Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

O tal, Estado de Espírito.

enigma.consultoria Sem categoria Leave a comment   ,

(*) Mário Sérgio Ribeiro

Acho que vai chegando ao final de ano e penso que de forma natural vamos relaxando um pouco mais, ficando mais reflexivos, o que acho muito bom. Nessa linha vi um texto um dia desses do psiquiatra e autor de alguns best sellers, Roberto Shinyashiki. que reproduzo abaixo e que serviu de inspiração para esse meu artigo, que é fora da casinha dos temas que costumo escrever. Vamos ao texto do Roberto:

…a sociedade quer definir o que é certo. São quatro loucuras da sociedade:

A primeira loucura é instituir que todos têm de ter sucesso, como se ele não tivesse significados individuais.

A segunda é você ter de estar feliz todos os dias.

A terceira é você tem que comprar tudo. O resultado é esse consumismo absurdo.

E por fim, a quarta loucura é você ter de fazer as coisas do jeito certo. Jeito certo não existe. Não há um caminho único para se fazer as coisas. As metas são interessantes para o sucesso, mas não para a felicidade. Felicidade não é uma meta, mas um estado de espírito. Tem gente que diz que não será feliz enquanto não casar, enquanto outros se dizem infelizes justamente por causa do casamento.

Você pode ser feliz tomando sorvete, ficando em casa com a família ou amigos verdadeiros, levando os filhos para brincar ou indo à praia ou ao cinema. Quando era recém-casado formado em São Paulo, trabalhei em hospital de pacientes terminais. Todos os dias morriam nove ou dez pacientes. Eu sempre procurei conversar com eles na hora da morte. A maior parte pega o médico pela camisa e diz: “Doutor, não me deixe morrer. Eu me sacrifiquei a vida inteira, agora eu quero aproveitá-la e ser feliz”.

Eu sentia uma dor enorme por não poder fazer nada. Ali eu aprendi que a felicidade é feita de coisas pequenas. Ninguém na hora da morte diz se arrepender por não ter aplicado o dinheiro em imóveis ou ações, ou por não ter comprado isto ou aquilo, mas sim de ter esperado muito tempo ou perdido várias oportunidades para aproveitar a vida.

Deus nos criou para vivermos a vida em toda a sua plenitude, para sermos felizes, sermos livres …não se deixe escravizar …não seja escravo da ganância …do egoísmo … da amargura … do ressentimento … da falta de tempo … Tenha tempo para Deus, para sua família, para você mesmo! Seja livre para amar … para sonhar… para viver! E não espere a hora de sua morte para lembrar-se de que é preciso aproveitar a vida e ser feliz!”

 Lendo o que Roberto escreveu parece até simples de entender e praticar, porque até temos o conhecimento desse escopo todo, mas não o praticamos. Geralmente em minhas aulas costumo dizer para os meus alunos que a vida me levou para o estudo e foi ali que encontrei minha felicidade no trabalho. O estudo me proporcionou minhas duas ocupações que tenho prazer em acordar todos os dias e praticá-las: ser consultor/auditor e ser educador/professor.

 Uma parte do texto do Roberto que me chamou muita a minha atenção é quando ele diz: As metas são interessantes para o sucesso, mas não para a felicidade. Felicidade não é uma meta, mas um estado de espírito. Bingo! Na mosca! Quantas pessoas tem sucesso, mas não são felizes no que fazem, não são felizes em sua vida, não conhecem o tal Estado de Espírito.

 Estudar é algo que me deixa muito feliz. Graças a Deus que encontrei isso. Estudando aprendo coisas novas, tenho possibilidade de compartilhar com outras pessoas e com meus ouvidos cada vez mais afiados para aprender com elas. Estudar e compartilhar conhecimento é um dos meus estados de espírito!

 Se existe uma profissão em que você está aprendendo e compartilhando o tempo todo essa se chama ser Consultor. Tenho uma grande responsabilidade como consultor. Alguém confiou no meu trabalho e espera que eu não o deixe na mão. Espera que eu entregue aquilo que a empresa dele está precisando. Precisa do meu estudo, do meu conhecimento, de minha experiência adquirida, do meu braço, para atender os anseios da empresa. E eu não posso decepcionar, tanto a quem confiou em meu trabalho como na empresa.

 Nesse trabalho, em uma relação pautada pela extrema confiança, eu aprendo tanto quanto compartilho. Quantos negócios eu não sabia do que se tratava e contei com a generosidade de meus clientes para aprender sobre, para que daí eu pudesse ensinar, compartilhar o que estudei, na aplicação de minha especialidade na empresa. Essa relação de troca cria o tal de estado de espírito, a tal da Felicidade no trabalho. Quantas relações criei em minha carreira, quantos momentos de felicidades já ocorreram. A Consultoria me proporciona carregar um pedaço das pessoas que conheci e que ainda mantenho contato, e onde também tenho a chance de deixar um pedaço meu em cada lugar que passo. Isso é a felicidade da lembrança que não se apaga.

 Como consultor também tive muitas dificuldades e tive que usar da minha paciência de educador para tentar fazer com que o trabalho andasse. Os conflitos internos entre pessoas em uma empresa, quanto maior pior podem ser, eles ocorrem e são absolutamente naturais, porque não temos todas as pessoas pensando e sentindo da mesma forma.

A questão é que esses conflitos precisam ser moderados e resolvidos. Não foram poucos os lugares onde tive que atuar para fazer o trabalho andar. Tive vários momentos de indefinição que até pensei: caramba, será que vale a pena? E aí talvez que esteja guardado um outro segredo do trabalho: é a possibilidade de resolver e sair feliz da situação. O que parecia ruim o tempo todo, fica bom, e pronto, ganhou novamente seu estado de espírito.

 Em minha vida profissional que já tem 40 anos, completei esse ano, já conheci muita gente triste naquilo que faz no dia a dia. Tinha metas e metas, como Roberto diz, mas não conhecia o tal estado de espírito que a profissão pode trazer. Uma boa parte não fazia o que gostava ou estava na posição errada ou na empresa errada ou tinha um chefe e não um líder em que devia se inspirar ou, tudo isso junto e misturado!! Como alguém pode almejar, sentir o estado de espírito em uma situação como essa? NUNCA.

 Falo sempre para os meus alunos que eles precisam estar felizes naquilo que fazem e onde fazem. Se não se sentir feliz quando tira o pé da cama para ir para empresa trabalhar, esquece, tem alguma coisa errada e não vem com o papo de que ganha mal na empresa, como desculpa para o mau humor. Essa não cola e não serve. Talvez o melhor mesmo seja procurar um outro lugar onde se sinta feliz, desenvolver-se como profissional e pessoa e quem sabe, até executar uma outra atividade. Dinheiro é importante, sim. Sucesso também, sim. Mas o tal Estado de Espírito …

 Uma das coisas que mais escuto, em tom até de reclamação, é a de que seus superiores são apenas seus superiores, não tendo nenhum atributo de um líder que inspire. Na verdade, eles são Chefes. Seria o sinal ruim dos tempos que vivemos? Como temos ídolos nos esportes, nas artes, precisamos ter um no trabalho, e que ele esteja perto de mim, que seja espelho para meu crescimento e aprimoramento. Se não o encontrou, ainda, procure, porque de fato nada substitui um Líder Inspirador no trabalho. Eu em minha carreira também tive dificuldade, mas em um dado momento o encontrei. Confesso que suguei tudo o que podia com esse Líder Inspirador. Não esqueço nem um pouco as lições que carrego até hoje e que ajudaram em muito na minha formação. Quem te inspira ou inspirou você vai lembrar para o resto de sua vida, isso é absolutamente certo!

Sei que pode parecer meio utópico tocar num assunto como esse em um momento conturbadíssimo em nosso país e no mundo, mas sinto que é necessário, e que até saí da casinha. Peço desculpas por ter saído da casinha, mas nesses momentos é que precisamos entender que não estamos por aqui à toa ou para ficar assistindo ao JN noticiando as barbaridades sem precedentes daqueles que deveriam ser nossos Líderes Inspiradores. Estamos aqui com o propósito de sermos felizes, de tentar fazermos outros felizes, de sentir o tal estado de espírito. De conseguir enxergar qual o nosso Talento, que pode demorar, e explorá-lo. De fazer do nosso trabalho, passamos a maior parte da vida fazendo isso, ter inúmeros momentos de prazer e felicidade. Metas são importantes para o sucesso, mas encontrar seus estados de espíritos ou topar com eles, tanto quanto for capaz de conseguir, ah, isso não tem preço. Procure e seja Feliz!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Os sinais de que um PCN pode não funcionar.

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

Em uma recente palestra sobre continuidade de negócios, uma pessoa na plateia questionou: Como posso ter certeza que meu Plano de Continuidade de Negócios (PCN) funcionará, caso precise dele? Resposta: Certeza, certeza, nenhuma. Talvez tenha mais incertezas do que certeza de que ele irá funcionar como você pensou e elaborou, do que propriamente certeza 100%. E a pessoa retrucou: e por quê? Respondi resumidamente o que a seguir resolvi transformar a resposta em um artigo. Vamos lá…

Já escrevi algumas vezes que você elabora um Plano de Continuidade de Negócios com o objetivo de utilizá-lo em caso de uma interrupção prolongada nas operações da empresa quer seja por qualquer tipo de evento. Claramente é um tratamento a um risco de interrupção de seus negócios que pode levar até, a descontinuidade do mesmo.

Pois bem, mas porque pode não funcionar como devido? Antes de mais nada queria apenas dizer que não tenho bola de cristal e nem tenho sinais de premonição. Vou apenas usar minha experiência profissional e acadêmica sobre o tema para opinar. Pode ser que eu esteja totalmente errado, e então vocês me perdoem. Dito isso, vamos aos sinais de que pode não funcionar…

Muitos PCNs que vi para depois construir um novo tem definido um escopo de proteção limitado. Ainda se comete o equívoco de olhar PCN como algo de TI, protegendo apenas esse recurso, parece incrível, mas é verdade. A definição do escopo dos recursos a responder a um risco de descontinuidade das operações é crucial. TI é apenas um dos recursos. Existem outros e eles devem ser contemplados. Uma empresa não vive apenas de um recurso. Esse leque de recursos depende do ramo de atividade que a empresa atua, mas figurinhas presentes em todos os ramos de atividade, inclusive manufatura, são: pessoas, processos, instalações, suprimentos e fornecedores/parceiros. Se começou errado aqui, grande chance de dar errado.

Um passo seguinte é a realização de forma mais detalhada e assertiva possível da Análise de Impacto do Negócio, que conhecemos como BIA (business impact analysis). O BIA feito fora das melhores práticas do mercado não traz o raio – x necessário dos processos da empresa e como resultado, a chance de definição de estratégias de recuperação não serão as melhores possíveis. Realizar o BIA requer um processo e uma metodologia para executá-lo, e não se trata de algo simples e rápido de ser aplicado e obtido os resultados. Infelizmente, não dá para buscar na Internet uma e achar que ela serve para aplicar em sua empresa. Vi vários BIAs executados dessa forma, com uma metodologia caçada na internet e que resultaram em Estratégias de recuperação bem equivocadas. Aqui então, nossa segunda chance de dar errado.

O outro passo é executar também de forma detalhada uma Avaliação do Risco. Aqui temos dois objetivos. Primeiro, fazermos uma avaliação completa, com resposta e plano de ação, para que diminuamos a chance de termos que utilizar o PCN e segundo, identificamos quais processos/componentes de nossa operação devam ter definidos estratégias de continuidade em caso de indisponibilidades. Mais uma chance de fazermos errado em face da especificidade do tema.

Um outro item importante é a definição das estratégias de recuperação para os recursos definidos em meu escopo de proteção. Como falei no início do artigo, alguns recursos são obrigatórios para todos os ramos de negócio, outros, entretanto, habitam apenas alguns ramos. Aqui, nesse passo, o buraco é mais embaixo, como diz o ditado popular. Somente com as etapas anteriores realizadas de forma sistemática e detalhada é que podemos selecionar e definir com assertividade as melhores estratégias de continuidade.

Outra, aqui é onde a Alta Administração deve coçar o bolso. Por mais que tenhamos possibilidade de adotarmos estratégias que não demandem grandes investimentos, esse é o momento da realização de algumas reuniões com aqueles que cuidam do dinheiro da empresa. Uma coisa boa é, que dependendo da experiência de quem está conduzindo a elaboração do Plano, é possível adotarmos estratégias com baixos investimento que atendam ao que o BIA e a Análise de Risco preconizaram. Já tive oportunidade de realizar vários projetos nessa linha. Aqui temos mais um item com enorme potencial de fazer com que, aquilo que se pensou que iria dar certo, infelizmente não deu!

Das Estratégias para frente entramos no que eu costumo chamar de 2ª Onda do PCN, que trata da elaboração do Plano, do treinamento das equipes e dos testes. É a partir da conclusão da 1ª onda (BIA, análise de risco e estratégias de continuidade) que podemos iniciar a 2ª onda.

