Quando surgem novas exigências legais que as empresas devem atender (SOX, PCI, Basiléia, etc...), começa uma nova fase nessas empresas.
Uma fase de profundas mudanças que mexem diretamente no dia a dia de toda empresa e muito mais na rotina de todos os colaboradores, parceiros e fornecedores envolvidos direta ou indiretamente com essas demandas.
Essas mudanças estão sempre acompanhadas de novos processos a serem seguidos e de grandes mudanças de comportamento, dessa forma, surgem os primeiros paradigmas corporativos. Vamos criar procedimentos e processos a serem seguidos, ou melhor, trabalhar na cultura coorporativa, isto é, enraizar as mudanças de forma cultural e racional a fim que todos sigam estes processos e procedimentos de forma mais natural e racional.
Conseguimos verificar nas empresas que todas essas mudanças vêm sempre acompanhadas de uma grande imposição para ser seguidas, ou melhor, a técnica do medo. Se tivermos algum issue ou não conformidade e empresa será punida com perda financeira ou problemas com a imagem coorporativa.
Grandes check-lists são criados para cada área e são cobrados a ferro e fogo pelas áreas de Auditoria ou Segurança de Informação, gerando assim demandas sazonais onde os check-lists são usados somente próximos das datas de auditoria e evidencias são geradas somente para atender exigências da auditoria, a fim de conseguir atender as demandas legais.
Empresas de consultoria na sua maioria vendem seus projetos baseados em horas/homens, isto é, quanto custa disponibilizar meus consultores em X horas para o projeto Y, e dessa forma constroem o seu valor versus o que será entregue para o cliente no final desse tipo de projeto. Dessa forma é criado o que chamo de “menor esforço pelo menor custo possível”. Dessa forma, distorções relacionadas à qualidade e controles são enormes.
Para o PCI Security Standards Council os 12 requerimentos básicos de segurança devem ser seguidos, assim algumas empresas rapidamente criam grandes check-lists e começam aplicá-los sem avaliar alguns pontos muitos importantes como: Cultura Organizacional, infra-estrutura Tecnológica existente, mercado de atuação da empresa, conhecimento técnico dos colaboradores, fornecedores e parceiros da empresa.
Sem essa avaliação prévia desses itens, seguir o check-list será um caminho muito mais árduo e gerador de conflitos altamente destrutivos, com controles temporários (controles que serão seguidos somente nos períodos de auditoria) e falhas de processos, pois são processos e controles totalmente impositivos sem uma razão racional para serem aplicados.
A empresa Tevora South America, por exemplo, utiliza uma metodologia que antes de implementar ou adequar qualquer novo controle em uma empresa, um estudo complementar deve ser elaborado para verificar possíveis distorções processuais ou de infra-estrutura, isto é, verificar possíveis falhas e gaps que possam ocorrer na implementação desses controles ou processos.
Essa abordagem minimiza futuros problemas com auditorias, pois implementar mudanças exige muito mais que simplesmente só comunicar aos envolvidos. Buscamos envolver toda a empresa, parceiros e fornecedores nesse processo de mudança e adequação, de forma que todos auxiliem na obtenção e sucesso da certificação exigida. O check list deve ser uma ferramenta para auxiliar na implementação dessa metodologia e não o produto final de PCI.
Obter um melhor entendimento do ambiente de negócios e tecnológico da empresa ajuda o consultor trazer um valor agregado aos negócios, melhorando a alocação dos recursos.
Uma correta abordagem nos processos de mudanças trará mais eficiência aos resultados, e serão mais aceitos por todos envolvidos nessa cadeia. A certificação vira uma conseqüência como resultado final e não a obsessão irracional que geram grande desgaste e insatisfação.