Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

Risco, Resiliência e PCN pós COVID-19.

enigma.consultoria Sem categoria Leave a comment   , , , , , ,

MÁRIO  SÉRGIO RIBEIRO (*)

Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que nos acostumar com a ideia de lidar com cada vez mais incertezas, a despeito de toda tecnologia e metodologia de previsão que dispomos.

A Pandemia do COVID-19 que se abateu sobre o mundo é um de vários possíveis eventos catastróficos que pode vir a nos colocar “de joelhos”. Como consequência desse atual evento que vivenciamos, fica uma pergunta: os negócios sobreviventes da COVID-19, como ficarão? As empresas têm Resiliência organizacional para aguentar um tranco desse tamanho? Como podem desenvolver estratégias de continuidade e sobreviver, mesmo diante de eventos dessa magnitude, que pelo jeito, pode vir a nos visitar novamente?

Há quase dez anos atrás o matemático americano John Casti escreveu um livro com o título “O colapso de tudo” – os eventos extremos que podem destruir a civilização a qualquer momento”. Título impactante? O autor quis chamar a atenção, alguns poderiam pensar, para vender livro? Em um primeiro momento talvez sim. Mas se você ler o currículo de Casti provavelmente não apostaria nisso. No livro, Casti analisa onze eventos alarmantes – e prováveis – situações que podem arrastar o mundo para uma idade das trevas, como diz a contracapa. Vamos a eles:

(1) Um apagão na Internet

(2) A falência do sistema global de abastecimento de alimentos

(3) Um ataque por pulso eletromagnético que destrói todos os aparelhos eletrônicos

(4) O fracasso da globalização

(5) A destruição provocada pela criação de partículas exóticas

(6) A desestabilização do panorama nuclear

(7) O esgotamento das reservas de petróleo

(8) Uma Pandemia Global

(9) Pane no sistema elétrico e no suprimento de água potável

(10) Robôs inteligentes que dominam a humanidade

(11) Uma crise no sistema financeiro global

Eu li e reli nesses dias este livro de Casti e confesso que não duvido do que ele fala! Alguns deles já acenderam sinal amarelo…Trata-se de um livro excelente e que recomendo a leitura a todos. Infelizmente, um dos eventos previstos por Casti estamos vivenciando: a Pandemia Global do COVID-19. E quando sairmos dela, machucados, mas vivos, até que ponto estaremos preparados para outros eventos que porventura possam vir, como alguns dos citados por Casti? Devemos, tanto como pessoas como empresa, ampliar nossa Resiliência. Mas afinal, o que essa tal de Resiliência organizacional?

 Resiliência Organizacional é a capacidade de uma organização em absorver e se adaptar em um ambiente em mudança e capacitada a cumprir seus objetivos, sobreviver e prosperar. Organizações mais resilientes podem antecipar e responder a ameaças e oportunidades, decorrentes de mudanças repentinas ou graduais em seu contexto interno e externo. (fonte: ISO 22316:17)

O aumento da resiliência pode ser uma meta organizacional estratégica e é o resultado de boas práticas comerciais e gerenciamento eficaz de riscos. E é nesse aspecto do gerenciamento eficaz de riscos que quero iniciar meu raciocínio nesse aumento da Resiliência organizacional.

 Ao sairmos dessa Pandemia veremos um mundo de outra forma e certamente as empresas olharão para essa questão da Resiliência. Mais conservadora e mais ressabiada com eventos de rara probabilidade, mas de impactos catastróficos, elas investirão em aumentar sua resiliência ou, pelo menos, deverão pensar muito mais do que antes do COVID-19 na sua Avaliação de Risco, em suas estratégias de continuidade e em seus planos de continuidade de negócios. Disso eu não tenho dúvida! Vamos explorar a questão…

Quando desenvolvemos nosso Plano de Continuidade de Negócios passamos por uma etapa que chamamos de Processo de Avaliação de Risco, que tem como objetivo: identificar os riscos de interrupção das atividades prioritárias da empresa, bem como os processos, sistemas, informações, pessoas, bens, parceiros terceirizados e outros recursos que os suportam. Em seguida, esses riscos identificados devem ser analisados, avaliados e identificados tratamentos que se alinhem com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa.

Essa pandemia do COVID-19 acendeu uma luz amarela sobre o processo de avaliação de riscos. Eventos que antes poderiam ser considerados de probabilidade raríssima e que nem eram avaliados na maioria dos planos, devem passar a serem considerados e, seu tratamento, alinhado com as devidas estratégias de continuidade. Esse certamente é o momento ideal para que se faça uma análise desse processo dentro da continuidade de negócios. Para ajudar nessa análise, uma série de perguntas devem ser feitas. Vejamos algumas delas:

(1) Estou usando uma metodologia devidamente referendada para Avaliar o Risco da continuidade dos negócios?

(2) A identificação dos riscos tem processo e critérios definidos que tragam para o contexto os riscos de quaisquer probabilidade e magnitude?

(3) Ainda no que diz respeito a identificação dos riscos, estamos usando metodologia que nos permite identificar todas as categorias de riscos possíveis que tenham uma alinhamento direto com a continuidade de negócios?

(4) Existem riscos catastróficos (ou quase) que eu poderia estar incluindo em minha avaliação?

(5) Existe metodologia claramente definida que permite avaliar quais riscos de interrupção podem ser tratados?

(6) Os tratamentos escolhidos estão alinhados com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa?

Os riscos que foram identificados e que necessitem de tratamento, a empresa deve considerar medidas proativas que possam reduzir a probabilidade, diminuir o período de interrupção e limitar o impacto da interrupção. Para alguns riscos, o tratamento, com o intuito de aumentar a resiliência organizacional, será a inclusão em algumas das estratégias de continuidade a serem definidas.

As estratégias de continuidade que são definidas e selecionadas a partir da análise de impacto nos negócios e no processo de avaliação de riscos tem como propósito proteger atividades prioritárias, estabilizar, continuar, retomar e recuperar atividades priorizadas, além de suas dependências e recursos de apoio. Faz ainda parte de seu escopo, mitigar, responder e gerenciar impactos.

Nessa pandemia do COVID-19 uma grande maioria de empresas “descobriu na marra” a estratégia do home office e do trabalho virtual. Obviamente as empresas que já tinham seu PCN, em sua grande parte, deveriam ter essa estratégia de home office definida para algumas de suas atividades e, portanto, saíram na frente. Mas, mesmo assim, provavelmente para uma boa parte delas, se tornou insuficiente para tirar a empresa de uma situação complicada, em alguns casos, dramática.

A questão central é que o evento da COVID-19 parou a roda da economia porque o seu ativo principal saiu de cena: Pessoas! E sem as pessoas, a roda não gira, não há como as empresas existirem. Dessa forma, o que se pode aprender com o COVID-19?

Eventos catastróficos, que podem ir desde um incêndio total das instalações de sua empresa ou uma crise sistema financeiro global (como a de 2008) e que Casti coloca que pode voltar (está entre os onze eventos), devem começar a fazer parte de seu processo de avaliação de risco, estratégia de continuidade de negócios e planos de continuidade de negócios.

A preocupação até hoje na elaboração e implementação de PCNs era com eventos como no máximo um incêndio com perda total. Estratégias de continuidade que estabilizem, continuem, retomem e recuperem as atividades priorizadas de uma empresa em um evento dessa natureza ou semelhante, é possível de se planejar e implementar. As estratégias não dependem de um contexto externo.

Mas o que fazer para eventos nos quais você depende de um governo, de uma situação extrema, onde a decisão não está com você, que se vê de “mãos atadas” para enfrenta-la? Para cada tipo de evento desse deve ser pensada e elencada uma solução. Vejamos como exemplo o próprio COVID-19.

Em um primeiro plano sugestiono que as empresas comecem a olhar com mais carinho para os Riscos Emergentes. Risco Emergente é um termo usado para descrever novos riscos que não encaixam no universo de riscos atual ou riscos que estão mudando, assim como sua interação com outros riscos. Comum a ambos é que Riscos Emergentes são difíceis de quantificar, mas considerados como tendo potencial para impactar a empresa de forma substancial.

A importância de gerir Riscos Emergentes se encontra no seu potencial para afetar a estratégia de negócios; consideração antecipada e mitigação podem ser vista como uma atividade chave de agregar valor através das Funções de Gestão de Risco. Não é objeto aqui fazer um detalhamento sobre Riscos Emergentes, que farei breve em outro artigo, mas se as empresas já estivessem inserido essa abordagem em sua função de riscos, muito provavelmente teriam detectado uma ameaça nas Endemias já ocorridas. Vejamos:

1. Poderiam dar atenção, entre outros, a estudos como de Casti, que é um dos fundadores do X-Center, instituição de pesquisa com sede em Viena que analisa eventos extremos causados pelo homem e como prever sua ocorrência;

2. Recorrer a base histórica sobre eventos de endemia, que já tivemos. Vejamos:

  • Coronavírus são conhecidos desde meados da década de 1960;
  • 2003: SARS (síndrome respiratória aguda grave);
  • 2005: Gripe aviária;
  • Síndrome Respiratória do Oriente Médio (MERS) foi identificada em 2012 e segunda onda em 2018;
  • Mercado de Whuan na China já foi fechado e reaberto três vezes.

3. Os eventos citados protagonizaram Endemias e uma Pandemia não foi questionada, mas poderia. Entre alguns aspectos, a globalização diminuiu as fronteiras e o vai e vem pelo mundo ocorre em abundância e em um piscar de olhos. A China comunista virou um potência capitalista e seus aeroportos são dos mais movimentados do mundo. Saímos da Ásia em um dia e depois de 18 horas estamos no Brasil? Ou em sete na Europa? E assim com qualquer país do mundo…

Com essa abordagem não tenho pretensão nenhuma de fazer previsões, de se prestar a um tolo, que fala depois do ocorrido, de encontrar uma fórmula de encontrar os cisnes negros de Taleb ou de encontrar culpados (OMS, governos, empresas, etc.). Nada disso! O que pretendo é mostrar que nosso cuidado com a Avaliação de Riscos de agora em diante deve ser muito mais contínuo e detalhado, carecendo de um monitoramento diário de dados e informações, em função da ampliação das categorias de risco que podem afetar o negócio de uma empresa. Talvez, incluir a raridade em sua Avaliação seja um começo…

Um dos maiores, senão o maior problema, enfrentado pelas empresas agora é a falta de caixa para suportar esse período incerto de inatividade. Uma das mais variadas soluções que podem ser adotadas para o futuro, baseada nessa nova avaliação de risco a ser realizada, é entender a Alocação de Capital para Risco Operacional como uma excelente resposta à um evento de risco operacional de elevada magnitude. Isso já existe de forma obrigatória em alguns setores regulados de nossa economia. Essa alocação seria usada diante de um evento, como o da COVID-19 por exemplo, por meio de políticas claramente definidas e aprovadas pela Alta Administração da empresa.

Na sequência de nossa revisão da Gestão da Continuidade de Negócios, a partir da avaliação de riscos e das estratégias, os procedimentos dos planos devem ser revistos. A resposta e estabilização da emergência, a gestão da crise, a comunicação com partes interessadas, a recuperação e o retorno ganham novos contextos que devem ser reavaliados com detalhes e critérios. Um item muito importante e que muitos esquecem é a sua cadeia de suprimentos! Reavaliar o risco de seus fornecedores/parceiros, pelo menos os mais críticos, é fundamental!

Muito dessa reavaliação tem como aprendizado este exato momento em que as empresas estão passando e tendo que resolver e resolver e… É um momento duro, mas deve ser guardado como forma de avaliar o que deu certo e o que deu errado. O certo entra como resposta a essa reavaliação, o errado, como aprendizado para um novo acerto.

De toda forma temos um novo paradigma. Os tomadores de decisão da empresa devem começar a pensar que infelizmente o imprevisto faz parte de nossa vida humana nesse planeta. Que os Eventos Extremos devem aparecer com maior frequência e que precisaremos desenvolver nossa Resiliência, ou mais ainda como define Taleb em seu livro Antifrágil: precisamos ser mais do que resilientes, precisamos ser Antifrágeis!

Em A Peste, romance existencialista de 1947, o escritor Albert Camus pinta um quadro emocionante de profissionais de saúde que se unem para combater um surto de peste bubônica. Camus em seu livro diz: parece ser que os seres humanos têm, na melhor hipótese, uma ilusão de controlar seu destino e que, em última análise, a irracionalidade governa os acontecimentos.

Se cuidem!

Abraço.

Até a próxima.

_______________________________________________________________

(*) 60 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

LGPD: o projeto de segurança da informação de 2019!

enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas do setor privado e público. A LGPD nos remete claramente à gestão da segurança da informação. As empresas precisam planejar e executar um plano de ação que mitigue a ocorrência de incidentes que possam vir a acarretar pesadas multas e o comprometimento da marca. Esse artigo trata da temática em questão e procura responder a pergunta: como fazer a segurança dos dados e informações das pessoas?