Com relação à elaboração do Plano existem diversos modelos e formas de fazê-lo. O que é certo é que ele tenha que ter alguns atributos importantes:

  • Seja simples, sem deixar de conter todos os elementos necessários;
  • Que contemple todos os componentes, desde a definição ou não por sua ativação até a volta à normalidade;
  • Que seja desenvolvido de acordo com a cultura da empresa e não um copiar-colar de outros modelos;
  • Que esteja totalmente alinhado ao definido na 1ª onda do projeto; e
  • Que seja lúdico, facilmente encontrável para ser ativado.

São atributos nada complexos de se entender e praticar. Sim, mas já topei com alguns que não atendiam em nada esses atributos. Já vi plano com mais de 200 páginas, com texto absolutamente desnecessário, que não tinha absolutamente nada a ver com a cultura da empresa (foi desenvolvido para alguma outra e bum, copiar e colar), com tabelas e listas em branco e/ou completamente desatualizadas, que quem deveria coordenar o plano não sabia onde estava o documento para consulta e por aí vai…

O certo é que o Plano é um ser vivo e deve refletir exatamente o que a empresa precisa fazer para recuperar suas operações, no caso de ter ativado por conta de um evento. Conhecer o processo, metodologia e o modelo para sua elaboração é uma atividade que não admite erro, uma vez que esse documento será seu “companheiro” diante de uma crise. Então, encontramos mais um elemento, e talvez o principal, para que a coisa não funcione.

E o Treinamento, hein? Relegado por muitas empresas a um plano absolutamente secundário, pode ser visto como uma grande ameaça caso não se faça. Se você depende de pessoas para recuperar operações, como querer que elas atuem de forma correta naquilo que projetou para a crise se não treina as mesmas? Como querer que as equipes diversas do PCN trabalhem nessa crise, que não é igual ao dia a dia, se também deixa as mesmas de lado, não as treinando? É dar um tiro no pé. É remar tudo que remou até aqui e morrer na praia. Achamos mais um…

E por fim o Teste. Alguém sabe por que fazemos Teste do PCN? Sim, você pode responder, para checarmos se está tudo certo. Pode ser…talvez fosse melhor olharmos por uma outra fresta e nos perguntar: o que está fora dos conformes, o que está errado no Plano? Essa deve ser a visão quando realizamos Teste do PCN. E pode começar errado logo de início, quando não nos utilizamos de um processo para planejá-lo e executá-lo. Com o processo definido tenho que escolher o melhor método de acordo com o grau de maturidade da empresa para o tema. Muito erro ocorre por conta disso. Não queira fazer um teste de elevada complexidade e de alto impacto se for o primeiro Teste. Os testes ganham complexidade com a maturidade do plano. É importante ter em mente que vários itens podem não dar certo quando testamos; isso tem que acontecer! Imaginar o contrário é falta de experiência com o tema.

E por último lembrar que o PCN é um ser vivo e deve ser periodicamente revisado, no mínimo anualmente. Sei de muito PCN que ficou dentro da gaveta por anos; sorte da empresa que não houve nenhuma crise no período.

Isso me faz lembrar de uma história que me foi contada por um amigo acerca de uma auditoria de um órgão regulador à uma dada empresa. Vamos à ela:

O auditor, desconfiado de que o Plano mostrado era antigo, de pelo menos uns três anos atrás, pegou a árvore de chamada e aleatoriamente escolheu um nome. Todos sabemos da máxima de que auditor tem o dedo podre. Pois bem, o dito auditor escolheu um nome, pegou seu celular e ligou para o funcionário da lista. Ao ser atendido, disse que aquela chamada se tratava de um teste do Plano e que ele, o funcionário, deveria seguir os procedimentos treinado. Nisso, segundo a história que recebi, o pessoal da empresa ficou paralisado…Do outro lado da linha o funcionário simplesmente respondeu: deve estar havendo algum engano, pois eu me desliguei da empresa há mais de um ano…

De tudo que abordei aqui é importante assimilar que um Plano estruturado em bases frágeis, com várias vulnerabilidades em sua elaboração e implantação, certamente não vai cumprir com o objeto de sua existência: não permitir que a empresa deixe de operar dentro dos requisitos e parâmetros necessários.

Eu sinceramente devo confessar a vocês o que é pior: a empresa não ter um Plano e assumir esse risco e deixar para o improviso ou na mão de Deus para que algo não ocorra, ou acreditar que tenha um Plano que vai lhe tirar de uma crise e esse ser capenga, repleto de furos, se precisa ser usado, sabemos, aí só Deus ajudando!

Até a próxima.

________________________________________________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

A Segregação de Função não é um assunto que deveria interessar somente à Auditoria!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Não sei quantos, mas certamente algumas pessoas que estão começando a ler esse artigo já se depararam com pontos de não conformidade com relação à falta do processo, falta da matriz de conflito da Segregação de Função? Quer seja pela auditoria interna, externa ou órgãos reguladores, o tema invariavelmente já bateu na porta de alguns. Entretanto, talvez, outra parcela de leitores ainda não teve que se preocupar com o tema, ou ainda não lhe chamou a atenção. De toda forma uma coisa é certa: a falta de atenção para com esse tema deve ser considerada bem crítica. Deve estar na agenda do Compliance, do Risco, da Segurança da Informação, TI, da Alta Administração, etc. Vamos procurar destrinchar esse assunto.

Mas, o que vem a ser a Segregação de Função?  Conhecida também no mercado e no meio acadêmico como SOD (Segregation of Duties), a SOD pode ser considerada um dos métodos que visa à redução de riscos deliberado ou proposital, quando o exercício de funções administrativas se mostram potencialmente conflitantes em sua cadeia produtiva, capazes de interferir nas tomadas de decisões. É necessária, portanto, a separação, o apartamento das funções a serem executadas, quando se apresentarem antagônicas, isto é, se exercidas cumulativamente forem capazes de interferir na produção das informações ou dos serviços. Logo, a SOD é princípio básico e primordial de um sistema de controle interno, estruturado na separação de funções.

A questão principal é procurar evitar o Conflito de Interesse entre as funções. A ideia de que um dado colaborador em uma dada função não deve exercer atividades conflitantes, segundo o princípio e atributos da SOD, tem como objetivo a mitigação do risco de um ato ilícito, como uma fraude, a ser praticado por tal colaborador no exercício de sua função.

A coisa fica mais simples de entender quando exemplificamos. Vamos pegar uma pequena empresa onde trabalham oito pessoas (dois sócios e seis funcionários). Nessa empresa existe um processo de Compras, onde um dos funcionários foi destacado para cuidar do processo como um todo. Esse funcionário, pela condição da empresa de poucos funcionários, seleciona fornecedores, cadastra, escolhe fornecedores para uma compra, realiza a cotação, leva as propostas para um dos sócios aprovar, e pronto, sai o fornecedor vencedor. Tem problema? Sim, claro! Mas a aprovação do fornecedor não é realizada por um dos sócios? Sim, é. Então, não temos problema, pois é o sócio quem escolhe? É, ledo engano. Isso ocorre aos montes em pequenas empresas, poderia até afirmar que em algumas para lá de pequena.

Onde está o risco nesse simples exemplo? O funcionário realiza atividades conflitantes e daí pode surgir o ilícito. Ele poderia até selecionar e cadastrar fornecedores, desde que existam critérios para tal, mas o recebimento das propostas, pelo menos, deveria ser endereçado com cópia a um dos sócios, que autorizaria o funcionário a elaborar uma planilha final, com critérios técnicos e comerciais previamente estabelecidos, e elaborada a planilha, entregaria ao sócio responsável para a decisão final. Parece simples, sim, e é simples, mas…

No exemplo fica claro que apartar atividades conflitantes mitiga e muito o risco de alguém que esteja mal-intencionado. Se todas as atividades que citei fossem deixadas na mão de um único funcionário, a possibilidade de um conluio com algum fornecedor era simples de se praticar. Isso entre tantas outras possibilidades de dano à empresa.

Normalmente se fala muito de SOD apenas para as áreas financeira e contábil, o que se trata de uma falha. Todas as áreas da empresa devem ser avaliadas e uma matriz de conflitos de SOD deve ser realizada para cada uma das áreas. Nessa matriz devem ser selecionados atributos de SOD, que podem e normalmente são diferentes entre as áreas, mas o resultado objetivado ao final é o mesmo: avaliar onde está havendo o Conflito de Interesse entre as funções.

É claro que existem áreas na empresa mais críticas do que outras, como a financeira, contábil, compras, TI, etc. O risco de uma fraude e quaisquer outros atos ilícitos nessas áreas produz um estrago bem maior do que em áreas menos crítica. De toda forma, cada empresa deve saber quais áreas são mais críticas e quais são menos críticas.

Para melhor entender e tratar os conflitos existentes em uma matriz SOD é avaliar sob a ótica do risco. Onde for identificado Conflitos de interesse na matriz deve ter o risco identificado e o potencial impacto advindo dele. Dessa forma, torna-se possível pensar e estruturar controles que possam mitiga-lo.

No exemplo do funcionário de Compras que usei nesse artigo, um simples controle de mitigação escolhido foi o de segregar algumas atividades do processo de compras ao sócio da empresa; mesmo assim, algum risco residual ficou, por conta de o funcionário realizar algumas atividades que possam gerar algum conflito de interesse e provocar algum dano.

Mas nem sempre é possível apartar atividades de um dado processo para outros funcionários ou até para o dono da empresa, mesmo porque, atividades até apartadas entre funcionários tem um risco residual clássico em função de tais funcionários estarem associados “para o mal”. Isso nos remete a ideia de que geralmente outros controles, além do apartamento das funções, devem ser pensados e colocados em prática para diminuir ao máximo o risco residual.

 Controles preventivos e detectivos devem ser pensados e implantados, dentro de um balanço apropriado. Não existe uma regra de quantos controles devem ser implantados para cada conflito identificado, mas sempre que possível, mais que um é sempre bem-vindo. Sabemos, entretanto, que quantidade não é qualidade, onde um controle bem desenhado e implantado e que reduz efetivamente um risco de conflito, é melhor do que dez sem nenhuma efetividade.

A coisa pode ficar pior quando juntarmos a matriz de conflito SOD com o perfil de acesso à sistemas informáticos de uma dada função. Certamente encontramos os conflitos de SOD da matriz nas permissões de acesso de dado perfil e/ou dado usuário (função do modelo de concessão de acesso da empresa) à sistemas informáticos. Se essas atividades conflitantes, mostradas em um “papel”, por meio de uma matriz, se refletem no âmbito da TI, a coisa já ruim, fica bem pior.

Falta de segregação, falta de visão do risco para conflitos de interesse, falta de controles mitigatórios aliado a permissões de acesso, além do necessário para uma dada função, é pedir para ser impactado por um ato danoso. Claro que não acontece na profusão pelas possibilidades geradas, até porque existe muita gente honesta, mas é dar muita sopa para o azar, ah, isso é.

Está aí exposto um pouco da preocupação de auditoria, reguladores e outros. A SOD, com sua matriz de conflitos e processo, seus riscos associados, e o excesso de privilégios concedidos às mesmas funções da matriz SOD é um assunto quase que absolutamente esquecido nas empresas em geral, a não ser que o chato do auditor solicite. De uma vez por todas é importantíssimo entender que esse assunto é a fonte de inúmeros incidentes com grande materialidade nas empresas, e isso é facilmente comprovado quando a coisa acontece e investigamos o porquê de ter ocorrido. Então se eu tivesse que dar um conselho e encerrasse o artigo faria da seguinte forma:

- Construa uma matriz SOD com os conflitos apontados (em todas as áreas);
- Avalie um a um de forma específica, os riscos e impactos de cada um dos conflitos de interesse;
- Selecione e implante controles de mitigação preventivos e detectivos;
- Encontre o risco residual no qual sua empresa sinta-se confortável;
- Veja sempre a possibilidade de apartar as funções, com uma possibilidade, redesenhando o job description da mesma.
- Avalie os perfis de acesso se eles refletem os conflitos de sua matriz SOD;
- Produza uma reengenharia em seus perfis de acesso para redução de riscos.

Então, mãos à obra!

Até a próxima.

___________________________________________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP.
Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA.
E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

Incerteza, acaso, imprevistos: a influência em nossas vidas e na vida das empresas.

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

 

Você consegue recorrer a sua base histórica, armazenada nos rincões de sua memória e recuperar a informação de quantas vezes o Acaso esteve presente em sua vida pessoal, seja para o bem ou para o mal? Quantas vezes a Incerteza tomou conta de sua vida e a vida das empresas em que trabalhou ou trabalha, quando decisões precisavam ser tomadas? Percebeu que a cada dia que passa, novas “surpresas” vão acontecendo, quantos imprevistos, o que não existia, passa a existir, que nossas previsões não conseguem ser mais tão assertivas como tempos atrás?  

 

Provavelmente irá se surpreender com o número de ocorrências. Elas certamente são maiores do que você imaginava. Quantos acasos nos levaram a inúmeras descobertas, quantas incertezas levaram empresas e até nações a tomarem decisões erradas. Quanta suposta subjetividade parecia existir na probabilidade, na chance de algo ocorrer, e, muitas vezes de forma até negligenciadora, fizemos a coisa errada. Vamos explorar essa temática.

