Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

A melhoria continuada por meio das Perdas Operacionais.

enigma.consultoria Sem categoria Leave a comment   , , , , , , ,

(*) Mário Sérgio Ribeiro

Alguém disse certa vez que aprendemos muito mais com as derrotas, com as perdas, do que com as vitórias. Na vitória baixamos a guarda, ficamos mais relaxados, alguns deitam eternamente sobre os louros; já nas perdas, essas nos tiram do sossego e fazem com que busquemos saber o que ocorreu, como ocorreu e o que devemos fazer para que não ocorra novamente. Deveríamos aprender a aprender de forma constante com as perdas. A maioria sabe disso em suas vidas e as aplica consciente ou inconscientemente.

Trazendo a ideia para o mundo corporativo deveríamos pensar o mesmo. As Perdas e as Quase-Perdas que ocorrem no dia a dia das empresas devem ser objeto de aprendizado e da busca pela melhoria continuada. Claro que a palavra Perdas é grande demais e pode significar muita coisa. Nesse artigo vou limitar meu escopo às Perdas que classificamos como Operacionais.

Podemos conceituar uma Perda Operacional como um impacto financeiro e até não financeiro que acontece com a empresa por conta de um evento ocorrido, que tenha como elemento causador um ou mais dos cinco fatores citados a seguir:

  • Pessoas;
  • Processos;
  • TI;
  • Infraestrutura Interna; e
  • Eventos externos.

Existe também o conceito de Quase-Perda, que geralmente é relegado pela maioria das empresas. A Quase-Perda diz respeito a um incidente ocorrido, mas que não resultou em uma Perda, ainda, ou que foi de alguma forma evitado. Costumo dizer que é um excelente sinal de alerta para podermos verificar e corrigir o rumo, caso contrário…

Um Evento de Perda Operacional é uma ação ou ato ocorrido por meio de um fator que trouxe uma perda para a empresa. O Evento de Perda Operacional pode ter uma extensa taxonomia. Das mais conhecidas e utilizadas é a classificação proposta pelo Banco Central (resolução 3.380/2006) e pela SUSEP (circular 492/2014) mostradas na tabela a seguir:

BANCO CENTRAL SUSEP
Fraudes Internas Fraude Interna
Fraudes Externas Fraude Externa
Demandas trabalhistas e segurança deficiente do local de trabalho Práticas trabalhistas ou segurança no trabalho
Práticas inadequadas relativas a clientes, produtos e serviços Clientes, produtos ou práticas de negócio
Danos a ativos físicos próprios ou em uso pela instituição Dano a ativo físico
Aqueles que acarretem a interrupção das atividades da Instituição Interrupção do negócio ou falha de sistemas
Falhas em sistemas de tecnologia da informação Falha na execução, entrega ou gestão das atividades do negócio
Falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição  

 

Os eventos categorizados pelos dois órgãos são os mesmos. O que há de diferente é a SUSEP agrupar os eventos de interrupção do negócio e falha de sistemas em um único evento, onde o BACEN segrega.

É óbvio que os eventos acima relacionados nesse nível não dão uma dimensão real onde possam ser esperadas perdas operacionais. Alguns consórcios como o ORX e a ORIC desmembram esse nível 1 em mais dois níveis, o que ajuda a enxergar melhor onde as perdas possam surgir; de toda forma é bom ficar claro, que mesmo a taxonomia proposta pelos dois consórcios não esgotam a possibilidade de outros tantos eventos de perdas ocorrerem. Isso é importante.

Setores diferentes do financeiro e de seguros devem criar sua própria taxonomia. Já fiz trabalhos para outros setores onde tive que construir uma taxonomia bem particular.

Ainda dentro das resoluções que os órgãos citados manifestam, não há a indicação da Infraestrutura Interna da empresa como elemento causador de perdas operacionais, como coloquei no início desse artigo. Particularmente acho uma falha. Vou justificar.

Por Infraestrutura Interna considero todas as “engenharias” que contemplam o local físico onde a empresa atua. Por exemplo, essas engenharias podem ser:

  • Civil;
  • Elétrica;
  • Hidráulica;
  • Climatização;
  • Energia;
  • Gás;
  • Outras.

Esses elementos que compõem, desde uma simples a uma complexa instalação, traz uma série de eventos potenciais em seus “ombros” capazes de proporcionar perdas operacionais, algumas até catastróficas. Para os dois ramos citados (financeiro e de seguros) consideram-se todos os fatores citados, excetuando a Infraestrutura Interna; mas fica aqui a dica se você quiser fazer algo mais abrangente e no meu modo de entender, mais assertivo: inclua a infraestrutura interna.

