De acordo com Homer Simpson, há três tipos de pessoas: as que sabem contar e as que não sabem. Eu devo estar no segundo grupo, porque toda a gente diz que são 10 as áreas de gestão de projetos, mas eu conto 12. Vejamos.

Por um lado, temos a integração, onde toda a gestão ganha um sentido e uma aproximação homogénea. Depois, encontra-se o alcance, centrando-se nos objetivos que se perseguem e o que devemos fazer (e como fazê-lo) para cumprir esses mesmos objetivos. Temos também a planificação e a gestão de custos, juntamente com a gestão de riscos, aos quais se deveria somar a qualidade, as comunicações e os recursos (e vão oito). Não podemos esquecer as partes interessadas nem os fornecedores, somando já 10. E, por último, mas menos importante, temos a gestão da segurança e da inovação. No total, doze.

Piadas à parte, a gestão da segurança e da inovação não aparecem formalmente, com entidade própria, nos marcos de referência de gestão de projetos como o PMBOK ou o PM² (impulsionado pela Comissão Europeia). Também não aparecem destacados em aproximações ágeis. E, no entanto, são de grande importância para um crescente número de projetos.

Nesta primeira parte, vamos analisar a gestão da segurança, deixando para um próximo artigo a gestão da inovação.

A gestão da segurança

A digitalização não nos proporciona apenas inúmeras possibilidades e benefícios, mas também expõe organizações e utilizadores a novas vias de ataques informáticos. As organizações maduras gerem a cibersegurança a um nível corporativo, proporcionando os meios para a garantia da informação e a continuidade de negócio, formando os funcionários nos procedimentos e boas práticas definidas para tal. Mas o que ocorre com as soluções desenvolvidas internamente ou para terceiros?

Security by default e Security by design são dois paradigmas fundamentais na segurança da informação. Os sistemas devem ser concebidos para serem seguros, sem necessidade de que o utilizador realize ajustes adicionais (Security by default). Por outro lado, a segurança é incorporada num produto desde a sua conceção, em vez de ser acrescentada posteriormente mediante produtos e serviços de terceiros (Security by design). Ambos os paradigmas procuram garantir a segurança dos sistemas desde o início e durante todo o seu ciclo de vida. Por isso, afetam todas as fases de um projeto e todas as áreas de gestão do mesmo.

• É preciso assegurar que se definam as tarefas e procedimentos para cumprir os requisitos de segurança e privacidade, seja qual for a sua natureza (regulatórios, de padrões, requisitos do cliente...), desde a conceção até às provas de aceitação. As medidas de segurança devem também ser comensuradas aos cenários de ameaças e a tolerância à aceitação de riscos. Isto é, afeta diretamente o alcance e a gestão de riscos do projeto.
• As tarefas de segurança devem ser planificadas (cronograma) e os seus custos de mão-de-obra e materiais devem ser tidos em conta (custos).
• Devem estabelecer-se os procedimentos de qualidade adequados para cumprir os objetivos do projeto, auditando o projeto (do ponto de vista da segurança) com a periodicidade que se considere oportuna.
• Devem colocar-se à disposição do projeto os recursos adequados para realizar as tarefas de segurança, que requerem normalmente um alto grau de especialização.
• À margem da própria comunicação interna na equipa, cabe destacar que o projeto pode lidar com informação sensível, ou mesmo classificada, afetando as medidas que devem ser consideradas para não violar os requisitos de segurança e privacidade da informação. Não esqueçamos a importância da LOPD/GDPR nestes casos.
• As aquisições desempenham um papel essencial, uma vez que normalmente recorre-se a soluções especializadas e serviços de consultoria de terceiros, ou a terceirizar serviços como os Centros de Operações de Cibersegurança (SOC).
• A cibersegurança também tem as suas partes interessadas. São muitos os atores específicos de segurança, incluindo o Diretor de Segurança da Informação (ou CISO) e o Delegado de Proteção de Dados, para citar alguns exemplos.

Se a gestão da segurança tem relação com todas as áreas, com as suas especificidades, não faria sentido considerá-la como mais uma área?

A Agência da União Europeia para o Programa Espacial (EUSPA) está a reforçar a implementação da segurança nos grandes programas espaciais europeus (tais como Galileo e EGNOS).  Requer as tarefas de Cyber Security Management e Cyber Internal Audits para os projetos associados a esses programas, com os seus respetivos responsáveis que, de forma muito simplificada, seriam os equivalentes aos de Chefe de Projeto e Chefe de Qualidade, na parte de cibersegurança. A GMV presta estes serviços a esses programas desde 2013. Desde então, as tarefas e obrigações destas funções foram evoluindo com a maturidade do estado da segurança de Galileo e EGNOS, com sucessos mais do que notáveis para todas as partes implicadas.

Em cada ano, o investimento em cibersegurança cresce percentualmente em cifras de dois dígitos, sintoma do crescimento do número de ciberataques, das suas consequências e da sensibilização das organizações para estarem protegidas. Paralelamente, a sociedade está a evoluir para uma economia de projetos em contraponto à tradicional de operações. Digitalização, crescente exposição a ameaças e economia de projetos são argumentos mais do que suficientes para elevar a cibersegurança a uma categoria própria da gestão de projetos.

Autor: Ángel Gavín