 Segundo pesquisa publicada neste mês de dezembro pela Security Report, e realizada pela Gemalto, a maioria dos consumidores estão dispostos a abandonar completamente as empresas que sofrerem uma violação de dados; no topo dessa lista estão os varejistas. Dos 10.500 entrevistados, 66% dizem ser improvável fazer compras ou negócios com uma empresa que sofreu uma violação que tenha exposto suas informações financeiras e confidenciais. Os três mais citados que correm risco de perder clientes são: varejistas (62%), bancos (59%) e mídia social (58%). Acende-se o sinal amarelo escuro para as empresas.

 A crescente divulgação pela mídia escrita, falada e televisa sobre casos de violação de dados pessoais e os direitos das pessoas advindos com a LGDP (lei geral de proteção de dados) aumenta a conscientização e consequentemente as exigências das pessoas. Essa situação por certo aumenta a responsabilidade das empresas em proteger seus negócios, não somente pensando na multa que pode ser aplicada pelo governo, mas na repercussão de uma violação dos dados de pessoas que é custodiado por alguma empresa.

Dessa forma, o que uma empresa deve pensar em fazer? O que planejar, o que executar? Vou passar minha visão de segurança de dados e informações sobre o tema e a solução.

Dados e informações tem um ciclo de vida que precisa ser entendido e praticado pelas empresas. No caso específico da Lei faremos uma adaptação para melhor entendermos como opera dentro do ciclo de vida.

Em um primeiro estágio ocorre a COLETA de dados. Isso se dá quando por qualquer meio legal, coletam-se os dados de pessoas físicas para uso pelas empresas. Para essa coleta pode ser utilizado um sistema informático, uma planilha eletrônica, um editor de texto ou uma folha de papel. Se entende por pessoas físicas: colaboradores da empresa, clientes, fornecedores, parceiros, etc. Lembrar que a Lei é clara quanto ao consentimento formal por parte da pessoa física dessa coleta e qual será o uso da mesma.

O segundo estágio diz respeito à UTILIZAÇÃO dos dados coletados. Isso quer dizer que a partir da coleta, eu utilizarei um sistema informático, uma planilha eletrônica, um editor de texto ou uma folha de papel, por exemplo, para operar com os dados coletados nas tarefas que necessitam ser utilizados os mesmos. .

O terceiro estágio trata do ARMAZENAMENTO dos dados que foram coletados e são manuseados utilizando-se de algum meio, informático ou não. Lembrar que se utilizo algum sistema informático para coletar esses dados, no instante da coleta já utilizo um sistema de armazenamento desses dados, portanto, atuam em paralelo. Esse armazenamento pode se dar em dispositivos computacionais ou mesmo em um arquivo de pastas guardados em um armário, ou ambos.

O quarto e último estágio é o que chamamos de DESCARTE dos dados. Esse descarte de dados pode se dar de várias formas e o propósito é a eliminação dos dados de tal maneira, que os mesmos não possam ser mais recuperados ou utilizados.

Quando pensamos em proteger e manter a privacidade de dados de pessoas físicas é necessário entendermos como esses dados operam no ciclo de vida mostrado acima. Além desse entendimento, precisamos identificar, entre outros:

  • Quais são as ameaças à segurança das informações que as empresas dentro do escopo da Lei estão sujeitas?
  •  Quais são os agentes de ameaça capazes de perpetrar as ameaças em questão? Quais as suas motivações?
  • Quais as vulnerabilidades de minha empresa dentro desse escopo?
  • Quais controles tenho implantado e operando de tal forma que mitigue riscos da não proteção e privacidade desses dados pessoais?
  • Quais políticas e normas tenho implantado?
  • Que programas de conscientização e educação em segurança tenho implantado?
  • Qual a classificação dos dados e informações quanto aos pilares da segurança?

Essa análise precisa ser realizada em todos os estágios do ciclo de vida mencionado. Para que seja realizada é necessário entender cada uma das questões e responde-las para os respectivos estágios.

Estamos falando aqui do RISCO que sua empresa possa estar assumindo em cada um dos estágios mencionados. Saber quem são os agentes de ameaça e como podem agir é um primeiro passo. Na prática temos dois grandes grupos: os agentes de ameaça externos e os agentes de ameaça interno.

O principal representante do mundo externo são os hackers e os do mundo interno são os colaboradores e terceiros lotados na empresa. Para cada um desses agentes de ameaça é fundamental conhecer e entender quais as ameaças que podem perpetrar em cada um dos estágios do ciclo que mencionei.

Veja o colaborador da empresa, por exemplo, no estágio de Utilização dos dados. Ao ter sido permitido acesso aos dados e dentro do processo de manuseio e utilização dos mesmos, esse colaborador pode agir de maneira intencional ou não intencional. Agindo de forma intencional ele pode vazar os dados de quantos quiser e escolher quais dados deseja vazar. Mas também pode agir de forma não intencional, grande ocorrência, enviando dados para destinatário incorreto, ou perdendo dados/informações impresso no papel, por exemplo.

No caso dos hackers muitas empresas pensam que os mesmos se interessam por grandes corporações, notadamente por instituições financeiras ou semelhantes. Ledo engano. Claro que estatisticamente os maiores alvos são as empresas citadas, mas toda e qualquer empresa que tenha dados e informações que tenham Valor, interessam aos hackers. Nos dias atuais não é possível imaginar que empresa A ou B estejam fora do alvo. Subestimar nesse caso é simplesmente negligenciar uma situação presente nos dias atuais e evidenciada nas estatísticas.

As empresas para tratarem a Lei sob a ótica da Segurança dos dados e informações necessitam saber como estão protegidas em cada um dos estágios do ciclo de vida que citei. É fundamental como ponto de partida realizar uma Análise de Gap. Essa análise deve apontar em detalhes as lacunas em segurança que a empresa tem.

Tomar cuidado ao fazer uma análise dessas com duas coisas: quem faz e como se evidencia. Quem faz é a capacidade e conhecimento de quem conduzirá a análise. Não dá para jogar na mão de quem não é especialista e com experiência em segurança uma etapa dessas. Outro ponto importante é a coleta de evidência dessa análise. Cuidado aqui. Existe um razoável trabalho de campo a ser feito. Não se pode e nem deve acreditar no que é colocado no papel, falado em uma entrevista ou o que possa ser impresso por uma impressora. Errar aqui erra no restante do projeto!

Com a Análise realizada em todo o ciclo parto para a montagem de um Plano de Ação. Esse Plano deve conter, entre outros, os controles e mecanismos necessários que devem ser implementados para mitigar ao máximo o risco, em uma relação custo benefício que a empresa julgue aceitável. Aqui deve ser elaborado de forma detalhada um cronograma físico-financeiro de implantação.

A última etapa desse trabalho é a implantação do Plano de Ação. Como nas etapas anteriores, a ajuda externa pode ser importante para a empresa realizar esse trabalho. Pode ser que investimentos devam ser realizados em ferramentas e capacitação, por exemplo.

 Uma outra questão importante nesse projeto, além do explanado acima, é a estruturação organizacional para ficar em conformidade com a Lei. Algumas responsabilidades que poderão estar atreladas a novos cargos na empresa deverão estar presentes. Vejamos:

  • Controlador: compete as decisões sobre o tratamento das informações
  • Operador: responsável pelo tratamento dos dados
  • Encarregado: que atuará como canal de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), um órgão que deverá operar nos moldes de uma agência reguladora, mas que ainda não foi criado.

Algumas empresas já começaram a arregaçar as mangas, mas a maioria ainda não. É importante saber que a Lei está em vigor e o momento é de ficar em conformidade com a Lei. Nós da Enigma já estamos auxiliando duas empresas no projeto, e temos mais três no radar. O deadline é fevereiro de 2020, quando de fato a partir daí as empresas poderão ser punidas. Temos, portanto, 13 meses para desenvolver o projeto. Pode parecer muito, mas é apertado. Infelizmente aqui, não dá para esperar o carnaval passar…

 Boas Festas e um excelente 2019 a todos!

 Até a próxima.

_______________________________________________________________________________________

(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Resolução 4658 serve de alerta a todos os ramos de negócio.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Já não era sem tempo, uma resolução como essa expõe a necessidade das IFs e seus parceiros a agirem contra ameaças reais que já prejudicaram diversas empresas e podem vir a continuar com o seu intento no futuro.

Detalhada em três capítulos, o BACEN procurou trazer à tona a preocupação com a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro. Segundo o BACEN, isso requer que as IFs tenham controles e sistemas de segurança cibernética cada vez mais robusta, especialmente quanto à resiliência a ataques cibernéticos.

Demonstrando preocupação, o Fórum Econômico Mundial divulgou um estudo recente em que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o planeta, com os crimes cibernéticos. Uma estimativa de uma consultoria internacional estima que os crimes virtuais possam chegar a US$ 6 trilhões em 2021. É muita coisa…

Claro que o alvo principal dos criminosos virtuais ainda são as empresas do setor financeiro, mas aqui vai um alerta de sinal amarelo, meio avermelhado: diversos outros setores têm experimentado o gosto amargo desses crimes virtuais. Um bom exemplo é o setor da Saúde, aqui composto por hospitais, laboratórios, clínicas, planos de saúde, operadoras de plano de saúde, etc. Esse setor é um dos principais alvos do ataque de, por exemplo, ransomware (deixa seus dados e informações indisponíveis e pede um resgate em bitcoin).

 Dessa forma quero salientar que esse artigo interessa não somente aos leitores, que de uma forma ou de outra estão sob a égide do BACEN, mas a todo mercado; uns com maior, outros com menor ênfase, mas ninguém está livre e o interesse deveria ser geral.

A Segurança Cibernética deve ser vista como um braço da segurança tecnológica que faz parte de algo bem maior que é a Segurança da Informação. Lembrando que a segurança da informação tem em pessoas, processos, TI e infraestrutura física o escopo de seu trabalho. A segurança cibernética compreende tecnologias, processos e controles que são projetados para proteger sistemas, redes e dados de ataques em um mundo não físico. Esse grifo é importante para entendermos que estaremos tratando em um local sem rosto. Qualquer uma dessas seguranças que estamos falando trabalha na proteção de três pilares básicos de dados e informações: Confidencialidade, Disponibilidade e Integridade.

Algo que caracteriza a Segurança Cibernética é que o seu agente de ameaça, isto é, aquele que perpetra os ataques virtuais, é única e exclusivamente alguém fora do ambiente da empresa, alguém que não tem rosto, identidade e nem está presente na folha de pagamento. Lembrando que quando tratamos a segurança da informação, incluímos o agente de ameaça interno, representado entre outros por funcionários.

Pois bem, voltemos a 4658. Vou me ater nesse artigo, aos itens que tem um prazo curto (até 06/05/2019) para ter Aprovação do Conselho de Administração ou, na inexistência, a Diretoria da IF. São eles: Política de Segurança Cibernética e o Plano de Ação e Resposta a Incidentes. Não pretendo detalhar O COMO fazer, pois, seria um desrespeito àqueles que já contrataram meus serviços de consultor para auxiliar no cumprimento dos requisitos. Vou pinçar o que acredito ser extremamente importante e que os responsáveis pelo tema nas empresas devam abrir os olhos e “arregaçar as mangas”. Vamos lá então.

POLÍTICA DE SEGURANÇA CIBERNÉTICA

  1. Redução da Vulnerabilidade a Incidentes Cibernéticos

Aqui estamos falando na gestão de riscos, onde a vulnerabilidade é um de seus componentes. O propósito desse item é claramente atuar de forma preventiva, o que é a ação mais barata e correta a se fazer.

A redução da vulnerabilidade é obtida por meio da implantação de controles/mecanismos/procedimentos que reduzem a chance de ocorrência (probabilidade) de um dado evento.

A resolução cita um baseline de controles mínimos, mas pode ser que ele seja insuficiente para a IF. É necessário definir o escopo dos ativos tangíveis e intangíveis e aplicar, no mínimo, uma análise de vulnerabilidades. Fica a sugestão de fazer algo mais ampliado, como a análise do risco.

  1. Cenários de Incidentes nos Testes de Continuidade de Negócios

Na segurança da informação é comum elaborar os mais variados cenários em função do acontecimento de determinados eventos. É possível simular cenários catastróficos, como um incêndio total, ou cenários menores que acionem um PCN, como uma greve.

 Na segurança cibernética os cenários são mais específicos e levam em conta as tentativas de interrupção de serviços, provocadas, por exemplo, para uma tentativa de invasão aos sistemas da IF. Esses vários cenários devem ser colocados em uma lista e um Planejamento de Testes deve ser elaborado contemplando um a um dos cenários. Ao longo do ano é aconselhável fazer pelo menos dois testes desses, com dois cenários diferentes. Um relatório detalhado deve ser produzido, salientando principalmente os pontos fracos para posterior correção.

