(*) Mário Sérgio Ribeiro

Estamos na porta do Natal e de um novo ano que se aproxima. Momento de esperança, de renovação, mas também de reflexão… Meu Deus, que ano foi esse? Era ligar a TV no horário nobre e ver o noticiário povoado de péssimos exemplos. Corrupção, fraudes, propinas, suborno, jeitinho, violência, mortes estúpidas, ataque cibernético nunca visto…uma avalanche de atos que jogaram na sarjeta a moral, a ética e os bons costumes. E o pior, péssimos exemplos vindos de onde deveria se ter os melhores. Nós brasileiros erramos na construção do melhor que uma nação pode ter: sua gente?

 Foi presidente da república se defendendo de tudo que é jeito, ex-presidentes investigados, outros condenados, presidentes de empresas privadas e públicas presos, membros do STF questionados e uma leva enorme de políticos e profissionais do alto escalão de empresas presos ou no mínimo indiciados. Que país é esse?

 Tenho que confessar que em meus 58 anos de vida nunca vi nada igual. Fui procurar na história de nosso país e também não encontrei algo parecido. Li Laurentino e outros historiadores, que podem nos dar uma boa pista do que está acontecendo, pois nossa história é pródiga desses exemplos, mas não no volume e na abrangência que estamos vendo. Criamos nosso jeitinho e tudo de mal que estamos vendo há muito tempo atrás. Culpa de quem? De todos nós que formamos essa Nação? Há quem culpe até a Internet, as mídias sociais, de um mundo mais informado… mas a realidade é mais em cima: nossa sociedade está enferma e precisa urgente sair da UTI. O que pode ser pior é, do jeito que vamos, onde iremos parar?

Sinceramente eu não sei. O que sei é que se torna urgente punirmos todos os culpados de forma exemplar. Essa é a primeira pedra para construirmos ou reconstruímos uma sociedade baseada em valores moral, ético e de honestidade. Uma nação não se sustenta sobre bases tão espúrias como a que estamos assistindo. Se não o fizermos, não há economia, não há nada no mundo que aguente a todas possíveis consequências advindas.

Sou educador há quase trinta anos com a nobre tarefa de auxiliar na formação do ser humano. Trabalho como consultor com vários temas que remetem e muito às questões humanas e confesso que estou preocupado com o rumo que as coisas estão tomando. Qual será o legado que nossa geração está deixando?

Os políticos que aparecem nas reportagens não saíram do além, saíram de nossa sociedade, saíram de cargos em empresas públicas e privadas e a maioria chegou nesse corrompido sistema, colocado lá, pela sociedade. Esses mesmos políticos um dia poderiam ter trabalhado em sua empresa e de repente fazem parte da “nobre” sociedade política.

E o que dizer de presidentes de empresa e seu alto escalão? Um país jovem que necessita constantemente de lideres inspiradores olha para cima e vê o que vê? Será que vivemos em uma bolha na qual só se dá bem quem atende ao manual da corrupção, propina, etc., e os que estão fora estão fadados a remar, remar…e ganhar como prêmio de consolação a honestidade e a ética?

Como não pensar se um colaborador de minha equipe também não quer se dar bem, como nos exemplos que ele vê na TV, no jornal, no andar de cima? Por que esses caras podem e eu não posso? Eu, colaborador, posso racionalizar que tenho os mesmos direitos que ele, mesmo sabendo que eles têm ótimos advogados e eu talvez não tenha a mesma chance de me defender?! Mas na hora, eu, colaborador, dou um jeito, e no máximo o que pode acontecer é eu perder o meu emprego, mas o dinheiro que levei em minha falcatrua me deixa sossegado por algum tempo e consigo até pagar um bom advogado…

Li um dia desses uma pesquisa, que não ficou restrita somente ao Brasil, que o número de incidentes com ameaças internas com perdas financeiras relevantes, cresceu mais de 30% no último ano. Em um simpósio recente sobre a segurança das informações corporativas alguns especialistas voltaram a enfatizar que as ameaças internas são mais preocupantes do que a externa. Infelizmente essa constatação eu já verifico há mais de vinte e cinco anos que trabalho só com a segurança da informação, então, não vejo novidade alguma nesses números. O pior cego é o que não quer ver…

Nesse cenário em que os exemplos de desonestidade se intensificaram, em que poucos ainda são punidos, que muitos conseguem dar um jeito de escapar e a justiça é bem lenta, é o pior que pode acontecer. E quando olhamos o contexto e verificamos que o mundo corporativo está envolvido com presidentes e alto escalão sendo processados, vários presos, parece surreal! Como essas empresas continuam a cumprir sua missão na sociedade, com seus principais executivos presos e sendo o exemplo que são?