Ter as Perdas Operacionais devidamente armazenadas pode atender a alguns propósitos. Um deles pode ser de Compliance, atendendo a diretrizes regulatórias de órgãos como os já citados.

No caso do BACEN, para instituições financeiras, a base de dados de perdas operacionais é o componente essencial para a instituição adotar uma abordagem avançada (AMA) para a Alocação de Capital para risco operacional. Segundo os especialistas do setor e eu me junto a essa opinião, a abordagem AMA aliada a uma eficaz gestão do risco operacional deve produzir um capital a ser alocado bem inferior às outras abordagens que as instituições podem optar, mesmo considerando o alto grau de confiança de 99,90% para o método de cálculo a ser escolhido.

A SUSEP em sua resolução 492 de 2014 dispõe sobre os critérios para constituição do banco de dados de perdas operacionais (BDPO). Em até três anos (julho de 2017) o mercado segurador e de capitalização deverá estar com o BDPO devidamente sistematizado para ser alimentado com as perdas operacionais. E o que pretende a SUSEP com isso? Provavelmente atingir a dois propósitos que fundamentam a construção de um BDPO:

Propósito 1) Uma abordagem quantitativa de risco operacional com base no BDPO e utilizando de metodologias de calculo, como o Value at risk operacional (VaRop), obtendo um capital a ser alocado pela regulada por conta do risco operacional;

Propósito 2) Uma gestão mais eficaz do risco operacional com base nas perdas ocorridas em determinado intervalo de tempo.

Para quem está lendo esse artigo e não pertence aos setores regulados pelo BACEN e pela SUSEP o propósito 1 não faz o menor sentido, afinal de contas, não tem um órgão regulador que os obrigue a deixar um dinheiro alocado para perdas dessa natureza. Já o propósito 2 interessa, deve interessar a todos.

Realizar uma gestão eficaz de qualquer tipo de risco não é tarefa nada fácil para gestor e equipe, e a do risco operacional, tema desse artigo, digo para vocês que chega a ser herculana, mas deve ser feita.

Ter um BDPO devidamente estruturado e implantado pode ajudar muito na tarefa de gestão do risco operacional. O processo de construção do BDPO ensina muito sobre a empresa e seus riscos. Veja alguns desses itens:

  • As áreas de negócios devem estar definidas assim como os processos de cada área devem estar devidamente mapeados e modelados;
  • Os fatores causadores da perda operacional devem ser bem conhecidos e catalogados;
  • A taxonomia dos eventos de risco operacional deve ser a mais detalhada possível em uma primeira versão e periodicamente revisada;
  • Os colaboradores devem ser conscientizados da importância de reportarem as perdas ocorridas. Em muitas empresas é uma quebra de paradigma.

 

Além desses itens citados há o que considero determinante para o sucesso ou fracasso da estruturação do BDPO: a identificação e coleta dos controles que capturarão as perdas operacionais. Claro, porque essas perdas precisam ser identificadas, coletadas e armazenadas, considerando o universo da empresa. Detalhemos mais um pouco.

Dada uma determinada taxonomia para eventos de risco operacional e na ocorrência dos mesmos eventos, é preciso ter estruturados e implantados controles que possam identificar que determinados eventos ocorreram e mensurar as perdas ocorridas.

Esse trabalho exige muita inspiração e transpiração da equipe. Não é um trabalho fácil de ser executado. É necessário preparar um verdadeiro raio-x da empresa que resulte em memorial descritivo consistente para se ter um BDPO com qualidade necessária a ser sistematizado em uma ferramenta.

E aqui cabe uma ressalva. Por mais que sua taxonomia de eventos seja a mais detalhada que puder montar, sempre deve se ficar atento para eventos não planejados que tragam perdas. Ocorrendo esses eventos, o banco de dados deve ser atualizado.

Construído e implantado por meio de uma ferramenta, o BDPO entra em produção e começa a ser alimentado. Para aderir ao AMA, por exemplo, as instituições financeiras devem ter um BDPO com pelo menos três anos (ideal cinco anos) de implantação. Esse BDPO terá em sua base, entre outros, os dois componentes principais da mensuração de risco: a frequência e o impacto causado.

