Ser eficaz é bom. Com eficiência, é melhor ainda.

Em muitas situações relativas à segurança da informação, identificamos que algumas organizações, por meio de um grande esforço dos seus dedicados funcionários e prestadores de serviço, conseguem ter eficácia, porém deixando de lado a eficiência.

O exemplo mais simples é a recuperação para situações de contingência. Tenho certeza que a maioria das organizações consegue ultrapassar muitas situações de contingência que poderiam afetar a continuidade do negócio. Normalmente seu pessoal técnico e de negócio é antigo, possui o conhecimento dos processos e procedimentos na sua memória e é dedicado. Tudo isso possibilita uma grande chance da organização ser eficaz e superar uma situação não prevista.

Por incrível que pareça, muitas organizações estão satisfeitas apenas com a possibilidade da sua eficácia baseada em avaliação própria. Evidentemente que atingir o objetivo é muito importante, porém, isso não deve ser contrário a desenvolver com eficiência os processos e procedimentos.

Existe uma reação natural das pessoas da organização contra a eficiência, pois a mesma exige esforço, tempo e educação profissional para ser feita. Mas por que precisamos ser eficientes além de eficazes? Por algumas razões:

a) Para termos uma maior garantia de que os processos e procedimentos vão funcionar. Não existe 100% de certeza de que tudo vai funcionar como o previsto. Porém, a eficiência nos leva a documentar, testar e simular os processos e procedimentos. Tudo isso aumenta o grau de certeza de funcionamento dos processos e procedimentos e consequentemente diminui o risco de insucesso.

b) Deve-se ser coerente com o porte e o tipo de negócio da organização.

Analise o faturamento e o tipo de negócio da sua organização. É uma atitude profissional tratar as ações de segurança de uma maneira eficiente. Os acionistas querem essa atitude. A eficácia de uma organização não pode depender apenas da genialidade e do “eu acho” dos seus funcionários e prestadores de serviço.

c) Para se ter evidências. Quando da avaliação do nível de segurança da informação ou quando da realização de auditorias, é importante que existam evidências de que as ações que deveriam ser feitas foram feitas. Isto é, tudo que as boas práticas sugerem que seja feito foi contemplado e realizado na organização. As políticas são formalizadas, os testes são registrados e as responsabilidades são explicitadas, de conhecimento de todos.

d) Para se ter a informação correta. Para situações de contingência, somente testando e acompanhando os tempos realizados é que temos condições de indicar qual será o tempo provável da recuperação. Existe uma grande probabilidade de que o pessoal técnico conseguirá recuperar. A questão é:em quanto tempo? A resposta é identificada somente fazendo-se as tarefas de uma forma eficiente.

e) Para se gastar menos tempo. Se numa situação a organização foi apenas eficaz e resolveu seu problema em seis horas, com certeza, se tivesse sido eficiente (anteriormente) esse tempo poderia ser reduzido, talvez, para umas três horas. Se um gerente gasta horas explicando a seu funcionário as responsabilidades, a existência de políticas e regulamentos de segurança formalizados, simplificaria essa ação.

f) Porque situações de crise vão acontecer e tudo fica mais complicado. Apenas quem já trabalhou em organizações em crise conhece as características desse momento. Em uma situação de crise a fluidez dos processos e procedimentos será proporcional à eficiência dessa organização. As decisões estão sob pressão. Ter sido apenas eficaz em situação de tranqüilidade não garante nada em situação de crise. Pode até tornar mais confuso, pois leva a crer que “somos bons”. Isso pode trazermais caos e menor possibilidade de se atingir os objetivos.

Conheço organizações que passaram por determinadas situações que mesmo sem ter anteriormente agido com eficiência, graça a algumas pessoas dedicadas conseguiram alcançar o objetivo. Foram eficazes. Mas essas organizações não devem se orgulhar dessa situação. Devem encará-la com um alívio e uma chance de aprender que é preciso ter uma abordagem profissional para a organização, sendo eficaz dentro do padrão de eficiência.

Algumas organizações sofrem para aprender a lição. Outras, seguem essa lição apenas após a existência de uma legislação para o seu setor. Outras nunca aprendem e sofrem um grande risco. E outras avaliam a situação de forma profissional e aprendem que ser eficaz é bom. Com eficiência, é melhor ainda.