ISOs e Normas: O que São as Questões Externas e Internas?

Posted on By Categoria: Outros 1 comentário em ISOs e Normas: O que São as Questões Externas e Internas?

Uma das coisas que as normas têm em comum, além de gerenciamento de ativos e riscos, é a necessidade de elencar as Questões Externas e Internas que podem impactar a organização e desviá-la dos seus objetivos. Por exemplo, na ISO 9001 e na 27001, o tópico 4.1 fala sobre esse assunto.

Em inglês, o termo usado é External and Internal Issues e foi traduzido para o português como Questões Externas e Internas. Lembrando também que, enquanto em português a sigla usada para Sistema de Gestão da Segurança da Informação é SGSI, em inglês é usado ISMS(information security management system).

O item das normas que fala sobre essas questões apresenta requisitos para que a organização planeje e implemente o seu sistema(seja ele Sistema de Qualidade ou de Segurança ou outro qualquer), a partir da análise de objetivos estratégicos da empresa e requisitos e expectativas das partes interessadas. Os requisitos dessa cláusula são divididos em quatro tópicos, comentados a seguir.

Em particular, sempre ficava me perguntando sobre o que eram essas tais de questões. Depois de algumas leituras vi que esse item, que fala sobre questões, exige que a organização considere questões como as necessidades e expectativas das partes interessadas(como clientes, fornecedores e reguladores), o ambiente social, cultural, legal e tecnológico em que opera e os riscos e oportunidades que podem surgir dessas questões. Essas informações são usadas para estabelecer o escopo e os objetivos do SGSI, ou ISMS, e para desenvolver uma estratégia de gerenciamento de riscos. Assim, garantir que a organização adote uma abordagem abrangente e proativa para entender o contexto em que opera, para que possa gerenciar com eficácia os riscos de segurança da informação e proteger a confidencialidade, integridade e disponibilidade de suas informações.

A ISO 31000

Essas questões Internas e Externas são criadas baseadas no que pede a ISO 31000 (uma ISO para gestão de riscos).

Seguem trechos retirados da ISO 31000 que fala sobre tais questões:

Estabelecimento do contexto externo

O contexto externo é o ambiente externo no qual a organização busca atingir seus objetivos.

Entender o contexto externo é importante para assegurar que os objetivos e as preocupações das partes interessadas externas sejam considerados no desenvolvimento dos critérios de risco. O contexto externo é baseado no contexto de toda a organização, porém com detalhes específicos sobre requisitos legais e regulatórios, percepções de partes interessadas e outros aspectos dos riscos específicos para o escopo do processo de gestão de riscos.

O contexto externo pode incluir, mas não está limitado a:

  • ambientes cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local;
  • fatores–chave e tendências que tenham impacto sobre os objetivos da organização; e
  • relações com as partes interessadas externas e suas percepções e valores.

Estabelecimento do contexto interno

O contexto interno é o ambiente interno no qual a organização busca atingir seus objetivos.

Convém que o processo de gestão de riscos esteja alinhado com a cultura, processos, estrutura e estratégia da organização. O contexto interno é algo dentro da organização que pode influenciar a maneira pela qual uma organização gerenciará os riscos. Convém que ele seja estabelecido, porque:

  • a gestão de riscos ocorre no contexto dos objetivos da organização;
  • convém que os objetivos e os critérios de um determinado projeto, processo ou atividade sejam considerados tendo como base os objetivos da organização como um todo; e
  • algumas organizações deixam de reconhecer oportunidades para atingir seus objetivos estratégicos, de projeto ou de negócios, o que afeta o comprometimento, a credibilidade, a confiança e o valor organizacional.

É necessário compreender o contexto interno. Isto pode incluir, mas não está limitado a:

  • governança, estrutura organizacional, funções e responsabilidades;
  • políticas, objetivos e estratégias implementadas para atingi-los;
  • capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);
  • sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
  • relações com as partes interessadas internas, e suas percepções e valores;
  • cultura da organização;
  • normas, diretrizes e modelos adotados pela organização, e
  • forma e extensão das relações contratuais.

