Em um cenário empresarial cada vez mais voltado para a agilidade e a adaptação rápida às mudanças, a implementação do SGSI – Sistema de Gestão de Segurança da Informação pode apresentar desafios relevantes para empresas que adotam modelos ágeis em sua metodologia de entregas e cultura organizacional. O modelo ágil, caracterizado pelo foco no cliente, flexibilidade e iteração contínua, pode parecer conflitante com os requisitos mais estruturados e documentados de um SGSI.
Neste artigo exploraremos os desafios específicos enfrentados por empresas que buscam sinergia entre essas abordagens aparentemente não harmônicas.
Cultura Organizacional
Um dos maiores obstáculos para implementar um SGSI em uma empresa ágil é o pensamento dos colaboradores a respeito destas duas abordagens. O modelo ágil promove a autonomia, a colaboração e a experimentação, já o SGSI exige conformidade com políticas e processos, muitas vezes tidos como burocráticos e antagônico ao ágil.
Desafio: convencer equipes acostumadas com a liberdade do modelo ágil a adotar processos mais formais, que podem parecer como rígidos no dia a dia.
Benefício e caminho de implementação: promover colaboração, experimentação e autonomia com diretrizes formais e documentação de processos básicos garantem mais segurança, escalabilidade, rastreabilidade e maior qualidade nas entregas.
Velocidade versus Segurança
Outra adversidade relevante é encontrar o equilíbrio entre a velocidade de entrega, exigida pelo modelo ágil, garantindo a implementação de controles de segurança para proteção das informações. As práticas ágeis enfatizam a entrega rápida e iterativa de software, o que pode levar a atalhos ou negligência em relação aos controles de segurança.
Desafio: implementar medidas de segurança robustas sem comprometer a agilidade do processo de desenvolvimento.
Benefício e caminho de implementação: com o planejamento adequado e integrações entre os processos a cada ciclo/sprint, a implementação de medidas de segurança promoverá a prestação de um serviço de alta qualidade, com foco no cliente e com poder competitivo (considerando que a segurança deixou de ser um item opcional para fazer parte do produto, sendo hoje um diferencial competitivo no mercado dentro da cadeia de fornecedores).
Integração de Processos
Muitas empresas ágeis operam com metodologias como Scrum ou Kanban com seus próprios processos e rituais. Incorporar atividades relacionadas à segurança da informação, como avaliações de risco, revisões de código seguro e testes de penetração dentro do fluxo de trabalho ágil sem interromper o ritmo de entrega, é lido com confrontamento por alguns profissionais habituados a adotar essa metodologia, mas que não costumam documentar processos ou pensar na segurança das informações.
Desafio: estimular a mudança de mentalidade dos colaboradores e harmonizar a integração do SGSI com os ritos estabelecidos dentro do modelo ágil.
Benefício e caminho de implementação: com coordenação cuidadosa e ajustes iterativos é possível implementar, a cada sprint, tarefas relacionadas a salvaguarda das informações que garantirão a condução do projeto com segurança e incrementações de controles a cada ciclo, minimizando o risco de realizar uma entrega com vulnerabilidades ou falhas relacionadas à segurança.
Conscientização e Treinamento
A conscientização e o treinamento dos membros da equipe são fundamentais para o sucesso da implementação do SGSI em uma empresa ágil. É essencial ensinar os funcionários sobre a importância da segurança da informação e fornecer treinamento adequado sobre as políticas e práticas de segurança.
Desafio: engajamento das equipes na realização dos treinamentos e consumo dos conteúdos de conscientização.
Benefício e caminho de implementação: com o apoio da alta liderança e uma boa estratégia de treinamento por camadas e públicos, os treinamentos promoverão transparência e trarão a importância do SGSI para que todos os membros da equipe compreendam seus papéis e responsabilidades em relação à segurança da informação. Assim, ficarão alinhados com os objetivos do Sistema de Gestão da Companhia.
Manutenção da Flexibilidade
Por fim, é importante lembrar que a implementação de um SGSI não deve comprometer a flexibilidade e adaptabilidade que são características essenciais do modelo ágil.
Desafio: implementação de um sistema flexível e sustentável.
Benefício e caminho de implementação: os processos de segurança devem ser projetados para permitir a rápida adaptação às mudanças nas necessidades do negócio e nos requisitos regulatórios, sem prejudicar a eficiência e a produtividade das equipes ágeis. E para isso, o PDCA é essencial, visando a melhoria contínua e checagem do SGSI.
Concluindo: embora a implementação de um SGSI em uma empresa que utiliza modelo ágil possa apresentar desafios, não é impossível alcançar uma integração bem-sucedida. O processo irá requerer uma abordagem cuidadosa, comprometimento da liderança, colaboração entre equipes e uma profunda compreensão das necessidades, valores, abordagem aderidas e do modelo de negócio. Ao superar esses grandes marcadores, a empresa poderá autenticar os seus processos com segurança da informação enquanto prioridade contínua, mesmo em um ambiente ágil e dinâmico.
** As opiniões aqui colocadas refletem minha opinião pessoal e não necessariamente a opinião da Compass UOL.