Vale salientar nesse caso a necessidade de reavaliar o seu PCN em todas as etapas: análise de risco, BIA, estratégias de continuidade e planos. Isso porque o seu plano pode não ter sido preparado vislumbrando as ameaças do cyber espaço.

  1. Procedimentos e Controles preventivos e de tratamento de incidentes por prestadores e terceiros

Os prestadores de serviços e terceiros que manuseiam, armazenam, enfim, que trabalhem com a informação da IF dentro do ciclo de vida de uma informação, deverão elaborar e levar ao conhecimento da IF o seu plano de tratamento de incidentes para com os dados e informações da IF. Nesse plano deverão constar procedimentos e controles preventivos e de tratamento de incidentes. A IF deverá evidenciar, onde for possível, a implantação dos procedimentos e controles elaborados. Essa etapa pode ser bem trabalhosa para a IF em função da quantidade possível de prestadores e terceiros que trabalhem com dados e informações da IF.

  1. Classificação dos dados e das informações

A classificação dos dados e informações é uma disciplina de extrema importância na segurança. A resolução fala em classificar quanto à sua relevância, o que quer dizer, classificar pela importância aos negócios da IF. Os dados e informações cumprem seu ciclo de vida nos sistemas e bancos de dados das empresas. Deve ser estabelecido um critério para categorizar esses dados e informações para atender a relevância solicitada. É uma outra etapa trabalhosa da resolução que pede experiência quando for executar o trabalho, notadamente na inteligência para definir a categorização.

  1. Mecanismos de disseminação da cultura de segurança cibernética
  • Implementação de programas de capacitação e de avaliação periódica de pessoal

Aqui deve ser elaborado e implantado um programa educacional junto ao corpo de colaboradores da empresa, com o intuito de prevenir riscos provocados por pessoas em relação à segurança cibernética. Quando falamos pessoas nos referimos a todos os colaboradores, de todas as áreas, inclusive as de TI. Lembrando sempre que pessoas são consideradas o elo fraco da segurança, haja visto que a engenharia social tecnológica é fartamente utilizada pelos criminosos virtuais, e com grande eficácia.

  • Prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.

Várias IFs há algum tempo demonstram sua preocupação com a questão e investem em comunicação a seus clientes sobre e principalmente a utilização do principal canal que é o Internet Banking. Um Plano deve ser elaborado, levando-se em conta uma avaliação minuciosa, por exemplo, dos canais de atendimento, para definir como conscientizar e educar seus clientes e usuários acerca dos riscos com o cyber espaço. Uma estatística de incidentes pode ajudar na questão. A IF não deve poupar esforços nesse sentido, pois essa ação é altamente recomendável em função do tamanho do risco operacional.

 

PLANO DE AÇÃO E DE RESPOSTA A INCIDENTES

  1. Adequação da estrutura organizacional e operacional

A resolução fala em um diretor para segurança cibernética. Algumas IFs já tem esse cargo, só que chamam de diretor de segurança da informação. Aqui é importante avaliar qual o escopo da área e as atribuições desse diretor. A segurança dos dados e informações está baseada em pessoas, processo, infraestrutura física e TI. A segurança cibernética se diferencia pelo seu agente de ameaça ser exclusivamente externo e o ambiente de “luta” não é físico, é virtual, é o cyber espaço. Nas empresas onde não existe a figura de um diretor para o tema, e o cargo, seja de gerencia ou de coordenação, deve ser avaliado e pensado. Toda a adequação deve ser elaborada levando-se em conta a conformidade com a resolução sem esquecer, entretanto, o tamanho e a complexidade das operações da IF.

  1. Plano de Ação e de Resposta a Incidentes

Antes de um Plano vem o processo de resposta a incidentes atrelado a uma metodologia e/ou a norma internacional que rege o tema, a 27.035. Algumas IFs já tem o processo, a metodologia, só não sei se dentro do que trata a norma. Nós da consultoria aplicamos a metodologia abaixo em conjunto com a norma internacional citada. A metodologia elenca seis passos:

Passo 1 – PREPARAÇÃO

Passo 2 – DETECÇÃO

Passo 3 – CONTENÇÃO

Passo 4 – ERRADICAÇÃO

Passo 5 – RECUPERAÇÃO

Passo 6 – ACOMPANHAMENTO

Uma política deve ser elaborada para apoiar uma estrutura a ser montada. Ter recursos humanos e materiais de acordo com o tamanho e a complexidade da IF, é uma tarefa que o gestor da área deve decidir com o apoio da Alta Administração. De toda forma, há também um trabalho espinhoso a ser executado para esse item.

 A resolução ainda tem uma outra seção que diz respeito à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Em um outro artigo comentarei sobre esse capítulo da resolução.

Sugiro às IFs que promovam uma análise de gap diante dessa resolução. Ela permitirá à IF entender de forma analítica onde está conforme, onde não está ou até, onde tem alguma coisa encaminhada. Essa análise possibilita à IF entender de forma mais profunda como se encontra para com o tema e colocar dinheiro realmente onde precisa.

Como um recado final que quero deixar e usei no título do artigo, é que esta resolução pode ajudar outros segmentos de mercado que não são regulados, mas que são alvos de ataques do cyber espaço. Dessa forma acho extremamente importante que os responsáveis nesses setores vejam como podem usar a resolução em seu proveito.

Outra, parceiros, fornecedores e terceiros de uma IF tem na resolução uma ótima oportunidade de aumentar o nível de maturidade de sua empresa para com um tema tão importante para os dias de hoje. Podem, e no meu entender deveriam aproveitar o momento e aumentar sua resiliência na questão. Além de mitigarem um importante risco operacional, podem propagandear pelo mercado o profissionalismo que tratam tão importante questão.

Era isso!

Até a próxima.

_______________________________________________________________

(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

É possível mitigar o Vazamento de Dados?

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

Em quase vinte e cinco anos atuando somente com a segurança da informação eu nunca tinha visto tanta propagação de incidentes de vazamento de dados/informações como nos dias atuais. O pior é que não se escolhe local, entidade e grau de importância, etc. Vejam que nem o STF foi poupado, quando da questão da quebra de sigilo bancário do presidente Temer pelo ministro Barroso. Olhem onde o tema bate, bem lá no topo! E ao concluir esse artigo aparece o caso da Cambrige Analytica e Facebook. Já tratei desse assunto nesse espaço, mas hoje vou abordá-lo sob outra ótica.

 Define-se hoje um vazamento de dados/informações como um ato intencional com intuitos diversos, praticado por uma pessoa ou entidade interessada em quebrar a classificação da informação e tornar os dados acessíveis a quem não deveria ter esse direito. Os intuitos para essa prática podem ser, entre outros:

 -> Prejudicar a parte onde se tem os dados vazados, sem qualquer tipo de ganho ou vantagem com o ato;

-> Obter algum ganho, financeiro, por exemplo, com os dados vazados;

-> Criar algum tumulto, com a finalidade de desviar o foco para algo mais importante dentro do contexto.

Fica claro nesse escopo que estamos tratando que alguém ou alguns, de dentro ou de fora de alguma empresa, organismo, instituição com acesso a determinados dados e informações, que possa de forma intencional, quebrar a classificação da informação e compartilhar esses dados a quem não teria direito a conhecê-los. Esse “vazador” tem motivações para atuar e podemos classificá-lo de três tipos:

 -> Alguém ou alguns em bando colaboradores de uma empresa/instituição;

-> Alguém ou alguns em bando de fora da empresa roubando os dados da empresa/ instituição; ou

-> Juntos, gente de dentro e de fora da empresa e em conluio, para vazar os dados.

 Pois bem, contextualizada a questão vamos tentar dissecá-la. Comecemos pelo meio que esses dados estão disponibilizados. Para simplificar nosso raciocínio vamos instituir dois meios: o digital e o papel. O meio digital pode ser acessado em diversos formatos conforme sabemos: sistemas autorizados pela empresa, pen drive, telas de dispositivos, entre outros. O meio em papel, não tem outro formato, é o papel impresso mesmo com os dados/informações.

 Obedecendo ao ciclo de vida da informação, esses dados podem ser encontrados em um dos quatro momentos da vida do dado/informação: manuseio, transporte, armazenagem e descarte. Lembrando que o manuseio é onde o dado é criado e manuseado, transporte são os meios que os dados são enviados de um local a outro, a armazenagem onde o dado está guardado/custodiado e descarte, é o ciclo final, quando se dá o fim ao dado/informação.

Vou tratar esse artigo em duas partes. Na primeira vou falar sobre o vazamento interno dos dados, isto é, uma pessoa que faz parte da empresa ou é um terceiro, que atua o tempo todo na empresa e que vaza os dados. Em uma segunda parte e de forma mais curta, vou falar dos dados/informações de disponibilizados por uma empresa para outros (terceiros) e de um consumidor comum.

AMBIENTE INTERNO

Para vazar dado alguém interno de alguma forma teve acesso a eles. E aqui estamos falando de dados e informações que podem se utilizar dos quatro ciclos aqui comentados. Mais, esses dados podem estar em ambos os meios, digital e papel. Mais ainda, não necessariamente o vazador dos dados pode ser alguém que não tenha acesso autorizado aos dados vazados.

O tema não é nada simples porque estamos tratando com seres humanos, com todas as fragilidades que nossa espécie tem. Cabe às empresas praticarem algumas boas práticas para diminuir as consequências desses atos. Selecionei algumas bem simples, que se implementadas da maneira correta podem mitigar muito bem esse risco. Vamos lá:

(1) Políticas e normas claras e simples, mas com SANÇÕES.

Normalmente encontro Políticas e Normas de Segurança da Informação que mais parecem uma novela do que um documento que deve ser claro e simples.

A Política (menos detalhes) e as Normas (detalhes das diretrizes da política) devem ter como requisitos imprescindíveis serem claras e simples. Qualquer um que leia deve ter entendimento fácil do que está lendo para poder praticar. Não deve ser um romance, com frases de efeito. Infelizmente não é isso que temos. Costumo dizer que se você perguntar para um colaborador quais são as diretrizes da Política e ele não conseguir falar/explicar 30% dela, a empresa falha.

E por que as SANÇÕES? Talvez muita gente não goste, mas Política sem Sanção tira o efeito mandatório que uma Política deva ter. Olhando sob a ótica de controles que mitigam riscos, as Políticas e as Normas são o que consideramos Controles de Dissuasão. O verbo dissuadir significa instigar alguém a mudar de opinião ou de intenção. As políticas e normas em segurança da informação são elaboradas e implantadas para dizer aos colaboradores o que não deve ser realizado, o que não é permitido em suas diretrizes. E, ao incluir sanções no final do documento, a empresa está dizendo o que poderá fazer caso o colaborador infrinja alguma das diretrizes ali descritas.

Aqui temos um viés importante. As diretrizes com sanções, se bem elaboradas e dentro de um programa estruturado de conscientização e educação em segurança da informação, deve produzir o efeito que um controle de dissuasão deve produzir, ou seja, o colaborador que tiver alguma intenção, por exemplo, de vazar uma dada informação, pode mudar sua intenção porque está infringindo uma diretriz e a sanção pode ser dura, incluindo em algumas empresas, a demissão por justa causa.

Existem muitas políticas e normas por aí simplesmente informativa, a maioria mais parecendo um manual de procedimentos. É necessário colocar a política e normas em seu devido lugar, com sanções estabelecidas e acordadas com o jurídico da empresa e inseri-las em um programa estruturado de conscientização e educação. Sem isso, não temos um importante controle de dissuasão operando e mais, cria-se a possibilidade de mais oportunidades para alguém mal intencionado atuar.

 

(2) Permissões, só as necessárias para exercer a função do cargo

Muitas oportunidades são concedidas aqui àqueles que desejam vazar. Na grande maioria das empresas as permissões concedidas aos usuários para acesso aos dados e informações, independente se estejam informatizados ou não, estão acima de suas necessidades para executar o que descreve sua função de trabalho.

Os problemas e os riscos são diversos aqui e vou tocar em um deles apenas. Normalmente encontramos um erro clássico nesse caso, que incrementa o risco. Gestores de dada área são definidos como “dono da informação” (àquela que certamente trata de sua área de trabalho). Por essa “propriedade” são escolhidos para determinar o que seus subordinados podem ou não acessar, e até usuários de outras áreas, que possam ter a necessidade de acessar informações onde o dono é o tal gestor.

