Quanto tempo para implementar a ISO 27001

Esta é a segunda pergunta mais comum no que respeita à implementação da ISO 27001. A primeira é, evidentemente, «quanto é que vai custar?». Bem, mas a resposta não é muito encorajante – porque a maioria das pessoas acha que se faz num par de meses. Só que isto não é realista – a duração mais aproximada se tudo correr bem é: cerca de 1 ano.

Claro que se pode continuar a produzir 50 documentos com fluxos, regras e normas em alguns dias e reclamar que temos regras em conformidade com a norma ISO 27001, mas isto não é aquilo que importa. O que queremos falar é sobre a implementação que faz sentido, que produz resultados – um menor número de incidentes, crescimento da eficiência, poupança de custos, etc.

Tempo para as fases de PLANEAR e FAZER

O esforço principal da implementação será gasto nas fases de Planear e fazer, ou seja, nas primeiras fases mandatórias nas quais são realizadas a avaliação de risco e análise de impacto no negócio e nas quais todos os controlos (incluindo os planos da continuidade do negócio) são implementados. A duração para estas duas fases depende, em primeiro lugar, da dimensão da organização.

• Organizações mais pequenas (até 50 colaboradores) normalmente implementam o standard em 8 meses.
• Organizações médias (até 500 colaboradores) implementam o standard de 8 a 12 meses.
• Organizações grandes (mais de 500 colaboradores) a implementação leva de 12 a 15 meses.

As companhias que arrastam estes projectos demasiado tempo, não conseguem terminar – em tais organizações nunca há suficiente reconhecimento da importância do standard, e assim os recursos financeiros e humanos dedicados ao projecto nunca são suficientes.

Quando falamos de tempo de implementação é importante referir que o trabalho de implementação da ISO 77001 e da ISO 25999 não termina com as fases Planear e Fazer – estes sistemas de gestão necessitam ser mantidos e melhorados (fases Verificar e Agir), o que significa que o trabalho na segurança da informação e na continuidade de negócio não é uma vez mas sim contínuo. Contudo, o esforço para manter e melhorar o sistema de gestão é bem menor que o necessário nas duas primeiras fases.

As coisas que aceleram a implementação

A duração que referimos acima depende de muitos factores, mas geralmente os seguintes factores irão acelerar a implementação:

Realizar a implementação como um projecto – se souber com exactidão quais são os objectivos, quem é o responsável e por quê, se os recursos estiverem dispo níveis e quais são os resultados, não só irá acelerar o processo, mas também aumentará as usas oportunidades de sucesso.

Se já tiver a ISO 9001 ou outro sistema de gestão – os standards não são diferentes de outros sistemas de gestão, o que permite utilizar alguns dos procedimentos e processo existentes e poupar entre 20 a 30% de tempo.

Se já possuir a funcionar muitos dos procedimentos e políticas de segurança / continuidade de negócio – a oportunidade de que a documentação existente seja aceitável para a ISO 27001/25999 irá reduzir o tempo de implementação; também por que já possui na organização uma compreensão acerca da segurança da informação e continuidade de negócio.

Possuir os modelos de documentação adequados – não quero dizer quaisquer modelos de documentação, mas modelos na própria língua, apropriados para a dimensão da companhia e feitos para o propósito das ISO 27001 e 25999. Os modelos livres da internet obrigam à tradução e adaptação, com frequentes revisões.

Possuir o conhecimento – este pode obter-se através da leitura, formação pessoal, cursos online, ou pela contratação de um consultor; sem o conhecimento o seu projecto irá levar mais tempo, e provavelmente nunca será concluído.

A última mas certamente a primeira – o apoio e compromisso da gestão – se este não for obtido e se não for comprometido efectivamente em recursos e em dinheiro, o projecto irá demorar mais ou será concluído mesmo antes de começar.

Em conclusão – a implementação de standards com o estes toma muito tempo o que força a que se faça com este propósito em mente. Se a implementação for realizada de forma superficial ou sem objectivos claros, não irá somente perder uma quantidade de tempo mas também perder uma oportunidade para ajudar a companhia a melhorar e a crescer.

