| Inscrições e Informações: | (11) 2629-0610 |
| comunicados@asrconsultoria.com.br | |
| www.asrconsultoria.com.br |
sábado, 31 de outubro de 2009
2ª Conferência da Qualidade de Software em São Paulo
domingo, 25 de outubro de 2009
O verdadeiro significado de "comprometimento da alta direção"
Antes de mais nada, alta direção pode ser definida segundo Mello et al. (1) como "[...] formada pelo principal executivo da empresa e por sua diretoria, e o principal executivo da empresa é aquele que tem autonomia para disponibilizar recursos". E comprometimento, o que significa? A palavra comprometer possui vários acepções de acordo com Houaiss (2), e um dos possíveis significados aqui seria "obrigar-se por compromisso". Outro significado possível é "tomar parte ou envolver-se em". Portanto, entendo que comprometimento da alta direção nada mais é do que o compromisso, o envolvimento da diretoria em alguma coisa.
Em todos esses anos que venho atuando em projetos que requerem mudança de cultura organizacional, tenho notado que o comprometimento da alta direção vem sendo interpretado de uma forma bastante restrita. Normalmente, está relacionado apenas à disponibilização de recursos, sejam eles de ordem financeira, humana e/ou material. Na prática tenho percebido, contudo, que esse comprometimento precisa ser muito, muito mais do que isso. Por essa razão, proponho que a expressão comprometimento da alta direção seja compreendida como o engajamento total da alta direção na realização de algum projeto, no qual o seu amplo envolvimento é parte imprescindível para que ele seja bem sucedido.
Mas, como deve ser interpretado então esse amplo envolvimento? Para isso, proponho as seguintes diretrizes:
- Conhecer o projeto detalhadamente: quanto mais a diretoria conhecer o projeto, suas necessidades, dificuldades, premissas e restrições, mais fácil será ela perceber onde deverá atuar para que o resultado final pretendido seja efetivamente alcançado.
- Acompanhar o projeto sistematicamente: a direção deve acompanhar frequentemente a evolução do projeto, realizando reuniões de acompanhamento e analisando-o criticamente junto com o coordenador da equipe, com relatórios que informem e registrem de forma resumida a evolução e as análises críticas.
- Ouvir, ouvir e ouvir: este é um ponto fundamental e imprescindível, mas dificilmente executado. A diretoria muitas vezes possui um cotidiano muito atribulado e acaba não tendo paciência e dedicando tempo para escutar detidamente o que a equipe de implementação tem a dizer, ou o que os colaboradores estão percebendo e sentindo em relação às mudanças. Entretanto, a não observância deste item costuma resultar em fracasso na implementação do projeto.
- Compreender plenamente os problemas antes de agir: a direção deve envolver-se de tal forma que sua participação lhe permita ter uma compreensão clara dos problemas e/ou dificuldades que os colaboradores estejam enfrentando. Ela deve perguntar quantas vezes for necessário, a quem quer que seja, para que sejam dirimidas todas as suas dúvidas. A tomada de decisão para a resolução de problemas deve ser baseada em critérios claros e objetivos, não devendo ser realizada de modo intempestivo ou abrupto.
- Agir sempre que acionado: em projetos que requerem mudança de cultura organizacional, existem "momentos certos" de atuação. Se a diretoria realmente estiver engajada no projeto, facilmente perceberá o momento certo e atuará antes que lhe seja solicitada a sua ação. Porém, se a equipe de implementação de alguma forma cobrar um posicionamento ou uma decisão da alta direção, é fundamental que ela atue rapidamente e no mesmo momento em que é acionada.
- Confiar na equipe de implementação: elemento fundamental de sucesso do projeto. Se a alta direção não confiar na equipe de implementação, comprometerá seriamente o projeto, seja pela consequente desmotivação da equipe, seja pela percepção dos outros colaboradores de que o projeto não vai bem.
- Usar a autoridade com sabedoria e quando demandada: é extremamente comum em projetos que requerem mudança de cultura organizacional haver resistência à mudança. A equipe de implementação são "os olhos e os ouvidos" da alta direção em relação ao projeto. Quando a equipe perceber os sintomas típicos da resistência, ela deverá acionar a alta direção para que exerça a sua autoridade. É fundamental nesses momentos que a diretoria "mostre a sua cara", que deixe claro que é ela quem deseja a mudança, que é necessária, que ocorrerá conforme planejado e que conta com o apoio de todos, incondicionalmente. Deverá, sobretudo, esclarecer que se isso não acontecer, o projeto não será bem sucedido e que isso comprometerá fortemente os resultados da organização.
Referências Bibliográficas:
(1) MELLO, Carlos Henrique Pereira et al. ISO 9001:2000 - Sistema de Gestão da Qualidade para Operações de Produção e Serviços. São Paulo: Atlas, 2002. 224p.
(2) HOUAISS, Antônio. Dicionário Houaiss da Língua Portuguesa. Disponível em: <http://houaiss.uol.com.br/>. Acesso em: 25 out. 2009.
 Artigo em formato .pdf |
sábado, 17 de outubro de 2009
Conheça a NBR ISO/IEC 27002 – Parte 2
A norma NBR ISO/IEC 27002 está organizada em 11 seções que correspondem a controles de segurança da informação. Na primeira parte do artigo Conheça a norma NBR ISO/IEC 27002, foram abordadas as seções 5. Política de Segurança da Informação, 6. Organizando a Segurança da Informação, 7. Gestão de Ativos, 8. Segurança em Recursos Humanos e 9. Segurança Física e do Ambiente. A seguir, serão abordadas as seções restantes (10 a 15).
