Wolfgang Mahr Os Sistemas de gestão de segurança da informação (ISO 27001) de continuidade de negócio (ISO 22301), enquanto tentam abranger toda a organização, ainda não possuem componentes e dimensões para protege uma organização de forma holística. O conceito de resiliência expande estas abordagens e aumentam a prontidão e desenvolvimento das organizações.
Resiliência – O que é isto?
Realmente precisamos desta nova abordagem? O que é realmente novo? Já existem tantas normas – iremos lidar com todas? Outra certificação? Fazemos isso o tempo todo!
Todas estas são questões e declarações boas e válidas. O conceito de resiliência não é novo. Se interpretamos a definição de resiliência como a “habilidade… para absorver e se adaptar em um ambiente de mudança”, percebemos que a Mãe Natureza (evolução) tem aplicado este princípio com sucesso já há algum tempo. Como tal, é bem razoável adotar esta abordagem também para organizações (dirigidas por humanos). Para estabilidade e crescimento em longo prazo não há outra receita a não ser se adaptar.
Outra norma?
A nova norma ISO 22316 fornece diretrizes (recomenda uma abordagem) para aumentar a resiliência de uma organização. Ela faz isso ao propor princípios, atributos, e atividades para contribuir para organizações mais resilientes. Esta norma (um documento de diretrizes) não pode ser usada para certificar uma organização; ao invés disso, ela serve como um guarda-chuva cobrindo uma gama de disciplinas de gestão, que precisam todas ser suficientemente maduras e capazes de interagir umas com as outras de uma forma sinérgica.
Duas destas disciplinas de gestão são a segurança da informação (ISO 27001) e a continuidade de negócio (ISO 22301). Estas normas de sistemas de gestão servem para implementar as respectivas abordagens, e as organizações podem ser certificadas por estas duas normas.
Resiliência organizacional expande o conceito de prontidão também para ameaças que podem se desenvolver lentamente, mas ainda seriam fatais para a organização se não antecipadas apropriadamente. Enquanto os sistemas de gestão acima mencionados lidam com eventos disruptivos súbitos clássicos (tais como falhas de TI e um incêndio industrial), uma abordagem de resiliência também lida com ameaças políticas, legais, demográficas, climáticas e outras, que poderiam não impactar a organização de um momento para o outro, mas após meses ou anos a frente. Quantas organizações líderes desapareceram porque elas não foram resilientes o bastante: Swissair, Kodak, Nokia, …?
Abordagem estruturada
Um dos maiores valores da ISO 22316 está baseado no fato de que ela propõe uma abordagem estruturada para a resiliência. Enquanto organizações podem estar mais ou menos bem sucedidas no caminho para a resiliência (especialmente aquelas que implementaram um SGSI ou SGCN de acordo com a ISO 27001 ou ISO 22301), o novo documento de diretrizes sobre resiliência organizacional provê diretrizes concretas sobre o que empreender.
Princípios
O fundamento da resiliência está baseado em um par de princípios. Vamos discutir dois exemplos:
- O comportamento de todos os membros de uma organização precisa contribuir para a resiliência organizacional, e qualquer comportamento passivo ou contraproducente deveria ser evitado. Isto também significa que a força de trabalho deveria consistir ela mesma de pessoas resilientes, construindo a resiliência de baixo para cima. Se existe um não engajamento dentro da força de trabalho, um alto grau de absenteísmo, ou se a força de trabalho está lutando contra a gestão, estes são comportamentos que não contribuem para a resiliência organizacional.
- Diversidade de habilidades é muito importante, visto que novas ameaças, desafios e oportunidades podem se originar de diferentes áreas dentro da organização ou de seu ambiente. Somente se a gestão e toda a força de trabalho tiverem uma visão 360° sobre o que é possivelmente ameaçador ou possivelmente uma oportunidade, uma organização pode aumentar o seu nível de resiliência.
Atributos
Com base nestes princípios básicos, uma organização deveria exibir uma gama de atributos, suportando-a em seu caminho para uma maior resiliência. Novamente, vamos dar uma olhada em dois destes atributos propostos:
- Entendimento do contexto da organização. Isto é muito importante para contribuir com a resiliência organizacional, não apenas como uma parte da gestão de riscos, mas também para identificar oportunidade. Veja também: Explanação sobre a cláusula 4.1 (Entendendo a organização) da ISO 27001:2013.
- Melhoria contínua. Claro, permanecer parado é ficar para trás. É por isso que a ISO 22316, sem surpresa, não falhou em mencionar este atributo. Isto não é nada novo para usuários de normas de sistemas de gestão. Leia também: A benção da melhoria contínua na ISO 22301.
Atividades
O terceiro nível desta abordagem propõe uma gama de atividades, que também contribuem para a meta final, por exemplo:
- Objetivos individuais devem estar alinhados com os objetivos da organização
- Clareza sobre o propósito da organização, o qual pode necessitar de mudanças
- Acompanhamento de ideias inovadoras
- Pensamento além das atividades atuais
Disciplina de gestão
Finalmente, mas não por último, é sugerido para uma organização implementar e refinar uma gama de disciplinas de gestão. Já conhecemos duas delas: segurança da informação e continuidade de negócio. A ISO 22316 propõe uma gama de disciplinas de gestão adicionais a serem nutridas, ex.:
- Gestão ambiental
- Gestão de facilidades
- Controle financeiro
- Gestão da saúde e segurança
- Gestão da qualidade
- Gestão de riscos
No topo disso, inteligência de negócio, monitoramento de tendências de clientes assim como de políticas, meio ambiente e de requisitos legais, contribuem para a resiliência organizacional.
Precisamos de resiliência organizacional?
É difícil imaginar uma organização que não se beneficiaria da implementação de uma abordagem estruturada para a resiliência organizacional. No ambiente altamente competitivo de hoje, nutrir este pilar de força de uma organização pode ser um dos “segredos” do sucesso sustentável. Em resumo, uma organização precisa identificar e implementar suas disciplinas de gestão chave (tais como segurança da informação de acordo com a ISO 27001 e a GCN com a ISO 22301). Isto é o fundamento para construir resiliência organizacional; a ISO 22316 é a ferramenta apropriada para este propósito.
Faça o download deste artigo: Clause-by-clause explanation of ISO 22301 para ver como aumentar a resiliência da sua organização usando a ISO 22301.
Nós agradecemos a Rhand Leal pela tradução para o português.
