É comum ouvir expressões “Eu aprendo todos os dias” ou “Eu tenho a mente aberta para o aprendizado”. De fato, acredito que podemos aprender todos os dias, sejam com rotinas pessoais ou profissionais, ou com aquelas situações inesperadas que nos tiram o fôlego e nos fazem refletir e aprender na “marra”. Suponho que muitos de nós poderiam escrever um livro com os aprendizados obtidos durante a vida. Confesso que eu daria preferência aos romances e às estórias com finais felizes. Mas sabemos que muitos aprendizados são obtidos através de falhas, erros e incidentes. Sobretudo, aprendemos com as ações que tomamos para corrigir os erros. Para a Segurança da Informação não é diferente.
A norma ISO/IEC 27001:2013 possui um controle específico sobre o aprendizado obtido através dos incidentes de segurança da informação, que é o A.16.1.6: “Os conhecimentos obtidos da análise e resolução dos incidentes de segurança da informação devem ser usados para reduzir a probabilidade ou o impacto de incidentes futuros”. Nesse sentido, aprender com os incidentes de segurança da informação é evitar que algo igual ou pior aconteça, assim como, minimizar o impacto destas ocorrências no negócio.
Além disso, este tipo de conhecimento permite que as equipes troquem experiências (respeitados os aspectos de confidencialidade) e ajudem a prevenir a ocorrência de incidentes similares. Para isso, as organizações precisam identificar os seus gaps de treinamento, conscientização e até mesmo de diálogo entre os times. Sobre aprendizagem, Peter Senge afirma: “A aprendizagem em equipe é vital, pois as equipes, e não os indivíduos, são a unidade de aprendizagem fundamental nas organizações modernas. Este é um ponto crucial: se as equipes não tiverem capacidade de aprender, a organização não a terá”.
Concordo que hoje dispomos de muitas ferramentas para disseminar informações e conhecimento, entre elas, blogs, universidades corporativas, treinamentos presenciais e a distância, seminários, eventos, sites de organizações ligadas ao ramo da Ciência, Tecnologia e Inovação, entre outras. Mas, por outro lado, tenho receio de que muito conhecimento esteja sendo “ignorado” nas organizações pela falta de tempo, pela falta de paciência em ouvir o que o outro tem a dizer e a ensinar. Talvez pela correria do dia a dia ou mesmo pela ideia de “fazer tudo ao mesmo tempo agora” e, de alguma forma, o aprendizado ser prejudicado.
Outro fator que pode dificultar o aprendizado a partir de um incidente de segurança da informação é a falta de registro ou evidência para o devido tratamento e/ou tomada de decisão. Esta necessidade também é observada nos Sistemas de Gestão da Qualidade, conforme o princípio: Tomada de decisão com base em evidência.
Para finalizar este artigo, volto a citar Peter Senge: “As organizações que realmente terão sucesso no futuro serão aquelas que descobrirem como cultivar nas pessoas o comprometimento e a capacidade de aprender em todos os níveis da organização”. Considero a afirmação acima um desafio e tanto. E você, concorda comigo?
Fontes:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 9000: Sistemas de gestão da qualidade – Fundamentos e vocabulário. Rio de Janeiro, 2015.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.
SENGE, Peter M. A quinta disciplina: a arte e a prática da organização que aprende. Tradução: Gabriel Zide Neto. 29. ed. Rio de Janeiro: BestSeller, 2013.
