“O mundo odeia mudança, porém é a única coisa que traz progresso” Charles F. Kettering (MACKENZIE, 2007).
Outra questão bastante importante e que merece a devida atenção do departamento de segurança é o impacto produzido no ambiente organizacional (estruturas estabelecidas) durante a implantação de qualquer tipo de medida de segurança, a qual deve ser encarada como uma mudança.
Do ponto de vista individual, mudanças em geral podem causar emoções e reações que vão do otimismo ao medo, podendo incluir ansiedade, desafio, resistência, ambigüidade, energia, entusiasmo, incapacidade, receio, pessimismo e motivação.
A mudança organizacional abrange a introdução de novos processos, procedimentos e tecnologias e se constitui do processo de reconhecer, guiar e administrar essas emoções e reações humanas, de modo a minimizar a queda de produtividade que geralmente acompanha as mudanças (Direction RH, 2007).
Gerenciamento de mudanças (Change Management) de TI tem o objetivo de permitir que as empresas se adaptem às transformações, controlem os processos e, assim, obtenham efetivamente os ganhos que esperam.
Normalmente o gerenciamento de mudanças é utilizado para garantir o menor impacto possível na troca de computadores, roteadores e sistemas de telefonia (INFO, 2004). Mas também vem sendo aplicada com foco em recursos humanos, já que pessoas são fundamentais no processo.
Cristhiane Quadros, da HP Consult, falando para a revista INFO Corporate disse que não dá para executar o gerenciamento da mudança sem cuidar com atenção do fator humano. Segundo a consultora o tripé tecnologia- processo-pessoas é importante para o sucesso do gerenciamento de mudança, principalmente as pessoas.
A preocupação com a satisfação do funcionário ajuda a atingir os resultados de negócios esperados. É por isso que a equipe de Change Management deve "vender" a idéia da mudança para o funcionário de forma eficiente (INFO, 2004).
Para MACKENZIE (2007), as mudanças podem ser mais aceitas ou menos aceitas pelos indivíduos na organização. Uma mudança adaptativa pode
ser menos ameaçadora por parecer familiar, ao passo que uma mudança inovadora (não familiar) traz ansiedade – inquietação.
O autor supracitado alerta aos executivos de que em organizações com forte cultura corporativa, profundamente arraigada com valores que guiam comportamentos, as mudanças podem não obter o apoio necessário durante sua implantação. Quando isto acontece, o executivo deve promover a substituição de pessoal chave dentro deste processo e se pronunciar claramente sobre os objetivos da mudança, e em determinados casos, adequar a mudança ao esquema de valores aceito pela organização.
O processo de instalação de um novo controle de segurança, seja ele tecnológico ou não-tecnológico, traz sempre algum risco que pode impactar o andamento das atividades na organização.
A implantação de uma nova medida de segurança tem dois momentos distintos: o da medida em si junto à comunidade de usuários (grau de aceitação / rejeição), e o produzido durante a instalação de um novo equipamento ou software, quando este for necessário para o cumprimento da medida adotada.
O IPEN, em particular, tem alguns casos de implementações (mudanças) mal sucedidos. Um exemplo disto ocorreu em março de 2000 por ocasião da instalação de um novo sistema de firewall, por uma empresa terceirizada. Por conta desta mudança, a rede de comunicação de dados do IPEN apresentou perdas constantes de conectividade chegando à paralisação total em determinados momentos; situação que se estendeu por várias semanas.
Em outra ocasião, a instalação de um software de inventário, para evitar a prática de pirataria, ou seja, utilização de programas de computador não autorizados, provocara desconfiança e reações contrárias a sua utilização.
A situação se agravou ainda mais quando algumas máquinas, onde o referido software tinha sido instalado, apresentaram travamento do sistema operacional (famosa tela azul do Windows) entre outros problemas.
O impacto negativo desta medida foi de tal ordem que se optou pelo cancelamento total do projeto, por determinação da alta direção.
