DARYUS 
Sua empresa decidiu optar pela certificação ISO 27001 e sua equipe de desenvolvimento não curtiu muito a ideia? À medida que a data de início do projeto está se aproximando, você ouviu uma conversa no cafezinho sobre como algumas pessoas não estão dispostas a ajudar nesse projeto, até fala-se em resistência aberta por funcionários veteranos que migrariam para uma nova empresa, simplesmente para não ter que lidar com o novo padrão de segurança?
Não se preocupe! Esse cenário é muito mais comum do que se poderia pensar. E depois de ler este artigo, fica claro que, com algum esforço e disciplina, até os membros mais resistentes da equipe serão capazes de perceber os benefícios das ISOs e provavelmente mudarão de ideia.
Entendendo o padrão ISO 27001
A ideia por trás da norma ISO 27001 é implementar e melhorar continuamente um ISMS (Sistema de Gerenciamento de Segurança da Informação). Embora não seja uma tarefa fácil, a implementação traz muitos benefícios para os negócios.
Um SGSI (Sistema de Gestão de Segurança da Informação) estabelecido e gerenciado adequadamente fornecerá uma abordagem sistemática e baseada em riscos para lidar com situações relacionadas à segurança da informação, garantindo níveis adequados de confidencialidade, disponibilidade e integridade, o que é essencial para proteger as informações de qualquer organização.
Os benefícios da certificação são bastante numerosos. Além de uma abordagem mais madura para lidar com incidentes de segurança da informação e diminuir seu impacto, uma certificação ISO 27001 tornará mais fácil o cumprimento de vários regulamentos relacionados à privacidade, proteção de dados e governança.
A certificação também fornece aos negócios uma vantagem competitiva, diferenciando sua empresa dos concorrentes, especialmente se você manipular informações sensíveis ou dados pessoais.
Então, o que torna a ISO 27001 assustadora?
Geralmente, uma implementação da ISO 27001 exige um esforço razoável, implica em trabalho e disciplina. Na maioria dos casos, cria um paradigma em relação à proteção de dados corporativos, impactando profundamente a cultura da organização e trazendo políticas, normas e procedimentos que acabam se tornando obrigatórios.
A maioria dos colaboradores envolvidos ou afetados por um projeto de certificação acaba tendo que sair de suas zonas de conforto. Para algumas áreas acaba parecendo que seu trabalho foi investigado com uso de um microscópio. Para times de desenvolvimento, por exemplo, algumas preocupações válidas incluem quanto tempo e esforço seriam necessários para garantir que os sistemas atuais sejam utilizáveis e compatíveis com o novo conjunto de políticas.
Qual é a diferença entre o que já estamos fazendo e os requisitos da ISO 27001? Especialmente, em termos de documentação – algo sempre presente quando falamos de normas ISO – não é incomum existir uma percepção inicial do tipo “muito trabalho desnecessário, apenas por que a ISO exige.”
Esta percepção negativa da ISO 27001 como “um trabalho adicional, não muito útil” deve ser mais do que suficiente para colocar equipes de desenvolvimento na defensiva, mas claro, não podemos esquecer de avaliações de segurança e auditorias.
Afinal, não é exatamente agradável ter seu trabalho analisado em busca de erros “simples”, como migrar código para a produção sem que ele seja aprovado pelo comitê de gerenciamento de mudanças. Imaginar que esse tipo de situação possa gerar uma não-conformidade que será relatada à alta direção não é nada animador.
Ah, antes que eu esqueça de mencionar, as operações de negócios simplesmente não param durante uma implementação da ISO, essa pressão adicional será adicionada à carga de trabalho atual e não poderá ser usada como desculpa para a entrega tardia de outros projetos.
Para os profissionais da área de Segurança da Informação, Cyber Security e Perícia Forense Digital:
Você sabe o quanto você vale como profissional?
Como tornar a ISO 27001 um grande motivador para seu time
Agora você pode ver claramente que existem várias razões pelas quais uma implementação da ISO 27001 pode ser um projeto assustador para sua equipe de desenvolvimento. Mas, na verdade, a maioria das preocupações surge de uma má compreensão da influência positiva que o novo padrão terá sobre a empresa a longo prazo.
