Numa época de ameaças digitais em rápida evolução, uma cultura de melhoria contínua é crucial para uma segurança da informação eficaz. As empresas não se podem contentar com um inventário de riscos único ou uma pilha de políticas de segurança; precisam de aperfeiçoar constantemente os seus processos. O ciclo Planear-Fazer-Verificar-Agir (PDCA) - frequentemente designado por Planear, Fazer, Verificar, Agir, ou Planear, Executar, Verificar, Ajustar - fornece uma abordagem estruturada para o fazer. Este ciclo PDCA está no centro de muitos programas de qualidade e segurança e é explicitamente recomendado em normas como a ISO 27001 para a segurança da informação.
- Planeamento**: estabelecer objectivos e planos para melhorias (por exemplo, novas medidas de segurança) e definir critérios de medição.
- Fazer**: executar os planos - implementar o controlo ou a alteração.
- Check: medir e avaliar os resultados; as mudanças estão a ter o efeito pretendido?
- Atuar**: assegurar melhorias bem sucedidas ou ajustar quando necessário.
É crucial que não se trate de um processo pontual, mas sim de um ciclo contínuo. Tal como um círculo, o PDCA nunca termina - após a fase de agir, começa-se a planear novamente, assegurando uma melhoria contínua. Garante que a sua organização está a fazer um pouco melhor todos os dias.
Melhoria contínua com PDCA na segurança da informação
A segurança da informação beneficia da mesma filosofia de melhoria contínua que outras disciplinas. O Regulamento Geral sobre a Proteção de Dados (RGPD), por exemplo, menciona mesmo este mecanismo! No caso da segurança da informação, o ciclo PDCA (Plan-Do-Check-Act) é uma parte essencial da norma de segurança da informação ISO 27001. As organizações que aplicam a norma ISO 27001 devem utilizar um sistema de gestão da segurança da informação (SGSI) baseado no ciclo PDCA. Este sistema ajuda as organizações a melhorar e adaptar continuamente as suas medidas de segurança da informação a novos riscos e requisitos
As ameaças mudam constantemente e surgem novas vulnerabilidades; uma organização que fica parada rapidamente fica para trás. O ciclo PDCA impõe uma abordagem estrutural e iterativa: após a implementação de medidas de segurança, segue-se o controlo (por exemplo, através de auditorias, monitorização ou análise de incidentes) e, em seguida, o ajustamento das políticas e medidas com base nos resultados. Deste modo, evita-se ficar preso a um nível de segurança medíocre ou deixar por resolver vulnerabilidades conhecidas. As análises dos especialistas mostram que, sem este ciclo de feedback, muitas equipas ficam paralisadas depois de implementarem algumas “vitórias rápidas” - as pessoas não têm a certeza de quais os controlos adicionais que acrescentam valor e quais os que são apenas burocracia. Ao medir as experiências (a fase de verificação), a equipa aprende quais as medidas que são realmente eficazes. Isto permite-lhes concentrarem-se nas medidas de segurança que comprovadamente geram valor, em linha com os objectivos da empresa.
A concretização deste processo inclui avaliações de risco regulares, auditorias internas, análises da gestão e a implementação de acções de melhoria. Idealmente, isto faz com que a segurança da informação não seja um projeto isolado, mas um processo contínuo com um lugar fixo na organização (por exemplo, através de uma equipa ou comité de segurança permanente).
PDCA no papel versus na prática
Embora o ciclo PDCA pareça simples no papel e esteja muitas vezes bem explicitado nas políticas, na prática nem sempre corre bem. Algumas organizações têm um manual do SGSI e um plano de auditoria anual, mas não utilizam realmente o ciclo para melhorar a sua segurança. Uma armadilha comum é o facto de a segurança da informação degenerar num exercício de cumprimento da conformidade, sem afetar as operações do dia a dia. Parece bom** no papel, mas se o ciclo PDCA for seguido apenas pro forma, continua a ser um pensamento linear em vez de uma verdadeira iteração.
É frequente ouvir dizer que a segurança informática não deve tornar-se um exercício meramente administrativo. A segurança informática deve reforçar o negócio e não se tornar apenas uma tarefa burocrática que apenas cumpre as diretrizes. O que me surpreende é que este se torna o argumento para deixar passar as coisas. Por outras palavras, uma política pode ser muito bem escrita - se não houver um acompanhamento concreto dos controlos e das acções, não se verificam melhorias e a organização não se torna realmente mais segura. Pior ainda, continua-se a repetir os mesmos erros, a utilizar as mesmas soluções desorganizadas e a ver a segurança da informação como um custo ou um incómodo.