LQ

O Controlo da Mudança

Continuamos hoje a falar do processo de controlo da mudança e a esclarecer como se pode implementar o processo com simplicidade.

O controlo de mudanças é uma parte importante do processo de gestão de projecto. No caso da Engenharia e Construção quase que podia afirmar que ninguém implementa um processo formal e piro ainda, as mudanças são muitas vezes utilizadas para resolver a má estimação inicial do contrato.

Mas, com o ritmo de mudança nos nossos dias é mais do que certo que os projectos enfrentam exigências de mudança durante a sua vida. Muito embora a mudança possa ajudar a assegurar que os projectos estão alinhados com as necessidades de negócio, é importante ter em conta que cada mudança deve ser cuidadosamente considerada e aprovada. Daí que o processo mesmo que deforma elementar deve ser criado na equipa de projecto.

O processo de controlo da mudança na gestão de projecto garante que todas as mudanças propostas durante o projecto são devidamente definidas, consideradas e aprovadas antes da implementação. Isto garante que nenhumas mudanças desnecessárias sejam realizadas e, assim, os serviços não são interrompidos e os recursos são eficientemente usados. Se isto não são benefícios importantes então pensem o que será se o processo não for implementado.

O processo de controlo da mudança contém 5 passos:

1. Propor uma mudança
2. Sumário do impacto
3. Decisão
4. Implementar a mudança
5. Fechar a mudança

Durante o processo são utilizados dois documentos:

1. Registo das mudanças: usado para registar todas as mudanças pedidas e decisões tomadas
2. Formulário de Registo de Mudanças: usado para documentar os detalhes da mudança, incluindo o seu business case.

Propor uma mudança

O processo, pensado desta maneira, oferece a capacidade de qualquer pessoa na equipa do projecto 8 mas incluindo o cliente) propor uma mudança ao projecto. A proposta deve incluir uma descrição da mudança e os benefícios esperados ou outra razão justificativa da mudança. A mudança é apresentada usando o Formulário de Pedido de Mudança e adicionada ao Registo de Mudanças do projecto.

Sumário do Impacto

O projecto é conduzido pelo Gestor do Projecto que irá considerar o impacto da mudança no projecto. Serão consideradas as seguintes questões:

• Custo quantificável de poupanças ou benefícios
• Razão para a mudança legal, regulatória ou outra
• Custo estimado da mudança
• Impacto na escala de tempo do projecto
• Recursos adicionais necessários
• Impacto em outros projectos ou actividades de negócio
• Novos riscos ou questões

Depois desta avaliação, o gestor de projecto recomenda se irá ser desencadeada a mudança.

Decisão

Este processo envolve a revisão do pedido de mudança por uma autoridade definida que irá considerar toda a informação obtida por quem fez o pedido e a avaliação de impacto do Gestor de Projecto. A decisão será usualmente:

• Aceitar
• Aceitar com comentários ou condições especiais
• Rejeitar
• Deferir (a mudança não é aprovada, mas poderá ser considerada mais tarde)

Implementar a Mudança

Se a mudança é aprovada esta será planeada, calendarizada e implementada na data acordada com os stakeholders.

Como parte do planeamento, deve ser elaborado um plano de regressão para o caso em que se deva recuar da mudança.

Depois da implementação é habitual levar a cabo uma revisão pós-implementação.

Fechar a Mudança

Quando o responsável pelo pedido de mudança dá o seu acordo a que a implementação foi correctamente realizada, a mudança é fechada e registada no Registo de Mudanças.

O Risco, uma técnica simples

Todos os projectos são diferentes e a melhor forma de identificar os potenciais riscos dentro de projectos complexos é recorrer à experiência de projectos passados dentro da mesma área. Mesmo com indústrias diferentes há muitas áreas de risco potencial que podem ser as mesmas ou similares, existindo obviamente áreas específicas.
A primeira abordagem é obter uma visão global das diferentes áreas do projecto tais como:

• Âmbito
• Equipamento
• Tecnologia
• Pessoas
• Escala de tempo
• Orçamento

Em seguida, escolha cada uma destas secções e decomponha-a com mais detalhe. Pode ser útil uma sessão de brainstorming com um pequeno grupo de membros da equipa em representação de diferentes partes dos departamentos e grupos envolvidos. Não deve ser uma actividade que consuma muito tempo, mas é crítica para a gestão com sucesso do projecto.