Nesse ponto começamos a enxergar em nosso BDPO os fatores causadores, os eventos relacionados, a frequência e a severidade do impacto de cada evento, quando ocorreu, em que condição ocorreu… Essa rica base de informações nos permite analisar em profundidade em que nível de maturidade encontra-se nossa resposta ao risco operacional e podermos agir.

É possível calibrarmos controles existentes, incrementar novos controles ou mesmo trocá-los. Por exemplo, se erros humanos estão ocorrendo em demasia em uma determinada área, por conta de um novo sistema implantado trazendo diversas perdas operacionais, devemos avaliar se o problema é com o sistema? Se o problema é na falta de treinamento do usuário? Enfim, temos informações para agir e com aquela que a Alta Administração tem preferência: a que trata de numerário!

Essa análise a partir das informações do BDPO permite a toda e qualquer organização gerir seu risco operacional com eficácia muito maior, calibrando seu risco residual da maneira mais assertiva possível. Um BDPO implantado de maneira correta (processo + ferramenta) é um importante aliado em uma gestão mais eficaz do risco operacional. E para setores que precisam ter uma alocação de capital, essa sinergia possibilitará ao longo do tempo um capital alocado cada vez menor.

Esse esforço requer processo, ferramenta, equipe especializada e empresa conscientizada sobre o tema. E podem certeza, os resultados a médio – longo prazo é de uma empresa muito, mas muito mais eficaz na gestão de seus riscos operacionais e mais amadurecida no tocante ao entendimento de suas perdas e quase perdas operacionais. Resultado: menos desperdício, maior eficiência, maior eficácia!

Até a próxima!

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Primo pobre: mas por quê?

enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

Tanto em minhas consultorias como em minhas aulas costumo fazer a seguinte provocação: …eis aqui Processos, o “primo pobre” do quarteto! A expressão primo pobre pode causar estranheza para alguns, mas trata-se de uma expressão utilizada quando geralmente nos referimos a alguém ou a algo que tenha pouco ou nenhum recurso. E a expressão ganha força em uma boa parte das organizações quando comparamos com outros pilares importantes da empresa como Pessoas, Tecnologia da Informação e até a Infraestrutura. Nesse artigo vou tentar mostrar o quão Processo e sua Gestão são importantes para a organização e que benefícios podem trazer.

 Quando você vai criar uma empresa ou vê uma empresa já montada enxerga que ela tem:

  • Uma instalação (infraestrutura);
  •  Pessoas;
  • Uma Tecnologia da Informação; e
  • Áreas/departamentos, que realizam atividades de negócio, que executam o que chamamos de Processos de Negócios.

 Pois bem. Esse quarteto integrado e atuando em sinergia traz a possibilidade de nossa empresa cumprir sua visão, sua missão, praticar seus valores e atender aos objetivos de seus proprietários e de seu mercado. Sabemos, é claro, que as coisas não são tão simples assim, mas de forma geral, é essa a espinha dorsal.

 Infelizmente, pelo menos para meu entendimento, não é dada a devida atenção a um elemento que considero essencial nisso tudo. Esse cara vocês já sabem, atende pelo nome de Processo. Ok, mas por que isso ocorre?

 Tirando a infraestrutura, que seria outro primo pobre, mas aí olhando mais para a ótica de risco operacional e/ou questões mercadológicas, Processos de negócios e sua Gestão são vistos como algo secundário nas organizações, na grande maioria das vezes, bem atrás de Pessoas e TI. Veja por exemplo, em quantas empresas existe uma área chamada Escritório de Processos? Daí vem o primo pobre, pouca atenção, poucos recursos. Explicar porque isso acontece não é uma tarefa fácil e não é meu objetivo nesse artigo, mas em boa parte de nossas organizações isso é uma realidade.

A compreensão da organização como um todo deve ser responsabilidade de cada um de seus colaboradores. Elaborar uma macrovisão organizacional significa que se rompa com uma antiga e limitada imagem: a de que basta que cada parte cumpra seus objetivos, para que a organização obtenha o que deseja. Infelizmente esse fato constatamos em boa parte das organizações.

 Para que cada um dos colaboradores aja de acordo com o todo da organização, é imprescindível uma macrovisão dos processos organizacionais, ou seja, em um pensamento mais abrangente, que não se detém apenas nas questões e objetos imediatos e que entenda a dinâmica que caracteriza as organizações no mundo contemporâneo. A competição acirrada dos dias atuais praticamente obriga esse pensamento e ação.