Não vou ficar aqui me atendo o que são medidas corretas a se adotar, até porque muita delas a maioria tem conhecimento, várias inclusive publiquei em meus artigos, e muito bom material está disponível em livros e na internet, mas queria alertar que precisamos mudar pela ação.

As pessoas necessitam ter alguém em quem se espelhar, e isso parece não mais existir. Você quer olhar para dentro de sua empresa, seja na horizontal e na vertical, principalmente, e encontrar pessoas em quem pode CONFIAR, pelo menos um pouquinho. Pessoas em que você pensa em se espelhar. Pessoas nas quais você diz: daqui a alguns anos quero ser e estar onde esse LÍDER hoje se encontra. Isso, Líderes, que sejam Inspiradores! Um produto em falta no país. Não temos líderes nesse país, e muito menos que nos inspirem. Desafio você a me enviar um e-mail com pelo menos um nome, um só! Ficaria bem contente…

Esse líder não se constata pelo terno impecável, gravata importada, pelo terninho ou saia do estilista da moda. Esse líder se vê por sua conduta e ATITUDES éticas, justas, encontrada em cada um de seus atos. O verdadeiro líder é respeitado por sua conduta e atitude com justiça, e não por seu cargo hierárquico, ou pelo número de links que aparece em uma procura no google. As pessoas do andar de baixo precisam acreditar que aquilo que se fala é aquilo que se faz, de fato.

 Não é o português rebuscado, os estrangeirismos e eloquência das palavras, mas a verdade dos atos praticados que faz o Líder que imagino. Aquilo que se fez ou faz é o que se fala, e não o contrário. A confiança vem do acreditar e isso está cada vez mais difícil de encontrar no mundo que vivemos. Diz um amigo que: interessa o que importa e o que importa é o que interessa. Será?

O Acreditar e a Confiança devem vir do andar de cima. Se o andar abaixo não percebe esse mínimo que eu falei, cria-se um ambiente propício para incidentes que já conhecemos muito bem. Há que existir verdade nos atos, nos exemplos. O tempo em que se falava meia dúzia de palavras bonitas que impressionavam as pessoas, a maioria inclusive tinha que recorrer ao dicionário para ver o que significava, esse tempo acabou! Essa variante de engenharia social fica por conta dos políticos, que ainda as pratica e engana as camadas menos esclarecidas da população, com discursos eloquentes que em sua grande maioria, não serve absolutamente para nada, infelizmente.

Muitos acreditam que não existem negócios conduzidos 100% na moral, na ética e na honestidade. Acreditam que isso é praticamente impossível nos negócios envolvidos principalmente com a administração pública, independente da instância. Dizem que aqueles que tentam levar a coisa a sério não conseguem sobreviver. O sistema funciona segundo uma lei própria: a do toma lá da cá. E para sobreviver é preciso praticar esse mantra do toma lá da cá.

Como cidadão e educador não posso acreditar nesse toma lá da cá. Essa forma histórica de se fazer as coisas, remotas do Império, não deve pertencer mais a uma Nação que pretende ser Grande. Todos temos nossas responsabilidades e devemos cumpri-las. Não podemos ser culpado pela história de um povo de uma época que tudo via e nada fazia. Precisamos cada vez mais colocar a boca no trombone.

Espero sinceramente com essa reflexão que tenhamos um ano de 2018 não só cheio de esperança e de coisa boa, como sempre vamos recitando, mas que possamos ter um ano de Coragem e Atitudes para mudar o que está errado, em todo o lugar onde possamos agir: em casa, na empresa que trabalho, com os amigos e com a urna no final do ano. Que Deus nos ilumine com Sabedoria para agirmos e que nos traga líderes que nos inspire!

