Infelizmente a maioria das organizações tratam incidentes como incidentes, e assim, termina a ocorrência: "Afinal a febre baixou"
Como eu disse em um artigo anterior, "Crises são gerenciadas. Problemas são resolvidos." É obrigatório que todo e cada incidente e consequentemente toda e cada crise, após ser gerenciada, "após a febre baixar" seja transformada formalmente em um problema. Com início, resolução e fim!
Gestão de Incidentes, Gestão de Crises e Gestão de Problemas fazem parte de um conjunto de controles que tem objetivo resolução daquilo que gerou a disrupção da normalidade do ambiente. Mas, somente o estágio do Problema vai identificar e resolver (de imediato ou planejado) a causa raiz.
Por que abrir um problema relacionado ao incidente?
- Porque somente um problema estuda a fragilidade de controle que permitiu gerar o incidente. Quando estamos durante um incidente, durante uma crise, o objetivo é minimizar o impacto negativo daquele momento no espaço mais curto possível, "de qualquer maneira", tipo desliga o antivírus, derruba toda a rede, e similar. Queremos parar o caos. Afinal "o presidente me ligou!"
- A gestão de incidentes, muitas e muitas vezes (não na sua organização, meu caro leitor) não registra adequadamente ou completamente o incidente. E tendo parado o incidente, aparentemente fica com a sensação que tudo foi resolvido. Pelo menos "até a próxima febre". Desta maneira, este dado (negativo) da área não aparece. "E alcançamos nossos KPIs!"
- A Gestão de Problemas registra, e somente é dado como encerrado um problema, se foi identificado a causa raiz e se foi implementada a solução definitiva do problema ou pelo menos a solução aceitável pela organização.
- A Gestão de Problemas deve ser conduzida por outra equipe (considerando o tamanho da organização) e desta maneira minimiza-se a possibilidade de uso do famoso "jeitinho" de não resolver a questão. Uma Gestão de Problemas adequada, gera relatórios gerenciais que o Corpo Diretivo pode acompanhar o quanto de problemas foram resolvidos ou ainda estão em solução.
- Uma solução paliativa de problemas possibilita gerar uma Carta de Risco referente ao problema, onde alguém do Corpo Diretivo vai assumir o risco pela não solução completa e definitiva do problema. Além do que toda Carta de Risco deve ter uma validade máxima de um ano, impedindo que uma fragilidade seja esquecida.
Por que a maioria das organizações não geram problemas a partir dos incidentes?
- Porque vai ficar registrado por mais tempo a fragilidade e a área não quer se expor negativamente.
- Porque é a mesma área que trata incidentes e problemas. Existe algum conflito de interesse, e o processo não anda.
- Porque não existe uma adequada Governança e Gestão exigindo Gestão de Incidente, Gestão de Crise e Gestão de Problemas.
- Porque não se quer.
- Porque ninguém obrigou.
- Porque ficamos sem problema!
Conclusão
Para que existam Gestão de Incidentes, Gestão de Crise e Gestão de Problemas é necessário que a organização decida por estes controles em regulamentos tipo Política de Segurança da Informação, assinada pela presidência. É necessário um Programa Estruturado de Segurança da Informação, Cibersegurança e Proteção da Privacidade alinhado com a Governança Corporativa, principalmente no Princípio da Sustentabilidade da organização.
Evidentemente existem muitas outras situações práticas sobre esta questão. Mas, em todas as situações precisamos transformar incidentes em problemas. Ou teremos incidentes recorrentes e eternos!
Podemos conversar sobre este tema. Abraços.
Edison Fontes, CISO at NAVA – Technology for business.