Utilizando Michael Porter (Vantagem competitiva das nações, Competição) e seu conceito de cadeia de valor, ela nos ajuda a entender a empresa como um todo e explicita o papel fundamental de qualquer organização produtiva: Agregar Valor. Duas palavras mágicas que dependem de uma série de elementos para dar certo. Entre esses elementos a representação dos processos, sua arquitetura, sua gestão, facilita enormemente sua contribuição a tal Agregação de Valor. De tal forma que posso escrever:

Processos definidos, formalizados e gerenciados => Agregação de Valor ao Negócio

As empresas competem no mercado com outras que oferecem produtos e serviços similares, e a criação de valor de negócio está ligada intimamente à coerência do modelo de negócio ao longo do tempo. Os modelos de negócio formulados, explícita ou implicitamente, são construídos sobre quatro fundamentos: a base de clientes, os benefícios esperados pelos clientes, a arquitetura de processos e as métricas que indicam as receitas geradas por produtos e serviços, à luz do mercado e da concorrência.

O que me interessa discutir nesse artigo são os benefícios de se ter a tal arquitetura de processos e sua gestão devidamente definidas, formalizadas por meio de uma modelagem de processos, de uma ferramenta, de indicadores de desempenho implantados; enfim, uma verdadeira gestão de processos,  colocando esse cara na linha de frente da organização, com o intuito de Agregar Valor ao Negócio, atendendo a sua Cadeia de Valor, como preconiza Porter.

Dentro de cada Processo de Negócio definido, formalizado, com treinamento orientado aos colaboradores, tem a inteligência da empresa em fazer seu negócio cumprir o que deva ser cumprido. Muitas “cabeças” colaboraram e continuam a colaborar para que esses mesmos Processos de Negócio diuturnamente tragam os resultados que a empresa almeja. As Pessoas passam pelas empresas, mas os Processos de negócio permanecem sempre vivos e dispostos a melhorar de forma continuada. Esse é o ciclo.

Então: Gerenciar os processos para que se agregue valor aos negócios da organização passa a ser uma necessidade na acirrada competição que vivemos!

Antes de entrar no cerne desse artigo, falando da gestão e do benefício vou alinhar o Conceito do termo e as Perdas que a falta/falha/gestão do processo podem trazer para a empresa.

CONCEITO

Para alinharmos a ideia, comecemos por definir o conceito de Processo de Negócio. Podemos dizer se tratar de um conjunto de atividades estruturadas e medidas, destinadas a resultar num produto especificado para um determinado cliente ou mercado. É uma estrutura para a ação, o que significa ver a empresa a partir de seus processos é focar mais na ação (a atividade de trabalho) do que na estrutura (as funções, departamentos). Essa percepção, de enxergar na dimensão horizontal (processos) pode transformar funcionários (isto é, aqueles que exercem uma função) em processadores (aqueles que agem em um processo).

PERDAS

Um Processo não existente, que não está formalizadamente definido, que possui lacunas em sua modelagem, que não é realizada melhoria continuada, enfim, com fraquezas, pode e normalmente traz perdas financeiras e não financeiras para a empresa. Certamente você está se lembrando de algum caso em sua vida profissional na qual presenciou um evento dessa natureza. Sim, esses eventos são muito mais comuns do que imaginamos e as perdas podem ser severas.

Essas perdas, conforme sabemos, podem simplificadamente se manifestar de duas formas: Financeira e Não Financeira. A Perda Financeira reflete um numerário que a empresa deverá arcar por conta do fator da perda ter sido identificado em algum Processo. Como exemplo, uma falha na modelagem do processo que não previu uma atividade de checagem de prazo em um dado processo de negócio, trouxe uma multa milionária para a empresa.

E a Perda Não Financeira pode se refletir em vários atributos, mas normalmente os mais utilizados nas empresas são as perdas que podem ocorrer na Imagem e Reputação. Como exemplo, um processo de negócio que envolvia as atividades de um terceiro considerado crítico, não previu a modelagem e gestão de um processo de auditoria das atividades desse Terceiro. Com uma fraude praticada por esse Terceiro, além da Perda Financeira, a empresa viu seu nome envolvido no ilícito praticado por seu Terceiro contratado.

Muitas são as Perdas oriundas da inexistência, da péssima modelagem e/ou da absoluta falta de gestão de processos.