Além do prejuízo financeiro e de pessoal, o falta de um gerenciamento de mudança efetivo pode resultar em grande desgaste para a imagem do departamento envolvido na sua implementação.
A administração do fator humano em um processo de mudança deve abranger todos os envolvidos no processo, incluindo tanto o usuário final que será afetado pela mudança, como o pessoal técnico responsável pela sua implantação, seja este pertencente ao quadro de funcionários da organização ou de empresa contratada.
2.10.1. ABNT NBR ISO/IEC 27002:2005 - Gestão de Mudanças
A Norma ABNT NBR ISO/IEC 27002 (ABNT, 2005; p. 41) estabelece no controle 10.1.2 Gestão de Mudanças, da seção 10 - Gerenciamento de Operações e Comunicações, as seguintes diretrizes: “Convém que sistemas operacionais e aplicativos estejam sujeitos a rígido controle de gestão de mudanças”. E continua; Em particular, convém que os seguintes itens sejam considerados:
• identificação e registro das mudanças significativas; • planejamento e testes das mudanças;
• procedimento formal de aprovação das mudanças propostas;
• comunicação dos detalhes das mudanças para todas as pessoas envolvidas; • procedimento de recuperação, incluindo procedimentos e responsabilidades pela interrupção e recuperação de mudanças em caso de insucesso ou na ocorrência de eventos inesperados.
A referida Norma recomenda ainda que procedimentos e responsabilidades gerenciais formais sejam estabelecidos para garantir que haja um controle satisfatório de todas as mudanças de equipamentos, softwares ou procedimentos.
O controle 10.2.3 gerenciamento de mudanças para serviços terceirizados, adverte que mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da política de segurança da informação, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálise / reavaliação de riscos. 2.10.2. COBIT – Gerência de Mudança
O COBIT, acrônimo inglês de Control Objectives for Information and related Technology é um conjunto de diretrizes (framework) para segurança da informação criado para ISACA - Information Systems Audit and Control Association, e o ITGI - IT Governance Institute.
Para o Cobit (ITGI, 2007; p. 93), todas as mudanças, incluindo manutenção de emergência e aplicação de patches de correção, relativas à infra- estrutura e aplicações em ambiente de produção devem ser formalmente gerenciadas e controladas.
Mudanças (incluindo as relativas a procedimentos, processos, sistemas e parâmetros de serviços) devem ser registradas, avaliadas e autorizadas antes da implementação; e examinadas após a implementação com relação aos resultados esperados. Isto evita que a estabilidade ou integridade do ambiente de produção sofra impactos negativos.
O gerenciamento de mudança no COBIT é tratado no processo 6 – Gerência de Mudanças, do domínio “Aquisição e Implementação”. Ele é composto por cinco atividades:
1. Mudança de padrões e procedimentos
Estabelece procedimentos formais de gerenciamento de mudança para manipular de maneira padronizada todos os requerimentos (incluindo manutenções e patches de correção) para mudanças em aplicativos, procedimentos, processos, sistemas e parâmetros de serviços e nas plataformas de suporte;
2. Avaliação de impacto, priorização e autorização
Analisa todos os requerimentos para a mudança de um modo estruturado para determinar o impacto no sistema operacional e suas funcionalidades. Seu objetivo é assegurar que as mudanças sejam categorizadas, priorizadas e autorizadas;
3. Mudanças emergenciais
Estabelece um plano para definir, executar, testar, documentar, avaliar e autorizar mudanças de emergências, que fogem do processo de mudança estabelecido;
4. Reporte e trilha de mudança
Estabelece um sistema de trilha e reporte (auditoria) para documentar mudanças rejeitadas e comunicar o estado de mudanças aprovadas, em andamento e concluídas. Tem como objetivo certificar que as mudanças aprovadas sejam implementadas como planejado; e
5. Documentar e encerrar a mudança
Sempre que uma mudança é implementada, atualiza-se a documentação do sistema e do usuário, e os procedimentos conseqüentes associados a ela.