Então e agora? As normas ajudam ou não?

Estamos em estado de emergência. Temos de agir, já! Amanhã é tarde!

Pois, mas estão as organizações preparadas para agir já? E se uma situação de crise estivesse já pensada? Será possível ter uma planificação para o fazer?

Uma crise não ocorre com muita frequência (e uma pandemia menos ainda) e seria de esperar que, em circunstâncias imprevisíveis, as regras teriam que ser ajustadas ao momento e às suas circunstâncias - no entanto, a ISO 22301, ISO 27001, ISO 9001 e ISO 45001 são sistemas estruturados, com métodos de avaliação preventiva suportados em avaliação de risco, que podem ser aplicados efetivamente, mesmo em situações adversas.

A ISO 22301 é a norma que descreve a forma como desenvolver um Sistema de Gestão da Continuidade do Negócio – estabelece que se deve avaliar os riscos que podem interferir na operação e na sua cadeia de fornecimento, analisar a rapidez com que se pode (ou deve) recuperar para evitar grandes danos e quais os recursos necessários para uma recuperação. Com base nesta informação, é necessário procurar soluções que permitam recuperar e desenvolver um plano de continuidade do negócio para uma situação de crise (incluindo uma pandemia).

Desta forma, para assegurar a continuidade das operações, é necessário analisar quais pessoas, equipamentos, dados, matérias-primas, terceiros, etc., que são necessárias e com que rapidez, definir como podem ser obtidas e descrever as etapas para começar a usar. Para isso, é necessário executar a avaliação de riscos e a análise de impacto no negócio, desenvolver a estratégia de continuidade do negócio.

ISO/IEC 27001 é a norma que descreve a forma de como desenvolver o Sistema de Gestão de Segurança da Informação – estabelece que é necessário identificar o potencial de ocorrência de incidentes e depois definir que tipo de salvaguarda é necessário implementar para evitar violação de dados.

Portanto, para os funcionários que trabalham em casa, é necessário analisar que tipo de incidentes podem ocorrer com os dados armazenados nos seus computadores e partilhados pela Internet. Depois de identificados os dados relevantes, podem ser decididas medidas preventivas (utilização de VPN, senhas complexas, criptografar dados, usar apenas serviços em nuvem pré-aprovados, fazer backup regularmente dos dados etc). Por fim, deve-se documentar estas regras através de políticas e procedimentos, sendo esta uma amostra de uma política de segurança de TI.

A ISO 9001 é a norma que descreve a forma como desenvolver o Sistema de Gestão da Qualidade - entre outros requisitos, deve ser assegurada a continuidade da qualidade do produto e do serviço, assim como estabelecer a formação necessária da equipa para a execução das suas tarefas ou em substituição na ausência.

Assim, deve ser analisada a necessidade de competências para situações de crise, que pode incluir a execução de tarefas que anteriormente não seriam necessárias. Para fornecedores e parceiros, é necessário desenvolver critérios claros para poder selecionar apenas aqueles que se encontrem aptos a assegura a cadeia de fornecimento.

A ISO 45001 é a norma que descreve a forma como desenvolver um Sistema de Gestão de Saúde e Segurança no Trabalho (SGSST) que permite ir além do cumprimento da legislação em vigor para a saúde e segurança de forma a melhorar a saúde e segurança no seu local de trabalho.

Provavelmente, os requisitos mais relevantes que podem ajudar numa situação de crise (por exemplo de uma pandemia) são os que permitem identificar perigos e riscos associados, para que estes possam ser controlados de forma a assegurar as condições de saúde e segurança. A utilização de ferramentas adequadas permitirá a melhoria da confiança da equipa interna, assim como das suas relações com o exterior (nomeadamente os clientes e fornecedores).

Sim, na verdade as normas ajudam e a abordagem aqui retratada é um exemplo que poderá naturalmente ser ajustado à realidade de cada empresa. A capacidade de cada empresa para enfrentar uma crise depende de inúmeros fatores, no entanto, a existência de planos pré estruturados, de meios adequados e de uma equipa preparada, ajudará com certeza na redução do seu impacto na organização.

Na B.PLY estamos prontos! Podemos apoiar a sua empresa nestas áreas para assegurar que no futuro as situações de crise sejam ultrapassadas de forma diferente.