 A GESTÃO DE PROCESSOS DE NEGÓCIOS (GPN)

Para fazer Gestão podemos utilizar várias metodologias. Uma das mais utilizadas e bem apropriadas nesse caso utiliza o ciclo de Deming, também conhecido como PDCA ou da Melhoria Contínua. Simplificadamente o ciclo PDCA é:

  • P (Plan) – que é a etapa de planejamento de nossa gestão;
  • D (Do) – é a etapa que trata da execução do que planejamos;
  • C (Control) – é a etapa de verificação, medição do que executamos;
  • A (Act) – é a etapa de ação, é a análise do que verificamos, medimos, para a melhoria continuada.

O Planejamento da GPN deve definir as atividades que contribuem para o alcance das metas da organização. Entre algumas atividades devemos atentar para:

  • Entendimento do ambiente externo e interno e a estratégia da organização;
  • Estabelecimento da estratégia, objetivos e abordagens para promoção de mudanças;
  • Estabelecer e manter atualizado o Manual de Processos;
  • Selecionar e priorizar processos;
  • Gerar diretrizes e especificação para o trabalho de modelagem e otimização;
  • Planejar e controlar as atividades necessárias à implantação dos diversos projetos e processos na organização.

Entre algumas observações importantes que faço aqui, a necessidade de apoio da alta administração de considerar a GPN como sendo um dos propósitos estratégicos da empresa é fundamental; pensar que em não fazendo, pode comprometer seu sucesso e sua continuidade.

Complementando o raciocínio anterior, essa atuação direta da alta administração é imperativa, pois na GPN existem ações que cruzam as diversas áreas da empresa, gerando atritos, conflitos de interesses, falta de compreensão das metas que foram propostas.

Na execução, seguindo o modelo PDCA, Modelar e Otimizar os Processos englobam atividades que permitem gerar informações sobre o processo atual (As Is) e/ou a proposta de processo futuro (To Be). As atividades principais que devem ser levadas em conta nessa etapa são:

  • Modelar os processos na situação atual;
  • Quando necessário e possível, comparar o modelo com melhores práticas e benchmarking;
  • Definir e priorizar soluções para os problemas atuais;
  • Modelar os processos na situação futura;
  • Gerar especificações para a implantação, para execução e para o controle.

A etapa seguinte é a Implantação dos Processos. Aqui temos atividades que irão garantir o suporte à implantação e à execução dos processos, tais como:

  • Suportar a implantação de novo processo (quando necessário);
  • Coordenar o ajuste de equipamentos e softwares, se necessário;
  • Coordenar os testes e/ou piloto de solução;
  • Realizar mudanças ou ajustes de curto prazo;
  • Estabelecer critérios de fornecimento de dados para controle e análise dos processos.

A etapa de Controle e Análise dos Processos (C – Control e A – Act, do ciclo PDCA) traz atividades relacionadas ao controle geral do processo, com o uso de indicadores de desempenho, métodos estatísticos, diagrama de causa e efeito, etc. Essa etapa deve ser realizada com todos os critérios possíveis e não deve ser relegada em segundo plano, como costumeiramente acontece. Aqui reside a melhoria continuada e que deve ser objeto preponderante na gestão dos processos.

BENEFÍCIO

A GPN tem inúmeros benefícios, que caberia em um artigo exclusivo, mas vou mencionar dois deles. Um sobre Perdas e outro sobre Otimização de Custos.

O primeiro diz respeito à mitigação de Perdas Financeiras e Não Financeiras por conta da eficaz Modelagem dos Processos e sua Gestão. Essa Modelagem e Gestão mencionadas funcionam como um controle ao risco relacionado a Processos de negócios.

Um segundo benefício é a gestão de processos para a implementação do custeamento baseado em atividades. O custeamento de atividades pode tornar-se uma excelente ferramenta de controle, quando associada à Gestão de Custos por Processo. Nesses tempos cada vez mais bicudos, é fundamental a utilização de relatórios capazes de informar com precisão o valor e tempo sobre os custos de produtos e serviços.

O custeio baseado em atividades (ABC) dentro da gestão por processo consegue ir além do simples cálculo do custo mais próximo da realidade da empresa, pois, ao estabelecer padrões, a gestão por processos:

(a)  Facilita a identificação dos custos e das atividades contidas no processo;

(b)  Facilita o controle das atividades;

(c)  Define requisitos mínimos de conhecimento e treinamento em cada atividade;

(d)  Permite a comparação do desempenho das atividades ao longo do tempo;

(e)  Leva a mudanças na cultura organizacional, criando hábitos para o fornecimento de informações necessárias para a produção de relatórios gerenciais com base em custos.