Nada contra gestores serem responsáveis por importante tarefa, mas sim, com a falta de critérios padronizados para que o gestor possa fazê-lo conhecendo os riscos de segurança da informação e seus requisitos básicos. Outra. Além dos critérios, o gestor pouco conhecimento tem sobre os riscos advindos de autorizações mal feitas. Em várias situações, esse mesmo gestor olha para o pilar Disponibilidade com muita importância, sem se ater com os perigos de corromper a Confidencialidade da Informação, que é o ponto central do que estamos tratando. As empresas acreditam piamente que os gestores têm totais condições de fazer tais avaliações sem qualquer orientação. Muito cuidado aqui!

Um exemplo clássico do que estamos falando é o gestor disponibilizar a um dado usuário permissões muito além de sua descrição de trabalho, única e exclusivamente porque em dado momento esse usuário irá substituir seu chefe, por exemplo; outra, por achar que tem gente de menos para fazer o trabalho, bem comum isso, incrementa privilégios onde não deveria fazê-lo. São práticas que ocorrem e que podem trazer problemas.

(3) A prática da Engenharia Social interna é mais comum do que se pensa.

Pensamos então somente que a Engenharia Social foi algo inventado pelos hackers, onde o mestre de todos foi Kevin Mitnick, o seu precursor. Infelizmente não é isso que ocorre. Muitas pessoas tem o talento de um engenheiro social e na maioria dos casos nem sabe que essa técnica é tema de estudo há anos.

Quem tem intenção de praticar um vazamento de dados/informação, em uma boa parte das vezes, procura ocultar sua identidade e/ou utilizar de algumas informações de que não dispõe de acesso. Aí entra o engenheiro social interno.

É aquele camarada com atitude de ganhar a confiança de seus companheiros de trabalho e conseguir seus objetivos, ou seja, ocultar sua identidade por meio da identidade da vítima ou ter os dados/informações que deseja.

Esses engenheiros sociais internos conhecem a empresa e sabem até que ponto seus colegas de trabalho estão conscientizados sobre essa prática. As empresas por sua vez, com parcos e em boa parte das vezes mal direcionados investimentos na conscientização e educação de seus colaboradores, não percebem a prática da engenharia social interna, que é silenciosa e não deixa rastros.

(4) A Classificação da Informação deve estar presente nos quatro ciclos de vida da informação, independente dos meios disponibilizados.

De uns tempos para cá as empresas começaram a valorizar um dos pilares da segurança da informação que é a Classificação da Informação. Quando eu classifico um dado/informação eu de fato demonstro que me preocupo com o valor desses dados e informações. E isso é fundamental em segurança: conhecer o valor e classificá-la segundo critérios estabelecidos.

E mais uma vez tenho que frisar: em qualquer meio que o dado/informação esteja disponibilizado. E mais, como cito no título do item, essa classificação deve estar presente nos quatro ciclos de vida da informação, começando pelo manuseio até seu descarte. Quando o dado/informação está devidamente classificado, e consequentemente valorado de forma estruturada, eu estabeleço um requisito fundamental para estabelecer permissões e evitar privilégios.

Projetos de concessão e controle de acesso lógico onde de forma preliminar foi estabelecido a Classificação da Informação de forma estruturada e criterizada, o projeto de acesso lógico demonstrou de forma clara o quão estava robusto e sólido.

Posso ser chato, mas tenho que voltar a falar o que venho dizendo há anos: se quer fazer a coisa certa em segurança da informação não há como fugir de um projeto estruturado da classificação da informação.

 

(5) Conscientização e educação em Segurança da Informação é o ano inteiro.

E por fim, é necessário o estabelecimento de um programa que possa conscientizar e educar o colaborador sobre o tema. De novo, não é só aquela palestra que muitas empresas fazem falando das diretrizes da política. Isso é enfadonho e ninguém se conscientiza de nada. É colocar no “sangue” do colaborador a cultura da segurança da informação. Posso dizer a você com todas as letras se isso for realizado de forma planejada muitos, mas muitos problemas seriam evitados, inclusive vazamento de dados/informação. Como? Não vou contar o milagre todo por que vivo disso, mas para começar, e se realizado de forma lúdica, a engenharia social interna pode ser evitada.

AMBIENTE DE TERCEIROS

Como no vazamento interno, aqui também não faltam incidentes. Quase todo dia tem um sendo noticiado. Vamos então.

Aqui temos dois tipos principais. Um, em que uma dada empresa disponibiliza seus dados/informações para um terceiro, por qualquer motivo, em que ele atue em apenas um ou nos quatro ciclos de vida da informação. O outro tipo, esse um consumidor, que tem seus dados/informações disponibilizados a um terceiro, que também pode atuar em um ou nos quatro ciclos de vida da informação.

Vejamos quando uma empresa disponibiliza seus dados/informações a um terceiro.

Normalmente vários cuidados são tomados no campo jurídico. Termos de confidencialidade, contratos bem escritos com cláusulas prevendo multas em caso de vazamento de dados, etc. Mas, o mais importante, e que em boa parte dos casos não é realizada, é uma ação preventiva a ser efetivada antes da formulação de qualquer contrato. Essa ação é uma auditoria para saber o quanto a empresa está preparada em termos de segurança da informação para ter disponibilizado as informações da empresa. Os resultados dão o Go ou No Go para a realização do contrato.

Essa auditoria deve varrer o escopo do contrato com minucioso detalhamento dos dados e informações que serão disponibilizados à empresa contratante. A auditoria deve estar municiada de todos os requisitos de segurança dos dados e informações que serão disponibilizados e preparar seus critérios de auditoria dentro de seu planejamento.

Essa auditoria muito provavelmente deverá apontar não conformidades e, desde que a empresa a ser contratada se interesse, essas não conformidades deverão ser corrigidas em um prazo a ser fornecido pelos auditores. Somente depois de uma segunda visita e os pontos corrigidos é que o contrato poderá ser redigido com as cláusulas que se desejar.

Por mais que se estabeleçam multas pesadas e/ou outros, o risco operacional de se efetivar um contrato dessa natureza sem uma auditoria como a citada é elevadíssimo. As prováveis perdas operacionais (financeira e imagem) por conta de um incidente de vazamento, por exemplo, podem provocar até a descontinuidade do negócio da empresa contratante, por mais que se aplique multas no terceiro.

Ok, tudo certo a empresa foi aprovada e o contrato estabelecido. Acabaram as auditorias? NÃO. Ao longo do contrato outras auditorias devem ser estabelecidas, com dia e hora marcados. Bom seria se pudessem ser previstos em contratos visitas de surpresa, sem aviso prévio, daquelas: passei aqui para tomar um cafezinho. Explico.

O tomar um cafezinho dá a possibilidade de, somente passeando pela empresa contratada, poder encontrar material de elevado valor da empresa contratante, por exemplo, impresso em um pool de impressão. Isso, entre outros tantos possíveis incidentes. Sem a surpresa, a empresa contratada pode lançar um texto alerta aos seus funcionários, que entre outros, lembrando a todos que naquele dia não esqueçam nada no pool de impressão, etc.

A empresa contratada, como a contratante, precisa ter a consciência de inserir no DNA de seus colaboradores a segurança da informação. Isso é imperativo.

Acabou? NÃO. Se o contrato for rescindido ou não renovado, deve ser realizada uma auditoria para ter as evidências necessárias de que a contratada descartou todos os dados/informações da empresa contratante. Caso isso não seja realizado, não percorremos o ciclo de vida da informação, o que pode trazer futuros problemas.

Já realizei diversas auditorias com esse escopo e encontrei muitas não conformidades, algumas classificadas como graves, que impossibilitava qualquer assinatura de contrato com a empresa. A maioria das empresas terceiras auditadas, interessadas no contrato a ser celebrado, corrigiram essas não conformidades e os contratos eram efetivados.

Confesso que a demanda que tenho por essas auditorias preventivas são menores do que as auditorias com as empresas terceiras já contratadas. Nesse caso, a demanda pelo meu serviço geralmente ocorre quando algum incidente ocorreu no terceiro, e dessa forma contratam o serviço e normalmente encontramos outros riscos que podem vir a provocar futuros incidentes, o que dos males é o menor.

Sobre o segundo tipo, os dados de consumidores. Difícil aqui. Não posso eu Mário Sérgio, contratar uma auditoria para cada empresa que estabeleci uma relação comercial e que ficou com meus dados. Aqui somente as leis sobre o tema. O que cabe e isso é importante, é saber no antes de disponibilizar seus dados, se a empresa mostra em um contrato ou documento legal o que faz com seus dados e como os protege. Isso não quer dizer muita coisa, porque papel aceita tudo, mas é algo que você tem em mãos e pode usar.

Outro ponto importante é saber se já houve incidente noticiado pela imprensa sobre a empresa. Se houve, você deve se aprofundar na pesquisa sobre a mesma, sentir que está apoiado nas informações que precisa e daí decidir o que fazer. Tenha sempre todo cuidado, pois os seus dados podem cair em mãos de quem você nem imagina e ele vale muito!

E para terminar, o caso desses dias envolvendo o Facebook e a Cambrige Analytica, empresa de análises de dados que foi acusada de ter coletado e usado os dados de 50 milhões de usuários do Facebook. Essas informações revelaram o perfil completo de 50 milhões de pessoas que estão na rede social, que passaram a receber propaganda altamente personalizada durante, por exemplo, a campanha de Donald Trump e do Brexit.

 O escândalo explodiu depois que um ex-funcionário da Cambridge Analytica, chamado Christopher Wylie, revelou que a consultoria britânica pegava dados das pessoas que fizeram o teste e também de seus amigos, sem consentimento.

Vou voltar no tema com mais profundidade, mas sempre alertei clientes em palestras de conscientização que faço que o Facebook é uma rede gratuita, que você não paga nada para entrar e nem para sair, e isso parece bom, mas se perguntaram alguma vez como uma rede social protege seus dados? Quem os acessa? O que faz com eles? Complicado, né?

 

Era isso!

 

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

A hora e a vez do Compliance!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Finalmente parece que as corporações de segmentos importantes, não só os regulados, perceberam a importância do Compliance. Entenderam, se não pelo noticiário e/ou pela obrigatoriedade, o quão essa disciplina pode vir a agregar valor para a empresa e saíram na busca de profissionais e estruturação da área. Claro, que em se falando de Brasil deve se dar um desconto, pois por ser uma área de controle, que prima pela prevenção e cumprimento de regras mandatórias, sua valorização não é o que deveria ser, mas o movimento tem se mostrado acima do previsto, o que amadurece de vez a prática.

Antes de desenvolver esse artigo é importante salientar que eu não sou um profissional de Compliance, mas minha experiência de consultor e auditor em várias práticas que estão no programa de Compliance das empresas, auxilio o gestor de compliance e sua equipe. Isso venho fazendo há pelo menos quinze anos atendendo às demandas do Compliance Officer. Várias projetos desenvolvi tendo como sponsor a área de Compliance. Dessa forma, vou expor a minha visão sobre a área, de alguém de fora, que trabalhou e trabalha com vários compliance officer e equipe. Vamos então…

Alguns eventos podem explicar essa explosão que falei. Comecemos pela enxurrada de casos nacionais e internacionais que ganharam todas as manchetes nos últimos cinco anos, para ser modesto, e que envolve algumas práticas que estão na ordem do dia do Compliance. Fraude, corrupção, lavagem de dinheiro, suborno e outros tantos ilícitos foram acendendo o alerta vermelho de órgãos reguladores e auditorias. O risco do não compliance pode implicar em riscos maiores como o reputacional.

 Eventos como os citados vêm fazendo com que reguladores há algum tempo venham apertando o cinto com novas regulamentações recheadas de controles e, as auditorias, ampliem e endureçam com seus critérios de auditoria na busca da prevenção de danos quantitativos (financeiros) e qualitativos (imagem) de seus fiscalizados e clientes.

Podemos dizer que internacionalmente a prática do Compliance começa a se difundir a partir dos anos 70, com a criação do Comitê da Basiléia para Supervisão Bancária. Nesses anos procurou-se fortalecer o Sistema Financeiro através da maior conceituação sistemática de suas atividades, parametrizando-se pelas boas práticas financeiras e munindo-as de procedimentos prudenciais na sua atuação.

Pelas nossas bandas, com a abertura comercial incrementada a partir de 1992 com o governo Collor, o Brasil procurou-se alinhar-se com o mercado mundial da alta competitividade, e simultaneamente, os órgãos reguladores aumentaram sua preocupação em implementar novas regras de segurança primeiramente para as Instituições financeiras e a regulamentar o mercado interno em aderência às regras internacionais.

Esse histórico foi fazendo com que empresas reguladas e/ou com fortes auditorias internas e externas, com critérios de auditoria claramente estabelecidos, estruturassem melhor a área, criando seu planejamento, suas equipes, sua relação com outras áreas da empresa e seu programa de Compliance.