 

De uma maneira geral somos orientados desde criancinha a trilhar uma vida dentro de padrões, de regras, e dentro do possível, tocas a vida de uma forma planejada. O padrão e o planejado gostam de andar de mãos dadas com a certeza, daquilo que podemos prever e que de fato vai acontecer. Adoramos quando podemos prever, e mais ainda quando acertamos as previsões, mas detestamos a incerteza. Somos contextualizados a não tolerar a incerteza e por conta disso, geralmente a colocamos de lado, mas temos conosco, mesmo de forma subliminar, que ela existe. Com o Acaso a mesma coisa, mas se for para o lado bom, torcemos para que ele sempre apareça.

 

Ocorridos fora do planejado podem ser exemplos interessantes. Vejam o que ocorreu com essas empresas:

·         A Coca-Cola começou como um produto farmacêutico;

·         A Tiffany & Co, hoje famosa por suas joias, começou como uma loja de artigos de papelaria;

·         A Nokia,que já foi a maior fabricante de telefones celulares, teve início como uma fábrica de papel e em algum momento chegaram a fabricar sapatos de borracha;

·         A DuPont, hoje com uma infinidade de produtos, mas famosa por suas panelas antiaderentes de teflon, lançou-se como uma empresa de explosivos;

·         A Avon, empresa de cosméticos, começou com a venda porta a porta de livros.

 

O que não é esperado, planejado, que pode ser trazido por uma situação, um evento aleatório qualquer, pode ter o seu lado bom, como também um lado ruim. Cada uma dessas empresas citadas tem em sua história de mudança, o que parecia ser certo por seu planejamento estratégico inicial, mostrou-se errôneo no decorrer do tempo, e o sucesso ocorreu de outra forma.

 

Se você for conversar com pessoas idosas, ainda vivas, acima dos 80 anos, constatará que a vida era mais fácil, podemos dizer bem mais previsível. Converso muito com minha mãe que tem 98 anos, nascida, portanto, em 1919. Nasceu logo após o final da primeira guerra e passou por diversas transformações que aconteceram no mundo ao longo desse quase um século.

 

Ela fala que a grande maioria das coisas que você planejava fazer para sua vida, a maioria ocorria sem muitos solavancos, mas ocorriam. Os ruídos ou sinais que porventura aconteciam no percurso, eram possíveis de serem percebidos e se podia ajeitar o curso das coisas. Muitas pessoas se aposentavam naquele que era o seu primeiro emprego. Havia certa estabilização, havia menos incertezas, a vida provavelmente era mais fácil de se levar.

 

Hoje a coisa é bem diferente. Se olharmos o universo que gira em torno de nossas vidas e da vida das empresas percebemos que as variáveis desse enorme sistema são quase que infindáveis. Com tantas variáveis e poucas constantes, nossas incertezas se acumulam e como! Corajoso aquele que realiza previsões, sejam elas quais forem nos dias atuais. A chance de acertar na mosca é quase que nenhuma, mas a possibilidade de fazer previsões é parte do ser humano.

 

Nessa linha que estamos tratando poderíamos pensar em o que devemos fazer, ou o que podemos fazer para reduzir as incertezas que nos cercam? Como podemos tornar um pouco mais certa tanta coisa incerta? E o acaso, o aleatório, como podemos nos proteger de sua aparição?

 

Para as incertezas você quase sempre tem a possibilidade de decidir. As incertezas obriga você a trabalhar com a chance de que algo possa acontecer e que possa trazer impactos positivos ou negativos, claro, dependendo do contexto que esteja avaliando. A ideia é encontrar esse grau de incerteza e tentar reduzi-lo. Um bom método de procurar reduzir esse grau de incerteza é utilizar componentes do gerenciamento de risco.

 

Em minhas aulas e palestras sobre Risco costumo usar um exemplo da vida das pessoas para ajudar no entendimento dos conceitos que estamos aqui tratando. Vamos a um caso, muito comum por sinal nos dias atuais.

Suponhamos que um indivíduo esteja em um bar com amigos e começa a ingerir bebida alcoólica, ultrapassando facilmente os limites definidos na Lei de trânsito. Analisemos duas hipóteses nesse caso. Uma primeira, na qual o risco é evitado (elimina-se as incertezas) e a outra hipótese, o risco é assumido (assumem-se as incertezas e os possíveis impactos):

 

Hipótese1: Ele está sem carro próprio. Em uma primeira situação, esse indivíduo saiu de casa deliberadamente sem carro, pois sabia que iria a um bar e iria beber acima do permitido. Voltaria de taxi ou pegaria carona com algum amigo que estivesse de carro, mas que não havia bebido. Ele retirou suas incertezas, reduzindo-as a zero com essas ações preventivas, evitando o risco de dirigir seu carro alcoolizado e assumir riscos deliberadamente.

 

Hipótese 2: Ele está de carro próprio. Saiu de casa de carro sabendo que iria a um bar e que beberia, certamente acima do permitido por Lei. Foi o que ocorreu: bebeu bem acima do permitido. Sua dúvida, sua incerteza é: pego o carro e assumo todos os riscos decorrentes ou evito os mesmos riscos pegando um taxi, ou solicitando a um amigo que não bebeu que leve o meu carro. O que fazer?

 

Interessante verificarmos que se olharmos as situações sobre a ótica do risco, fica mais fácil tratar das incertezas que nos cercam. Claro que na situação colocada acima, atuar preventivamente indo de táxi, eu evito o risco e elimino qualquer incerteza. Agora, quando eu assumo as consequências do risco pegando o carro alcoolizado, minhas incertezas permanecem até estacionar o carro na garagem de casa.

 

No trajeto do bar até sua residência o indivíduo está sujeito a todas as variáveis do risco que assumiu: das incertezas, dos acasos, da aleatoriedade. Assume o indivíduo para si que está bem para dirigir, que não haverá blitz, que ninguém estará atravessando uma rua quando ele virar a esquina… e por aí vai. Então, qual a melhor decisão, ou quem sabe, a única?

 

E se na vida de nós próprios mortais a vida é repleta de incertezas e riscos, não é diferente para as empresas. Certamente toda decisão tomada no ambiente empresarial vem imbuída de uma série de incertezas, mas que, provavelmente antes de tomá-la, deve se procurar reduzi-la a um mínimo tolerável, buscando a certeza da melhor decisão.

 

No ambiente empresarial, muito mais do que na vida da maioria dos indivíduos, o uso da prática do risco como elemento mitigador de incertezas e busca cada vez mais de decisões assertivas nos dias atuais, soa como elemento de sobrevivência. E também aqui, acaso, aleatoriedade, volatilidade “ajudam” a temperar ainda mais o contexto.

 

Em uma sociedade minada de informações para todos os lados e cada vez mais com sistemas extremamente complexos e dependentes de inúmeras variáveis, as empresas tem lançado mão de todo o aparato tecnológico e não tecnológico para reduzir suas incertezas. Adotar a prática da gestão do risco passa a ser uma obrigatoriedade na maioria delas, em dias e cenários cada vez mais turbulentos.

 

Para finalizar esse artigo compartilho com vocês o que ocorreu em uma recente apresentação que fiz sobre a Gestão da Continuidade de Negócios. Um participante perguntou o porquê da empresa dele ter que elaborar e implantar um Plano desse se, até aquele momento, nunca havia ocorrido nenhum evento de magnitude que pudesse paralisar suas operações e que ele também não via indício de ocorrer no futuro? Disse que ficava contente em poder responder essa pergunta e vamos a um resumo dela abaixo:

 

Eu e você sabemos que se elabora e implanta-se um Plano de Continuidade de Negócios (PCN) para não sermos surpreendidos por eventos que possam paralisar o negócio. Sabemos também que esses eventos podem ter, desde baixa até alta chance de ocorrência, e seus impactos podem levar uma empresa a parar de operar. Procuramos ter um tratamento preventivo para nossas inúmeras incertezas e preservar o negócio. Incertezas essas alinhadas às incontáveis ameaças que rondam o negócio. No ambiente empresarial podemos ter uma lista de riscos operacionais que passam facilmente de mais de cem ameaças. Vamos pegar uma boa: um incêndio.

 

Como está a instalação elétrica da empresa? E se for condomínio, como está a instalação do condomínio e a do seu vizinho? Ah, mas não temos nada a ver com o condomínio, com o vizinho. Ok, mas se tiver problemas ali, a ameaça pega a todos, e pode ser uma vez só, como no caso do incêndio. Então, mesmo que nunca tenha ocorrido, e oxalá sempre torcemos para nunca ocorrer, não quer dizer que não vai ocorrer. E se porventura ocorrer, a empresa não descontinua, pois tem um tratamento a esse risco que atende pelo nome de PCN. Lembrando: você faz um Plano desse para não ter que usar mesmo, mas, se aparecer a Crise, ele está ali!

 

Essas e outras infinidades de incertezas, normais em sistemas cada vez mais complexos, como foram mencionadas ao longo desse artigo, nos faz repensar a forma que pensamos e agimos sobre elas. Não conseguimos evitar ou reduzir todas que queremos, mas podemos priorizar quanto à criticidade de suas consequências e adotar medidas que tragam mais certezas do que incertezas.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Em tempos de Delação, qual o Valor de uma Informação?

enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

 

A justiça brasileira “descobriu” que valorizando o Valor da informação em conjunto com o que indivíduo mais preza, sua liberdade, conseguiria engendrar o maior combate à corrupção nesse país e uma das maiores já realizadas no planeta. A partir da prática da Delação premiada, a justiça obtém Informação de elevado Valor para derrubar o castelo da corrupção erguido nesse país. Quebra o pilar da Confidencialidade da Informação e consegue com isso, acelerar sua investigação em busca dos culpados, para tentar acabar com esse câncer instalado em nossa sociedade chamado Corrupção.

 A operação Lava Jato e outras dão um exemplo inequívoco a todos que a Informação tem inúmeras características e Valor e, desde que sejam devidamente reconhecidos, pode trazer inúmeros benefícios. Interessante aqui alinhar que as operações engendradas no combate à corrupção utilizam das duas tipologias básicas da informação: a estruturada e a não estruturada.

 Explicando rapidamente. A informação estruturada é aquela que encontramos, por exemplo, em sistemas informáticos. Tem uma estrutura de dados, campos, sistematizada, padronizada, etc. A não estruturada é a informação que circula de boca em boca, de um guardanapo rabiscado, em uma planilha eletrônica, etc. A estruturada atravessa obrigatoriamente todo o ciclo da informação, a não estrutura não.

Vamos aproveitar esse momento em que a Informação é a bola da vez e fazer uma reflexão sobre o seu Valor, como valorá-la, trazendo essa reflexão para o ambiente empresarial. Vamos fazer em duas vertentes: a da Tomada de Decisão e da Segurança da Informação.

Precisamos entender que a Informação possui três características que são fundamentais para qualquer sistema de informação que alimente tomada de decisão. Essas características são: ser Relevante, Confiável e Oportuna.

A Relevância diz respeito a importância, ao quanto de valor a informação tem para o contexto em que está sendo avaliada. Já a Confiabilidade diz respeito ao quanto se pode confiar, acreditar que a informação é correta, verídica, assertiva. E por último a Informação ser Oportuna, diz respeito a aparecer no momento certo, em um momento que se permita tomar uma ação assertiva, sem ter impactos por conta de uma informação que “chegou tarde demais”.

Então, vemos que o ideal em qualquer sistema de informação que alimente tomadas de decisão e escolhas acertadas, a Informação deve ser relevante, confiável e oportuna. Em diversos momentos da Operação Lava Jato, envolvidos que estavam presos, desejavam fazer a Delação que pudesse premiá-los com alguma redução de pena, por exemplo. Mesmo assim, o juiz responsável pela operação, Sérgio Moro, não aceitou o depoimento, dizendo que a Informação já não era Relevante e Oportuna. Isso é explicado porque o Valor daquilo que desejavam falar era baixo para o processo, em função de outras informações bem mais relevantes já terem sido fornecidas por outros delatores, perdendo a oportunidade, e daí a delação proposta deixou de ser oportuna.

Isso também ocorre no ambiente empresarial. Sistemas de Informação para Tomada de Decisão necessitam ter essas três características atuando em completa sinergia. Uma informação relevante e confiável, mas sem ser oportuna, chegando atrasada, pode trazer uma decisão absolutamente equivocada, com perdas financeiras; idem para qualquer outra combinação, em que uma das três características falte.

Uma parcela significativa de executivos, para não dizer que quase a sua totalidade, utilizam e muito para suas decisões a informação não estruturada. Essa informação não está em nenhum sistema informático estruturado. Ela está na “cabeça” dos executivos, coletadas em reuniões informais, sociais, jogos de tênis, golfe, almoços, jantares, etc. São informações de cunho normalmente estratégico, de elevado Valor, dada a sua Relevância. Muita tomada de decisão é baseada nessas informações, com suporte, na maioria das vezes, de informações estruturadas em sistemas da empresa. A Lava Jato tem se utilizado e muito desse tipo de informação não estruturada para suas investigações.