Dá trabalho implementar o custeamento de atividades incorporando a gestão de custos por processo? Claro que dá! Mas o benefício que é gerado ao entender de forma detalhada onde o custo pode ser melhorado, isto é, otimizado, de tal forma a auxiliar a empresa a prosseguir competitiva no mercado, torna esse processo quase que mandatório nos dias atuais. Pense nisso!

Como conclusão vale reforçar a ideia do quão é importante o gerenciamento dos processos em uma organização. Fazê-lo de forma estruturada, conforme tentamos mostrar nesse artigo, é uma das melhores maneiras de agregar valor ao negócio da empresa.

O que não pode ser esquecido é que os Processos refletem exatamente como a empresa executa suas atividades para atender o seu mercado, e dessa forma, é absolutamente imperativo sua gestão em um ciclo de melhoria contínua. Pensar que são múltiplos os benefícios que uma gestão estruturada de processos traz é uma tarefa que cada empresa precisa encontrar dentro de sua cultura. E aqui, é absolutamente insuficiente se contentar em cumprir com regulamentos/auditorias externas, que restringe a questão em cumprimento de riscos de compliance. Os benefícios vão muito além de riscos de compliance, eles atingem o mercado, as metas da organização, eles devem agregar valor ao negócio!

Até a próxima!

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

As pessoas, seus novos hábitos, costumes e comportamentos e a segurança das informações.

enigma.consultoria Sem categoria Leave a comment   , , , , ,

Mário Sérgio Ribeiro (*)

Se você parou para pensar e refletir um pouco sobre o que vem acontecendo no dia a dia deve ter notado o quanto as relações e comportamentos das pessoas têm mudado e a velocidade que isso tem acontecido. É fato! A Tecnologia da informação e comunicação tem patrocinado mudanças significativas no modo de as pessoas se relacionarem, se comunicarem. Essas mudanças criam novos hábitos, comportamentos, muda a forma de as pessoas se relacionarem com o mundo exterior. Nesse contexto eu pergunto: como as empresas, que têm como principal ativo Pessoas, tem percebido e encarado essas transformações? Como essas mudanças podem afetar o ambiente corporativo e colocar em risco o outro ativo, o segundo em importância, as informações corporativas.

 

A tecnologia e comunicação nos últimos dez anos se tornou o principal catalisador na mudança de hábitos e comportamentos das pessoas. Celular que virou computador com internet e máquina fotográfica, velocidade maior pela rede, meios instantâneos de se comunicar, como o falecido Orkut, o viciante facebook, instagram, twitter, o mais novo e conquistador com o nome de WhatsApp, ou zap zap como brasileiro gosta de chamar. Alguns têm falado que o tal e-mail já coisa do passado, é para Tiozão!!!

 

Enquanto escrevia esse artigo li uma pesquisa saindo no portal da UOL. A manchete dizia que 75% dos casais brasileiros se comunicavam via WhatsApp, sendo esse o principal meio de comunicação escolhido. As mulheres o utilizam mais do que o homem e muitas falaram que não sabiam dizer quantas vezes o fazem por dia, sabiam apenas que eram muitas, muitas comunicações com seus amados.

 

Mais uma constatação a uma máxima que eu e você já sabemos: trocamos literalmente a fala, mesmo por telefone, não precisa ser mais aquela olho no olho, pelas palavras. Os casais não se falam mais, imagem os outros. Se já pelo telefone a coisa é fria, imagina por palavras…

 

O povo brasileiro gosta de se comunicar, de interagir. Hoje temos mais celular do que aparelhos fixos. Alguém poderia imaginar algo assim? Essa gama de dispositivos tecnológicos e de comunicação, aliado às “invenções” para popular esses dispositivos, mudou alguns paradigmas. Por exemplo, que tal pensarmos o que as pessoas fizeram com a sua privacidade?

 

A partir do lançamento do Orkut e posteriormente do microblog Twitter, até os Instagrams da vida, as pessoas tiveram a possibilidade de se expor, se expuseram, e como vem se expondo!! Se pensarmos que a onda pegou a partir do uso maciço por pessoas públicas (artistas, celebridades e pseudo-celebridades, políticos…) que passaram a utilizar as primeiras redes sociais e o Twitter para se expor, até porque vivem dessa exposição, pessoas comuns gostaram da ideia e foram à luta. Vejam que quase 2 bilhões de pessoas usam o facebook.

 

O que é fato aqui, é que a tal preservação da privacidade é, em muitos exemplos, banida pela própria pessoa. Quantos e quantos casos tomamos conhecimento pela mídia onde o culpado foi a quebra da privacidade patrocinada pela própria vítima? E pior, vários deles com consequências catastróficas.