Já escutei, não uma, mas inúmeras vezes a frase: …mas, manter uma área só para atender a leis, reguladores, etc.? Como essa área agregaria Valor ao negócio? Por si só esse atendimento pode parecer pouco, mas o Risco do Não Compliance traz efeitos de multa e até suspensão das operações.

Entendo que no mínimo os elementos agregadores de valor do Compliance seriam:

    • Qualidade e velocidade das interpretações regulatórias e políticas e procedimentos de compliance relacionados;
    • Aprimoramento do relacionamento com reguladores, incluindo bom retorno das revisões dos supervisores;
    • Melhoria de relacionamento com os acionistas;
    • Decisões de negócios em compliance;
    • Velocidade dos novos produtos em conformidade com o mercado;
    • Disseminação de elevados padrões éticos/culturais de compliance pela organização;
    • Acompanhamento das correções e deficiências (não conformidades).

Ao avaliarmos esses elementos agregadores de valor do Compliance podemos perceber claramente a sua importância para a empresa; para aqueles que “tocam” a área fica uma dura missão, a de gerir o risco de compliance. Conceituamos Risco de Compliance como a soma do risco de imagem e reputação e o risco legal.

O Risco de imagem e reputação é a perda da confiança, credibilidade da empresa diante da sociedade e das partes interessadas. E o Risco legal é aquele relacionado às possíveis sanções a serem aplicadas pelos órgãos reguladores e autorreguladores em função da não aderência a normas, regulamentos, políticas e procedimentos internos

Nessa gestão do risco de compliance podemos olhar o risco aqui sob as suas duas perspectivas, a positiva e a negativa.

Na visão positiva do risco, que é a oportunidade, nesse caso refletida na execução planejada de toda a conformidade necessária para o cumprimento de leis e regulamentos e sal execução. Essa total conformidade se reflete em decisões de negócios dentro das regulamentações, sem futuras surpresas que possam atrapalhar os objetivos organizacionais atrelados a essas decisões. Por exemplo, a fusão ou incorporação de empresas pode ser uma ótima oportunidade de negócio para uma dada empresa. Trata-se de uma decisão que envolve análises complexas para a tomada de decisão. Aqui, a presença do Compliance Officer é de extrema importância para que não haja problema lá na frente, que pode até suspender uma fusão decidida por outros aspectos.

Outro ponto positivo é a possibilidade de demonstração de governança aos acionistas, mesmo que seja um quinhão dessa governança, ao se estabelecer um relacionamento confiável com os mesmos. E algo positivo que aparece de forma sublimar, mas aparece, é a oportunidade de agregar os devidos padrões éticos aos colaboradores e terceiros/parceiros que estabelecem negócios com a empresa.

Uma oportunidade muito importante é a possibilidade, e os compliance officer também sabem disso, de atuar na elevação do capital reputacional. Esse capital reputacional é o quanto a empresa acumula da reputação de sua marca sob a ótica do mercado onde atua e sob os olhos da sociedade.

Este capital está diretamente relacionado com os princípios e valores morais com os quais a empresa atua e pactua. É um capital de valor intangível, mas tão valoroso como o capital econômico financeiro da qual a empresa dispõe. Em caso de incidentes em sua reputação, o negócio pode vir a falir.

Esse parece um benefício invisível que o Compliance conquista, mas ele existe e pode ser medido. Atrelado a esse incremento do capital reputacional vem a possibilidade que o Compliance traz, de fazer com que os colaboradores acreditem que cumprir regras vale a pena e que todos ganham. Em se tratando de Brasil é uma mudança de paradigma enorme, já que não somos muito fadados a cumprir regras e assemelhados.

Pela vertente negativa do risco podemos de bate pronto destacar alguns deles:

    • Dano à reputação da organização e da marca;
    • Cassação da licença de operação;
    • Sanções às empresas e aos indivíduos (processo administrativo, criminal, multas e, até prisão).

Destaquei apenas três itens, mas que sozinhos ou relacionados fazem um barulho danado para a empresa, podendo até a descontinuar o negócio. Dado ao tamanho de cada um deles, o ROI do Compliance fica facilmente justificável e isso meus amigos Compliance Officer sabem perfeitamente.

De toda forma percebo claramente em contato com vários Compliance Officer que conheço que a tarefa não é das mais simples, muito pelo contrário, exige muita transpiração e inspiração no dia a dia. Uma dessas transpirações e inspirações que conheço é a interação, o relacionamento do Compliance com as outras áreas da empresa.

Várias áreas dentro da empresa estabelecem intersecções com a área de Compliance. Muitas atividades se conectam e se interagem. Dessa forma, as fronteiras de cada uma delas são uma linha tênue, causando retrabalho, dificultando o entendimento de respectivas funções. Daria um artigo único para falar desse assunto, mas vou pegar parte dele apenas.

A maioria dos regulamentos, normas, etc. nas quais o Compliance deve avaliar e procurar colocar a empresa em conformidade demanda algum tipo de ação, um projeto. Algumas dessas ações/projetos ficam a execução por conta da própria área, como, por exemplo, a prevenção e lavagem de dinheiro e combate à fraude. Outras ações/projetos podem ficar com diversas áreas, como as relacionadas com os temas da Segurança da Informação e o Plano de Continuidade de Negócios, por exemplo.

Já vi muitas resoluções sobre Segurança da Informação e Plano de Continuidade de Negócios, por exemplo, serem simplistas demais. Com isso o Compliance Officer, que não tem nenhuma obrigação de ser especialista no tema, pode ficar vendido. Ele vai precisar interagir com as áreas da empresa para tomar pé da conformidade com o tema e medir de alguma forma o risco do compliance.

Por exemplo, se o assunto for Plano de Continuidade de Negócios, ele pode ir até a área de TI ou de Segurança da Informação, que podem ser os responsáveis pela execução e manutenção do Plano, e colher informações sobre a situação atual. Pode ir ou checar com controles internos e/ou risco operacional para certificar o que a TI/SI falou…tem a auditoria interna também.

Claro, esse modus operandi é de cada um, de cada Compliance Officer, de cada empresa. Mas o que eu quero trazer a tona é a versatilidade, a destreza que o Compliance Officer e a sua equipe devem ter nessa circulação pela empresa. As coisas saem, fluem, colhem-se os resultados melhor se todos pudessem entender o que é trabalho do Compliance e o seu significado para os negócios. Certamente as interações que ocorrem devem acontecer com a maior assertividade possível.

Essa interação e comunicação devem ter em mente que o objetivo maior para o Compliance é a conquista da conformidade, mesmo com resoluções pouco detalhadas. Para essas resoluções existem algumas maneiras de medir o grau de atendimento. Tem a tal de “melhores práticas do mercado”, mas…uma que eu adoto é a aderência a normas nacionais/internacionais e arcabouços de institutos reconhecidos tanto aqui como lá fora. Com certeza aqui não há erro!

Se me permitirem, um insight. Além desse “marketing interno” do Compliance, a viabilidade da criação de uma Matriz de Responsabilidades entre determinadas áreas correlatas e o Compliance seria de bom tom. Áreas que possam criar um retrabalho ou alguma outra dificuldade para que o trabalho flua melhor e alcance os resultados desejados, aparece na elaboração da matriz e pode ser corrigido. Penso que agregaria…

Certamente vejo que nos próximos anos a demanda do Compliance deve crescer, mesmo nos segmentos que não possuem reguladores. Leis impostas de âmbito executivo federal como a Anticorrupção, a GDPR da União Europeia, entre outros, devem fazer com que segmentos que antes não olhavam para essa prática comecem a olhar. Esse é um ótimo caminho, e os profissionais que o escolheram agradecem!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

2018: sabedoria e líderes inspiradores!

enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

Estamos na porta do Natal e de um novo ano que se aproxima. Momento de esperança, de renovação, mas também de reflexão… Meu Deus, que ano foi esse? Era ligar a TV no horário nobre e ver o noticiário povoado de péssimos exemplos. Corrupção, fraudes, propinas, suborno, jeitinho, violência, mortes estúpidas, ataque cibernético nunca visto…uma avalanche de atos que jogaram na sarjeta a moral, a ética e os bons costumes. E o pior, péssimos exemplos vindos de onde deveria se ter os melhores. Nós brasileiros erramos na construção do melhor que uma nação pode ter: sua gente?

 Foi presidente da república se defendendo de tudo que é jeito, ex-presidentes investigados, outros condenados, presidentes de empresas privadas e públicas presos, membros do STF questionados e uma leva enorme de políticos e profissionais do alto escalão de empresas presos ou no mínimo indiciados. Que país é esse?

 Tenho que confessar que em meus 58 anos de vida nunca vi nada igual. Fui procurar na história de nosso país e também não encontrei algo parecido. Li Laurentino e outros historiadores, que podem nos dar uma boa pista do que está acontecendo, pois nossa história é pródiga desses exemplos, mas não no volume e na abrangência que estamos vendo. Criamos nosso jeitinho e tudo de mal que estamos vendo há muito tempo atrás. Culpa de quem? De todos nós que formamos essa Nação? Há quem culpe até a Internet, as mídias sociais, de um mundo mais informado… mas a realidade é mais em cima: nossa sociedade está enferma e precisa urgente sair da UTI. O que pode ser pior é, do jeito que vamos, onde iremos parar?

Sinceramente eu não sei. O que sei é que se torna urgente punirmos todos os culpados de forma exemplar. Essa é a primeira pedra para construirmos ou reconstruímos uma sociedade baseada em valores moral, ético e de honestidade. Uma nação não se sustenta sobre bases tão espúrias como a que estamos assistindo. Se não o fizermos, não há economia, não há nada no mundo que aguente a todas possíveis consequências advindas.

Sou educador há quase trinta anos com a nobre tarefa de auxiliar na formação do ser humano. Trabalho como consultor com vários temas que remetem e muito às questões humanas e confesso que estou preocupado com o rumo que as coisas estão tomando. Qual será o legado que nossa geração está deixando?

Os políticos que aparecem nas reportagens não saíram do além, saíram de nossa sociedade, saíram de cargos em empresas públicas e privadas e a maioria chegou nesse corrompido sistema, colocado lá, pela sociedade. Esses mesmos políticos um dia poderiam ter trabalhado em sua empresa e de repente fazem parte da “nobre” sociedade política.

E o que dizer de presidentes de empresa e seu alto escalão? Um país jovem que necessita constantemente de lideres inspiradores olha para cima e vê o que vê? Será que vivemos em uma bolha na qual só se dá bem quem atende ao manual da corrupção, propina, etc., e os que estão fora estão fadados a remar, remar…e ganhar como prêmio de consolação a honestidade e a ética?

Como não pensar se um colaborador de minha equipe também não quer se dar bem, como nos exemplos que ele vê na TV, no jornal, no andar de cima? Por que esses caras podem e eu não posso? Eu, colaborador, posso racionalizar que tenho os mesmos direitos que ele, mesmo sabendo que eles têm ótimos advogados e eu talvez não tenha a mesma chance de me defender?! Mas na hora, eu, colaborador, dou um jeito, e no máximo o que pode acontecer é eu perder o meu emprego, mas o dinheiro que levei em minha falcatrua me deixa sossegado por algum tempo e consigo até pagar um bom advogado…

Li um dia desses uma pesquisa, que não ficou restrita somente ao Brasil, que o número de incidentes com ameaças internas com perdas financeiras relevantes, cresceu mais de 30% no último ano. Em um simpósio recente sobre a segurança das informações corporativas alguns especialistas voltaram a enfatizar que as ameaças internas são mais preocupantes do que a externa. Infelizmente essa constatação eu já verifico há mais de vinte e cinco anos que trabalho só com a segurança da informação, então, não vejo novidade alguma nesses números. O pior cego é o que não quer ver…

Nesse cenário em que os exemplos de desonestidade se intensificaram, em que poucos ainda são punidos, que muitos conseguem dar um jeito de escapar e a justiça é bem lenta, é o pior que pode acontecer. E quando olhamos o contexto e verificamos que o mundo corporativo está envolvido com presidentes e alto escalão sendo processados, vários presos, parece surreal! Como essas empresas continuam a cumprir sua missão na sociedade, com seus principais executivos presos e sendo o exemplo que são?

Não vou ficar aqui me atendo o que são medidas corretas a se adotar, até porque muita delas a maioria tem conhecimento, várias inclusive publiquei em meus artigos, e muito bom material está disponível em livros e na internet, mas queria alertar que precisamos mudar pela ação.