Exemplos práticos confirmam este facto. Por exemplo, vejo regularmente que as empresas têm documentos e procedimentos de política (por exemplo, para resposta a incidentes ou gestão de acessos) mas que, na azáfama da vida quotidiana, não são rigorosamente cumpridos ou avaliados. Em auditoria, fala-se de intenção, existência e funcionamento por uma razão. Mas, na prática, continua a haver por vezes um desfasamento entre a intenção, a existência e o funcionamento.
O teste regular das medidas (por exemplo, através de testes internos ou simulações) é então omitido, ou os resultados não conduzem a ajustamentos. Este facto compromete o princípio PDCA. Uma auditoria anual, por exemplo, pode produzir repetidamente as mesmas constatações sem as corrigir estruturalmente - um sinal de que a fase Act está a falhar. Sem um ciclo de melhoria vivo, os programas de segurança tornam-se rapidamente estáticos e vulneráveis. Para que o PDCA funcione realmente, é necessário o empenho tanto da gestão como dos responsáveis pela implementação: a gestão deve apoiar e lançar melhorias, enquanto a equipa de implementação deve medir e aprender ativamente. Só assim o ciclo ganhará vida e resultará numa qualidade cada vez maior da segurança da informação.
Aprender com outros sectores: a aviação como exemplo
Outros sectores com uma forte ênfase na segurança têm vindo a utilizar mecanismos de melhoria contínua há décadas. A indústria da aviação é considerada um excelente exemplo: voar é hoje extremamente seguro, o que se deve em parte a ciclos de melhoria sistemática após incidentes e a medidas proactivas. Alguns exemplos reveladores:
- Gestão dos recursos da tripulação (CRM)** - Nas décadas de 1970 e 1980, a aviação introduziu a formação em CRM para as tripulações de cabina, em resposta a alguns acidentes graves que envolviam um trabalho de equipa e uma comunicação deficientes. Anteriormente, o comandante era considerado a autoridade máxima, o que por vezes conduzia a erros, uma vez que os co-pilotos hesitavam em intervir. O CRM ensinou às equipas de cockpit a comunicar melhor, a partilhar a tomada de decisões e a responsabilizarem-se mutuamente por eventuais erros. Atualmente, o CRM é obrigatório para os pilotos das companhias aéreas comerciais em todo o mundo. Este facto salvou, sem dúvida, vidas: o famoso piloto Capitão Al Haynes atribuiu à formação em CRM a aterragem bem sucedida do avião danificado do voo 232 da United Airlines em 1989 - sem ela, a coordenação da equipa teria provocado muito mais vítimas. O CRM provou ser tão eficaz na redução do erro humano que o modelo foi adotado noutras áreas, como a cirurgia e a medicina de emergência. A formação contínua e o aperfeiçoamento destas competências não técnicas é uma forma de melhorar continuamente a cultura de segurança da aviação.
- Listas de verificação obrigatórias para pilotos e técnicos** - A aviação tem uma cultura em que nenhum passo é demasiado trivial para ser verificado. As listas de controlo são uma medida simples mas crucial para uma operação consistente e sem erros. Este princípio foi introduzido, por exemplo, depois de um protótipo do Boeing Modelo 299 (precursor do bombardeiro B-17) se ter despenhado em 1935, porque a tripulação se esqueceu de uma operação simples (desbloquear os lemes) - o avião era tão complexo que “os pilotos já não conseguiam fazer todos os passos de cor”. Em resposta, criaram listas de verificação para a descolagem, o voo e a aterragem, que passaram a ter de ser seguidas sempre. Desde então, as listas de controlo são indispensáveis. Todos os pilotos - desde o piloto desportivo ao comandante de voo de linha - trabalham com listas normalizadas para cada fase do voo. Isto reduz drasticamente a possibilidade de acções esquecidas e garante que, mesmo sob stress (pense numa emergência), nada de essencial é ignorado. A utilização de listas de verificação aumenta a consistência e detecta os erros de memória humana, contribuindo diretamente para a segurança. Por outro lado, estudos sobre catástrofes mostram que, quando a tripulação comete erros cruciais, muitas vezes a lista de verificação foi ignorada. Os engenheiros de manutenção também trabalham com protocolos rigorosos de listas de verificação, para se certificarem de que, por exemplo, após um serviço de manutenção, todos os parafusos são reapertados com o binário correto e não se esquecem de nenhum passo. Avaliar e melhorar constantemente estas listas de verificação (por exemplo, em resposta a investigações de incidentes) é também uma prática do tipo PDCA: se alguma coisa correr mal, a lista de verificação relevante é revista para evitar a recorrência.