Exemplos Questões Externas e Internas

Sei que ainda fica muito confuso essa explicação e, por isso, deixo abaixo exemplo para clarear nosso entendimento.

Cito exemplos a seguir levando em conta a ISO 27001 que discorre sobre tecnologia. Então, tenha mente isso: são exemplos sobre tecnologia.

Questões Externas:

  • Mudanças na tecnologia que podem impactar a segurança da informação da organização
  • Alterações nas leis e regulamentos relacionados à segurança da informação, privacidade de dados ou proteção de dados
  • Concorrentes ou agentes de ameaças que podem estar visando os ativos de informação da organização
  • Fatores econômicos, políticos ou sociais que podem afetar a capacidade da organização de manter seu SGSI
  • Mudanças nos requisitos ou expectativas do cliente relacionadas à segurança da informação

Questões Internas:

  • Mudanças na estrutura da organização, como fusões, aquisições ou reestruturações
  • Alterações nos processos de negócios da organização que podem afetar a segurança de seus ativos de informação
  • Alterações na infraestrutura de tecnologia da organização, como atualizações ou migrações
  • Mudanças nas funções e responsabilidades dos funcionários ou contratados que têm acesso aos ativos de informação da organização
  • Mudanças no perfil de risco ou apetite de risco da organização com relação à segurança da informação.

Swot

Uma coisa comum é o uso de uma ferramenta chamada de Swot para usar como gerenciador de Questões Externas e Internas. Se a roda existe não precisamos reinventá-la, não é mesmo? Então o uso de uma ferramenta já usada amplamente nos alivia e evita a necessidade de criar algo novo.

O termo SWOT é uma sigla oriunda do idioma inglês, e é um acrônimo de Forças (Strengths), Fraquezas (Weaknesses), Oportunidades (Opportunities) e Ameaças (Threats).

Segundo a Wikipedia:

Análise SWOT ou Análise FOFA (Forças, Oportunidades, Fraquezas e Ameaças em português) é uma técnica de planejamento estratégico utilizada para auxiliar pessoas ou organizações a identificar forças, fraquezas, oportunidades, e ameaças relacionadas à competição em negócios ou planejamento de projetos

wikipedia

Usar a sigla FOFA fica estranho 🙂 vamos manter o SWOT. Trata-se de uma tabela(ou matriz) então chamar de Matrix FOFA ou Matriz Swot é algo comum para alguns usuários.

Estas análises de cenário se dividem em:

Ambiente interno (Forças e Fraquezas) – Integração dos Processos, Padronização dos Processos, Eliminação de redundância, Foco na atividade principal

Ambiente externo (Oportunidades e Ameaças) – Confiabilidade e Confiança nos dados, Informação imediata de apoio à Gestão e Decisão estratégica, Redução de erros.

Ainda segundo a Wikipedia:

As forças e fraquezas são determinadas pela situação atual da empresa e relacionam-se, quase sempre, a fatores internos. Estas são particularmente importantes para que a empresa rentabilize o que tem de positivo e reduza, através da aplicação de um plano de melhoria, os seus pontos fracos. Já as oportunidades e ameaças são antecipações do futuro e estão relacionadas a fatores externos, que permitem a identificação de aspectos que podem constituir constrangimentos (ameaças) à implementação de determinadas estratégias, e de outros que podem constituir-se como apoios (oportunidades) para alcançar os objetivos delineados para a organização.

wikipedia

Esperto que tenha entendido e gostado da explicação.

Normas e ISOs Tags:, ,

Comment (1) on “ISOs e Normas: O que São as Questões Externas e Internas?”

  1. Pingback: Normas e ISO: O que é Segurança da Informação? - Categoria Outros

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Share via
Facebook
Twitter
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied