Ciclo PDCA: perceba a importância dessa ferramenta para o setor de TI

Autor: Telium Networks
Publicação: 14/09/2018 às 01:53

O ciclo PDCA é uma das metodologias mais usadas para implementar melhorias contínuas em uma organização. Seus usos se estendem pelos processos de negócios mais comuns, tais como: 1) melhoria nos processos; 2) gerenciamento de qualidade; 3) controle de projetos; 4) acompanhamento de performance e 5) segurança da informação.

No post de hoje, vamos explicar o que o ciclo PDCA representa, como ele funciona e qual sua relação com a ISO 27000, que define os padrões do Sistema de Gestão da Segurança da Informação, considerada fundamental para redução de riscos, otimização dos processos e proteção dos dados da empresa. Acompanhe!

O que é o ciclo PDCA?

A sigla PDCA vem do acrônimo em inglês “Plan (Planejar), Do (Fazer), Check (Checar), Act (Agir)”, e também é conhecida como ciclo de melhoria contínua ou ciclo de Deming — em função do nome do autor da metodologia, Edwards Deming.

O ciclo PDCA é um diagrama de fluxo para otimizar um processo. Ele trabalha seguindo um conceito simples de planejar as mudanças (P), colocá-las em prática (D), checar se elas tiveram o efeito desejado (C) e, em caso positivo, institucionalizá-las (A). Em caso negativo, o ciclo PDCA também auxilia na identificação dos fatores que impediram o objetivo de ser alcançado.

Uma vez que o último estágio é concluído, deve-se retornar ao primeiro e repetir o método, daí o conceito de ciclo. Implementando a metodologia na empresa, as atividades do setor de TI poderão ser reavaliadas periodicamente para a incorporação de novas melhorias.

Como exemplo, imagine que você seja necessário promover um treinamento com os funcionários de um novo software que a empresa vai passar a utilizar. Para ficar mais simples, divida uma folha em quatro partes, sendo que cada será relativa a uma atividade do ciclo.

As atividades do projeto deverão ser divididas na etapa do ciclo correspondente a ela. Por exemplo: no P você pode colocar “preparar cronograma de treinamentos”; já no D, algo como “realizar atividades de treinamento do software”; “verificar se os funcionários entenderam os procedimentos” e “mensurar os avanços do projeto” ficariam no C; e “contratar mais profissionais qualificados no software” no A.

Qual a relação entre o ciclo PDCA e a segurança da informação da empresa?

A segurança da informação é padronizada por meio da família de normas ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Os mais variados frameworks como o ITIL, o COBIT, entre outros, também abordam o assunto, sempre com base nas normas ISO da família 27000.

Dentro dela, duas normas são as mais conhecidas, sendo:

  • ISO 27001: modelo focado em determinar, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação;

  • ISO 27002: estabelece o código de práticas para Segurança da Informação.

A ISO 27001 traz a abordagem da implementação de segurança da informação na empresa com base na estrutura do ciclo PDCA, seguindo os passos abaixo:

  • PLAN: entendimento dos requisitos e da necessidade de se ter uma política da segurança da informação;

  • DO: implementação e operação dos controles para gerenciamento dos riscos;

  • CHECK: monitoramento do desempenho e da eficácia da política de segurança da informação;

  • ACT: promoção da melhoria contínua.

Como implementar o ciclo PDCA?

As atividades para implantação do ciclo PDCA para assegurar conformidade com as normas ISO 27000 ficam divididas entre suas quatro etapas da seguinte maneira:

Planejamento

O primeiro passo é a definição do escopo e da política do Sistema de Gestão de Segurança da Informação (SGSI). Para isso, deve-se realizar uma abordagem de análise dos riscos que podem afetar a segurança dos dados e dos ativos da organização.

Nesta etapa, a metodologia deve ser definida, assim como os critérios para a aceitação de riscos e qual o nível aceitável destes. Independentemente da metodologia escolhida, ela deve assegurar que as análises/avaliações de riscos produzam resultados comparáveis e reproduzíveis. Além disso, todo o processo de análise e avaliação de risco deve estar documentado.

A avaliação dos riscos deve incluir as seguintes identificações:

  • identificação dos ativos e dos seus proprietários (inventário) e das ameaças que podem comprometê-los (causas potenciais de incidentes);

  • identificação das vulnerabilidades nos processos e dos impactos que a perda de integridade e confidencialidade podem causar nos ativos da empresa;

  • avaliação dos riscos, incluindo impacto para o negócio, probabilidade real de ocorrência de falhas e estimativa dos níveis de riscos;

  • determinação se os riscos são aceitáveis ou se requerem tratamento;

  • identificação e avaliação das opções para o tratamento de riscos, como a aplicação dos controles apropriados, medidas preventivas e transferência do risco (com a contratação de um seguro).

Implementação e operação do SGSI

Esse é o momento de implementar o plano de tratamento dos riscos elaborado na primeira etapa. Deve-se colocar em prática os controles selecionados e buscar uma forma de medir a eficácia deles.

Além disso, esse é o momento de implementar programas para conscientizar e treinar a equipe interna e de gerenciar as operações e os recursos do SGSI, garantindo a detecção e resposta imediata aos incidentes de segurança da informação.

Monitoramento e análise crítica do SGSI

Essa é a hora de checar se a implantação do Sistema de Gestão de Segurança da Informação está funcionando. Aqui, é o momento de executar os procedimentos de monitoramento e análise crítica da eficácia dos controles e da política de segurança.

Auditorias internas devem ser conduzidas para garantir a conformidade com as normas ISO 27000 e os planos de segurança devem ser atualizados considerando os resultados dos processos de avaliação e monitoramento. Nesse momento, é preciso estar atento a toda e qualquer ação que gere impacto na eficácia do desempenho do seu SGSI.

Manutenção e melhoria contínua do SGSI

Por último, o processo de “agir” mantém e melhora o Sistema de Gestão de Segurança da Informação por meio de ações preventivas e corretivas, com base nos resultados da revisão da gestão e reavaliação do escopo, da política de segurança e dos objetivos.

A última etapa do ciclo PDCA é o momento de institucionalizar as melhorias identificadas e testadas nas demais fases e executar as ações de prevenção e correção. Isso envolve a comunicação das ações de melhoria à empresa e confirmação de que a aplicação das novas metodologias surtiram o efeito desejado.

O ciclo PDCA é um método único que pode ser aplicado da mesma forma em qualquer empresa, de qualquer segmento. A grande diferença está no tamanho e na diversidade dos riscos de segurança aos quais uma organização está sujeita. Para atingir o sucesso com a metodologia, é preciso possuir uma ótima comunicação, liderança e profissionais comprometidos com as metas da organização.

Gostou de aprender a importância dessa ferramenta? Então, não perca tempo: siga nossa página no LinkedIn e no Facebook e acompanhe todos os nossos artigos!