ISO/IEC Guide 51 – Safety aspects — Guidelines for their inclusion in Standards.

Hoje vamos conversar sobre a ISO/IEC Guide 51 – Safety aspects — Guidelines for their inclusion in Standards (Aspectos de segurança - Orientações para a sua inclusão em normas).

Atualmente (2011), está válida a segunda versão ISO/IEC GUIDE 51:1999(E), publicada em junho de 1999, em substituição à primeira versão,  ISO/IEC Guide 51:1990, publicada em março de 1990.

Esse guia fornece orientações para os elaboradores de “normas” para a inclusão dos aspectos de segurança nestes documentos.  Essas “normas” incluem as Normas Internacionais, Especificações Técnicas, Manuais de uso, etc.

Os termos e definições neste ISO/IEC Guide 51  limitam-se aos aspectos de segurança do risco, ou seja, com conseqüências indesejáveis ou negativas.  O ISO GUIDE 73:2009 traz termos mais amplos, considerando inclusive os chamados “riscos positivos”.

A ISO/IEC Guide 51 traz a definição de alguns termos importantes para o objeto desse Blog (gestão de riscos), dos quais eu destaco alguns: Segurança; Risco; Danos; Perigo; Situação perigosa; Evento danoso; Risco tolerável; Medida de proteção; Risco residual; Uso indicado e Mal uso previsível.

Esse guia recomenda que ao se escrever “normas” deve-se evitar o  uso das palavras “segurança” e ”segura” como adjetivos, porque elas podem ser interpretadas como uma garantia da inexistência de riscos.  A abordagem recomendada é substituir, sempre que possível, as palavras “segurança” e “segura” por uma indicação do objetivo. Por exemplo: usar “capacete de proteção”  em vez de “capacete de segurança”.

O guia, sabiamente, afirma que não existe  segurança absoluta, sempre existem os riscos residuais. A segurança é obtida através da redução do risco a um nível tolerável que é determinado pela busca do melhor equilíbrio entre o ideal de segurança absoluta e as condições reais de uso de um produto, processo ou serviço, e fatores como benefício para o usuário, custo-benefício e padrões sociais vigentes. Novas tecnologias e conhecimentos  podem levar a melhorias economicamente viáveis  que provoquem  reduções de riscos compatíveis com a utilização de um produto, processo ou serviço.

A ISO/IEC Guide 51, que traz orientações para a inclusão de aspectos de segurança em normas, orienta que a preocupação com segurança dos usuários esteja presente desde a concepção (design) do produto, processo ou serviço e traz alguns aspectos que devem ser observados ao se escrever as “normas” ou orientações de uso: 

a)   A quem é dirigida a norma?

b)   Quem vai usar essa norma  e como?   

c)   O que os usuários necessitam dessa norma?

d)   Que conhecimentos prévios os usuários dessa norma têm?

e)   Qual o histórico de acidentes ou incidentes?

f)    Como tem sido a experiência dos usuários desse produto, processo ou serviço?

g)   Quais as medidas disponíveis de proteção?

h)   Qual a utilização prevista e razoavelmente previsível má utilização?

i)    Qual a  capacidade de atuar sob as condições esperadas de uso?

Por fim, o guia orienta que os requisitos para medidas de proteção devem ser escritos em uma linguagem precisa e claramente compreensível e no idioma do local onde o produto, processo ou serviço será utilizado. Orienta ainda para que informações supérfluas ou desnecessárias sejam evitadas, pois tendem a diminuir o valor daquelas que são essenciais à segurança.

Bom. Só para concluir, informo que esse Guia não foi lançado no Brasil pela ABNT, ou seja, não temos ele traduzido oficialmente.

Até a próxima...

Para reflexão....

We all manage risk consciously or unconsciously

- but rarely systematically

(autor desconhecido...  por mim!)

Gestão de Riscos em Projetos.

Falar em projetos é falar de execução coordenada de atividades com objetivos definidos.  O gerenciamento de projetos (GP) é a aplicação de conhecimentos, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos seus requisitos (PMBOK 4ª Edição).

Uma das principais ações do GP é a busca do equilíbrio entre as restrições conflitantes do projeto. Essas restrições incluem: Escopo; Qualidade; Cronograma; Orçamento; Recursos e; Riscos. É fácil entender que esses fatores se relacionam de tal forma que se algum deles mudar, pelo menos um outro também será afetado.

