Tem uma coisa que ainda me intriga em segurança. Hoje as consultorias vendem projetos de segurança pra tudo, análise de vulnerabilidades, análise de impactos, análise de riscos, análise de quase tudo, e ainda temos dificuldade para classificar informação, alguma coisa está errado.
Quando entrevistamos um usuário para levantar quais os processos ele está envolvido e qual os ativos que suportam esses processos, é desastroso, só chegamos a essa informação após entrevistar a empresa inteira 3 vezes e aos 47 do segundo tempo. Agora quando mudamos a pergunta para, "quando tempo você pode ficar sem o seu computador?" A resposta é sempre a mesma, não posso ficar sem ele, se eu ficar sem ele a empresa para.
A eu me questiono, se o usuário não sabe exatamente qual processo ele está envolvido, qual a importância da informação que ele trata, como ele pode chegar a brilhante conclusão de que não pode ficar sem o seu computador?
Eu particularmente não gosto de culpar os usuários nesses casos, eu acho que quem peca é a empresa, que não trás uma política de alinhamento de processos com as espectativas do negócio, quase nunca o usuário sabe qual é o impacto no processo todo se a parte que lhe compete falha, ou pior nem sabe de qual processo ele faz parte, só sabe que tem que inserir os dados no ERP e naquelas dezenas de planilhas que toda empresa tem.
Enquanto as empresas não se derem conta desse problema, vai continuar as consultorias montando o grande quebra-cabeça naquele projeto de 90 dias e entregando aquele belo relatório, cheio de gráficos e que 90 dias após a entrega dos relatórios já se esqueceu tudo, e a empresa volta ao mesmo ponto, sem saber nada dos seus processos e executando o que sempre executaram.
Isso me lembra a estória do maquinista que bateu pneu de trem durante 30 anos e quando alguém resolveu endagar o porque, ele simplemente disse, "Porque quando entrei me mandaram fazer assim".
2 comentários:
Wagner,
O problema não está na pergunta? Se me perguntarem "quanto tempo eu posso ficar sem meu computador", vou dizer que não posso. Acho que a coisa funciona se for feita de cima p/ baixo. Antes os donos do negócio dizem o que dá dinheiro, o que é necessário para que esses processos não parem e onde é possível perder muito dinheiro (multas, etc). Aí sim chega a hora de questionar os envolvidos nos processos, não acha?
[]s
Augusto
Sem dúvida Augusto! A chave é o levantamento Top-Down..Mais isso acontece aos 47 do segundo tempo, quando não conseguimos chegar as informações ai os gestores dão as caras...Primeiro temos os famosos workshops, porque é inviável e custoso fazer entrevistas individuais...Agora qtas pessoas vc acha q aparecem nesses workshops? pouquissimas e quase nunca o gestor dá as caras...
E a pergunta é feita sobre os processos e posso te garantir que quase nunca obtivemos respostas...
Abs.
Postar um comentário