- Manutenção preventiva e substituição de componentes (fadiga metálica)** - Os ciclos de melhoria técnica são igualmente importantes. Cada componente de uma aeronave tem um determinado tempo de vida útil e é frequentemente substituído antes de falhar, para minimizar os riscos. Esta prática decorre, entre outras coisas, dos ensinamentos sobre a fadiga do metal. Na década de 1950, o primeiro avião a jato de passageiros (o De Havilland Comet) sofreu acidentes fatais devido à fadiga do metal na fuselagem. Desde então, o conhecimento profundo da fadiga dos materiais passou a fazer parte do processo de conceção, inspeção e manutenção. As aeronaves são submetidas a inspecções periódicas pormenorizadas (por exemplo, ensaios não destrutivos para deteção de fissuras) e têm calendários rigorosos de revisão. Os fabricantes e os reguladores estabelecem limites operacionais: após um determinado número de horas de voo ou de ciclos de descolagem e aterragem, um componente deve ser substituído ou uma aeronave deve ser retirada de serviço. Isto evita proactivamente acidentes devido ao desgaste. Trata-se de um mecanismo de melhoria contínua, uma vez que os limites são constantemente ajustados com base na experiência e na investigação. Cada vez que se descobre uma fissura ou um defeito, são introduzidos ajustamentos: intervalos de inspeção mais curtos, materiais melhorados, alterações de conceção ou novas instruções de manutenção. Considere-se o incidente da Aloha Airlines em 1988, em que a fadiga metálica provocou a rutura de parte da fuselagem; isto precipitou a introdução de regimes de inspeção rigorosos para as aeronaves mais antigas. Este sistema de precaução e aprendizagem reduziu consideravelmente o risco devido à fadiga dos materiais. O pessoal de manutenção recebe formação contínua e os procedimentos são actualizados - um exemplo prático de PDCA: planear (estabelecer o calendário de manutenção), fazer (efetuar a manutenção), verificar (analisar os resultados da inspeção, investigar incidentes) e agir (ajustar os calendários ou a conceção para evitar problemas futuros).
O fio condutor destes exemplos de aviação é a melhoria contínua: cada erro ou quase-falha é motivo para ajustar os procedimentos, a formação ou a técnica. O resultado é uma estatística de segurança impressionante, conseguida através da constante passagem pelo feedback loop e da criação de uma cultura em que todos, desde o mecânico ao piloto, aceitam os melhoramentos. O ciclo PDCA faz parte de uma cultura madura.
Indústria farmacêutica: melhoria contínua para a qualidade e segurança
A melhoria contínua é também um conceito central na indústria farmacêutica, embora com nomes diferentes. Este sector está sujeito a uma regulamentação rigorosa (pense nas BPF - Boas Práticas de Fabrico), precisamente para garantir a qualidade e a segurança dos medicamentos. Isto requer um ciclo contínuo de medição e melhoria. Por exemplo, as empresas farmacêuticas têm sistemas de CAPA (Ação Corretiva e Preventiva): para cada desvio no processo de produção ou para cada reclamação sobre um produto, primeiro intervêm corretivamente e depois preventivamente analisam a forma de evitar a recorrência - uma abordagem muito semelhante à PDCA (planeia-se acções de melhoria, implementam-se, verifica-se a eficácia e assegura-se a segurança).