Essas informações não estruturadas, no máximo, vão parar em uma planilha eletrônica, caixas de entrada do sistema de correio eletrônico ou semelhantes. Certamente não estão nos sistemas informáticos estruturados da empresa, custodiados pela TI, em função de seu elevado Valor estratégico e do alto grau de sigilo que deva ter. No máximo em planilhas eletrônicas como a TV vem mostrando sistematicamente com a delação da Odebrecht. O medo de quem as tem é a quebra do pilar da Confidencialidade de tal informação.

A outra parcela das informações da empresa está em sistemas informáticos estruturados, custodiadas pela TI da mesma. São informações que assumem diversas classificações de valor, onde as características de relevância, confiabilidade e oportunidade somam-se às características relacionadas à segurança das mesmas: Confidencialidade, Integridade e Disponibilidade (CID).

Sob a ótica da segurança da informação, para se conhecer o real Valor de uma informação corporativa necessitamos, independentemente do tamanho da empresa, conhecer o grau de sensibilidade da CID. Qualquer informação estruturada de uma empresa deve ter uma classificação quanto a sua CID.

Ok, mas por que isso? Qual a importância?

No artigo passado abordei a questão do Acesso Lógico e de seu controle, onde comentamos sobre metodologias e outros. Fazendo um link com esse artigo devemos entender que só é possível fornecer acesso a sistemas informáticos, como disse, sistemas estruturados de informação, se conhecemos o Valor da informação a ser fornecido o acesso. Ao saber o valor da informação eu posso criar mecanismos de controle para melhor proteger, por exemplo, as que tem maior valor.

Normalmente o que ocorre na grande maioria das empresas nacionais é que esse acesso à informação é autorizado pelo que se convencionou chamar de “dono da informação”. Geralmente esse dono é o gestor de uma dada área que deve ou deveria saber o Valor da Informação para fornecer ou não o acesso devido. Acreditamos que feito isso, bingo, resolvemos o problema de concessão de acesso a sistemas informáticos. Será?

Assume-se que tais donos estabelecem critérios próprios e que esses supostamente são suficientes para matar a questão. O que ocorre de fato e que deveria ocorrer é que não são estabelecidos critérios padronizados para que esses donos da informação possam valorizar uma dada informação e, então saber se certo usuário ou função pode ou não ter acesso a determinada informação. Normalmente o que se tem, quando se tem, é uma Norma de Classificação da Informação, mas sem os detalhes necessários para se fazer essa valoração, aliás, passa longe

Na prática, esse dono da informação verifica a função que o usuário deve exercer e com isso autoriza o mesmo a acessar sistema A, B …etc. Infelizmente, na grande maioria dos casos, essa prática invoca excesso de privilégios, o que pode causar incidentes intencionais ou não intencionais no futuro, geralmente desconhecidos por quem fornece ou não tal acesso.

Nos ambientes onde temos estabelecido metodologias de acesso a sistemas informáticos como o RBAC (abordado no artigo anterior) essa situação não se estabelece dessa forma. Os acessos a sistemas informáticos com o processo do RBAC mapeado e implantado olha para a função e estabelece o perfil de acesso a partir daí, até chegar no nível de atividades/tarefas/transações que a função deva exercer, sem excessos de privilégios. Claro, desde que se cumpra o processo correto de desenho do RBAC.

Para auxiliar tanto o RBAC ou mesmo o dono da informação no formato no qual citei, em que a maioria das empresas estabelece o acesso lógico, medir o grau de sensibilidade da Confidencialidade, Integridade e Disponibilidade (CID) da Informação é de suma importância para que se mitigue riscos financeiros e de imagem e reputação, por conta da possibilidade da quebra de um dos três pilares.

Esse Grau de Sensibilidade é tão maior quanto os impactos financeiros e de imagem o forem. O valor da informação acompanha o grau de sensibilidade da CID. Os incidentes relacionados a CID podem ser capazes de descontinuar um negócio e a estatística de ocorrência hoje em dia nas empresas é algo assustador.

Valorar a Informação sob a ótica da segurança da informação para informações estruturadas ou não estruturadas não é uma tarefa simples, quando olhando grandes empresas, com inúmeros sistemas, mas deve ser realizado.

Deixar para cada dono da informação decidir de acordo com critérios que ele julga serem importantes, quem pode o que, por certo não é a melhor solução. Agora, estabelecer critérios e métodos par auxiliar o dono da informação a fazê-lo, aí sim, eu tenho um padrão, até para medir se a coisa está correta, se precisa melhorar, etc.

O critério aqui apresentado, medindo o Grau de Sensibilidade da CID, já utilizei em diversos projetos, de acordo com metodologia própria que desenvolvemos. Os resultados foram excelentes. Conseguimos fazer os donos da informação entenderem de fato o Valor de uma Informação, e os prejuízos que a empresa possa ter se a coisa não for realizada de forma criteriosa.

Fica o recado!

Até a próxima!

 

_______________________________________________________________

(*) 57 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Os riscos de um processo de acesso lógico sem planejamento.

enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

 

… Infelizmente tenho que informar que o risco de você demitir alguém é alto. Como? Isso mesmo, demitir alguém é risco alto em sua empresa!

Não se trata de nenhum terrorismo, mas é a história e a situação em que várias empresas já se encontraram. E do outro lado a pergunta, mas como você chegou a essa conclusão?

Vejamos. Por meio de várias pistas que aparecem ao colaborador, uma boa parcela deles desconfia que esteja entrando na marca do pênalti. Muitos gestores fornecem essa pista, mudando seu comportamento, muita fofoca ocorre, e hoje, muita informação, com dicas para empregados saberem se estão na lista negra circula pela Internet em sites especializados.

O ser humano reage de forma diferente diante de uma situação como essa. Uma parcela começa a procurar outro lugar para se colocar antes que seja pego de surpresa; outra, entretanto, acredita que alguma coisa seja devido a ele, que se trata de uma injustiça, e é essa a situação em mora o perigo.

Essa parcela de colaboradores chamada “do mal” acaba entrando no conhecido triângulo de Cressey, e racionaliza que algo é devido a ele e que precisa fazer justiça de alguma forma. O resto fica por conta da motivação/pressão que ele tem de sobra dentro desse contexto e, por último, onde eu queria chegar, a oportunidade.

Essa tal oportunidade é fornecida pela empresa, em seu desestruturado, ou melhor, desastroso processo de acesso a sistemas de informação. Com privilégios e mais privilégios sem qualquer análise, com total falta de controle e tudo o mais que se tem direito, esse colaborador “do mal” devidamente motivado, pode se apoderar de informações altamente sensíveis. Pois bem, está feito. Divulga onde não devia, vende para quem pagar, e por aí vai a lista de estrago que ele pode trazer para a sua ex-empresa, com as informações que teve acesso e que de alguma forma a armazenou.

A Alta Administração na situação citada relutam um pouco em aceitar, mas enxergam o risco e o tamanho do estrago que pode ocorrer. Ser humano é ser humano, é da natureza a possibilidade do erro!

E o porquê de algo tão impactante e para alguns, podendo soar como surreal? A resposta é por conta de uma causa simples: um processo de acesso a sistemas de informação desestruturado, sem planejamento, sem noção do risco, isto é, quando o tem.

A falta ou o processo de acesso a sistemas de informação planejados e executados de forma desestruturado, sem ater as consequências da coisa malfeita, pode dar a chance de pessoas que não deviam ver, alterar ou excluir o dado/informação o façam.

Todos sabemos o quanto o mundo corporativo de hoje está completamente informatizado e dependente da Tecnologia da Informação (TI). Difícil encontrar algum processo de negócio que não tenha a TI envolvida, e claro, como consequência, o ser humano como seu usuário principal. Nessa linha que vivemos, as empresas de todo tamanho são obrigadas a responder à questão: que dado/informação os colaboradores podem acessar? Quais softwares e sistemas informáticos devo disponibilizar para os usuários da empresa realizarem suas atividades? Que política, critérios e métodos devem ser utilizados para mitigar o risco de disponibilizar mais do que o necessário e poder ter consequências nada agradáveis?

Os processos de negócios das empresas, com suas atividades e tarefas definidas, os inter-relacionamentos entre as diversas áreas, estão todos entrincheirados sobre a batuta da TI com seus dispositivos computacionais, seus aplicativos e sistemas informáticos. Os dados e as informações que compõem todo esse universo precisam ser criados, manuseados, transportados, armazenados e descartados, em uma clara obediência ao ciclo de vida da informação. É assim que as coisas ocorrem e esse é o contexto na qual vivemos.

Uma empresa precisa dispor de pessoas para desempenhar o que convencionamos chamar de funções de trabalho. Essas funções de trabalho estão atreladas a um cargo, a uma posição que a pessoa assume na empresa. A empresa espera que no desempenho de suas funções a pessoa contribua para o alcance das metas e resultados previstos em seu planejamento. E hoje, mais do que nunca, as atividades a serem desempenhadas pelas funções de trabalho tem uma total dependência de dispositivos computacionais.

Nesse contexto de um mundo quase que, ou, totalmente dependente da TI, torna-se necessário que as empresas definam quais dados e informações que seus colaboradores possam ter acesso, para que desempenhem suas funções no atendimento aos anseios projetados pela empresa e, que esse acesso, seja concedido de forma que sejam minimizados riscos.

E que riscos são esses? São riscos de natureza intencional ou não intencional. Pela concessão de acessos a dados e informações acima da necessidade que o colaborador tem para realizar suas funções, ele pode utilizar esses privilégios oferecidos pela empresa e perpetrar os mais variados atos ilícitos, como por exemplo, se apoderar de informações de dada criticidade e “oferecer” a potenciais interessados. Essa é uma ação intencional.

Apesar de existir uma linha tênue entre uma ação intencional e uma não intencional, um exemplo de uma não intencionalidade é o colaborador transmitir uma informação sensível, na qual não se deveria ter sido fornecido acesso a ele, para alguém interessado (interno ou externo da empresa). Essa informação transmitida pode trazer consequências de magnitude severa à empresa.

Uma das principais premissas que deve ser observada e utilizada para mitigar riscos como o mencionado e dentro do tema em questão é utilizar o conceito do Menor Privilégio:

Menor privilégio é a prática administrativa consagrada seletivamente de atribuir permissão para usuários, de tal forma que, ao usuário, não seja fornecida permissão além daquela necessária para desempenhar sua função de trabalho. Garantir aderência ao princípio do menor privilégio é um grande desafio administrativo que requer a identificação das funções de trabalho, a especificação da série de permissões requeridas para desenvolver essas funções e a restrição do usuário para um domínio com tais privilégios.

A prática do Menor Privilégio independe do tamanho da empresa, sua quantidade de usuários e de sistemas informáticos. O que deve prevalecer é bem claro aqui: as permissões de acesso devem ser concedidas dentro dos limites do que é necessário para o colaborador desempenhar sua função, suas atividades, nada a mais, nada a menos.

Uma outra prática importante é a instituição da segregação de funções, que deve ter uma matriz elaborada e implantada e levada para o acesso lógico, com a segregação de acesso a sistemas informáticos.

Lendo o que coloquei parece algo absolutamente óbvio e simples de se executar, disse bem, parece…. Esse é o caso, na teoria é uma coisa e na prática outra. Independentemente do tamanho da empresa se não houver compromisso do andar de cima, com falas e atos, sem admitir qualquer “carteirada”, venha de onde vier, além de política e normas que se façam cumprir, com sansões explícitas, a coisa não começa muito bem…e deve invariavelmente terminar mal.

Na vida empresarial não são poucas as exceções que quebram regulamentos e regras estabelecidas, com justificativas sem fundamento e valor para o negócio. Exceções que na grande maioria das vezes elevam mais ainda o risco, sem agregar ao negócio da empresa e no atingimento de metas estabelecidas. Trata-se de riscos assumidos e de forma absolutamente desnecessária.

Mas então, por onde começar? O que deve ser pensado para que riscos desnecessários não sejam assumidos e que seja fornecido o acesso devido para que os colaboradores realizem suas atividades? Essas são pelo menos duas das variadas perguntas que bate na cabeça daqueles que tenham que tratar do assunto. Vejamos algumas atividades macro que podem ser cumpridas pela empresa:

  • Ter uma Política de Segurança da Informação atualizada que seja suporte para uma norma complementar de controle de acesso lógico;
  • Criar e/ou definir uma área/subárea que gerencie o acesso lógico/sistemas informáticos;
  • Criar e implantar uma Norma de Acesso e controle a dados e informações;
  • Elaborar a matriz de segregação de função e implantando em sistemas informáticos;
  • Definição de uma metodologia adequada de Acesso e controle lógico a sistemas informáticos;
  • Criação do processo de concessão, manutenção e exclusão do acesso a sistemas informáticos;
  • Monitoramento e revisão periódica dos processos e dos riscos relacionados.

Essas atividades macro são independentes do tamanho da empresa. São as que costumamos chamar de boas práticas e se aplica a toda e qualquer empresa. O que varia, e isso é absolutamente correto, é, por exemplo, o método de concessão e revisão de acesso em uma pequena empresa e uma grande empresa. Enquanto a pequena pode basear sua concessão por usuário, na grande já se torna obrigatória fazê-lo por funções.