Seção 10 - Gestão das Operações e Comunicações
É importante que estejam definidos os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações. Além disso, deve-se utilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realize uma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas.
Para o gerenciamento de serviços terceirizados, deve-se implementar e manter o nível apropriado de segurança da informação e em conformidade com acordos de entrega de serviços terceirizados.
É fundamental planejar e preparar a disponibilidade e os recursos do sistemas para minimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de forma a reduzir os riscos de sobrecarga. Também deve-se prevenir e detectar a introdução de códigos maliciosos e os usuários devem estar conscientes sobre isso.
Procedimentos para a geração de cópias de segurança e sua recuperação também devem ser estabelecidos.
Deve-se garantir ainda o gerenciamento seguro de redes. Controles adicionais podem até mesmo ser necessários para proteger informações confidenciais que trafegam em redes públicas.
As trocas de informações entre organizações devem ser baseadas em uma política formal específica, devendo ser efetuadas a partir de acordos entre as partes e sempre em conformidade com toda a legislação pertinente.
Deve-se ainda implementar mecanismos de monitoração de atividades não autorizadas de processamento da informação. Os eventos de segurança da informação devem ser registrados, lembrando que as organizações devem estar aderentes aos requisitos legais aplicáveis para suas atividades de registro e monitoramento.
Seção 11 - Controle de Acesso
O acesso à informação, aos recursos de processamento das informações e aos processos de negócios devem ser controlados com base nos requisitos de negócio e na segurança da informação. Portanto, deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamento final do seu registro, garantindo assim que já não possuem mais acesso a sistemas de informação e serviços.
Os usuários sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários. Nesse sentido, sugere-se ainda a adoção da “política de mesa e tela limpa”, para reduzir o risco de acessos não autorizados ou danos a documentos, papéis, mídias e recursos de processamento da informação que estejam ao alcance de qualquer um.
Seção 12 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Segundo a norma, “Sistemas de informação incluem sistemas operacionais, infra-estrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário”. Por essa razão, os requisitos de segurança de sistemas de informação devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementação.
As informações devem ser protegidas visando a manutenção de sua confidencialidade, autenticidade ou integridade por meios criptográficos.
Seção 13 - Gestão de Incidentes de Segurança da Informação
Deve-se assegurar que eventos de segurança da informação sejam o mais rápido possível comunicados, de tal forma que a tomada de ação corretiva ocorra em tempo hábil. Para isso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem como todos os funcionários, fornecedores e terceiros devem estar conscientes sobre os procedimentos para notificação dos diferentes tipos de eventos.
Seção 14 - Gestão da Continuidade do Negócio
Deve-se impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hábil.
Para isso, planos de continuidade do negócio, incluindo controles para identificar e reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operações essenciais sejam rapidamente recuperadas.
Seção 15 – Conformidade
Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
Para isso, é conveniente contratar, caso necessário, consultoria especializada, bem como analisar criticamente a segurança dos sistemas de informação a intervalos regulares, verificando, sobretudo, sua conformidade e aderência a requisitos legais e regulamentares.
Em resumo, nota-se claramente ao longo de toda a norma, que a característica predominante é a prevenção, evitando-se a todo o custo, a adoção de medidas de caráter reativo. Mesmo as que forem reativas, como por exemplo a execução de um plano de continuidade de negócios, são previamente planejadas para que, no momento oportuno e se necessárias, sejam devidamente implementadas.
Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação. ABNT, 2005.
domingo, 4 de outubro de 2009
Conheça a NBR ISO/IEC 27002 – Parte 1
Dando continuidade ao assunto Segurança da Informação, hoje será abordada a norma NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Mas, o que é Segurança da Informação (SI)? Significa proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização.
É preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002.
A parte principal da norma se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação, conforme apresentado a seguir. A numeração dessas seções se inicia no número 5 (há outros aspectos descritos nas seções anteriores, mas nos concentraremos apenas na parte mais significativa da norma).
Seção 5 - Política de Segurança da Informação
Deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.
Seção 6 - Organizando a Segurança da Informação
Para implementar a SI em uma organização é necessário que seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Todas as responsabilidades pela segurança da informação também devem estar claramente definidas. É importante ainda que sejam estabelecidos acordos de confidencialidade para proteger as informações de caráter sigiloso, bem como as informações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes.
Seção 7 - Gestão de Ativos
Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. Gestão de Ativos significa proteger e manter os ativos da organização. Para que eles sejam devidamente protegidos, devem ser primeiramente identificados e levantados, com proprietários também identificados e designados, de tal forma que um inventário de ativos possa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.
Seção 8 - Segurança em Recursos Humanos
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.
Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurança da informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejam preparados para apoiar a política de segurança da informação da organização. Eles também devem ser educados e treinados nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação. É fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das violações de segurança da informação.
No momento em que ocorrer o encerramento ou uma mudança na contratação, a saída de funcionários, fornecedores e terceiros deve ser feita de modo ordenado e controlado, para que a devolução de todos os equipamentos e a retirada de todos os direitos de acesso sejam concluídas.
Seção 9 - Segurança Física e do Ambiente
As instalações de processamento de informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção física. Essa proteção deve ser compatível com os riscos previamente identificados.
Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, incluindo aqueles utilizados fora do local.
No próximo artigo, será dada continuidade às demais seções da norma.
Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação. ABNT, 2005.
Assinar:
Postagens (Atom)
Postagens