Essa é uma visão mais complexa do GP, que antes trabalhava de modo geral com apenas três restrições: tempo, custo e qualidade. Era o chamado triângulo das restrições.

Agora podemos pensar em uma estrela de seis pontas:

Os riscos em um projeto decorrem da falta de informações relacionadas a eventos que impactam os propósitos do projeto. Essa incerteza sobre o que vai acontecer deve ser tratada de forma a estimular os riscos positivos e minimizar os riscos negativos ou seus impactos.

Então, os Riscos devem ser gerenciados de perto para garantir o sucesso do projeto. Esse gerenciamento dos riscos inclui os processos de planejamento, identificação, análise, monitoramento e resposta aos riscos (PMBOK 4ª Edição).

A gestão de riscos em projetos ganhou uma visibilidade e importância maior nos últimos anos. Um indicador dessa importância é a adoção por vários organismos internacionais (PMI, ISACA, IRM, etc.) de uma certificação profissional exclusiva para a gestão de riscos.

No caso do PMI – Project Management Institute – foi criada a certificação Risk Management Professional (PMI-RMP). Mais informações sobre essa certificação podem ser obtidas no site do PMI.

Por fim, prá não dizer que não falei das flores, e depois de ler o filósofo Jorge Vasconcellos, eu digo que o risco é inerente ao caminho e criar é em larga medida uma ação de enfrentamento aos riscos. Esse enfrentamento feito de forma intencional e organizada é o gerenciamento de riscos, que tanto falamos.

Até a próxima...

Segurança da Informação é Gestão de Riscos !

Hoje, muito se fala que vivemos na sociedade do conhecimento, ou sociedade da informação.  Nessa sociedade, a informação, como meio para geração de conhecimento para o indivíduo ou organização, desempenha papel fundamental para a produção e acumulação de riquezas.

No contexto desse blog, informação é qualquer conjunto de dados, imagens, textos e outras formas de representação, dotado de significado dentro de um contexto para uma pessoa ou organização. Ou, dito de outra forma, Informações são "estruturas significantes com a competência de gerar conhecimento no indivíduo, em seu grupo, ou à sociedade" *.

Atualmente, as informações são vistas e tratadas como objetos de valor. Essa percepção e atribuição de valor às informações deram origem a um novo campo de conhecimento e trabalho, chamado de segurança da informação.  A segurança da informação busca a preservação e agregação de valor de uma informação, protegendo-a de vários tipos de ameaças.


A gestão da segurança da informação visa assegurar a seleção e implementação de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas (ABNT ISO/IEC 27001).

O relacionamento entre os elementos motivadores da gestão da segurança da informação pode ser representado como na figura abaixo:



A segurança de uma informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca, por pessoas cujo objetivo seja furtar, destruir ou modificar tal informação, ou ainda por ameaças físicas ou naturais (enchentes, terremotos, etc.).

Pelo exposto, vê-se que a identificação e tratamento dos riscos são o cerne de todo processo de gestão da segurança da informação.

Nesse contexto, a gestão dos riscos na segurança das informações torna-se uma área relevante, pois:

"Aqueles que detêm o poder sobre os estoques institucionais de informação detêm também o poder sobre a sua distribuição e, conseqüentemente, sobre o conhecimento gerado nesta sociedade e o seu potencial de desenvolvimento (...) 

O produtor de informação, detentor dos estoques, decide sobre quais os itens de informação devem ser armazenados e quais as estratégias para a sua distribuição à sociedade. Decide, ainda, sobre o "empacotamento" tecnológico para a sua distribuição (...)

O detentor do poder sobre estes estoques (oferta) possui condições políticas de manipular a disponibilidade e o acesso à informação." (BARRETO,1996). *

Então, aprimorar a gestão de riscos é uma ação de interesse de todo os tipos de organizações e especialmente para aqueles envolvidos nos processos de Segurança da Informação.


Até a próxima...

* - veja http://revista.ibict.br/index.php/ciinf/article/download/466/425

Vocabulário para Gestão de Riscos.

Acredito que um bom tema para começo de conversa seja estabelecer o vocabulário comum para conversarmos sobre Gestão de Riscos (GR).