Como indicamos, para iniciar é necessário que haja uma Política de Segurança da Informação (PSI) devidamente implantada e “no sangue” dos colaboradores da empresa. Normalmente encontramos PSI que parece mais um romance, com inúmeras páginas, quando na verdade uma PSI deve ter no máximo três páginas, quando muito. Além de outras “virtudes” uma PSI deve servir de suporte para uma norma complementar de controle de acesso lógico que deve ser escrita e implantada.

Um outro ponto importante é a necessidade se ter definido uma área que seja responsável em gerenciar o acesso a dispositivos e sistemas informáticos, ou como se convencionou chamar, Controle de Acesso Lógico, o que é mais abrangente. Interessante essa área estar dentro do Security Office da empresa. Como qualquer área, deve ter seus propósitos definidos, seus colaboradores especializados e processos estabelecidos. Lembrar que a função de gestão aqui envolve os processos de concessão, manutenção e exclusão dos usuários de TI. Além disso, deve a área exercer a devida Governança munida de métricas e indicadores estabelecidos.

Em seguida e com a participação da área responsável de Controle de Acesso Lógico, deve ser elaborada e estabelecida uma Norma que defina como se dará o acesso e o seu controle aos dados e informações, que estão sob a custódia da Tecnologia da Informação. Isso é fundamental! Essa Norma deve trazer no mínimo o escopo, a abrangência, o propósito, as diretrizes e as sanções para quem descumprir o que estiver estabelecido. Uma Norma é o guia, aquilo que a empresa julga que deva ser cumprido para um assunto específico e de importância.

O passo seguinte é definir qual a metodologia de Controle de Acesso a sistemas informáticos que deve ser implantada. Algumas das várias abordagens utilizadas no mercado são:

  • Baseado no Usuário;
  • Baseado em Política;
  • Baseado em Funções.

Baseado no Usuário

Nessa abordagem, direitos de acesso são autorizados diretamente para um usuário ou grupos de usuários, muitas vezes, por exemplo, com o uso de ACLs (listas de controle de acesso) para recursos de rede e controle de acesso discricionário (DAC) e mandatório (MAC).

Aqui, os usuários têm garantido acesso aos recursos de sistemas e aplicações por meio de regras de acesso discretas que especificam o nível de autorização de usuários para recursos específicos ou grupos de recursos (arquivos de dados ou aplicações, por exemplo). Para organizações que tenham poucos sistemas (20 no máximo) e são relativamente pequenas (100 funcionários) e uma população de usuários estáveis, as despesas administrativas associadas com esse tipo de controle de acesso/perfis é aceitável.

Entretanto, com organizações médias e grandes e em crescimento, o número de usuários aumenta e os sistemas se multiplicam. Manter a segurança de acesso usando essa abordagem torna-se um desafio administrativo devido ao significativo nível de manutenção que deve ser desenvolvido. Por exemplo, quando um novo colaborador é contratado, os requerimentos de permissões de usuários necessitarão ser definidos nas regras de acesso para múltiplos sistemas e aplicações.

 

Baseado em Política

Neste modelo regras organizacionais são usadas com informação do atributo do usuário para determinado controle de acesso. Por exemplo, uma regra pode definir que um usuário tenha código de localização X e função Y para completar uma transação Z.

 

Baseado em Funções

Diferente do baseado em usuário, neste método o usuário estará incluído em um ou mais perfis funcionais. RBAC (Role Based Access Control) é definido como um método que aplica e gerencia o controle de acesso por meio do uso de componentes intermediários (funções) entre usuários e privilégios. O modelo básico preconizado pelo NIST (National Institute of Standards and Technology) é composto por três componentes distintos: usuários, funções e privilégios ou permissões.

No ambiente RBAC usuários ganham acesso aos recursos de TI por estarem associados com um apropriado perfil empresarial. Para um novo usuário, as responsabilidades de seu trabalho devem estar identificadas e então o perfil que corresponde aquelas responsabilidades deve ser conectado ao ID do novo colaborador/usuário.

O modelo RBAC considera ambas, as funções do negócio e as responsabilidades organizacionais, e permite as organizações estabelecerem uma série de direitos de acessos necessários para indivíduos desenvolverem suas responsabilidades requeridas por seu cargo, entre esses indivíduos estão empregados, clientes ou parceiros de negócios.

Trata-se de um modelo ideal para médias e grandes corporações, que tem um número razoável de funções em seu recurso humano e sistemas informáticos em operação. São inúmeros os benefícios desse método, mas deve-se estar consciente de que não é um projeto simples de ser implantado, demandando a participação de várias áreas da empresa. O RBAC é o método que permite a implantação do conceito de gestão de identidade e a possibilidade da implantação do SSO (single sign on), da senha única ao invés de inúmeras senhas.

Escolhida a metodologia é fundamental mapear e modelar o processo de concessão, revisão e exclusão do acesso lógico a sistemas informáticos. Nesse mapeamento e modelamento a empresa tem definido como quer que o processo, em todas as suas etapas, seja devidamente cumprido por todos.

E por último o Monitoramento do processo e dos riscos associados. Disciplina quase sempre esquecida, o monitoramento do processo e dos riscos associados ao tema deve trazer métricas e indicadores que possibilitem à empresa avaliar, corrigir/melhorar o rumo do que ocorre.

Em diversos projetos que desenvolvi do tema em questão, ficou a lição de que o fator chave de sucesso aqui é a visão mais detalhada possível que a Alta Administração da empresa deva ter com os riscos que estão atrelados ao tema. Essa visão deve estar refletida nas políticas e normas que a mesma referenda e, em quanto ela insere em sua agenda a cobrança da área responsável de indicadores, que reflitam periodicamente incidentes e riscos associados a questão.

Não se trata de um assunto especificamente do security office ou da TI da empresa, estamos falando de um risco corporativo. Um tema dessa magnitude tratado com certa displicência pode trazer consequências até catastróficas para a empresa, ou o receio permanente de demitir alguém! É bom abrir bem o olho!

 

Até a próxima!

 

_______________________________________________________________

(*) 57 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

A Negligência é um vício e deve ser evitada!

enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

O caso recente que ocorreu com o rompimento de parte de uma ciclovia no Rio de Janeiro, por conta de uma forte onda, e que matou duas pessoas e outras duas desaparecidas, voltou a me provocar. O caso de Mariana e outros tantos com maior frequência, como desabamentos por conta de chuvas, trazem a tona uma questão que me atormenta: até quando teremos que suportar a essa situação? Não é possível que conhecendo os riscos, na maioria dos casos com impactos catastróficos, as pessoas não tomem as decisões corretas que, se não evitem, mitiguem o risco de acontecer. Pergunto: até quando essa Negligência?

 

A palavra Negligência tem sua origem na palavra latina negligentia que significa falta de cuidado, de aplicação, de exatidão, descuido, incúria, displicência, desatenção, preguiça, indiferença. A Negligência pode assumir diversas “caras” e entre as mais preocupantes é a displicência, a indiferença diante de um fato com risco potencial.

 

A origem da Negligência está na inércia, isso, aquela mesmo que estudamos nos tempos de colégio. Assim, a Negligência é o estado inercial do nosso corpo, a tendência de se manter estático até que um impulso externo altere seu estado anterior, impulso este que é determinado pela energia da vontade.

 

Uma das muitas facetas da Negligência e que interessa ao contexto que pretendo dar a esse artigo é a falta de compromisso com as coisas, com as decisões importantes que precisam ser tomadas. Diante dos fatos, o negligente trata de qualquer forma, sempre adiando as decisões, deixar por fazer o que tem que ser feito. Como vício, procura desculpas e disfarces. Um dos vários disfarces e dos mais importantes é o fato de alguém justificar que trabalha muito e faz muitas coisas, e isso pode ser uma desculpa de ser não negligente. Trata-se de uma bazofia! Mesmo trabalhando muito, o trabalho pode estar sendo executado de forma negligente, sem compromisso, de qualquer forma, sem preocupação com os resultados, prazos e riscos.

 

Parto do princípio que as pessoas que alcançaram determinado patamar e com a cotidiana obrigação de tomar decisões e, algumas delas, que levam em conta a vida humana ou a continuidade dos negócios da empresa, não podem em hipótese alguma conjugar o verbo Negligenciar. Vou tentar expressar meu raciocínio trazendo diversos eventos com base histórica para elucidar o assunto. Vamos lá:

 

Desastre de Mariana

Há exatos seis meses ocorreu uma das maiores tragédias ambientais do mundo que matou 17 pessoas, acabou com cidades e deixou milhares de desabrigados.

Diversas multas foram aplicadas e acordos foram feitos com a Mineradora Samarco, mas as vidas humanas que se perderam ninguém traz de volta. Nenhuma barragem se rompe sozinha. Acidentes não acontecem, são provocados. Essa é uma atividade que deve haver um constante monitoramento dos riscos, fora uma avaliação periódica, uma vez que os riscos não são estáticos, são dinâmicos. Sete funcionários da Mineradora e mais um de uma consultoria foram indiciados no inquérito da Policia Civil que apontou entre as causas, equipamento de monitoramento com defeito e sem funcionamento. Não é minha tarefa aqui fazer julgamentos, isso cabe à Justiça. Mas os fatos e as evidências são notórios e levam a crer que as ações necessárias para evitar uma tragédia dessa monta não foram tomadas.

 

 Ciclovia no Rio de Janeiro

Recente, há menos de um mês, mais um desastre com mortes. Ainda sob investigação. Entretanto, entre tantas perguntas que devem ser feitas e respondidas, faço duas:

 

-> Houve uma avaliação de risco antes, em tempo de projeto, durante a obra e após a sua conclusão?

-> Ainda em tempo de projeto, foi avaliada a base histórica da altura e força das ondas que batem naquele costão ao longo dos últimos 100 anos, ou, desde que se tenha a medição executada?

 

Provavelmente não, porque se tivesse sido executado as chances da ocorrência de tal acidente seria bem menor. Como a Medicina, um erro na Engenharia pode matar, e não uma pessoa de cada vez. como em um erro médico, mas muitas!

 

Aí ficamos buscando os responsáveis e os culpados. Vemos familiares chorando na TV e nos comovemos. Nesse caso do Rio, o corpo do marido, um engenheiro adepto da corrida de rua e sua esposa chegando correndo pela areia e reconhecendo o corpo do marido estendido ali na areia da praia. Até quando senhores? Até quando?

 

Deslizamentos/Desabamentos/Inundações de Residências em áreas de risco.

São milhares dessas residências que podem ser encontradas em áreas de risco. E claro, vocês irão me dizer, que a maioria não quer sair de lá, dizem que não tem para onde ir, que Deus vai ajudá-la…e, ninguém faz nada!

Segundo as previsões o El Niño encerrou seu ciclo com o verão fora de época em abril e para o final desse ano teremos sua irmã, a El Niña. Pois bem, a irmãzinha é o inverso do irmão; enquanto o irmão vem do esquentamento das águas superficiais do Pacífico, a irmã vem com o esfriamento. As chances de tempestades contínuas e bem violentas são muito grandes.

Não é preciso ser um especialista em risco para prever o que vai acontecer nas áreas mais vulneráveis. Sem bola de cristal, mas diante de tanta negligência de todas as partes, o que posso pensar é que um número nada pequeno de pessoas venha a morrer no final deste ano e começo do ano que vem por conta desses eventos e suas consequências, o que para mim é um verdadeiro absurdo!

O que farão os nobres políticos? Assistir pela TV, contabilizar os mortos mais uma vez e engrossar nossa estatística?

 

Bebida, Morte e Vida prejudicada.

Em minhas aulas de Risco Operacional ou em minhas palestras sempre toco nesse assunto, até porque sempre tem jovens presentes. A questão é: vai ao barzinho, toma umas biritas, pega o carro e … pode fazer o estrago e prejudicar a sua vida e a de outros.

Essa história pode ser contada uma dezena de vezes com um sem número de casos espalhados pelo país e mesmo assim toda semana tem uma. O que acontece é que quem age dessa forma não conhece as nuances do risco. Aposta em inúmeras falácias que descrevo a seguir:

-> Nunca ocorreu e não vai ser hoje que vai ocorrer;

-> Não vai ser uma garrafa de Uísque que vai me derrubar;

-> Vou dirigir devagar e por avenidas largas e bem iluminadas.

A questão central é: o fato de nunca ter ocorrido não quer dizer que não possa ocorrer exatamente naquele dia em que você pode até ter tomado quase nada. O problema é que a chance de ocorrência (probabilidade) não pode ser considerada rara ou perto de zero, ou até zero, que o motorista erradamente pressupõe. A estatística mostra que as chances não são nada desprezíveis e deve, como primeiro aspecto, ser levada em conta.

Segundo, qual a consequência se a probabilidade se manifestar? Podem ser inúmeras, vejamos três delas:

 

-> Bater em outro carro, ferindo ou matando os ocupantes dele e de seu carro;

-> Bater em um poste, morrendo o motorista e possível ocupantes do carro;

-> Atropelar um ou mais pedestres, ferindo ou matando os inocentes.