Aqui estão alguns pontos que podem ser bastante úteis para transformar a ISO 27001 em um dos principais motivadores para seu time:
1. Trabalho adicional versus uma maneira mais efetiva de trabalhar
O que pode parecer um trabalho adicional no início, certamente se tornará uma abordagem muito mais efetiva para o desenvolvimento em um futuro não tão distante.
Por exemplo, a implementação de uma política de desenvolvimento seguro e de procedimentos de gestão de mudanças pode ser um desafio no começo, mas a recompensa é que há menos chances de incidentes devido a falhas de segurança ou falta de planos de teste/backup antes da migração para a produção.
Isso significa menos tempo gasto tentando apagar incêndios. Sua equipe de desenvolvimento será muito mais efetiva e poderá se concentrar em outros projetos, inovação, P&D ou qualquer outra iniciativa relevante para sua organização.
2. Faça da sua equipe de desenvolvimento parte do projeto de implementação da ISO 27001
Envolver as pessoas desde o início é uma maneira de conquistar sua confiança e boa vontade. Como a maioria dos problemas surge de uma compreensão insuficiente dos benefícios da ISO, garantir que os principais membros de sua equipe de desenvolvimento saibam que este é um projeto estratégico, crítico para os seus negócios, que criará uma maneira mais segura e eficaz de se trabalhar, é uma etapa fundamental para mudar a mentalidade atual.
Aderir aos requisitos adicionais de ISO pode parecer difícil no início, mas um conjunto bem desenvolvido de políticas e procedimentos não vai tornar o trabalho mais difícil, muito pelo contrário. Se, desde o início, você envolver pessoas de áreas-chave, como TI, desenvolvimento, jurídico, recursos humanos e finanças, é muito mais provável que o trabalho resultante seja um conjunto de regras personalizadas de acordo com o contexto da sua empresa.
3. Compromisso da alta direção
Presumindo que você envolveu sua equipe de desenvolvimento desde o início, criou um conjunto de regras e políticas que não os impedem de executar suas tarefas, explicou o quanto mais eficazes serão as atividades em um futuro próximo e qual a importância da certificação ISO 27001 para os negócios, é esperado que a maior parte do time se torne realmente envolvida. Bem, infelizmente isso não é uma realidade para todos os casos.
Algumas pessoas são realmente tão resistentes à mudança, que nenhuma quantidade de explicações, justificativas, raciocínios ou até súplicas será suficiente. Esse caso pode ser ainda pior se a posição envolvida for crítica para os negócios ou para o sucesso de uma implementação da ISO.
É aqui que o compromisso da alta direção realmente ganha destaque. Gerentes e diretores precisam ser parte do projeto de certificação, normalmente desempenhando um papel fundamental: a liderança pelo exemplo. É preciso ficar claro que o novo modelo de trabalho deve ser seguido por todos, sem exceções.
Alguns casos exigirão ação direta da alta direção, incluindo conversas particulares com colaboradores mais resistentes a mudança ou, em casos extremos em que não há outra opção, levar o tema a área de recursos humanos.
Essas dicas devem ser mais do que suficientes para superar a maioria dos problemas relacionados à desconfiança de sua equipe durante o primeiro ciclo de uma certificação ISO 27001. Como a organização deve renová-lo a cada 3 anos, vale lembrar que a chave para uma implementação e gerenciamento adequados do SGSI é uma mudança na cultura corporativa em todos os níveis da hierarquia.
Com o tempo, a segurança da informação se tornará parte do DNA da sua empresa, e não apenas a recertificação subsequente se tornará uma tarefa mais fácil, mas os benefícios de um novo nível de maturidade se tornarão claros e práticos.
Quer se especializar na área? Conheça o treinamento de Auditor Líder ISO/IEC 27001.
Conheça também o MBA de Gestão e Tecnologia em Segurança da Informação, e aprenda da teoria à prática com grandes especialistas de mercado.