Âmbito

A natureza do âmbito é a definição do que é e do que não é incluído nos requisitos que o negócio pretende obter. Assim, as áreas que podem correr mal ou causar problemas serão questões que terão a ver com o que é e não é escrito neste documento ou que não foi suficientemente descrito nos documentos do projecto. Os primeiros riscos identificados podem ser «requisitos de negócio pobremente definidos», «falta de pessoal experimentado» ou «requisitos de negócio que não foram aprovados pelo cliente».

Equipamento

Esta área de foco deve incluir o equipamento requerido para concluir o projecto em vez de qualquer equipamento que seja uma entrega ou um resultado final do projecto. Pode incluir hardware de computadores, equipamento fabril para a realização do produto final ou um conjunto de outras possibilidades dependentes do projecto particular. Ao identificar os riscos nesta secção deveremos considerar riscos como «confiança do equipamento», «facilidade de substituição se avariar», «custos da substituição do equipamento avariado».

Tecnologia

Esta secção cobre todas as áreas que tenham a ver com o uso de computadores excepto o hardware físico e outras áreas de inovação ou de desenvolvimento envolvidas no projecto. Deve ter-se atenção às dependências com pacotes de software (quer internos como externos) e sistemas de gestão de bases de dados, com outros fornecedores de tecnologia a usar no projecto.

Pessoas

Até que ponto são críticas as pessoas existentes para o sucesso do projecto. Eles possuem conhecimentos especializados que podem ser difícil ou muito dispendioso obter em outro lado. Deve enfrentar-se também a possibilidade de haver uma grande mobilidade das pessoas ou, ao contrário, as equipas estão bem motivadas e estabelecidas e irão permanecer durante o decurso do projecto. Se for o caso de ser gestor de um projecto grande e global, pode até ocorrer que não conheças as equipas em localizações diversas e só tenha contacto com gestores de projecto locais. O conhecimento sobre a dinâmica e construção das equipas pode ser muito útil para a avaliação de riscos potenciais.

Escala de Tempo

Os primeiros problemas têm a ver com o detalhe e correcção das estimações efectuadas para todo o projecto e cada actividade individual. Se o projecto for qualquer coisa diferente de tudo o que fez antes, serão as estimativas meras adivinhas? Quando as escalas de tempo foram determinados por um imperativo de negócio por virtude uma data determinada pelo mercado são acrescentados novos factores de risco no agendamento. Todos estes factores afectam o tipo e a probabilidade dos riscos para as escalas de tempo do projecto.

Orçamento

Se o orçamento foi determinado por um imperativo do cliente em vez do custo real pode não oferecer os meios para concluir o projecto. Um orçamento limitado, por outro lado, não é necessariamente uma causa de insucesso para o projecto. Um bom gestor de projecto possuirá as competências requeridas para obter o máximo de um orçamento limitado e minimizar também os riscos dentro de um projecto deste tipo.

Em geral

De facto muitos factores que gestores de projecto menos experientes podem pensar que criam um projecto mais «arriscado» são muitas vezes factores que podem ser facilmente geridos porque ocorrem frequentemente, como ó caso de recursos limitados, escalas de tempo apertados ou orçamento limitado. É mais provável que o risco provenha de factores que ocorrem com menos frequência como tecnologia ainda não totalmente testada ou produtos, e estes podem tirar um projecto do seu curso.
Desta forma, a identificação dos riscos num projecto é crítica para os gerir com sucesso e estas áreas que, em breve, descrevemos são as mais importantes para o gestor do projecto considerar ao identificar os riscos. Para projectos maiores e mais complexos, a gestão de risco será um trabalho a tempo inteiro e exige que o gestor de projecto tenha a formação e as competências para o assumir com efectividade
.