 

Não quero e nem pretendo entrar na discussão psicológica, sociológica e até antropológica do tema, mas é inegável que as pessoas de uma maneira geral estão se expondo e expondo seus familiares, em muitos casos de forma perigosa. Diante de tantos alertas e casos mostrados as pessoas continuam a quebrar sua privacidade se escorando em alicerces pouco seguros como: somente meus amigos me veem, não compartilho com quem não conheço, e por aí vai…De uma vez por todas as pessoas precisam entender que a melhor segurança é aquela que avalia o valor da informação antes de praticar qualquer ato. E esse parece ser um dos Xs da questão.

 

Quando faço minhas palestras de conscientização em segurança da informação nas empresas e coloco o tema sob a ótica pessoal/familiar e não somente corporativa, as pessoas parecem tomar um clic. E a coisa esquenta quando, por meio de uma dúzia de casos e de situações de risco, demonstro o que a pessoa pode estar fazendo com a sua segurança e de seus próximos.

Parece que definitivamente só se toma consciência quando partimos para um discurso um pouco mais duro, quando mostramos que antes de qualquer coisa avalie-se o VALOR da informação e as consequências de seu compartilhamento antes de tomar qualquer decisão.

Essas mudanças e transformações que vem ocorrendo no modo como as pessoas tem tocado suas vidas, mais uma vez como falei, patrocinado e muito pela tecnologia e comunicação, não há como não fazer uma relação com o ambiente do trabalho. As pessoas estão diferentes do que eram anos atrás com a incorporação desses novos hábitos, costumes e comportamentos querendo e/ou não querendo levando-os para dentro da empresa.

Ninguém sai de casa para trabalhar e diz para seus hábitos, costumes e comportamentos o seguinte: ei, vocês, fiquem quietinhos aí em casa que agora eu vou levar outros hábitos, costumes e comportamentos para ir trabalhar comigo? Alguém faz essa dissociação? Você e sua empresa já pensaram sobre isso?

Para os que não pensaram ou desacreditam nessa questão, poderia listar aqui uma série de ameaças e probabilidades que podem se transformar em impactos indesejáveis para a empresa, e ajudar a mudar de opinião.

Por exemplo, aliado a tais mudanças e o elevado poder dos “celulares” de hoje em dia, podemos pensar em alguém com alguma intenção, bater fotos de tela, de documentos que não deveriam ter acesso e de alguma forma tiveram e bum, em um clic, jogar onde quiser tais informações, inclusive na concorrência.

Para o caso dos não intencionados, alguma foto da equipe de trabalho em uma festinha de aniversário, com tela de computador aberta ao fundo, documentos sobre a mesa, etc.

Comentários públicos da empresa com o intuito de se gabar, tentando aumentar sua escala de valores como uma pessoa importante…É, a lista pode ser imensa.

 

OK, mas o que e como fazer com a questão?

Em primeiro lugar e de forma clara você precisa entender e aceitar esse novo contexto em nossas vidas. Não há como mudar o curso onde a maioria deseja levar. Em segundo lugar precisa ter em mente que, em se tratando de ambiente de trabalho, na segurança das informações corporativas, são as Pessoas o ativo mais importante. Elas são o agente da ameaça, que é aquele sujeito que perpetra uma ameaça explorando vulnerabilidades existentes.

 

Entendendo e aceitando essas duas ponderações é necessário arregaçar as mangas e agir. Agir no sentido de reduzir o risco das possíveis consequências. Essa ação demandará identificar e implantar controles que possam levar a um risco residual aceitável para a empresa.

 

Sei que muito provavelmente vários desses controles você deve tê-lo implantado na empresa. Modelos de contratação que olhem para o SER Políticas, Normas, Códigos, controles de acesso físico, lógico, PLRs, etc. devem fazer parte desse rol de controles. Ok. Mas uma rápida e simples pergunta que faço: eles permanecem operando de forma a deixar o risco residual no patamar que se julgou aceitável? Todo o controle deve ter uma espécie de “memorial descritivo” e será que o tal memorial descritivo continua a ser atendido?

 

Ainda nessa linha, será que foi pensado nos devidos controles para mitigar o risco Pessoas nesse novo contexto que ponderei? Não faltou ou não falta nada? Digo isso porque normalmente encontro a falta de alguns controles importantes, como o Programa de Conscientização e Educação em Segurança da Informação, Antifraudes e ilícitos semelhantes. O seu programa de conscientização, caso você o tenha e o execute de forma continuada, anda acompanhando essas mudanças e transformações comentadas nesse artigo?