Um excelente Natal e um 2018 como falei!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

(*) Mário Sérgio Ribeiro

A justiça brasileira “descobriu” que valorizando o Valor da informação em conjunto com o que indivíduo mais preza, sua liberdade, conseguiria engendrar o maior combate à corrupção nesse país e uma das maiores já realizadas no planeta. A partir da prática da Delação premiada, a justiça obtém Informação de elevado Valor para derrubar o castelo da corrupção erguido nesse país. Quebra o pilar da Confidencialidade da Informação e consegue com isso, acelerar sua investigação em busca dos culpados, para tentar acabar com esse câncer instalado em nossa sociedade chamado Corrupção.

 A operação Lava Jato e outras dão um exemplo inequívoco a todos que a Informação tem inúmeras características e Valor e, desde que sejam devidamente reconhecidos, pode trazer inúmeros benefícios. Interessante aqui alinhar que as operações engendradas no combate à corrupção utilizam das duas tipologias básicas da informação: a estruturada e a não estruturada.

 Explicando rapidamente. A informação estruturada é aquela que encontramos, por exemplo, em sistemas informáticos. Tem uma estrutura de dados, campos, sistematizada, padronizada, etc. A não estruturada é a informação que circula de boca em boca, de um guardanapo rabiscado, em uma planilha eletrônica, etc. A estruturada atravessa obrigatoriamente todo o ciclo da informação, a não estrutura não.

Vamos aproveitar esse momento em que a Informação é a bola da vez e fazer uma reflexão sobre o seu Valor, como valorá-la, trazendo essa reflexão para o ambiente empresarial. Vamos fazer em duas vertentes: a da Tomada de Decisão e da Segurança da Informação.

Precisamos entender que a Informação possui três características que são fundamentais para qualquer sistema de informação que alimente tomada de decisão. Essas características são: ser Relevante, Confiável e Oportuna.

A Relevância diz respeito a importância, ao quanto de valor a informação tem para o contexto em que está sendo avaliada. Já a Confiabilidade diz respeito ao quanto se pode confiar, acreditar que a informação é correta, verídica, assertiva. E por último a Informação ser Oportuna, diz respeito a aparecer no momento certo, em um momento que se permita tomar uma ação assertiva, sem ter impactos por conta de uma informação que “chegou tarde demais”.

Então, vemos que o ideal em qualquer sistema de informação que alimente tomadas de decisão e escolhas acertadas, a Informação deve ser relevante, confiável e oportuna. Em diversos momentos da Operação Lava Jato, envolvidos que estavam presos, desejavam fazer a Delação que pudesse premiá-los com alguma redução de pena, por exemplo. Mesmo assim, o juiz responsável pela operação, Sérgio Moro, não aceitou o depoimento, dizendo que a Informação já não era Relevante e Oportuna. Isso é explicado porque o Valor daquilo que desejavam falar era baixo para o processo, em função de outras informações bem mais relevantes já terem sido fornecidas por outros delatores, perdendo a oportunidade, e daí a delação proposta deixou de ser oportuna.

Isso também ocorre no ambiente empresarial. Sistemas de Informação para Tomada de Decisão necessitam ter essas três características atuando em completa sinergia. Uma informação relevante e confiável, mas sem ser oportuna, chegando atrasada, pode trazer uma decisão absolutamente equivocada, com perdas financeiras; idem para qualquer outra combinação, em que uma das três características falte.

Uma parcela significativa de executivos, para não dizer que quase a sua totalidade, utilizam e muito para suas decisões a informação não estruturada. Essa informação não está em nenhum sistema informático estruturado. Ela está na “cabeça” dos executivos, coletadas em reuniões informais, sociais, jogos de tênis, golfe, almoços, jantares, etc. São informações de cunho normalmente estratégico, de elevado Valor, dada a sua Relevância. Muita tomada de decisão é baseada nessas informações, com suporte, na maioria das vezes, de informações estruturadas em sistemas da empresa. A Lava Jato tem se utilizado e muito desse tipo de informação não estruturada para suas investigações.

