Uma auditoria de segurança não é um momento isolado ou um teste de última hora. É muito mais como treinar para uma maratona. Não por causa do dia da corrida, mas por causa de tudo o que acontece antes.
Numa maratona, ninguém decide no dia anterior que vai correr 42 quilómetros. Não treinas sozinho na última semana e não dependes da motivação para resolver tudo. O corpo simplesmente não funciona assim. É exatamente o mesmo com as auditorias. Não importa o quão bem possas explicar as coisas ou o quão convencido estás de que “já estamos a fazer tudo bem”. Se não tiveres formação prévia, isso nota-se. E quando o auditor chega, isso nota-se.
É por isso que, em quadros como o NIS2, a ISO 27001, a ENS ou as auditorias regulamentares, o resultado não é decidido na reunião com o auditor. É decidido nos meses – e muitas vezes anos – anteriores, sobre a forma como a organização funciona quando ninguém está a observar.
1) A auditoria não consiste em contar uma história, mas sim em demonstrar uma realidade.
Outro equívoco comum é pensar que uma auditoria consiste em explicar o que está a ser feito. Na realidade, uma auditoria não valida discursos, valida factos.
O auditor não vem para ouvir promessas e boas intenções. Vem verificar se o que está escrito foi feito, se o que foi feito deixa um rasto e se esse rasto pode ser seguido sem esforço. Documentos, registos e pessoas acabam por formar uma mesma conversa. Quando um destes elementos não se encaixa, o sistema perde credibilidade.
Por conseguinte, o problema quase nunca é a falta de controlos, mas sim a diferença entre o que foi documentado e o que realmente acontece. Quando uma organização funciona de forma coerente, as provas aparecem por si só. Quando isso não acontece, tens de sair e procurá-las à pressa, o que deixa sempre uma pista.
2. Não nascem provas para a auditoria
Há uma coisa que os auditores detectam muito facilmente: provas criadas “para cumprir”. Registos recentes, documentos perfeitos mas sem utilidade real, controlos que não deixaram qualquer vestígio até alguém os pedir.
Por outro lado, as auditorias menos stressantes são aquelas em que as provas existem antes da chegada do auditor, porque fazem parte do dia a dia. Não estão guardadas numa pasta especial ou dependentes de uma pessoa específica. Estão onde devem estar, ligadas a processos reais e geradas com continuidade.
Quando isso acontece, a auditoria deixa de ser uma ameaça e passa a ser quase uma confirmação. Nesse momento, ferramentas como o ithikios fazem a diferença, não porque criam provas artificiais, mas porque ajudam a organizá-las, relacioná-las e torná-las visíveis quando se trata de provar que o sistema funciona.
3. As pessoas também fazem parte das provas
Por vezes esquece-se que uma auditoria não se limita aos documentos. Faz uma auditoria às pessoas e aos sistemas que elas conceberam. Os auditores fazem perguntas, observam e ouvem. Não procura respostas mecânicas ou frases aprendidas, mas sim coerência. Que cada pessoa saiba o que se lhe aplica, o que faz e porque o faz dessa forma. Esta naturalidade não é conseguida com uma conversa de última hora. Consegue-se quando a segurança é integrada na forma habitual de trabalhar.
Quando a documentação é criada apenas para cumprir, as pessoas não se reconhecem nela. E numa conversa informal, isso nota-se em segundos.
4. A auditoria não é um confronto, é uma colaboração.
A atitude durante a auditoria é mais importante do que muitas vezes se pensa. Os auditores não são polícias ou juízes. São profissionais que fazem o seu trabalho e, como qualquer outra pessoa, reagem melhor quando são tratados com respeito, clareza e honestidade.
Responder diretamente, não esconder os problemas e não perder tempo com explicações desnecessárias gera confiança. E quando há confiança, a auditoria flui melhor. Existe mesmo um espaço legítimo – muitas vezes muito valioso – em que o auditor pode explicar porque é que algo não está a funcionar ou porque é que uma prática é boa. Não se trata de consultoria, mas de aprendizagem. E isso só acontece quando a relação é de colaboração.
5. Escolher quem auditas também faz parte da viagem.
A preparação de uma auditoria não termina no seio da organização. A escolha do organismo de certificação correto também faz parte do processo. O preço é importante, mas não é tudo. A experiência, o conhecimento do sector, a língua ou a flexibilidade do auditor podem fazer a diferença entre uma auditoria que acrescenta valor e uma que apenas consome energia.
Uma má escolha pode sair barata na fatura e muito cara em tempo, frustração e oportunidades perdidas.
6. No final, a auditoria é apenas um reflexo do trabalho anterior.
Passar uma auditoria NIS2, ISO 27001 ou ENS não é uma questão de cerrar os dentes algumas semanas antes. É o resultado natural de um trabalho árduo durante muito tempo. Tal como numa maratona, não se trata de correr muito no final, mas de ter treinado o suficiente para lá chegar em segurança.
Quando o trabalho de base está feito, as provas estão lá, as pessoas sabem o que estão a fazer e a atitude é aberta, a auditoria deixa de ser um exame. Passa a ser o que deve ser: a validação calma de um sistema que já funciona. E quando as provas estão vivas, ordenadas e ligadas, a viagem torna-se muito mais suave.
“A auditoria não mede a forma como reages quando estás a ser observado. Mede a forma como trabalhas quando mais ninguém o faz.”
