Resiliência às crises por meio de processos de gestão afinados com as melhores práticas internacionais.
Conduzir uma empresa é uma atividade que exige constante atenção com as mudanças no ambiente de negócios, que podem surgir por questões regulatórias, ambientais, sociais, tecnológicas e até mesmo culturais.
Lidar bem com estas mudanças, adaptar-se com a velocidade necessária, não se deixar abater pelas circunstâncias desfavoráveis é o que diferencia as empresas resilientes das que fecham suas portas.
Para atingir esta capacidade de lidar com as mudanças é preciso ter processos de gestão implantados que permitam identificar rapidamente o que está acontecendo e forneçam suporte para as modificações organizacionais imprescindíveis.
Colocar estes processos em operação e os amadurecer não são tarefas simples, principalmente se forem iniciados do zero, a partir da concepção de suas partes e interações. Felizmente, a experiência acumulada de milhares de empresas, ao redor do mundo todo, pode ser acessada e aplicada. Ela está disponível na forma de normas técnicas, elaboradas por comitês formados por pessoas engajadas nos vários campos de interesse e com experiência na sua aplicação.
Entre a grande quantidade de normas importantes, considerando os tempos atuais, de transformação digital e novas demandas legais, destaco 5 normas que são imprescindíveis para as empresas. São normas que aplicadas ajudarão no amadurecimento das práticas de gestão e trarão uma melhor capacidade de lidar com surpresas:
- ABNT NBR ISO/IEC 37301 – Sistema de Gestão de Compliance
Uma das principais normas técnicas é sem dúvida a que orienta a implementação de um sistema de gestão de compliance. Sem a identificação e observação das leis e regulamentações que se aplicam as suas atividades, a empresa pode cometer infrações sem perceber ou cair em situações que caracterizam irregularidades no seu funcionamento, prejudicando sua imagem e a expondo a sanções.
- ABNT NBR ISO/IEC 27701 – Sistema de Gestão de Privacidade da Informação
Indiscutivelmente um dos grandes desafios para as empresas está sendo a mudança cultural e jurídica trazida pelas preocupações da sociedade com a exposição da vida particular em face do avanço da tecnologia, principalmente do Big Data e da Inteligência Artificial.
As leis de proteção de dados foram introduzidas nos últimos anos em mais de 100 países e no Brasil temos a lei nº 13.709/2018, mais conhecida com a Lei Geral de Proteção de Dados (LGPD).
A conformidade com os requisitos de proteção de dados requer medidas continuadas que abrangem vários setores da empresa e modificam seus processos de trabalho. Planejar, implantar e manter estas medidas significa estender os processos de gestão de segurança da informação para um novo patamar e esta norma traz as orientações necessárias para essa extensão.
- ABNT NBR ISO/IEC 27002 – Práticas de Segurança da Informação
As orientações para a implementação das medidas de segurança da informação, estendidas pelo sistema de gestão de privacidade para a proteção de dados pessoais e aplicáveis no tratamento de riscos cibernéticos, são detalhadas na norma NBR ISO 27002. Esta é uma norma fundamental dentro da família de normas técnicas (NBR ISO 27000) dedicada à segurança da informação e da privacidade.
- ABNT NBR ISO/IEC 27017 – Práticas de Segurança da Informação para Serviços em Nuvem
Qual é a empresa que hoje não utiliza algum serviço em nuvem? E quantas não são as empresas no mercado que prestam serviços em nuvem? O ambiente em nuvem tem características próprias que expõe estas empresas a riscos específicos e demandam medidas de controle adequadas. A norma NBR ISO 27017 estende os controles da NBR ISO 27002 para atender a esta necessidade.
- ABNT NBR ISO/IEC 27018 – Práticas de Privacidade da Informação para Serviços em Nuvem
Da mesma forma que ocorre com as práticas de segurança da informação, os serviços em nuvem apresentam desafios próprios para a proteção dos dados pessoais e estes desafios são endereçados pelas extensões propostas na NBR ISO 27108 para os controles da norma NBR ISO 27002.
Vale destacar que as comissões responsáveis pela elaboração e manutenção destas normas, efetuam revisões periódicas, de forma que as normas se mantenham sempre eficazes. As empresas devem ficar atentas as atualizações.
As normas NBR ISO 37301 e NBR ISO 27701 são certificáveis, o que significa que é possível para a empresa se submeter a um processo de auditoria independente para certificar sua adequação aos requisitos mandatórios presentes nelas.
O processo de adequação à uma norma técnica passa pelas fases de tomada de conhecimento da norma, análise da situação atual da empresa, para identificação do que já está adequado e do que não está, seguida da elaboração de um plano de ação para a execução das mudanças necessárias e sua aplicação.
Geralmente, por se tratarem de planos que envolvem algum nível de mudanças de processos, implantação de tecnologias e treinamento de pessoas, costumam ter cronogramas de médio e longo prazo. Os custos dependerão muito da situação atual da empresa a ser adequada, de quão longe ela está das melhores práticas e naturalmente do seu porte e complexidade.
Os resultados compensam em termos de minimização dos riscos e, assim, as empresas estarão melhor preparadas para lidar com eventuais crises a partir deles. Muito possivelmente também terão ganhos de eficiência em seus processos de trabalho, consequência da eliminação de problemas identificados e corrigidos em consequência da análise feita.
Autor: Carlos Alberto Iglesia Bernardo
Sobre o Autor:
Graduado em Engenharia Elétrica pelo Instituto Mauá de Tecnologia (IMT). Consultor em segurança da informação, proteção de dados e gestão de riscos na IT Secure. Atua há 38 anos na área de Tecnologia da Informação, com vivência na estruturação, gestão de áreas técnicas e condução de projetos de infraestrutura e segurança da informação. Membro da comissão de estudo de segurança da informação, segurança cibernética e privacidade da ABNT (CE-021 000.027). Relator do projeto de tradução da norma ABNT NBR ISO/IEC 29100 – Estrutura de Privacidade. Coordenador do curso de pós-graduação em Boas Práticas, Normas e Compliance em Segurança Cibernética do IMT. Professor em cursos de aperfeiçoamento profissional em segurança da informação, proteção de dados pessoais e gestão de riscos pela ABNT, Fundação Vanzolini, TI Exames e IT Secure.
Fonte da imagem: Banco de Imagens Pixabay – 3D Animation Production Company