uma política de segurança cibernética, além de critérios para contratação de serviços na nuvem e resposta a incidentes. Em outra frente, fora do âmbito da legislação, é cada vez mais comum a exigência de empresas certificadas em determinadas normas para poder atuar como fornecedor de segmentos tanto público quanto privado.
Contudo, é possível observar que muitas das vezes a adoção dessas melhores práticas ocorrem apenas para atender a exigências do mercado, no intuito de se tornar elegível para atuar em determinado segmento, não trazendo a mentalidade de extração dos benefícios para promover a maturidade com a adoção dessas práticas. Isso acaba fazendo com que as empresas criem processos de controle meramente simbólicos, que chegam a burocratizar as operações internas, onerando a mão de obra, aumentando custos e tornando os requisitos das melhores práticas adotadas meramente teóricos, distantes da realidade e dinâmica do negócio.
Requisitos das Normas ISO
As normas da ISO estão segregadas por abordagem, como por exemplo: qualidade, segurança da informação, gestão de riscos, meio ambiente, etc. Todas elas trazem requisitos e algumas delas são certificáveis e outras não. No caso das normas que são certificáveis, há associado um sistema de gestão, que visa orquestrar a operação dos mais diversos elementos necessários para atender esses requisitos.
Essas normas trazem em seu conteúdo O QUE precisa ser feito, não descrevendo O COMO. Esse detalhe sutil representa muito! Significa que apesar de trazer requisitos para estar em conformidade, essas normas deixam livre para as Organizações a interpretação sobre a forma mais adequada de se atender, de acordo com a realidade do negócio, implementando mais ou menos controles, sendo mais ou menos criteriosos e de forma mais ou menos abrangente, requirindo mais ou menos documentos.
Assim, a adoção dessas melhores práticas não trazem o engessamento dos processos e muito menos objetivam que sejam implementadas apenas para entregar um selo, o propósito vai além, busca ser um instrumento que agregue valor à Organização.
Exemplo: a ISO/IEC 27001 exige que tenha um processo de gerenciamento de riscos. Uma empresa pode contratar uma ferramenta e implantar o processo conforme os recursos da ferramenta, definidos pelo fornecedor, mesmo que ela não tenha as características exigidas do negócio. Implementado desta forma o processo tende a ser meramente figurativo para gerar uma série de evidências exigidas pela norma, mais sem agregar valor ao negócio, não servindo de base para auxiliar nas tomadas de decisões. Por outro lado, o resultado é muito diferente se for construído um processo, identificando o fluxo de aprovações, o ciclo de revisões, o tipo de informação exigido pela alta direção para apoiar na tomada de decisão, entre outros parâmetros. O processo estaria sendo criado refletindo a dinâmica do negócio, podendo inclusive inicialmente ter a matriz de riscos em uma planilha. O pensar em um software de apoio seria apenas umas das últimas etapas, inclusive podendo ser visto apenas futuramente, depois que o processo já estiver "rodando".
A percepção de valor agregado ao negócio é enorme, sem contar a possível redução de custos, embora ambos os casos possam atender aos requisitos para obter a certificação na referida norma.
Requisitos legais
Progressivamente tem sido editadas regulamentações e leis que abordam aspectos legais sobre o uso das tecnologias, mudando a forma de consumo desses recursos. Isso pode ser observado analisando por exemplo o marco civil da internet no Brasil (Lei 12.965:2014), atualização do estatuto jurídico das empresas públicas e sociedades de economia mista (Lei 13.303:2016), operações relacionadas a empresas de capital aberto, que aponta a necessidade de diversos controles para garantir a integridade, confidencialidade e disponibilidade dos dados relacionados ao resultado financeiro da empresa (Lei 6.404:1976) e também resoluções que, por exemplo, exigem das instituições financeiras uma política de segurança cibernética, planos de resposta a incidentes e contratação de serviços na nuvem (BACEN 4.658:2018).
Nesse conjunto, muitas das vezes a legislação chega a definir partes de como deve ser feito para estar aderente aos seus requisitos, porém, mesmo nesses casos é comum que haja certo nível de liberdade para moldar os controles que serão implementados.
Vale refletir que a legislação existe por uma questão de ordem, portanto, aplicável a todos, porém, mesmo neste caso é possível extrair benefícios exercendo o poder interpretativo sobre a melhor forma de aplicá-los ao negócio. Exemplo, a resolução 4.658 do BACEN expõe que é requisito a implementação de uma política de segurança cibernética, há diversas forma de se desenvolver uma. Ainda em nosso exemplo, vamos imaginar que peguem uma política já pronta no mercado, seguindo o que há de mais fino sobre o assunto e esta política seja incorporada à Instituição. Dessa forma, ela tende a ser vista como um documento (e práticas) implementada apenas para atender o requisito legal, exercendo um peso na execução dos processos, sem agregar valor ao negócio. Para fins legais, se atendeu o que a Resolução exige. Contudo, se ao contrário fossem elencados os pontos fundamentais da cultura de segurança da Instituição e assim fosse trabalhado a documentação das práticas existentes e interpretado os riscos para avaliar a adoção de novas práticas, em um trabalho interativo e progressivo, certamente o resultado seria bem diferente, a começar pelo fato que as pessoas teriam sido envolvidas e também porque teriam sido adotadas ações que por mais simples que possam parecer, representavam o que a Instituição era capaz de atender no momento e assim, com o passar do tempo a ideia é que se vá melhorando. Aqui também haveria o atendimento ao requisito legal porém com um grande diferencial, que é a abordagem progressiva, despertando inclusive a conscientização das pessoas.
Considerações finais
Inevitavelmente o volume de regulamentações e exigências de adoção de melhores práticas tende a aumentar, exigindo que o mercado tenha empresas cada vez mais capacitadas para entrega de serviços e produtos compatíveis com as exigências esperadas em respeito a privacidade individual e estabilidade do mercado. A implementação dessas melhores práticas pode trazer um ganho significativo ao negócio, incluindo diferencial competitivo. Por exemplo, qual gestor não gostaria de saber antecipadamente que a operação que ele gerencia possui fraquezas (vulnerabilidades) que podem comprometer a Organização, por falha em um dos processos que ele é o responsável? Isso tem haver com due diligence.
É possível concluir que não há fórmulas prontas e engessadas para adoção dessas melhores práticas, pelo contrário, é importante que seja avaliado e interpretado como cada componente pode se acomodar nas operações dos processos da Organização, tendo sempre em vista que ele só faz sentido quando estiver claro o valor agregado que ele traz. Se não estiver bem definido, significa que ainda não se encontrou o ponto de alinhamento entre o requisito e o negócio.
O alcance das melhores práticas está em nosso DNA, conte com a @ttik.