Um mecanismo fundamental é o sistema abrangente de gestão da qualidade, no qual o feedback é recolhido a todos os níveis. Por exemplo, durante a produção, os lotes de medicamentos são continuamente testados (em linha ou através de amostras no laboratório). Se uma medida de qualidade estiver fora das especificações, inicia-se todo um processo de análise e melhoria. Isto pode levar a ajustamentos no processo, formação adicional para os funcionários ou mesmo alterações na conceção do produto. A investigação mostra que, nos sectores farmacêutico e dos cuidados de saúde, é necessário dar ainda mais ênfase à melhoria contínua para lidar com problemas complexos - o que implica reforçar a garantia de qualidade regular com técnicas de melhoria, para que os funcionários possam abordar estruturalmente os problemas do processo e não os individuais. Por outras palavras, cultivar uma cultura em que cada desvio é uma oportunidade de melhoria está no ADN das principais empresas farmacêuticas.
Exemplos concretos mostram como isto pode ser eficaz. As empresas farmacêuticas, por exemplo, aplicam o Lean e o Six Sigma para otimizar continuamente os seus processos. A Pfizer, uma das maiores empresas farmacêuticas do mundo, lançou um programa de melhoria em meados da década de 2000 para reduzir drasticamente o tempo de produção e distribuição do medicamento Lipitor, que reduz o colesterol. Através da análise do fluxo de valor e da eliminação de estrangulamentos, conseguiram reduzir o tempo total de entrega em 75% em dois anos. Isto significa que os doentes receberam os seus medicamentos mais rapidamente e que a Pfizer conseguiu funcionar de forma mais eficiente - uma situação em que todos ganham com a melhoria contínua. Outro exemplo é a introdução generalizada de tecnologias de análise de processos e monitorização em tempo real na produção farmacêutica, de modo a que possam ser feitos ajustamentos imediatos em caso de desvio dos parâmetros. No passado, os problemas de qualidade só eram descobertos na inspeção final; agora aprendemos durante o processo e podemos tomar medidas imediatas.
Na indústria farmacêutica, tal como na aviação, a segurança é a força motriz. Cada recolha de um medicamento ou cada erro de produção descoberto desencadeia um extenso ciclo PDCA: desde a investigação (Planear o que melhorar), a implementação de medidas corretivas (Fazer), a verificação através de auditorias e testes adicionais (Verificar) até aos ajustamentos dos processos normalizados e à formação (Agir). Além disso, os farmacêuticos efectuam periodicamente revisões de gestão dos seus sistemas de qualidade, em que são analisadas as tendências dos desvios e das reclamações e são elaborados planos de melhoria. Graças a esta abordagem, os medicamentos têm hoje uma qualidade muito consistente e os incidentes graves de produção são relativamente raros - e quando ocorrem, toda a indústria aprende com eles (através de orientações partilhadas, actualizações da farmacopeia, etc.). Neste domínio, a melhoria contínua é literalmente vital para a segurança dos doentes. O efeito secundário: o melhor funcionamento dos sistemas e processos, combinado com a eficiência, leva a que a sua situação seja melhor, em vez de se limitar a ter um custo.
Paralelos e lições para a segurança da informação
Os exemplos da aviação e da indústria farmacêutica mostram que uma cultura de melhoria estrutural oferece enormes benefícios em termos de segurança e eficácia. E embora a segurança da informação seja um domínio diferente, os princípios subjacentes são muito semelhantes. Algumas lições importantes e paralelos:
- Cultura e comportamento humano:** Tanto o CRM no cockpit como a cultura de qualidade na indústria farmacêutica têm a ver com o facto de as pessoas se sentirem livres para levantar e resolver problemas. O mesmo se passa com a segurança da informação: uma cultura de comunicação aberta de incidentes ou quase-incidentes de segurança (por exemplo, um funcionário que quase clicou numa ligação de phishing, mas comunica o facto) cria oportunidades de aprendizagem. Se os empregados esconderem os erros por medo de sanções, essa valiosa informação Check perde-se. Incentivar a cooperação entre a administração, o pessoal de segurança de TI e os utilizadores finais (tal como o CRM incentiva o trabalho de equipa entre o capitão e o copiloto) garante que os sinais são captados a tempo e que as melhorias são conhecidas por todos. A formação também desempenha um papel importante: as sessões regulares de sensibilização para a segurança para o pessoal e os exercícios para as equipas de TI (como os exercícios de planos de emergência) podem ser comparados à formação anual obrigatória em CRM para os pilotos. Mantêm a sensibilização para a segurança e aperfeiçoam continuamente as competências. Isto vai para além de um momento anual de sensibilização.