 

Não acreditar nessas possibilidades, antes de ser imprudente e negligente, o camarada é no mínimo um bossal! Um ser adulto e pensante ignorar algo que até uma criança pode descrever, merece ser internado por outros motivos.

A possibilidade de impactos desastrosos como esses são plenamente factíveis. Se o camarada não acredita em tudo o que eu falei, então pensa que o risco tem “um quê” de acaso, isso mesmo, o acaso. Imagina a situação:

Venho eu no carro, saí do barzinho às 5:30 da manhã, tomei mais do que o suficiente para estar fora da Lei e ao virar a esquina “encontro” com um gari que acaba de pegar no emprego, varrendo a calçada perto da sarjeta. Atropelo e mato o sujeito. É meu azar? Quando eu iria imaginar que alguém estaria ali varrendo a rua às 5:30?

 

Esse tal de Acaso é um componente oculto do risco. Essa pode ser uma questão que podemos querer justificar pelo destino, por alguma religião, enfim, por uma série de possibilidades, mas eu prefiro dizer que o Acaso é o cara que pode tornar o jogo diferente e não se pode desprezá-lo. Ele sozinho caberia em um artigo inteiro.

 

Então, nesse caso, como conclusão vai um conselho a quem me lê: EVITE o risco sempre que puder, uma das formas que temos de resposta, e não dê sopa para o Acaso. Vai de táxi (não é a música), peça para quem não bebeu dirigir e não seja irresponsável e negligente!

 

Inexistência de Plano de Recuperação de Desastre nas empresas

Muitas empresas não têm um plano estruturado para desastres ou interrupções que possam afetar seus negócios. Se considerarmos ser uma negligência de seus dirigentes algo um pouco demais nesse caso, só podemos pensar que a não existência de tal plano ocorra por falta de informações mais detalhadas para o risco que estão assumindo.

 

Em uma visão brasileira, a grande maioria das empresas que estruturam um plano desses o fez por uma questão de compliance, notadamente aquelas fiscalizadas pelo Banco Central e SUSEP (Seguros). Outra parte, minoria, por conta de demanda de auditoria externa (da matriz) ou não. A minoria por uma visão clara de prevenção ao risco.

Como falei, quero acreditar que quem não o faz deve ser por conta da falta de informações detalhadas sobre o risco assumido e não por negligência. O fato é que um plano desse é parte integrante da gestão do risco e tem como principal objetivo a preservação da empresa e de seus objetivos de negócios; portanto, é de responsabilidade da Alta Administração da empresa, e não da área A ou B.

A falta de informações mais detalhadas, conforme salientei como justificativa, pode ser evidenciada em algumas falas que acreditam que impactos catastróficos, daqueles que possam interromper para sempre ou durante um tempo não suportável as operações de sua empresa, acontece por conta de eventos que tenham uma chance remotíssima de ocorrência. A questão é: se esses eventos ocorrerem o negócio acaba!

E se eu disser que alguns desses eventos que se acredita terem uma chance remota não são tão remotos assim, e se trata de mais uma das muitas falácias existentes. Por exemplo, um incêndio de média proporção. Um incêndio tem inúmeras causas, inúmeras variáveis e não controles suficientes que mitiguem o risco para todas elas, portanto, as chances não são remotas como parece ser.

E claro, vamos colocar o Acaso aqui também. Início de 2012, Centro do Rio de Janeiro. Quando que as empresas que estavam instaladas ao redor do edifício que desabou perto do teatro municipal, imaginavam que uma obra de reforma poderia fazer com que o prédio viesse abaixo e que as dezenas de empresas instaladas em edifícios circunvizinhos ficassem sem poder operar por conta que cinco quarteirões foram interditados pela Defesa Civil? Consequência: não se podia entrar no prédio para trabalhar.

Dá para prever isso? Claro que não! Como não temos bola de cristal, atuamos preventivamente contra o risco e todos os seus elementos, inclusive os ocultos.

 

Como comentário final gostaria de deixar uma mensagem. Carrego comigo o pensamento de sempre que pudemos entender que negligenciar fatos, evidências e riscos podem ser algo danoso para nossas vidas e de nossas empresas. Como falei a negligência é um vício e deve ser a todo custo evitada. As consequências dessa atitude podem trazer graves impactos para a vida do negligente e daqueles que depende de suas ações. Portanto, como sendo um vício deve-se procurar eliminá-lo o mais breve possível. Fica o recado!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Vazamento de Informação: na moda, mas um problema antigo.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Vivemos momentos conturbados e delicados em nosso país. Parece que não se fala outra coisa a não ser: corrupção, fraude, propina, suborno…e agora o termo da vez é Vazamento de Informação. Capa da última edição da revista Isto É, por conta da delação premiada do senador Delcídio do Amaral, o certo, a despeito de estar na moda e na boca do povo, é que o vazamento de informação é um problema antigo e, infelizmente, na maioria das vezes erroneamente interpretado e consequentemente mal combatido.

 

O Vazamento de Informação pode ter dois agentes. Um é interno, na figura de seus colaboradores de uma maneira geral. O outro é externo, onde seu mais ilustre representante é um hacker. Vou me ater nesse artigo ao agente de ameaça interno.

 

O conceito de Vazamento de Informação no contexto do ambiente empresarial, público ou privado, e olhando o agente interno, é a ação de colaboradores dessas empresas ou mesmo de terceiros que lá trabalham, tendo ou não tendo acesso autorizado à uma dada informação, de compartilhar informações classificadas, no mínimo como internas, para o ambiente externo da empresa, por exemplo, para a concorrência Essa desobediência, essa ação não autorizada com relação à política de classificação da informação da empresa é que caracteriza o Vazamento de Informação.

 

A despeito de alguns considerarem que o vazamento de informação pode ter um caráter não intencional, p.ex., envio de um e-mail para um destinatário errado, a questão é que o termo ganhou uma característica de uma ação intencional, praticada com diversos intuitos. E a pergunta é: por que alguém faz isso?

 

Entre os vários intuitos destacam-se a possibilidade de ganho financeiro com a informação vazada e/ou a possibilidade de prejudicar o proprietário direto ou indireto da informação, por exemplo, uma vingança. Em muitos casos quem pratica tem aquele pensamento: com uma paulada mato dois coelhos. Leva a grana do solicitante da informação e prejudica ao mesmo tempo o proprietário da mesma; entretanto, existem inúmeros casos em que a ideia era só a de prejudicar.

 

Com base em uma série de casos e fatos que vocês já leram ou tomaram conhecimento, imaginam que é algo intrínseco do ser humano, e dessa forma, muito complicado de evitar. Certamente, de evitar sim, mas não de mitigar essa possibilidade, colocá-la em um patamar em que posso fazer o gerenciamento de um risco residual aceitável.

 

Valor e Classificação.

Uma empresa que entende e de fato cumpre na prática a máxima de que a Informação, em todo seu ciclo, é um dos principais ativos que mantém seu negócio de pé, procura a todo custo avaliar o risco do Acesso à Informação.

 

O Acesso a Informação sucede a duas importantes premissas: o Valor e a Classificação da Informação. O valor determina sua classificação. Se eu não consigo determinar o valor de cada informação no meu negócio, eu não consigo classificá-la.

 

Valorar a informação pode não ser uma tarefa das mais fáceis, mas deve ser feita. Você deve assumir uma série de critérios e atributos para valorar a informação de sua empresa. Feito isso, passe para a etapa de classificar a informação, colocar um rótulo nela.

 

Aqui cabe um lembrete oriundo da ciência da informação. É importante você ter em mente nesse trabalho de valoração e classificação da informação que existem abordagens, modalidades de informação em uma empresa. São elas: a informação não-estruturada, a estruturada em papel e a estruturada em computadores. Entender cada uma dessas modalidades é de extrema importância nesse trabalho.

 

A informação em computadores e seu dilema.

Vivemos a era da informação em computadores, mas com dilema. As pessoas certamente preferem as informações que são oportunas e ricas em detalhes contextuais. Elas gostam quando envolvem sequência e causalidade, percebem uma historia, quando são apresentadas com humor ou quando ganham uma interpretação única – informações visivelmente ricas, em cores, texturas, estilos – e que tenham relevância para nossas vidas e nosso trabalho.

 

Mas o que recebemos dos computadores são normalmente informações datadas, com pouco contexto ou significado, destituídas de sequência ou causalidade, apresentadas em formato geralmente pobre, ou em volume muito maior do que desejamos.

 

Várias pesquisas indicam que gestores preferem informações que não residem no computador, porque elas não oferecem a variedade, atualidade ou relevância que esses executivos exigem. Como resultado, a maioria das informações verbais em suas fontes são mais importantes. Esses gestores tendem a obter de fontes humanas mais de dois terços da informação que usam. A maior parte dessa informação provém de contatos pessoais, conversas telefônicas, e-mail e semelhantes.

E isso é um grande perigo e acende o sinal amarelo quase laranja. Essas informações não-estruturadas dependem única e exclusivamente para sua proteção da conscientização e educação da pessoa em relação à segurança da informação. Bato muito nessa tecla em minhas palestras. São fundamentais!

 

Acesso a Informação.

Quem pode acessar O Que nos sistemas computacionais? Quem pode ler determinado documento no papel? Quem pode entrar em determinada sala na empresa? Sempre QUEM e sua relação com O QUE, aqui subentendido como a informação corporativa.

 

A ideia desse controle todo é simples: evitar que pessoas não autorizadas possam ter acesso à determinada informação, que tem seu valor e sua classificação definida, quer seja em uma informação estruturada em papel, não estruturada ou em computadores.

 

Eis aí a questão. Desde que você já tenha feito a lição de casa como se deve para a Valoração e Classificação da Informação, agora começa por fornecer o Acesso à ela. E aqui mora o perigo.

 

O acesso à informação em uma empresa pública ou privada deve ser fornecido em uma relação diretamente proporcional à necessidade do indivíduo para exercer o seu trabalho, nem mais e nem menos. E isso inclui, veja, acesso a sistemas computacionais, internet, e-mail…acesso a documentação em papel …acesso em locais físicos onde existam informações. Essa é uma premissa absolutamente básica.

A partir daí você pode utilizar a metodologia que bem entender em obediência à suas políticas e normas de segurança da informação. Mas ferir essa premissa, por certo estará arrumando dor de cabeça no futuro. Aqui não cabe eu preciso acessar, eu sou amigo do dono e por aí vai. É preciso fazer a coisa certa!

 

Riscos do Vazamento de Informação.

Mesmo valorando, classificando, definindo o acesso, e claro, com política e normas complementares homologadas e conscientizadas aos colaboradores, os riscos são vários.

 

O tal colaborador necessitando de uma grana com um interessado em determinadas informações subornando-o, ele vai arrumar um jeito de vazar essa informação, mesmo não tendo autorização de acesso a tal. Como?

 

De uma coisa podemos ter certeza, as possibilidades são muitas. Vamos a duas bem simples, que certamente existem na maioria das empresas.

 

Situação 1

Não tendo autorização de acesso a determinada informação e precisando obtê-la para levantar a grana, utilizo da técnica da engenharia social sobre determinada pessoa que tem acesso a essa informação, independente de onde esteja essa informação. E com grande chance a tenho em mãos. Difícil? Negativo. Um bom engenheiro social interno ainda consegue hoje em dia fazer muito estrago e acreditem, sair ileso da história. Oculta e muito bem.

Situação 2

Preciso da informação, mas não quero ter muito trabalho e até posso demorar um pouco mais até obtê-la. Como? Seleciono aqueles que porventura podem me fornecer sem desconfiar de nada. Monitoro-os anotando seus hábitos e costumes. Vejo que ele tem por hábito deixar documentos sobre a mesa, tela aberta em sistemas que tem a informação que preciso, sai de salas de reunião com quadro branco por apagar, e por aí vai. Anoto e vou à luta. Hoje muito mais simples do que antigamente. Com meu super telefone celular, fotografo com altíssima resolução tudo o que desejo, de forma disfarçada, dissimulada.

Pronto. Feito. Afinal de contas, a moda de hoje é fotografar qualquer coisa, então…

 

Controle e Monitoramento.

Estabelecer e implantar Controles tem por objetivo reduzir a possibilidade de que o vazamento ocorra. Deve ser determinado a partir de sua matriz de risco. A gama de controles é inúmera e depende da cultura organizacional, de quanto sua empresa se preocupa com os impactos de um incidente desses, o quanto ela está disposta a investir, e por aí vai.

Por exemplo, e pegando a situação 1 do exemplo que dei para riscos de vazamento, tem empresa que proibiu o uso de celular com câmera no interior da empresa. É um controle? Sim. Mitiga a possibilidade de risco de vazamento? Sim, claro. Mas, você pode argumentar que não é uma atitude simpática, ok? Certamente. Mas a empresa também pode argumentar: o colaborador precisa trazer uma máquina fotográfica para trabalhar? A não ser que seja um fotógrafo! Pode ser uma discussão de quem nasceu primeiro, o ovo ou a galinha?