Essas informações não estruturadas, no máximo, vão parar em uma planilha eletrônica, caixas de entrada do sistema de correio eletrônico ou semelhantes. Certamente não estão nos sistemas informáticos estruturados da empresa, custodiados pela TI, em função de seu elevado Valor estratégico e do alto grau de sigilo que deva ter. No máximo em planilhas eletrônicas como a TV vem mostrando sistematicamente com a delação da Odebrecht. O medo de quem as tem é a quebra do pilar da Confidencialidade de tal informação.

A outra parcela das informações da empresa está em sistemas informáticos estruturados, custodiadas pela TI da mesma. São informações que assumem diversas classificações de valor, onde as características de relevância, confiabilidade e oportunidade somam-se às características relacionadas à segurança das mesmas: Confidencialidade, Integridade e Disponibilidade (CID).

Sob a ótica da segurança da informação, para se conhecer o real Valor de uma informação corporativa necessitamos, independentemente do tamanho da empresa, conhecer o grau de sensibilidade da CID. Qualquer informação estruturada de uma empresa deve ter uma classificação quanto a sua CID.

Ok, mas por que isso? Qual a importância?

No artigo passado abordei a questão do Acesso Lógico e de seu controle, onde comentamos sobre metodologias e outros. Fazendo um link com esse artigo devemos entender que só é possível fornecer acesso a sistemas informáticos, como disse, sistemas estruturados de informação, se conhecemos o Valor da informação a ser fornecido o acesso. Ao saber o valor da informação eu posso criar mecanismos de controle para melhor proteger, por exemplo, as que tem maior valor.

Normalmente o que ocorre na grande maioria das empresas nacionais é que esse acesso à informação é autorizado pelo que se convencionou chamar de “dono da informação”. Geralmente esse dono é o gestor de uma dada área que deve ou deveria saber o Valor da Informação para fornecer ou não o acesso devido. Acreditamos que feito isso, bingo, resolvemos o problema de concessão de acesso a sistemas informáticos. Será?

Assume-se que tais donos estabelecem critérios próprios e que esses supostamente são suficientes para matar a questão. O que ocorre de fato e que deveria ocorrer é que não são estabelecidos critérios padronizados para que esses donos da informação possam valorizar uma dada informação e, então saber se certo usuário ou função pode ou não ter acesso a determinada informação. Normalmente o que se tem, quando se tem, é uma Norma de Classificação da Informação, mas sem os detalhes necessários para se fazer essa valoração, aliás, passa longe…

Na prática, esse dono da informação verifica a função que o usuário deve exercer e com isso autoriza o mesmo a acessar sistema A, B …etc. Infelizmente, na grande maioria dos casos, essa prática invoca excesso de privilégios, o que pode causar incidentes intencionais ou não intencionais no futuro, geralmente desconhecidos por quem fornece ou não tal acesso.

Nos ambientes onde temos estabelecido metodologias de acesso a sistemas informáticos como o RBAC (abordado no artigo anterior) essa situação não se estabelece dessa forma. Os acessos a sistemas informáticos com o processo do RBAC mapeado e implantado olha para a função e estabelece o perfil de acesso a partir daí, até chegar no nível de atividades/tarefas/transações que a função deva exercer, sem excessos de privilégios. Claro, desde que se cumpra o processo correto de desenho do RBAC.

Para auxiliar tanto o RBAC ou mesmo o dono da informação no formato no qual citei, em que a maioria das empresas estabelece o acesso lógico, medir o grau de sensibilidade da Confidencialidade, Integridade e Disponibilidade (CID) da Informação é de suma importância para que se mitigue riscos financeiros e de imagem e reputação, por conta da possibilidade da quebra de um dos três pilares.

Esse Grau de Sensibilidade é tão maior quanto os impactos financeiros e de imagem o forem. O valor da informação acompanha o grau de sensibilidade da CID. Os incidentes relacionados a CID podem ser capazes de descontinuar um negócio e a estatística de ocorrência hoje em dia nas empresas é algo assustador.

Valorar a Informação sob a ótica da segurança da informação para informações estruturadas ou não estruturadas não é uma tarefa simples, quando olhando grandes empresas, com inúmeros sistemas, mas deve ser realizado.