É bom estar em mente que quando estamos falando de gestão de riscos, estamos falando de gestão de ameaças à realização de seus objetivos (riscos negativos com conseqüências indesejáveis) e também de gestão de oportunidades potenciais (riscos positivos). Devemos estar atentos ao fato de que, no contexto da GR, as ameaças e oportunidades (riscos negativos e positivos) estão tanto no ambiente externo como no ambiente interno das organizações.

A Associação Brasileira de Normas Técnicas disponibiliza o documento ABNT ISO GUIA 73:2009 Gestão de Ricos - Vocabulário, onde ela fornece o vocabulário básico dos termos e conceitos da Gestão de Riscos. Esse documento é usado como referencia nas normas ABNT NBR ISO 31000 Gestão de Riscos – Princípios e diretrizes (norma genérica para a gestão de riscos) e a ABNT NBR ISO/IEC 27005 Gestão de riscos de segurança da informação.  A FERMA – Federation of European Risk Management Associations, formalmente declara utilizar a terminologia para risco definida na ISO/IEC Guide 73. O PMI, no  PMBOK Quarta Edição, não traz uma declaração formal de compatibilidade de conceitos ao ISO/IEC Guide 73 (vale a pena um estudo comparativo, quem se propõe ?).

Pelo exposto, é uma boa medida tomar as definições do Guia 73 da ABNT e complementar esse vocabulário para aplicações particulares. Esse Guia define 50 termos de Gestão de Riscos, agrupados em três seguintes categorias: 1) Termos relativos ao risco; 2) Termos relativos à Gestão de Riscos; 3) Termos relativos ao processo de Gestão de Riscos (contexto, identificação, análise, avaliação, tratamento e comunicação).

O objetivo desse Guia foi fazer com que profissionais de diversas áreas possam falar a mesma linguagem e se entenderem, quando o assunto for Gestão de Riscos.

Bom, espero ter sensibilizado o leitor a dar uma lida no Guia 73 (http://www.abntcatalogo.com.br/norma.aspx?ID=57312).

Se você quer já ter uma noção preliminar desses termos, então eu sugiro dar uma olhada na página  http://www.transportabrasil.com.br/2009/10/nbr-iso-31000-gestao-de-riscos-principios-e-diretrizes onde o articulista Teanes Silva relaciona termos e definições da Gestão de Riscos.

Até a próxima...

Já pensou se essa turma não usasse o mesmo vocabulário?

Lançando a primeira pedra...

Então...

Ulrich Beck afirma que perigos e riscos acompanham a história do homem desde o seu início e que o risco é um fenômeno onipresente em toda ação humana, ele aponta a emergência da Sociedade de Risco.

Do ponto de vista das organizações, podemos dizer que decisões erradas ou riscos mal calculados podem gerar conseqüências muito onerosas (custos judiciais, recalls, multas e indenizações, prejuízos de imagem, etc.). Gerenciar uma organização é também gerenciar riscos (ameaças e oportunidades), de tal forma que hoje a Gestão de Riscos Corporativos (GRC) é uma área emergente nas empresas de boa governança que buscam ser pró-ativas na identificação e tratamento de riscos, buscando criar mecanismos para minimizar ou neutralizar ameaças e incertezas (riscos negativos) e maximizar as oportunidades (riscos positivos).

Hoje, muito se fala que vivemos na sociedade do conhecimento, ou sociedade da informação.  Nessa sociedade, a informação, como meio para geração de conhecimento para o indivíduo ou organização, desempenha papel fundamental para a produção e acumulação de riquezas. Nesse contexto a gestão dos riscos na segurança das informações torna-se uma área relevante.

Portanto, a gestão de riscos é uma área de grande interesse para as organizações e a sociedade de modo geral e aprimorar essa gestão é um esforço permanente de todos.

Esse Blog visa contribuir para a construção de uma abordagem geral para o tratamento dos riscos, aplicável em diversas áreas, especialmente na área de Gestão da Segurança da Informação e Gerenciamento de Riscos em Projetos.

Sintam-se a vontade para lançarem  Posts ou comentarem os existentes.


Esse primeiro Post é, talvez, apenas uma justificativa para a existência do Blog.  O interessante da vida é que estamos sempre ensaiando...  Participe!



Para começar um Blog de Gestão de Riscos, essa imagem está ótima. Essa foto inspira muita tranquilidade e poucos riscos, não é?