As pessoas necessitam ter alguém em quem se espelhar, e isso parece não mais existir. Você quer olhar para dentro de sua empresa, seja na horizontal e na vertical, principalmente, e encontrar pessoas em quem pode CONFIAR, pelo menos um pouquinho. Pessoas em que você pensa em se espelhar. Pessoas nas quais você diz: daqui a alguns anos quero ser e estar onde esse LÍDER hoje se encontra. Isso, Líderes, que sejam Inspiradores! Um produto em falta no país. Não temos líderes nesse país, e muito menos que nos inspirem. Desafio você a me enviar um e-mail com pelo menos um nome, um só! Ficaria bem contente…

Esse líder não se constata pelo terno impecável, gravata importada, pelo terninho ou saia do estilista da moda. Esse líder se vê por sua conduta e ATITUDES éticas, justas, encontrada em cada um de seus atos. O verdadeiro líder é respeitado por sua conduta e atitude com justiça, e não por seu cargo hierárquico, ou pelo número de links que aparece em uma procura no google. As pessoas do andar de baixo precisam acreditar que aquilo que se fala é aquilo que se faz, de fato.

 Não é o português rebuscado, os estrangeirismos e eloquência das palavras, mas a verdade dos atos praticados que faz o Líder que imagino. Aquilo que se fez ou faz é o que se fala, e não o contrário. A confiança vem do acreditar e isso está cada vez mais difícil de encontrar no mundo que vivemos. Diz um amigo que: interessa o que importa e o que importa é o que interessa. Será?

O Acreditar e a Confiança devem vir do andar de cima. Se o andar abaixo não percebe esse mínimo que eu falei, cria-se um ambiente propício para incidentes que já conhecemos muito bem. Há que existir verdade nos atos, nos exemplos. O tempo em que se falava meia dúzia de palavras bonitas que impressionavam as pessoas, a maioria inclusive tinha que recorrer ao dicionário para ver o que significava, esse tempo acabou! Essa variante de engenharia social fica por conta dos políticos, que ainda as pratica e engana as camadas menos esclarecidas da população, com discursos eloquentes que em sua grande maioria, não serve absolutamente para nada, infelizmente.

Muitos acreditam que não existem negócios conduzidos 100% na moral, na ética e na honestidade. Acreditam que isso é praticamente impossível nos negócios envolvidos principalmente com a administração pública, independente da instância. Dizem que aqueles que tentam levar a coisa a sério não conseguem sobreviver. O sistema funciona segundo uma lei própria: a do toma lá da cá. E para sobreviver é preciso praticar esse mantra do toma lá da cá.

Como cidadão e educador não posso acreditar nesse toma lá da cá. Essa forma histórica de se fazer as coisas, remotas do Império, não deve pertencer mais a uma Nação que pretende ser Grande. Todos temos nossas responsabilidades e devemos cumpri-las. Não podemos ser culpado pela história de um povo de uma época que tudo via e nada fazia. Precisamos cada vez mais colocar a boca no trombone.

Espero sinceramente com essa reflexão que tenhamos um ano de 2018 não só cheio de esperança e de coisa boa, como sempre vamos recitando, mas que possamos ter um ano de Coragem e Atitudes para mudar o que está errado, em todo o lugar onde possamos agir: em casa, na empresa que trabalho, com os amigos e com a urna no final do ano. Que Deus nos ilumine com Sabedoria para agirmos e que nos traga líderes que nos inspire!

Um excelente Natal e um 2018 como falei!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

O tal, Estado de Espírito.

enigma.consultoria Sem categoria Leave a comment   ,

(*) Mário Sérgio Ribeiro

Acho que vai chegando ao final de ano e penso que de forma natural vamos relaxando um pouco mais, ficando mais reflexivos, o que acho muito bom. Nessa linha vi um texto um dia desses do psiquiatra e autor de alguns best sellers, Roberto Shinyashiki. que reproduzo abaixo e que serviu de inspiração para esse meu artigo, que é fora da casinha dos temas que costumo escrever. Vamos ao texto do Roberto:

…a sociedade quer definir o que é certo. São quatro loucuras da sociedade:

A primeira loucura é instituir que todos têm de ter sucesso, como se ele não tivesse significados individuais.

A segunda é você ter de estar feliz todos os dias.

A terceira é você tem que comprar tudo. O resultado é esse consumismo absurdo.

E por fim, a quarta loucura é você ter de fazer as coisas do jeito certo. Jeito certo não existe. Não há um caminho único para se fazer as coisas. As metas são interessantes para o sucesso, mas não para a felicidade. Felicidade não é uma meta, mas um estado de espírito. Tem gente que diz que não será feliz enquanto não casar, enquanto outros se dizem infelizes justamente por causa do casamento.

Você pode ser feliz tomando sorvete, ficando em casa com a família ou amigos verdadeiros, levando os filhos para brincar ou indo à praia ou ao cinema. Quando era recém-casado formado em São Paulo, trabalhei em hospital de pacientes terminais. Todos os dias morriam nove ou dez pacientes. Eu sempre procurei conversar com eles na hora da morte. A maior parte pega o médico pela camisa e diz: “Doutor, não me deixe morrer. Eu me sacrifiquei a vida inteira, agora eu quero aproveitá-la e ser feliz”.

Eu sentia uma dor enorme por não poder fazer nada. Ali eu aprendi que a felicidade é feita de coisas pequenas. Ninguém na hora da morte diz se arrepender por não ter aplicado o dinheiro em imóveis ou ações, ou por não ter comprado isto ou aquilo, mas sim de ter esperado muito tempo ou perdido várias oportunidades para aproveitar a vida.

Deus nos criou para vivermos a vida em toda a sua plenitude, para sermos felizes, sermos livres …não se deixe escravizar …não seja escravo da ganância …do egoísmo … da amargura … do ressentimento … da falta de tempo … Tenha tempo para Deus, para sua família, para você mesmo! Seja livre para amar … para sonhar… para viver! E não espere a hora de sua morte para lembrar-se de que é preciso aproveitar a vida e ser feliz!”

 Lendo o que Roberto escreveu parece até simples de entender e praticar, porque até temos o conhecimento desse escopo todo, mas não o praticamos. Geralmente em minhas aulas costumo dizer para os meus alunos que a vida me levou para o estudo e foi ali que encontrei minha felicidade no trabalho. O estudo me proporcionou minhas duas ocupações que tenho prazer em acordar todos os dias e praticá-las: ser consultor/auditor e ser educador/professor.

 Uma parte do texto do Roberto que me chamou muita a minha atenção é quando ele diz: As metas são interessantes para o sucesso, mas não para a felicidade. Felicidade não é uma meta, mas um estado de espírito. Bingo! Na mosca! Quantas pessoas tem sucesso, mas não são felizes no que fazem, não são felizes em sua vida, não conhecem o tal Estado de Espírito.

 Estudar é algo que me deixa muito feliz. Graças a Deus que encontrei isso. Estudando aprendo coisas novas, tenho possibilidade de compartilhar com outras pessoas e com meus ouvidos cada vez mais afiados para aprender com elas. Estudar e compartilhar conhecimento é um dos meus estados de espírito!

 Se existe uma profissão em que você está aprendendo e compartilhando o tempo todo essa se chama ser Consultor. Tenho uma grande responsabilidade como consultor. Alguém confiou no meu trabalho e espera que eu não o deixe na mão. Espera que eu entregue aquilo que a empresa dele está precisando. Precisa do meu estudo, do meu conhecimento, de minha experiência adquirida, do meu braço, para atender os anseios da empresa. E eu não posso decepcionar, tanto a quem confiou em meu trabalho como na empresa.

 Nesse trabalho, em uma relação pautada pela extrema confiança, eu aprendo tanto quanto compartilho. Quantos negócios eu não sabia do que se tratava e contei com a generosidade de meus clientes para aprender sobre, para que daí eu pudesse ensinar, compartilhar o que estudei, na aplicação de minha especialidade na empresa. Essa relação de troca cria o tal de estado de espírito, a tal da Felicidade no trabalho. Quantas relações criei em minha carreira, quantos momentos de felicidades já ocorreram. A Consultoria me proporciona carregar um pedaço das pessoas que conheci e que ainda mantenho contato, e onde também tenho a chance de deixar um pedaço meu em cada lugar que passo. Isso é a felicidade da lembrança que não se apaga.

 Como consultor também tive muitas dificuldades e tive que usar da minha paciência de educador para tentar fazer com que o trabalho andasse. Os conflitos internos entre pessoas em uma empresa, quanto maior pior podem ser, eles ocorrem e são absolutamente naturais, porque não temos todas as pessoas pensando e sentindo da mesma forma.

A questão é que esses conflitos precisam ser moderados e resolvidos. Não foram poucos os lugares onde tive que atuar para fazer o trabalho andar. Tive vários momentos de indefinição que até pensei: caramba, será que vale a pena? E aí talvez que esteja guardado um outro segredo do trabalho: é a possibilidade de resolver e sair feliz da situação. O que parecia ruim o tempo todo, fica bom, e pronto, ganhou novamente seu estado de espírito.

 Em minha vida profissional que já tem 40 anos, completei esse ano, já conheci muita gente triste naquilo que faz no dia a dia. Tinha metas e metas, como Roberto diz, mas não conhecia o tal estado de espírito que a profissão pode trazer. Uma boa parte não fazia o que gostava ou estava na posição errada ou na empresa errada ou tinha um chefe e não um líder em que devia se inspirar ou, tudo isso junto e misturado!! Como alguém pode almejar, sentir o estado de espírito em uma situação como essa? NUNCA.

 Falo sempre para os meus alunos que eles precisam estar felizes naquilo que fazem e onde fazem. Se não se sentir feliz quando tira o pé da cama para ir para empresa trabalhar, esquece, tem alguma coisa errada e não vem com o papo de que ganha mal na empresa, como desculpa para o mau humor. Essa não cola e não serve. Talvez o melhor mesmo seja procurar um outro lugar onde se sinta feliz, desenvolver-se como profissional e pessoa e quem sabe, até executar uma outra atividade. Dinheiro é importante, sim. Sucesso também, sim. Mas o tal Estado de Espírito …

 Uma das coisas que mais escuto, em tom até de reclamação, é a de que seus superiores são apenas seus superiores, não tendo nenhum atributo de um líder que inspire. Na verdade, eles são Chefes. Seria o sinal ruim dos tempos que vivemos? Como temos ídolos nos esportes, nas artes, precisamos ter um no trabalho, e que ele esteja perto de mim, que seja espelho para meu crescimento e aprimoramento. Se não o encontrou, ainda, procure, porque de fato nada substitui um Líder Inspirador no trabalho. Eu em minha carreira também tive dificuldade, mas em um dado momento o encontrei. Confesso que suguei tudo o que podia com esse Líder Inspirador. Não esqueço nem um pouco as lições que carrego até hoje e que ajudaram em muito na minha formação. Quem te inspira ou inspirou você vai lembrar para o resto de sua vida, isso é absolutamente certo!

Sei que pode parecer meio utópico tocar num assunto como esse em um momento conturbadíssimo em nosso país e no mundo, mas sinto que é necessário, e que até saí da casinha. Peço desculpas por ter saído da casinha, mas nesses momentos é que precisamos entender que não estamos por aqui à toa ou para ficar assistindo ao JN noticiando as barbaridades sem precedentes daqueles que deveriam ser nossos Líderes Inspiradores. Estamos aqui com o propósito de sermos felizes, de tentar fazermos outros felizes, de sentir o tal estado de espírito. De conseguir enxergar qual o nosso Talento, que pode demorar, e explorá-lo. De fazer do nosso trabalho, passamos a maior parte da vida fazendo isso, ter inúmeros momentos de prazer e felicidade. Metas são importantes para o sucesso, mas encontrar seus estados de espíritos ou topar com eles, tanto quanto for capaz de conseguir, ah, isso não tem preço. Procure e seja Feliz!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Os sinais de que um PCN pode não funcionar.

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

Em uma recente palestra sobre continuidade de negócios, uma pessoa na plateia questionou: Como posso ter certeza que meu Plano de Continuidade de Negócios (PCN) funcionará, caso precise dele? Resposta: Certeza, certeza, nenhuma. Talvez tenha mais incertezas do que certeza de que ele irá funcionar como você pensou e elaborou, do que propriamente certeza 100%. E a pessoa retrucou: e por quê? Respondi resumidamente o que a seguir resolvi transformar a resposta em um artigo. Vamos lá…

Já escrevi algumas vezes que você elabora um Plano de Continuidade de Negócios com o objetivo de utilizá-lo em caso de uma interrupção prolongada nas operações da empresa quer seja por qualquer tipo de evento. Claramente é um tratamento a um risco de interrupção de seus negócios que pode levar até, a descontinuidade do mesmo.