Deixar para cada dono da informação decidir de acordo com critérios que ele julga serem importantes, quem pode o que, por certo não é a melhor solução. Agora, estabelecer critérios e métodos par auxiliar o dono da informação a fazê-lo, aí sim, eu tenho um padrão, até para medir se a coisa está correta, se precisa melhorar, etc.

O critério aqui apresentado, medindo o Grau de Sensibilidade da CID, já utilizei em diversos projetos, de acordo com metodologia própria que desenvolvemos. Os resultados foram excelentes. Conseguimos fazer os donos da informação entenderem de fato o Valor de uma Informação, e os prejuízos que a empresa possa ter se a coisa não for realizada de forma criteriosa.

Fica o recado!

Até a próxima!

_______________________________________________________________

(*) 57 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

(*) Mário Sérgio Ribeiro

O caso recente que ocorreu com o rompimento de parte de uma ciclovia no Rio de Janeiro, por conta de uma forte onda, e que matou duas pessoas e outras duas desaparecidas, voltou a me provocar. O caso de Mariana e outros tantos com maior frequência, como desabamentos por conta de chuvas, trazem a tona uma questão que me atormenta: até quando teremos que suportar a essa situação? Não é possível que conhecendo os riscos, na maioria dos casos com impactos catastróficos, as pessoas não tomem as decisões corretas que, se não evitem, mitiguem o risco de acontecer. Pergunto: até quando essa Negligência?

A palavra Negligência tem sua origem na palavra latina negligentia que significa falta de cuidado, de aplicação, de exatidão, descuido, incúria, displicência, desatenção, preguiça, indiferença. A Negligência pode assumir diversas “caras” e entre as mais preocupantes é a displicência, a indiferença diante de um fato com risco potencial.

A origem da Negligência está na inércia, isso, aquela mesmo que estudamos nos tempos de colégio. Assim, a Negligência é o estado inercial do nosso corpo, a tendência de se manter estático até que um impulso externo altere seu estado anterior, impulso este que é determinado pela energia da vontade.

Uma das muitas facetas da Negligência e que interessa ao contexto que pretendo dar a esse artigo é a falta de compromisso com as coisas, com as decisões importantes que precisam ser tomadas. Diante dos fatos, o negligente trata de qualquer forma, sempre adiando as decisões, deixar por fazer o que tem que ser feito. Como vício, procura desculpas e disfarces. Um dos vários disfarces e dos mais importantes é o fato de alguém justificar que trabalha muito e faz muitas coisas, e isso pode ser uma desculpa de ser não negligente. Trata-se de uma bazofia! Mesmo trabalhando muito, o trabalho pode estar sendo executado de forma negligente, sem compromisso, de qualquer forma, sem preocupação com os resultados, prazos e riscos.

Parto do princípio que as pessoas que alcançaram determinado patamar e com a cotidiana obrigação de tomar decisões e, algumas delas, que levam em conta a vida humana ou a continuidade dos negócios da empresa, não podem em hipótese alguma conjugar o verbo Negligenciar. Vou tentar expressar meu raciocínio trazendo diversos eventos com base histórica para elucidar o assunto. Vamos lá:

Desastre de Mariana

Há exatos seis meses ocorreu uma das maiores tragédias ambientais do mundo que matou 17 pessoas, acabou com cidades e deixou milhares de desabrigados.

Diversas multas foram aplicadas e acordos foram feitos com a Mineradora Samarco, mas as vidas humanas que se perderam ninguém traz de volta. Nenhuma barragem se rompe sozinha. Acidentes não acontecem, são provocados. Essa é uma atividade que deve haver um constante monitoramento dos riscos, fora uma avaliação periódica, uma vez que os riscos não são estáticos, são dinâmicos. Sete funcionários da Mineradora e mais um de uma consultoria foram indiciados no inquérito da Policia Civil que apontou entre as causas, equipamento de monitoramento com defeito e sem funcionamento. Não é minha tarefa aqui fazer julgamentos, isso cabe à Justiça. Mas os fatos e as evidências são notórios e levam a crer que as ações necessárias para evitar uma tragédia dessa monta não foram tomadas.