Já o Monitoramento, para ser eficaz, deve ser estabelecido de tal forma que eu consiga detectar que um vazamento de informação está na iminência de ocorrer e conseguir evitar. Existem diversos mecanismos que possibilitam essa ação. Outras formas de Monitoramento em que eu apenas consiga detectar que um vazamento ocorreu ou que está ocorrendo, pode não ser nada eficaz, pois dependendo da situação, pode ser uma bomba para a empresa. Infelizmente em muitas empresas o Monitoramento nem existe, o que pode ser um erro terrível nesse caso.

 

O problema é antigo, mas com o tempo novas abordagens o tornam mais do que atual. As vulnerabilidades no ambiente empresarial são inúmeras, quase sempre provocadas por uma visão desfocada do problema, o estabelecimento de pobres controles, quando eles existem, e má gestão.

 

Claro que você deve ter a política, as normas, a conscientização e outros controles básicos que mitigam a possibilidade de vazamento, mas é necessário ir mais fundo para tentar colocar esse risco em um ponto bem residual. Já falei em outros artigos que o mundo hoje é absolutamente diferente do que era há 50, 30, 20 anos atrás. Valores mudaram, transformações ocorrem diariamente, tecnologia avança em ritmo frenético e aqueles profissionais que tem que lidar com esses incidentes precisam, mais do que nunca, acompanhar essa evolução e adequar na melhor condição. Caso contrário, lamenta-se, quando ainda se pode!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

10 erros mais comuns na segurança da informação corporativa.

enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

Errar é humano, como se costuma dizer. Não somos infalíveis, erramos, mas sempre devemos procurar aprender com os nossos erros. Enquanto isso ocorre com nossa vida pessoal tudo bem, geralmente temos condições de corrigirmos o rumo, aprendemos com ele e seguimos em frente. Em nossa atividade profissional é que a coisa pode mudar de figura. Nem sempre nossos erros são aceitos de primeira, e podemos ter problemas, principalmente quando determinados erros podem desencadear consequências bem desagradáveis para a organização que trabalhamos.

 

E quando falamos em prover de forma devida a segurança da informação corporativa (SIC) nesses tempos por demais bicudos, os erros podem não ser bem digeridos pelo “andar de cima”. Não é uma tarefa nada simples mitigar o máximo possível incidentes de segurança da informação. São muitas variáveis envolvidas que requerem planejamento, execução e monitoramento. Nesse artigo, sem ser exaustivo, vamos falar de dez erros bem comuns que pode servir de alerta na SIC. Vamos à lista!

 

Erro 1: A Segurança da Informação Corporativa (SIC) não é só TI

É mais comum do que imaginamos a ideia de se pensar que SIC é segurança da TI. Pensar que só porque a TI é a custodiante da informação das empresas não quer dizer que a SIC deva se concentra inteiramente nela. Envolve bem mais que a TI.

A segurança da informação corporativa (SIC) deve ser desmembrada e avaliada em quatro núcleos e entendida da seguinte forma:

  • Baseada em Pessoas;
  • Baseada em Processos;
  • Baseada em Tecnologia da Informação; e
  • Baseada em Segurança Física.

Então veja só. Além da TI eu tenho mais três outros núcleos que eu devo olhar e tratar; são eles: as pessoas que trabalham na empresa, os processos que regem a segurança da informação e a segurança física, que trata entre outros, dos acessos físicos às áreas internas e externas da empresa.

Cada núcleo tem atividades específicas de trabalho que se somam as da TI.  Tratá-los como secundários ou negligenciá-los só aumenta o risco de incidentes de SIC na empresa. O planejamento da SIC só estará correto se você olhar para os quatro núcleos de forma igual e integrá-los, um alinhado ao outro.

 

Erro 2: Definição equivocada na Gestão da SIC

Esse é um dilema antigo na SIC e o que mais se vê são modelos que não atendem às necessidades da organização. Na linha de raciocínio do item 1, pergunto: o gestor da SIC deve ficar em TI? Seria esse o melhor modelo? A maioria faz desse jeito então eu também vou fazer porque deve ser o certo? Qual o melhor?

 

Aqui não dá para copiar e colar. A empresa deve avaliar seu negócio, seus objetivos organizacionais, suas estratégias e seus riscos antes de tomar uma decisão dessas. Não é simplesmente colocar a gestão embaixo do CIO, promover alguém de TI e trazer um caminhão de responsabilidades para a pessoa, que em boa parte das vezes, não tem nem a competência necessária para cuidar do núcleo de TI, quanto mais dos outros três núcleos! Tomar decisões cômodas e que até parecem óbvias podem colocar a empresa sob riscos desnecessários.

 

Se a Alta Administração considera que a Segurança da Informação é uma questão estratégica para a empresa, então deve ser tratada de tal forma, tornando uma área independente, reportando-se ao primeiro nível.

 

Erro 3: A SIC sem Planejamento Estratégico

Como qualquer outra área na empresa não é possível fazer gestão e governança da SIC sem que, antes de tudo, tenha tido um planejamento estratégico elaborado a ser executado. Infelizmente, acredito até por falta de conhecimento do tema, muitas empresas executam a SIC de forma pontual, executam o que outros executam, e por aí vai.

Novamente a mesma premissa, se você considera a informação de sua empresa um ativo primordial, protegê-la deve ser a condição básica. Visitando o que falei aqui: são quatro núcleos a serem tratados! O Planejamento é a base do orçamento (próximo item) e premissa para a assertiva execução.

 

Erro 4: A SIC sem um orçamento anual

Se você concorda comigo que a informação de sua empresa é um dos seus principais ativos, então ela deve merecer atenção especial, certo? E essa atenção especial passa por destinar recursos ($$) para que a mesma seja devidamente protegida de incidentes que possam causar impactos e até a descontinuidade de sua empresa. Então, como qualquer outra área, a SIC, independente de onde ela esteja no organograma, deve ter um orçamento anual. Não destinar os recursos necessários à área por meio de um orçamento, é tratar a informação como um ativo sem importância.

 

Erro 5: Política e Normas longas, confusas e impraticáveis

A Política geral de SIC e suas normas complementares devem ser entendidas como controles de disuassão. A ideia é que a partir de sua elaboração e implantação, os colaboradores da empresa entendam e pratiquem suas diretrizes e determinações, pois caso contrário, poderão sofrer as sanções previstas. Ok, essa é a ideia.

 

Mas para que as pessoas as cumpram é preciso que elas entendam o que está sendo definido pela empresa. Infelizmente muitos erros são cometidos desde a elaboração até a implantação da política e das normas complementares. Faça um teste em sua empresa. Peça para que as pessoas opinem sobre as mesmas? Pergunte a elas para citarem algumas diretrizes? O que acaba acontecendo na grande maioria dos casos é que você construiu essa papelada apenas para inglês ver, como diz o ditado popular, ou para fiscalizador conferir. Muitos incidentes poderiam ter sido evitados se a coisa tivesse sido feita corretamente desde o início.

 

Erro 6: Não há um Programa de Conscientização e Educação

Muitas empresas elaboram sua política geral, suas normas complementares, convocam seus colaboradores para uma palestra de conscientização em SIC, e pronto, tá fechado esse ano o que eu tinha que fazer para o núcleo, Baseado em Pessoas. Infelizmente errou de novo e é mais comum do que se possa imaginar.

A palestra de conscientização em SIC é parte integrante de algo bem mais abrangente e que chamamos de Programa de Conscientização e Educação em SIC (PECSI). Esse programa tem no centro o tratamento do elo que consideramos o mais fraco na SIC que são as pessoas, os colaboradores e outros que trabalham em sua empresa. O PECSI envolve uma série de atividades é deve ser executado ao longo de todo ano, revisado anualmente.

 

Erro 7: Inexistência da Gestão do Risco em SIC

Realizar a gestão do risco da SIC é uma condição imperativa nas organizações que prezam seu ativo informação. Essa disciplina é a base para planejamentos, programas, etc. que tenham que ser executados. Infelizmente, também é esquecido ou mal executado nas empresas.

 

Identificar, medir, priorizar, responder e monitorar o risco nos quatro núcleos da SIC é a base do trabalho nessa área. O problema é a visão opaca que uma parte das empresas tem com relação à matéria. Não se trata de algo subjetivo, de despesa desnecessária, como muitos apregoam. A gestão do risco é tema normativo e praticado por empresas dotadas de excelente governança. A gestão quando executada dentro das melhores práticas, auxilia de forma contundente as empresas na melhor identificação de seus riscos, na medição dos mesmos, a encontrar quais as melhores respostas e a realizar o seu monitoramento, pois os riscos não são estáticos, principalmente os da SIC.

Dá trabalho, requer investimento, mas tenha certeza que conhecer seus riscos em SIC é bem melhor do que simplesmente negligenciá-los.

 

Erro 8: Falta de critérios na escolha do profissional de SIC

Em muitos casos a SIC fica com a TI, conforme comentado aqui, e um profissional interno da área é escolhido para ser o security officer da empresa. Acho extremamente louvável a ideia de sempre aproveitar e promover alguém internamente, antes de sair para o mercado. O problema é que em muitos casos a escolha é feita sem critérios. Não é porque o profissional gerencia o firewall ou a rede da empresa que ele reúne condições de ser o security officer da mesma. Esse é um erro muito comum.

Conforme já falado aqui, existem quatro núcleos na SIC. Critérios para escolha devem ser estabelecidos para contemplar o que esses quatro núcleos necessitam. Se internamente você tem essa pessoa, ótimo. Caso contrário, você deve ir para o mercado e selecionar o profissional que atenda as necessidades definidas.

E ainda, cometendo o erro de “promover” alguém sem as credenciais necessárias, você pode desfalcar uma atividade importante exercida por um bom profissional e “achar” que resolveu o problema de outra, promovendo a pessoa errada. Cuidado!

 

Erro 9: Importância menor ao agente de ameaça interna

Vamos contextualizar os dois principais agentes de ameaça em SIC. Internamente os colaboradores da empresa e, externamente, o que convencionamos chamar de hackers, crackers…

 

Pois bem, não tenho uma opinião formada por qual o motivo que as empresas ficam excessivamente preocupadas com o agente de ameaça externo. Talvez deva ser porque as notícias de hackers dão mais IBOPE, pesquisas de todo jeito são lançadas na mídia, mas o certo é que as empresas se preocupam 80% com as ameaças de fora e no máximo 20% com as ameaças internas. Parece existir certa complacência, uma letargia quando o assunto é tratar o agente de ameaça interna com a mesma dose de importância que se dá para o externo.

 

Você pode até justificar que ramos de atividade como o setor bancário ou e-commerce merecem uma atenção redobrada com os agentes externos, ou governos ou entidades públicas, mas chegar quase a negligenciar o agente interno é perigoso demais e bem comum nas empresas.

Fraudes internas, vazamento de informação e uma lista bem grande de incidentes podem ser perpetrados por agentes internos e ficarem anos até serem descobertos, causando substanciais perdas financeiras e na reputação. É preciso de forma imperativa tratar com o mesmo foco tanto o agente interno como o externo, sem entrar na onda de que A é mais danoso do que B, simplesmente por causa de números ou porque outros agem assim.

 

Erro 10: Falta de envolvimento da Alta Administração

Deixei por último da lista, mas poderia ser o primeiro. Sem o envolvimento da Alta Administração da empresa que deve demonstrar com ações que ela se preocupa com a SIC, a coisa não anda. Não quero dizer que seria por conta de liberar verba, de aprovar orçamento. Digo de ações que demonstrem que esse é um tema considerado importante para o alto escalão, tanto quanto o faturamento ou a redução de custos na empresa.

As pessoas da organização precisam do exemplo, da palavra e das ações da Alta Administração para acreditarem que de fato aquilo é importante. E essa ação não é só quando se tem que punir, é bem antes.

Um erro bem comum é ver que esse envolvimento venha a acontecer depois que um grave incidente de SIC ocorreu na empresa. Não é assim que as coisas devem acontecer, mas se esse foi o “caminho escolhido”, pela dor, enfim, que seja.

 

Claro que a lista poderia ser maior, e de fato é. Erros e descuidos de toda monta existem em todo lugar. Mas como disse, é importante avaliar e corrigir em tempo. Infelizmente um incidente de SIC não avisa quando vai ocorrer. Mesmo em organizações com alto índice de maturidade na SIC incidentes ocorrem e provocam impactos, várias vezes significativos. Fragilidades tem uma relação linear com as incertezas. Precisamos ficar atentos em corrigir o que não está certo, diminuindo as fragilidades, diminuindo nossas incertezas.

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

2015: um ano para não esquecer. 2016: um ano de esperança!

enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

O ano de 2015 se aproxima do seu final e deixa um legado imenso de apreensão, mas também de aprendizagem. Os noticiários diuturnamente trouxeram incontáveis casos de corrupção, fraudes, subornos em um tour pelo código penal nunca antes visto nesse País. Aliado a isso, também nunca vi tanta negligência ao risco como nesse ano. Perplexidade? Frustração? Um pouco de tudo, mas também aprendizagem, amadurecimento… O que poderia nos trazer a esperança de volta nesse 2016?

É certo que vivemos um momento delicado em nosso país. A corrupção na política e em organismos públicos assola nossa imagem, fazendo com que muitos de nós, cidadãos brasileiros, nos sintamos ultrajados e, como muito vi em diversas redes sociais, a manifestação de se sentir envergonhado de ser brasileiro. Isso não pode ocorrer!