Pois bem, mas porque pode não funcionar como devido? Antes de mais nada queria apenas dizer que não tenho bola de cristal e nem tenho sinais de premonição. Vou apenas usar minha experiência profissional e acadêmica sobre o tema para opinar. Pode ser que eu esteja totalmente errado, e então vocês me perdoem. Dito isso, vamos aos sinais de que pode não funcionar…

Muitos PCNs que vi para depois construir um novo tem definido um escopo de proteção limitado. Ainda se comete o equívoco de olhar PCN como algo de TI, protegendo apenas esse recurso, parece incrível, mas é verdade. A definição do escopo dos recursos a responder a um risco de descontinuidade das operações é crucial. TI é apenas um dos recursos. Existem outros e eles devem ser contemplados. Uma empresa não vive apenas de um recurso. Esse leque de recursos depende do ramo de atividade que a empresa atua, mas figurinhas presentes em todos os ramos de atividade, inclusive manufatura, são: pessoas, processos, instalações, suprimentos e fornecedores/parceiros. Se começou errado aqui, grande chance de dar errado.

Um passo seguinte é a realização de forma mais detalhada e assertiva possível da Análise de Impacto do Negócio, que conhecemos como BIA (business impact analysis). O BIA feito fora das melhores práticas do mercado não traz o raio – x necessário dos processos da empresa e como resultado, a chance de definição de estratégias de recuperação não serão as melhores possíveis. Realizar o BIA requer um processo e uma metodologia para executá-lo, e não se trata de algo simples e rápido de ser aplicado e obtido os resultados. Infelizmente, não dá para buscar na Internet uma e achar que ela serve para aplicar em sua empresa. Vi vários BIAs executados dessa forma, com uma metodologia caçada na internet e que resultaram em Estratégias de recuperação bem equivocadas. Aqui então, nossa segunda chance de dar errado.

O outro passo é executar também de forma detalhada uma Avaliação do Risco. Aqui temos dois objetivos. Primeiro, fazermos uma avaliação completa, com resposta e plano de ação, para que diminuamos a chance de termos que utilizar o PCN e segundo, identificamos quais processos/componentes de nossa operação devam ter definidos estratégias de continuidade em caso de indisponibilidades. Mais uma chance de fazermos errado em face da especificidade do tema.

Um outro item importante é a definição das estratégias de recuperação para os recursos definidos em meu escopo de proteção. Como falei no início do artigo, alguns recursos são obrigatórios para todos os ramos de negócio, outros, entretanto, habitam apenas alguns ramos. Aqui, nesse passo, o buraco é mais embaixo, como diz o ditado popular. Somente com as etapas anteriores realizadas de forma sistemática e detalhada é que podemos selecionar e definir com assertividade as melhores estratégias de continuidade.

Outra, aqui é onde a Alta Administração deve coçar o bolso. Por mais que tenhamos possibilidade de adotarmos estratégias que não demandem grandes investimentos, esse é o momento da realização de algumas reuniões com aqueles que cuidam do dinheiro da empresa. Uma coisa boa é, que dependendo da experiência de quem está conduzindo a elaboração do Plano, é possível adotarmos estratégias com baixos investimento que atendam ao que o BIA e a Análise de Risco preconizaram. Já tive oportunidade de realizar vários projetos nessa linha. Aqui temos mais um item com enorme potencial de fazer com que, aquilo que se pensou que iria dar certo, infelizmente não deu!

Das Estratégias para frente entramos no que eu costumo chamar de 2ª Onda do PCN, que trata da elaboração do Plano, do treinamento das equipes e dos testes. É a partir da conclusão da 1ª onda (BIA, análise de risco e estratégias de continuidade) que podemos iniciar a 2ª onda.

Com relação à elaboração do Plano existem diversos modelos e formas de fazê-lo. O que é certo é que ele tenha que ter alguns atributos importantes:

  • Seja simples, sem deixar de conter todos os elementos necessários;
  • Que contemple todos os componentes, desde a definição ou não por sua ativação até a volta à normalidade;
  • Que seja desenvolvido de acordo com a cultura da empresa e não um copiar-colar de outros modelos;
  • Que esteja totalmente alinhado ao definido na 1ª onda do projeto; e
  • Que seja lúdico, facilmente encontrável para ser ativado.

São atributos nada complexos de se entender e praticar. Sim, mas já topei com alguns que não atendiam em nada esses atributos. Já vi plano com mais de 200 páginas, com texto absolutamente desnecessário, que não tinha absolutamente nada a ver com a cultura da empresa (foi desenvolvido para alguma outra e bum, copiar e colar), com tabelas e listas em branco e/ou completamente desatualizadas, que quem deveria coordenar o plano não sabia onde estava o documento para consulta e por aí vai…

O certo é que o Plano é um ser vivo e deve refletir exatamente o que a empresa precisa fazer para recuperar suas operações, no caso de ter ativado por conta de um evento. Conhecer o processo, metodologia e o modelo para sua elaboração é uma atividade que não admite erro, uma vez que esse documento será seu “companheiro” diante de uma crise. Então, encontramos mais um elemento, e talvez o principal, para que a coisa não funcione.

E o Treinamento, hein? Relegado por muitas empresas a um plano absolutamente secundário, pode ser visto como uma grande ameaça caso não se faça. Se você depende de pessoas para recuperar operações, como querer que elas atuem de forma correta naquilo que projetou para a crise se não treina as mesmas? Como querer que as equipes diversas do PCN trabalhem nessa crise, que não é igual ao dia a dia, se também deixa as mesmas de lado, não as treinando? É dar um tiro no pé. É remar tudo que remou até aqui e morrer na praia. Achamos mais um…

E por fim o Teste. Alguém sabe por que fazemos Teste do PCN? Sim, você pode responder, para checarmos se está tudo certo. Pode ser…talvez fosse melhor olharmos por uma outra fresta e nos perguntar: o que está fora dos conformes, o que está errado no Plano? Essa deve ser a visão quando realizamos Teste do PCN. E pode começar errado logo de início, quando não nos utilizamos de um processo para planejá-lo e executá-lo. Com o processo definido tenho que escolher o melhor método de acordo com o grau de maturidade da empresa para o tema. Muito erro ocorre por conta disso. Não queira fazer um teste de elevada complexidade e de alto impacto se for o primeiro Teste. Os testes ganham complexidade com a maturidade do plano. É importante ter em mente que vários itens podem não dar certo quando testamos; isso tem que acontecer! Imaginar o contrário é falta de experiência com o tema.

E por último lembrar que o PCN é um ser vivo e deve ser periodicamente revisado, no mínimo anualmente. Sei de muito PCN que ficou dentro da gaveta por anos; sorte da empresa que não houve nenhuma crise no período.

Isso me faz lembrar de uma história que me foi contada por um amigo acerca de uma auditoria de um órgão regulador à uma dada empresa. Vamos à ela:

O auditor, desconfiado de que o Plano mostrado era antigo, de pelo menos uns três anos atrás, pegou a árvore de chamada e aleatoriamente escolheu um nome. Todos sabemos da máxima de que auditor tem o dedo podre. Pois bem, o dito auditor escolheu um nome, pegou seu celular e ligou para o funcionário da lista. Ao ser atendido, disse que aquela chamada se tratava de um teste do Plano e que ele, o funcionário, deveria seguir os procedimentos treinado. Nisso, segundo a história que recebi, o pessoal da empresa ficou paralisado…Do outro lado da linha o funcionário simplesmente respondeu: deve estar havendo algum engano, pois eu me desliguei da empresa há mais de um ano…

De tudo que abordei aqui é importante assimilar que um Plano estruturado em bases frágeis, com várias vulnerabilidades em sua elaboração e implantação, certamente não vai cumprir com o objeto de sua existência: não permitir que a empresa deixe de operar dentro dos requisitos e parâmetros necessários.

Eu sinceramente devo confessar a vocês o que é pior: a empresa não ter um Plano e assumir esse risco e deixar para o improviso ou na mão de Deus para que algo não ocorra, ou acreditar que tenha um Plano que vai lhe tirar de uma crise e esse ser capenga, repleto de furos, se precisa ser usado, sabemos, aí só Deus ajudando!

Até a próxima.

________________________________________________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

A Segregação de Função não é um assunto que deveria interessar somente à Auditoria!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Não sei quantos, mas certamente algumas pessoas que estão começando a ler esse artigo já se depararam com pontos de não conformidade com relação à falta do processo, falta da matriz de conflito da Segregação de Função? Quer seja pela auditoria interna, externa ou órgãos reguladores, o tema invariavelmente já bateu na porta de alguns. Entretanto, talvez, outra parcela de leitores ainda não teve que se preocupar com o tema, ou ainda não lhe chamou a atenção. De toda forma uma coisa é certa: a falta de atenção para com esse tema deve ser considerada bem crítica. Deve estar na agenda do Compliance, do Risco, da Segurança da Informação, TI, da Alta Administração, etc. Vamos procurar destrinchar esse assunto.

Mas, o que vem a ser a Segregação de Função?  Conhecida também no mercado e no meio acadêmico como SOD (Segregation of Duties), a SOD pode ser considerada um dos métodos que visa à redução de riscos deliberado ou proposital, quando o exercício de funções administrativas se mostram potencialmente conflitantes em sua cadeia produtiva, capazes de interferir nas tomadas de decisões. É necessária, portanto, a separação, o apartamento das funções a serem executadas, quando se apresentarem antagônicas, isto é, se exercidas cumulativamente forem capazes de interferir na produção das informações ou dos serviços. Logo, a SOD é princípio básico e primordial de um sistema de controle interno, estruturado na separação de funções.

A questão principal é procurar evitar o Conflito de Interesse entre as funções. A ideia de que um dado colaborador em uma dada função não deve exercer atividades conflitantes, segundo o princípio e atributos da SOD, tem como objetivo a mitigação do risco de um ato ilícito, como uma fraude, a ser praticado por tal colaborador no exercício de sua função.

A coisa fica mais simples de entender quando exemplificamos. Vamos pegar uma pequena empresa onde trabalham oito pessoas (dois sócios e seis funcionários). Nessa empresa existe um processo de Compras, onde um dos funcionários foi destacado para cuidar do processo como um todo. Esse funcionário, pela condição da empresa de poucos funcionários, seleciona fornecedores, cadastra, escolhe fornecedores para uma compra, realiza a cotação, leva as propostas para um dos sócios aprovar, e pronto, sai o fornecedor vencedor. Tem problema? Sim, claro! Mas a aprovação do fornecedor não é realizada por um dos sócios? Sim, é. Então, não temos problema, pois é o sócio quem escolhe? É, ledo engano. Isso ocorre aos montes em pequenas empresas, poderia até afirmar que em algumas para lá de pequena.

Onde está o risco nesse simples exemplo? O funcionário realiza atividades conflitantes e daí pode surgir o ilícito. Ele poderia até selecionar e cadastrar fornecedores, desde que existam critérios para tal, mas o recebimento das propostas, pelo menos, deveria ser endereçado com cópia a um dos sócios, que autorizaria o funcionário a elaborar uma planilha final, com critérios técnicos e comerciais previamente estabelecidos, e elaborada a planilha, entregaria ao sócio responsável para a decisão final. Parece simples, sim, e é simples, mas…

No exemplo fica claro que apartar atividades conflitantes mitiga e muito o risco de alguém que esteja mal-intencionado. Se todas as atividades que citei fossem deixadas na mão de um único funcionário, a possibilidade de um conluio com algum fornecedor era simples de se praticar. Isso entre tantas outras possibilidades de dano à empresa.

Normalmente se fala muito de SOD apenas para as áreas financeira e contábil, o que se trata de uma falha. Todas as áreas da empresa devem ser avaliadas e uma matriz de conflitos de SOD deve ser realizada para cada uma das áreas. Nessa matriz devem ser selecionados atributos de SOD, que podem e normalmente são diferentes entre as áreas, mas o resultado objetivado ao final é o mesmo: avaliar onde está havendo o Conflito de Interesse entre as funções.

É claro que existem áreas na empresa mais críticas do que outras, como a financeira, contábil, compras, TI, etc. O risco de uma fraude e quaisquer outros atos ilícitos nessas áreas produz um estrago bem maior do que em áreas menos crítica. De toda forma, cada empresa deve saber quais áreas são mais críticas e quais são menos críticas.

Para melhor entender e tratar os conflitos existentes em uma matriz SOD é avaliar sob a ótica do risco. Onde for identificado Conflitos de interesse na matriz deve ter o risco identificado e o potencial impacto advindo dele. Dessa forma, torna-se possível pensar e estruturar controles que possam mitiga-lo.

No exemplo do funcionário de Compras que usei nesse artigo, um simples controle de mitigação escolhido foi o de segregar algumas atividades do processo de compras ao sócio da empresa; mesmo assim, algum risco residual ficou, por conta de o funcionário realizar algumas atividades que possam gerar algum conflito de interesse e provocar algum dano.

Mas nem sempre é possível apartar atividades de um dado processo para outros funcionários ou até para o dono da empresa, mesmo porque, atividades até apartadas entre funcionários tem um risco residual clássico em função de tais funcionários estarem associados “para o mal”. Isso nos remete a ideia de que geralmente outros controles, além do apartamento das funções, devem ser pensados e colocados em prática para diminuir ao máximo o risco residual.