- Procedimentos e listas de verificação:** A segurança da informação pode beneficiar diretamente do “pensamento de lista de verificação” da aviação. Os processos complexos de TI - por exemplo, a implementação de novos servidores ou a resposta a um incidente cibernético - prestam-se bem a listas de verificação normalizadas para evitar que algo seja esquecido. Por exemplo, uma lista de verificação de gestão de patches (Planear: quais os patches, Fazer: implementar em teste, Verificar: monitorizar os sistemas, Agir: implementar em produção ou reverter) ou um manual de resposta a incidentes com acções passo a passo. Tal como os pilotos, as listas de verificação reduzem a probabilidade de erros em situações de stress. Mais importante ainda, estes procedimentos estão activos: após cada “voo” (leia-se: após cada incidente ou alteração significativa de TI), deve avaliar-se se o procedimento continua a ser suficiente ou se precisa de ser ajustado. Este feedback é semelhante à atualização de uma lista de verificação ou de um manual após um quase acidente. Um exemplo bem conhecido disto nas TI é a realização de um post-mortem após cada falha em grande escala, analisando o que correu mal e como evitá-lo no futuro - uma prática que incorpora exatamente a fase Verificar/Atuar do PDCA.
- Tecnologia e manutenção preventiva: O princípio da substituição atempada de componentes para evitar acidentes tem o seu análogo na segurança da informação. Neste caso, trata-se de eliminar atempadamente os sistemas ou componentes desactualizados que revelam vulnerabilidades. Tal como um avião é submetido a uma revisão completa após X horas de voo, uma empresa deve, por exemplo, retirar da produção software antigo que já não está a ser atualizado antes de causar um incidente. A correção de erros consiste em substituir/reparar eficazmente peças de software “gastas” (falhas de segurança) antes de serem exploradas. Também se pode considerar a gestão da capacidade e os testes de esforço como preventivos: evitar a “fadiga do metal” - em termos informáticos, os sistemas falham sob carga ou os ficheiros de registo ficam cheios. Através de medições contínuas (por exemplo, análises de vulnerabilidades, testes de penetração, monitorização do desempenho), descobre-se atempadamente onde está a ocorrer o desgaste e é possível planear acções. A margem de segurança que a aviação estabelece (substituir um componente muito antes do limite de rutura) é um bom exemplo para as TI: não esperar que ocorra uma violação de dados, mas melhorar com base em pequenos sinais (por exemplo, um aumento de incidentes de quase-phishing é um sinal para fazer formação adicional, mesmo antes de alguém cair efetivamente).
- A regulamentação e as normas como catalisadores: Tanto na aviação como na indústria farmacêutica, a regulamentação desempenha um papel importante na aplicação da melhoria contínua - basta pensar na comunicação obrigatória de incidentes aos reguladores ou na necessidade de cumprir normas cada vez mais rigorosas. Na segurança informática, assistimos a uma tendência semelhante com leis e regulamentos (AVG/GDPR, NIS2, normas ISO, etc.). No entanto, a lição é que a conformidade em si não é suficiente - tem de ser apoiada de forma substancial. Tal como uma companhia aérea não se limita a introduzir listas de verificação para cumprir a autoridade aeronáutica, mas sobretudo para manter os seus próprios voos seguros, uma empresa não deve apenas querer certificar-se pela ISO 27001, mas sobretudo utilizar o ciclo PDCA para se tornar verdadeiramente mais segura. Uma coisa não exclui a outra: uma boa regulamentação pode conduzir a uma melhoria contínua, desde que as organizações adoptem o seu espírito e não apenas a sua letra.
Por último, a comparação mostra que a segurança e a proteção são objectivos dinâmicos. Quer se trate de minimizar os acidentes de avião, de prevenir erros de produção de medicamentos ou de evitar ciberataques - ficar parado é andar para trás. A melhoria contínua através de um ciclo como o PDCA significa utilizar todos os acontecimentos, bons ou maus, para nos tornarmos mais inteligentes e mais fortes. Na segurança da informação, isto traduz-se em menos incidentes, deteção mais rápida, menor impacto e uma organização que é ágil na resposta a novas ameaças. O ciclo PDCA ajuda a criar uma organização que aprende: uma organização que tira lições de cada incidente e ajusta as suas medidas de segurança em conformidade. Uma organização assim não só está comprovadamente em conformidade no papel, como também é, acima de tudo, resiliente na prática - e é disso que se trata, em última análise.