 Ciclovia no Rio de Janeiro

Recente, há menos de um mês, mais um desastre com mortes. Ainda sob investigação. Entretanto, entre tantas perguntas que devem ser feitas e respondidas, faço duas:

-> Houve uma avaliação de risco antes, em tempo de projeto, durante a obra e após a sua conclusão?

-> Ainda em tempo de projeto, foi avaliada a base histórica da altura e força das ondas que batem naquele costão ao longo dos últimos 100 anos, ou, desde que se tenha a medição executada?

Provavelmente não, porque se tivesse sido executado as chances da ocorrência de tal acidente seria bem menor. Como a Medicina, um erro na Engenharia pode matar, e não uma pessoa de cada vez. como em um erro médico, mas muitas!

Aí ficamos buscando os responsáveis e os culpados. Vemos familiares chorando na TV e nos comovemos. Nesse caso do Rio, o corpo do marido, um engenheiro adepto da corrida de rua e sua esposa chegando correndo pela areia e reconhecendo o corpo do marido estendido ali na areia da praia. Até quando senhores? Até quando?

Deslizamentos/Desabamentos/Inundações de Residências em áreas de risco.

São milhares dessas residências que podem ser encontradas em áreas de risco. E claro, vocês irão me dizer, que a maioria não quer sair de lá, dizem que não tem para onde ir, que Deus vai ajudá-la…e, ninguém faz nada!

Segundo as previsões o El Niño encerrou seu ciclo com o verão fora de época em abril e para o final desse ano teremos sua irmã, a El Niña. Pois bem, a irmãzinha é o inverso do irmão; enquanto o irmão vem do esquentamento das águas superficiais do Pacífico, a irmã vem com o esfriamento. As chances de tempestades contínuas e bem violentas são muito grandes.

Não é preciso ser um especialista em risco para prever o que vai acontecer nas áreas mais vulneráveis. Sem bola de cristal, mas diante de tanta negligência de todas as partes, o que posso pensar é que um número nada pequeno de pessoas venha a morrer no final deste ano e começo do ano que vem por conta desses eventos e suas consequências, o que para mim é um verdadeiro absurdo!

O que farão os nobres políticos? Assistir pela TV, contabilizar os mortos mais uma vez e engrossar nossa estatística?

Bebida, Morte e Vida prejudicada.

Em minhas aulas de Risco Operacional ou em minhas palestras sempre toco nesse assunto, até porque sempre tem jovens presentes. A questão é: vai ao barzinho, toma umas biritas, pega o carro e … pode fazer o estrago e prejudicar a sua vida e a de outros.

Essa história pode ser contada uma dezena de vezes com um sem número de casos espalhados pelo país e mesmo assim toda semana tem uma. O que acontece é que quem age dessa forma não conhece as nuances do risco. Aposta em inúmeras falácias que descrevo a seguir:

-> Nunca ocorreu e não vai ser hoje que vai ocorrer;

-> Não vai ser uma garrafa de Uísque que vai me derrubar;

-> Vou dirigir devagar e por avenidas largas e bem iluminadas.

A questão central é: o fato de nunca ter ocorrido não quer dizer que não possa ocorrer exatamente naquele dia em que você pode até ter tomado quase nada. O problema é que a chance de ocorrência (probabilidade) não pode ser considerada rara ou perto de zero, ou até zero, que o motorista erradamente pressupõe. A estatística mostra que as chances não são nada desprezíveis e deve, como primeiro aspecto, ser levada em conta.

Segundo, qual a consequência se a probabilidade se manifestar? Podem ser inúmeras, vejamos três delas:

-> Bater em outro carro, ferindo ou matando os ocupantes dele e de seu carro;

-> Bater em um poste, morrendo o motorista e possível ocupantes do carro;

-> Atropelar um ou mais pedestres, ferindo ou matando os inocentes.

Não acreditar nessas possibilidades, antes de ser imprudente e negligente, o camarada é no mínimo um bossal! Um ser adulto e pensante ignorar algo que até uma criança pode descrever, merece ser internado por outros motivos.