O ano de 2015 mostrou que temos um sistema político contaminado pelo toma lá dá cá, muitos dizem que isso é política, mas será? Não há qualquer preocupação para com a população, com as consequências dos atos e arranjos acordados. Conflito de interesse, tráfico de influência, entre outros correlatos, que em países com leis claras e onde são cumpridas com rigor certamente coloca esses camaradas atrás das grades, aqui é tratado como uma prática absolutamente normal. Como dizem esses malfeitores: isso é política!!

O combate à fraude, corrupção e ilícitos correlatos, como já citei em outros artigos, tem que começar com o propósito concreto de ser implacável com aqueles que cometem tais ilícitos, aonde o exemplo vem do andar de cima; antigo ditado, mas absolutamente correto. Não adianta o cara do andar de cima apregoar que sua empresa, entidade é ética, moral e que não permitirá qualquer desvio de conduta, que tem uma política que determina duras sanções, blabla.. se o próprio e seus próximos são os primeiros a descumprir o dito que os mesmos aprovaram. Isso não dá certo em nenhum lugar! O exemplo fornecido facilita a racionalização de quem abaixo esteja “na vontade” de fazê-lo. Cressey em sua teoria do triângulo já tratou sobre isso.

Esses ilícitos na Política trazem consequências sérias para a população. Infelizmente, diferente de entidades privadas, nossos políticos não tem patrão, pelo menos até a próxima eleição. Fazem e desfazem em proveito próprio e nosso sistema permite apenas que assistamos seus pernósticos atos. E o pior dessa história: sempre os mais pobres é quem pagam o pato!

E o que podemos dizer de várias de nossas empresas públicas? É triste, mas uma boa parte delas virou um cabide de emprego de partidos políticos com seus inúmeros conchavos. Uma pausa rápida aqui. Fiquei abismado com o número de partidos políticos registrados no país: 35! (Fonte: site do TSE). Pois bem, aquele bom funcionário que passou em um concurso público, que tem uma carreira formada ou em formação, tem que aturar de tempo em tempo um cupinxa do partido que está no poder como seu superior e claro, ganhando bem mais (os famosos cargos comissionados).

Aqui nos parece que uma parte das empresas públicas é uma terra sem dono, sem gestão, fruto desse apadrinhamento, desse sistema perverso de nomeação que eles próprios se permitiram. Exemplos não faltaram em 2015, onde claro, o mais famoso (infelizmente) é o da Petrobras, nossa maior empresa estatal.

 

E isso pode vir a trazer um problema ainda maior. Usando Cressey mais uma vez, funcionários até então honestos que estejam com alguma pressão e/ou mesmo motivado, veem, escutam pela rádio peão ou tem alguma evidência de que ilícitos possam estar sendo cometidos por apadrinhados e semelhantes, podem racionalizar que também tenham “direito” e bingo, está instalado o câncer, que se espalha rapidamente por todos os órgãos. Se ele pode, por que eu não?

 

As empresas privadas também não ficaram isentas em 2015. É, aqui temos empresas nacionais e multinacionais envolvidas em diversos escândalos,  sozinhas ou em conluios com funcionários de empresas públicas. A diferença da empresa privada dentro do contexto no qual estamos avaliando é que ela pode e deve agir de forma rápida, em ações que tentem recuperar sua marca. Trocam pessoas, mudam processos, pagam indenizações…tentam extirpar o mal rapidamente, caso contrário, certamente sucumbem. Por essa e por outra na maioria dos casos sua gestão de risco e seus processos de controles preventivos e detectivos são bem mais eficazes e rápidos. Os donos são conhecidos e próximos. As estruturas estão cada vez mais enxutas, proporcionando decisões mais rápidas. Ainda assim, também sofrem com tais ilícitos.

 

Já falei mais de uma vez que esses ilícitos devem ser combatidos com o tripé de domínios: Prevenção, Detecção e Investigação. Não podemos ficar o tempo todo correndo atrás do rabo, como costumo dizer, isto é, fazer a maioria das investigações para consumar as perdas financeiras e não financeiras. Prevenir é o remédio, mas na maioria dos casos os gestores não o fazem, pois não acreditam na chance de ocorrência, negligenciando totalmente o risco conhecido.

 

Muitos acreditam que Leis mais severas é a solução. Isso, em parte é verdadeiro. Leis severas entram no rol de controles de dissuasão, assim como políticas e códigos de conduta, mas para nosso País ainda é pouco. As brechas e os diversos subterfúgios encontrados em nossos códigos e leis podem jogar ladeira abaixo essa solução, que é conhecida de antemão por quem tem a intenção do cometimento.

 

Outro fato que marcou de forma contundente nesse 2015 foi a negligência com relação a riscos conhecidos, onde o exemplo mais dramático foi com o desastre das barragens em Mariana, MG.

 

Já falei mais de uma dezena de vezes que a disciplina do Risco deveria ser ensinada na escola, a partir do ensino médio, no grau que antigamente chamávamos de colegial/científico. Certamente evitaríamos muitos problemas com um processo educacional no tempo certo. Eu sei, vocês devem estar pensando, caramba, não se ensina e/ou aprendem o mínimo corretamente em disciplinas básicas como português e matemática, falar de risco, hummmm. É, eu sei, mas aí é um outro contexto. Só sei que pode ajudar e muito!

 

Vejamos: quantas pessoas morreram em 2015 vítimas de atropelamentos ou semelhantes por conta de um motorista alcoolizado? Apesar de não existir uma estatística centralizada abrangendo todo o país, há alguns números regionais e pela nossa percepção vendo os noticiários temos uma grave situação, com casos em que em um único evento, quatro, cinco pessoas morrem ao esperarem um ônibus.

 

Este é um caso clássico de assunção do risco que só se modifica por um longo processo de conscientização e educação. A Câmara dos Deputados aumentou a pena para mais de 20 anos para quem cometer um crime desses. Adianta?

 

Aqui é o mesmo problema que comentei acima, ajuda, mas em parte. A questão é que as autoridades devem entende como funciona a cabeça de um agente de ameaça desses e atuar. É uma somatória de erros. A pessoa acredita que está bem para dirigir, acredita na ideia de que até aquele instante nunca ocorreu qualquer evento danoso e racionaliza que será mais um em que nada ocorrerá, portanto, coloca a probabilidade em zero;por último, também acredita que o acaso não ocorre (alguém atravessa em sua frente de repente e …). Infelizmente é assim, acontece e há como mudar. Esse agente de ameaça precisa perceber os impactos que pode proporcionar aos outros e em sua vida, a despeito dos já citados subterfúgios que nossa lei permite. Se ele não respeita a vida dos outros, pelo menos respeite a sua, pois pode perder sua liberdade por um bom tempo enterrando diversos sonhos e carregando um fardo pelo resto da vida.

 

Outra categoria de eventos que é possível mitigar sua ocorrência são os incêndios, desabamentos e desmoronamentos ocorridos em 2015. Temos a falsa ideia de que a maioria ou a totalidade desses eventos são puro acidente ou obra do destino. Certo que não é. Peguemos alguns exemplos.

 

Em abril desse ano 12 pessoas morreram em Salvador vitima de desabamentos de diversas residências provocadas por fortes chuvas, que superaram em apenas 6% a média histórica para o período. Analisemos os fatos.

A ameaça, chuva, sabemos pela estatística sua provável frequência. Com modelos climáticos cada vez mais precisos, temos uma previsão de como poderá ser o regime de chuva para o curto, médio e longo prazo. Para ilustrar, já há alguns meses sabemos que o El Nino esse ano atingirá com fortes chuvas a região sul e sudeste.

Voltando. Se eu sei como a ameaça poderá se comportar, tenho que saber minhas vulnerabilidades e mitigar ou evitar o risco, nesse caso, com impacto de vidas.

Mitigo com obras de contenção trazendo o risco para o patamar mais baixo possível, ou evito esse risco, retirando as pessoas antecipadamente dessas áreas de risco. Simples? Claro, simples assim! Mas porque nem uma coisa e nem outra é realizada e temos que assistir a essas mazelas pela TV? Quantas mais veremos nesse final de ano e início de 2016 com as chuvas que se aproximam?

 

Pegamos outro evento, Incêndio.  Exceção àqueles provocados direta ou indiretamente por algum agente da natureza, as causas de incêndio em instalações podem ser intencionais ou não intencionais. As intencionais são aquelas provocadas pelo ser humano com intuitos diversos. Os nãos intencionais, ou são provocados pelo ser humano por um erro não intencional e/ou por alguma vulnerabilidade nas instalações elétricas e correlatas.

Na semana passada ocorreu um incêndio no fantástico Museu da Língua Portuguesa em São Paulo. De doer o coração. Infelizmente tivemos um bombeiro que morreu, mas poderia ter sido pior se não tivesse a rápida e astuta atuação do Corpo de Bombeiros. Segundo o comandante da operação, coronel Wagner Bertolini, se o fogo tomasse a torre da Estação da Luz, aquela com o relógio, a tragédia seria monumental: o campanário poderia desmoronar na direção das pessoas no Parque da Luz ou da CPTM. Quem mora em São Paulo como eu conhece o lugar: dezenas de pessoas poderiam vir a falecer.

A causa do incêndio ainda não se sabe. Foi levantada uma hipótese de curto-circuito provocado por uma luminária, mas sem a devida perícia. Mas algo chama atenção aqui. O Museu não possuía o famoso AVCB (Alvará de Vistoria do Corpo de Bombeiros), documento onde atesta as condições de uso pelo Corpo de Bombeiros. Desde 2006 o endereço estava em processo para obter o alvará de funcionamento. Segundo o coronel, de tempos em tempos eles solicitavam o Corpo de Bombeiros, era feita uma vistoria e apontado o que ainda faltava. Uma pergunta: quantos prédios públicos encontram-se nessa situação, como do Museu incendiado? Quantos riscos assumidos existem por aí?

 

Deixei por último o caso de Mariana. 62 milhões de metros cúbicos de lama, 16 pessoas mortas, o povoado de Bento Rodrigues arrasado em 11 minutos, 11 espécies de peixe extintas, e por aí vai. Evidências até agora levantadas pela perícia dão conta simplesmente de um grave caso de negligência ao risco em prol do lucro, isso mesmo, do dinheiro. Por ter conhecimento do risco de ruptura da barragem e não ter mitigado o risco, a Samarco responderá a uma ação judicial de 20 bilhões de reais.

O problema aqui não é de impacto financeiro, ou de sucumbência de uma empresa, é a morte de pessoas, a destruição de uma cidade e de todo um ecossistema. Não consigo acreditar em tamanho descaso!

 

Mais uma vez um caso descabido de assunção do risco. OK, enquanto se assume risco de impactos financeiros em empresas, tudo bem, trata-se apenas de dinheiro ou em hipótese pior, um evento catastrófico, da provável descontinuidade da empresa se não tiver contingenciamento. Mas aqui não, o risco assumido pode provocar mortes de pessoas, de um ecossistema com outros seres vivos. A barragem de rejeito em uso era a mais barata, a fiscalização era do jeito brasileiro e o negócio era obter o maior lucro, lógico na conta de mais e menos, a coluna de despesas deve ser sempre a menor possível.

Aprenderemos a lição?

 

2016 está a caminho e vejo as pessoas um tanto pessimistas, reticentes, mais duras, mas bem mais amadurecidas para uma série de fatos. Os impactos que sofremos nos fortalece, nos torna mais maduros, nos torna prontos a não errar novamente e trazermos sempre de volta para luta.

 

A fraude e seus “primos” correlatos que aqui comentei não se acabam do dia para a noite, assim como a negligência a riscos gravíssimos. São pessoas que cometem esses ilícitos e elas precisam ser punidas, mas também precisam ser melhoradas. Sabemos que essa melhora começa em casa desde cedo, com os pais. Por força de uma sociedade que não sabe exatamente para onde está querendo ir, a maioria dos pais terceiriza a educação de seus filhos, o que no meu entender é lamentável.

 

Essa educação em casa deve encontrar como parceiros um sistema educacional de qualidade, não só na transmissão de conhecimento, mas, sobretudo de valores; uma mídia escrita, falada e televisa de qualidade      que exemplifique e dê notoriedade ao que pode auxiliar a (re)construir uma nação.

 

Precisamos de uma revolução nos padrões comportamentais e de valores hoje presentes, disso eu não tenho dúvida. Não é possível se propagandear e dar mais importância a valores que sabemos de antemão levarão nossa sociedade a um caos. Essa revolução começa pela pratica de cada um daqueles que acreditam na ideia da boa educação e das praticas dos valores para uma sociedade mais ética e justa. Todos, sem exceção, têm o seu quinhão de participação nessa luta. Temos um longo caminho, mas precisamos acreditar na responsabilidade de cada um de nós. Eu tento fazer meu papel até onde posso, usando meus artigos, minhas aulas, palestras, consultoria. Onde puder, faço e não fico em cima do muro.

 

Espero que todos tenham um 2016 de esperança e que ela se torne realidade, fruto de nosso trabalho diário. Que assim possa ser!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br