 Controles preventivos e detectivos devem ser pensados e implantados, dentro de um balanço apropriado. Não existe uma regra de quantos controles devem ser implantados para cada conflito identificado, mas sempre que possível, mais que um é sempre bem-vindo. Sabemos, entretanto, que quantidade não é qualidade, onde um controle bem desenhado e implantado e que reduz efetivamente um risco de conflito, é melhor do que dez sem nenhuma efetividade.

A coisa pode ficar pior quando juntarmos a matriz de conflito SOD com o perfil de acesso à sistemas informáticos de uma dada função. Certamente encontramos os conflitos de SOD da matriz nas permissões de acesso de dado perfil e/ou dado usuário (função do modelo de concessão de acesso da empresa) à sistemas informáticos. Se essas atividades conflitantes, mostradas em um “papel”, por meio de uma matriz, se refletem no âmbito da TI, a coisa já ruim, fica bem pior.

Falta de segregação, falta de visão do risco para conflitos de interesse, falta de controles mitigatórios aliado a permissões de acesso, além do necessário para uma dada função, é pedir para ser impactado por um ato danoso. Claro que não acontece na profusão pelas possibilidades geradas, até porque existe muita gente honesta, mas é dar muita sopa para o azar, ah, isso é.

Está aí exposto um pouco da preocupação de auditoria, reguladores e outros. A SOD, com sua matriz de conflitos e processo, seus riscos associados, e o excesso de privilégios concedidos às mesmas funções da matriz SOD é um assunto quase que absolutamente esquecido nas empresas em geral, a não ser que o chato do auditor solicite. De uma vez por todas é importantíssimo entender que esse assunto é a fonte de inúmeros incidentes com grande materialidade nas empresas, e isso é facilmente comprovado quando a coisa acontece e investigamos o porquê de ter ocorrido. Então se eu tivesse que dar um conselho e encerrasse o artigo faria da seguinte forma:

- Construa uma matriz SOD com os conflitos apontados (em todas as áreas);
- Avalie um a um de forma específica, os riscos e impactos de cada um dos conflitos de interesse;
- Selecione e implante controles de mitigação preventivos e detectivos;
- Encontre o risco residual no qual sua empresa sinta-se confortável;
- Veja sempre a possibilidade de apartar as funções, com uma possibilidade, redesenhando o job description da mesma.
- Avalie os perfis de acesso se eles refletem os conflitos de sua matriz SOD;
- Produza uma reengenharia em seus perfis de acesso para redução de riscos.

Então, mãos à obra!

Até a próxima.

___________________________________________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP.
Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA.
E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

Incerteza, acaso, imprevistos: a influência em nossas vidas e na vida das empresas.

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

 

Você consegue recorrer a sua base histórica, armazenada nos rincões de sua memória e recuperar a informação de quantas vezes o Acaso esteve presente em sua vida pessoal, seja para o bem ou para o mal? Quantas vezes a Incerteza tomou conta de sua vida e a vida das empresas em que trabalhou ou trabalha, quando decisões precisavam ser tomadas? Percebeu que a cada dia que passa, novas “surpresas” vão acontecendo, quantos imprevistos, o que não existia, passa a existir, que nossas previsões não conseguem ser mais tão assertivas como tempos atrás?  

 

Provavelmente irá se surpreender com o número de ocorrências. Elas certamente são maiores do que você imaginava. Quantos acasos nos levaram a inúmeras descobertas, quantas incertezas levaram empresas e até nações a tomarem decisões erradas. Quanta suposta subjetividade parecia existir na probabilidade, na chance de algo ocorrer, e, muitas vezes de forma até negligenciadora, fizemos a coisa errada. Vamos explorar essa temática.

 

De uma maneira geral somos orientados desde criancinha a trilhar uma vida dentro de padrões, de regras, e dentro do possível, tocas a vida de uma forma planejada. O padrão e o planejado gostam de andar de mãos dadas com a certeza, daquilo que podemos prever e que de fato vai acontecer. Adoramos quando podemos prever, e mais ainda quando acertamos as previsões, mas detestamos a incerteza. Somos contextualizados a não tolerar a incerteza e por conta disso, geralmente a colocamos de lado, mas temos conosco, mesmo de forma subliminar, que ela existe. Com o Acaso a mesma coisa, mas se for para o lado bom, torcemos para que ele sempre apareça.

 

Ocorridos fora do planejado podem ser exemplos interessantes. Vejam o que ocorreu com essas empresas:

·         A Coca-Cola começou como um produto farmacêutico;

·         A Tiffany & Co, hoje famosa por suas joias, começou como uma loja de artigos de papelaria;

·         A Nokia,que já foi a maior fabricante de telefones celulares, teve início como uma fábrica de papel e em algum momento chegaram a fabricar sapatos de borracha;

·         A DuPont, hoje com uma infinidade de produtos, mas famosa por suas panelas antiaderentes de teflon, lançou-se como uma empresa de explosivos;

·         A Avon, empresa de cosméticos, começou com a venda porta a porta de livros.

 

O que não é esperado, planejado, que pode ser trazido por uma situação, um evento aleatório qualquer, pode ter o seu lado bom, como também um lado ruim. Cada uma dessas empresas citadas tem em sua história de mudança, o que parecia ser certo por seu planejamento estratégico inicial, mostrou-se errôneo no decorrer do tempo, e o sucesso ocorreu de outra forma.

 

Se você for conversar com pessoas idosas, ainda vivas, acima dos 80 anos, constatará que a vida era mais fácil, podemos dizer bem mais previsível. Converso muito com minha mãe que tem 98 anos, nascida, portanto, em 1919. Nasceu logo após o final da primeira guerra e passou por diversas transformações que aconteceram no mundo ao longo desse quase um século.

 

Ela fala que a grande maioria das coisas que você planejava fazer para sua vida, a maioria ocorria sem muitos solavancos, mas ocorriam. Os ruídos ou sinais que porventura aconteciam no percurso, eram possíveis de serem percebidos e se podia ajeitar o curso das coisas. Muitas pessoas se aposentavam naquele que era o seu primeiro emprego. Havia certa estabilização, havia menos incertezas, a vida provavelmente era mais fácil de se levar.

 

Hoje a coisa é bem diferente. Se olharmos o universo que gira em torno de nossas vidas e da vida das empresas percebemos que as variáveis desse enorme sistema são quase que infindáveis. Com tantas variáveis e poucas constantes, nossas incertezas se acumulam e como! Corajoso aquele que realiza previsões, sejam elas quais forem nos dias atuais. A chance de acertar na mosca é quase que nenhuma, mas a possibilidade de fazer previsões é parte do ser humano.

 

Nessa linha que estamos tratando poderíamos pensar em o que devemos fazer, ou o que podemos fazer para reduzir as incertezas que nos cercam? Como podemos tornar um pouco mais certa tanta coisa incerta? E o acaso, o aleatório, como podemos nos proteger de sua aparição?

 

Para as incertezas você quase sempre tem a possibilidade de decidir. As incertezas obriga você a trabalhar com a chance de que algo possa acontecer e que possa trazer impactos positivos ou negativos, claro, dependendo do contexto que esteja avaliando. A ideia é encontrar esse grau de incerteza e tentar reduzi-lo. Um bom método de procurar reduzir esse grau de incerteza é utilizar componentes do gerenciamento de risco.

 

Em minhas aulas e palestras sobre Risco costumo usar um exemplo da vida das pessoas para ajudar no entendimento dos conceitos que estamos aqui tratando. Vamos a um caso, muito comum por sinal nos dias atuais.

Suponhamos que um indivíduo esteja em um bar com amigos e começa a ingerir bebida alcoólica, ultrapassando facilmente os limites definidos na Lei de trânsito. Analisemos duas hipóteses nesse caso. Uma primeira, na qual o risco é evitado (elimina-se as incertezas) e a outra hipótese, o risco é assumido (assumem-se as incertezas e os possíveis impactos):

 

Hipótese1: Ele está sem carro próprio. Em uma primeira situação, esse indivíduo saiu de casa deliberadamente sem carro, pois sabia que iria a um bar e iria beber acima do permitido. Voltaria de taxi ou pegaria carona com algum amigo que estivesse de carro, mas que não havia bebido. Ele retirou suas incertezas, reduzindo-as a zero com essas ações preventivas, evitando o risco de dirigir seu carro alcoolizado e assumir riscos deliberadamente.

 

Hipótese 2: Ele está de carro próprio. Saiu de casa de carro sabendo que iria a um bar e que beberia, certamente acima do permitido por Lei. Foi o que ocorreu: bebeu bem acima do permitido. Sua dúvida, sua incerteza é: pego o carro e assumo todos os riscos decorrentes ou evito os mesmos riscos pegando um taxi, ou solicitando a um amigo que não bebeu que leve o meu carro. O que fazer?

 

Interessante verificarmos que se olharmos as situações sobre a ótica do risco, fica mais fácil tratar das incertezas que nos cercam. Claro que na situação colocada acima, atuar preventivamente indo de táxi, eu evito o risco e elimino qualquer incerteza. Agora, quando eu assumo as consequências do risco pegando o carro alcoolizado, minhas incertezas permanecem até estacionar o carro na garagem de casa.

 

No trajeto do bar até sua residência o indivíduo está sujeito a todas as variáveis do risco que assumiu: das incertezas, dos acasos, da aleatoriedade. Assume o indivíduo para si que está bem para dirigir, que não haverá blitz, que ninguém estará atravessando uma rua quando ele virar a esquina… e por aí vai. Então, qual a melhor decisão, ou quem sabe, a única?

 

E se na vida de nós próprios mortais a vida é repleta de incertezas e riscos, não é diferente para as empresas. Certamente toda decisão tomada no ambiente empresarial vem imbuída de uma série de incertezas, mas que, provavelmente antes de tomá-la, deve se procurar reduzi-la a um mínimo tolerável, buscando a certeza da melhor decisão.

 

No ambiente empresarial, muito mais do que na vida da maioria dos indivíduos, o uso da prática do risco como elemento mitigador de incertezas e busca cada vez mais de decisões assertivas nos dias atuais, soa como elemento de sobrevivência. E também aqui, acaso, aleatoriedade, volatilidade “ajudam” a temperar ainda mais o contexto.

 

Em uma sociedade minada de informações para todos os lados e cada vez mais com sistemas extremamente complexos e dependentes de inúmeras variáveis, as empresas tem lançado mão de todo o aparato tecnológico e não tecnológico para reduzir suas incertezas. Adotar a prática da gestão do risco passa a ser uma obrigatoriedade na maioria delas, em dias e cenários cada vez mais turbulentos.

 

Para finalizar esse artigo compartilho com vocês o que ocorreu em uma recente apresentação que fiz sobre a Gestão da Continuidade de Negócios. Um participante perguntou o porquê da empresa dele ter que elaborar e implantar um Plano desse se, até aquele momento, nunca havia ocorrido nenhum evento de magnitude que pudesse paralisar suas operações e que ele também não via indício de ocorrer no futuro? Disse que ficava contente em poder responder essa pergunta e vamos a um resumo dela abaixo:

 

Eu e você sabemos que se elabora e implanta-se um Plano de Continuidade de Negócios (PCN) para não sermos surpreendidos por eventos que possam paralisar o negócio. Sabemos também que esses eventos podem ter, desde baixa até alta chance de ocorrência, e seus impactos podem levar uma empresa a parar de operar. Procuramos ter um tratamento preventivo para nossas inúmeras incertezas e preservar o negócio. Incertezas essas alinhadas às incontáveis ameaças que rondam o negócio. No ambiente empresarial podemos ter uma lista de riscos operacionais que passam facilmente de mais de cem ameaças. Vamos pegar uma boa: um incêndio.

 

Como está a instalação elétrica da empresa? E se for condomínio, como está a instalação do condomínio e a do seu vizinho? Ah, mas não temos nada a ver com o condomínio, com o vizinho. Ok, mas se tiver problemas ali, a ameaça pega a todos, e pode ser uma vez só, como no caso do incêndio. Então, mesmo que nunca tenha ocorrido, e oxalá sempre torcemos para nunca ocorrer, não quer dizer que não vai ocorrer. E se porventura ocorrer, a empresa não descontinua, pois tem um tratamento a esse risco que atende pelo nome de PCN. Lembrando: você faz um Plano desse para não ter que usar mesmo, mas, se aparecer a Crise, ele está ali!

 

Essas e outras infinidades de incertezas, normais em sistemas cada vez mais complexos, como foram mencionadas ao longo desse artigo, nos faz repensar a forma que pensamos e agimos sobre elas. Não conseguimos evitar ou reduzir todas que queremos, mas podemos priorizar quanto à criticidade de suas consequências e adotar medidas que tragam mais certezas do que incertezas.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br