A possibilidade de impactos desastrosos como esses são plenamente factíveis. Se o camarada não acredita em tudo o que eu falei, então pensa que o risco tem “um quê” de acaso, isso mesmo, o acaso. Imagina a situação:

Venho eu no carro, saí do barzinho às 5:30 da manhã, tomei mais do que o suficiente para estar fora da Lei e ao virar a esquina “encontro” com um gari que acaba de pegar no emprego, varrendo a calçada perto da sarjeta. Atropelo e mato o sujeito. É meu azar? Quando eu iria imaginar que alguém estaria ali varrendo a rua às 5:30?

Esse tal de Acaso é um componente oculto do risco. Essa pode ser uma questão que podemos querer justificar pelo destino, por alguma religião, enfim, por uma série de possibilidades, mas eu prefiro dizer que o Acaso é o cara que pode tornar o jogo diferente e não se pode desprezá-lo. Ele sozinho caberia em um artigo inteiro.

Então, nesse caso, como conclusão vai um conselho a quem me lê: EVITE o risco sempre que puder, uma das formas que temos de resposta, e não dê sopa para o Acaso. Vai de táxi (não é a música), peça para quem não bebeu dirigir e não seja irresponsável e negligente!

Inexistência de Plano de Recuperação de Desastre nas empresas

Muitas empresas não têm um plano estruturado para desastres ou interrupções que possam afetar seus negócios. Se considerarmos ser uma negligência de seus dirigentes algo um pouco demais nesse caso, só podemos pensar que a não existência de tal plano ocorra por falta de informações mais detalhadas para o risco que estão assumindo.

Em uma visão brasileira, a grande maioria das empresas que estruturam um plano desses o fez por uma questão de compliance, notadamente aquelas fiscalizadas pelo Banco Central e SUSEP (Seguros). Outra parte, minoria, por conta de demanda de auditoria externa (da matriz) ou não. A minoria por uma visão clara de prevenção ao risco.

Como falei, quero acreditar que quem não o faz deve ser por conta da falta de informações detalhadas sobre o risco assumido e não por negligência. O fato é que um plano desse é parte integrante da gestão do risco e tem como principal objetivo a preservação da empresa e de seus objetivos de negócios; portanto, é de responsabilidade da Alta Administração da empresa, e não da área A ou B.

A falta de informações mais detalhadas, conforme salientei como justificativa, pode ser evidenciada em algumas falas que acreditam que impactos catastróficos, daqueles que possam interromper para sempre ou durante um tempo não suportável as operações de sua empresa, acontece por conta de eventos que tenham uma chance remotíssima de ocorrência. A questão é: se esses eventos ocorrerem o negócio acaba!

E se eu disser que alguns desses eventos que se acredita terem uma chance remota não são tão remotos assim, e se trata de mais uma das muitas falácias existentes. Por exemplo, um incêndio de média proporção. Um incêndio tem inúmeras causas, inúmeras variáveis e não controles suficientes que mitiguem o risco para todas elas, portanto, as chances não são remotas como parece ser.

E claro, vamos colocar o Acaso aqui também. Início de 2012, Centro do Rio de Janeiro. Quando que as empresas que estavam instaladas ao redor do edifício que desabou perto do teatro municipal, imaginavam que uma obra de reforma poderia fazer com que o prédio viesse abaixo e que as dezenas de empresas instaladas em edifícios circunvizinhos ficassem sem poder operar por conta que cinco quarteirões foram interditados pela Defesa Civil? Consequência: não se podia entrar no prédio para trabalhar.

Dá para prever isso? Claro que não! Como não temos bola de cristal, atuamos preventivamente contra o risco e todos os seus elementos, inclusive os ocultos.

Como comentário final gostaria de deixar uma mensagem. Carrego comigo o pensamento de sempre que pudemos entender que negligenciar fatos, evidências e riscos podem ser algo danoso para nossas vidas e de nossas empresas. Como falei a negligência é um vício e deve ser a todo custo evitada. As consequências dessa atitude podem trazer graves impactos para a vida do negligente e daqueles que depende de suas ações. Portanto, como sendo um vício deve-se procurar eliminá-lo o mais breve possível. Fica o recado!

Até a próxima!

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br