 

Julgo o Programa de Conscientização um dos controles mais eficazes nessa luta pela mitigação dos riscos com a segurança das informações corporativas e assemelhados. Aumenta sua importância com esses tempos bicudos e de mudanças e transformações citadas. Mas existem limitações em sua eficácia quando não for devidamente planejado e implantado.

 

É fundamental que um programa desses tenha em seu planejamento a ideia de que ele não é para ser feito uma vez na vida e outro na morte. Um dos atributos de sua eficácia é a sua continuidade. Sua execução deve acontecer ao longo do ano, e não somente com uma palestra e pronto. Isso funciona em pequena escala, não colocando o risco em um patamar residual que desejamos. Pense nisso.

 

Como conclusão gostaria de deixar uma reflexão. O mundo tem se transformado diariamente e em uma velocidade que não percebemos, que não temos tido tempo para parar e pensar no que está ocorrendo. E nessa linha, são as Pessoas que estão conduzindo essas transformações e vivenciando o que há de bom e também o que há de ruim. Já falado, somos vítimas ou felizardos de nossos atos e também dos outros. As transformações nos hábitos, costumes e comportamentos das Pessoas têm alterado diariamente os riscos associados. Digo isso olhando para todos os lados, e não mais somente para um pequeno pedaço dele que tratei nesse artigo. Que possamos ter sabedoria e paciência para entender o que se passa, e procurar sempre as melhores formas de vivermos felizes e tentar ajudar os outros a também o ser!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Não é fácil, mas o que importa é o prazer de fazer o que se gosta.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Um dia desses fiquei pensando que nesse mês de maio farei 56 anos. Incrível, mas como o tempo é inexorável e parece que nem percebemos seu rápido caminhar. Nessa reflexão olhei minha trajetória profissional e parei para pensar com mais detalhes como me tornei professor e consultor e que me faz um profissional feliz. Alguns dizem que desde muito cedo já sabiam “o que seriam quando crescessem”, mas nem sempre é assim e nem todos as cumprem. Para a grande maioria há um caminho a se percorrer, a se descobrir, às vezes curto, às vezes longo, conflituoso até, mas ao encontrar, certamente um tanto do quinhão da felicidade em sua vida pode acontecer. Garanto que muitos aqui devem estar nesse caminho.

Quando fui estudar engenharia confesso não ter total certeza de que aquela seria a profissão do resto de minha vida. Meu pai não tinha nada a ver com a engenharia, era gerente de um clube. Meu irmão sim é engenheiro e trabalhava com meu cunhado, também engenheiro. Acabei estudando engenharia, um curso que forneceu uma base excepcional e que carrego em minhas atividades.

Importante para essa narrativa é o fato de, ao final do 1º ano do curso de engenharia, surgir um concurso interno na faculdade para vaga de monitor em laboratório de física. Virei monitor de física experimental. Foram quatro anos até me formar como monitor e assistente de professor. Nessa época, aos 18 anos de idade, inicio, sem saber até então, minha incursão no ramo educacional, naquele que tem como princípio básico, compartilhar o que sabe e tomar o cuidado para não falar sobre o que não se sabe.

Formei engenheiro. Trabalhei alguns anos na área. Continuei a estudar depois de formado, concluindo duas especializações. Migrei da Engenharia para a TI (Informática). Comecei a dar aula na área de Tecnologia, conciliando com minhas atividades no mercado. Dentro da TI conheci a segurança da informação, que me levou às suas diversas disciplinas e ao fascinante mundo do risco corporativo e controles internos. Tornei-me mestre em segurança da informação.

Resumi em um parágrafo mais de 30 anos, pois não é meu objetivo ficar aqui narrando minha trajetória profissional e principalmente porque acho muito chato esses detalhes. O que me interessa é dividir com vocês a sensação de como é importante você ser feliz no que faz, saber que construiu com erros e acertos esse caminho e que a trajetória e o legado que se deixa é a grande vitória.

Domenico De Masi em um dos seus brilhantes livros, “O ócio criativo” diz que ao longo da vida uma pessoa em média experimenta quatro atividades profissionais diferentes. No mercado, fui engenheiro civil, gestor em TI, gestor em Segurança da Informação e dono de uma consultoria. Na academia, professor, coordenador e diretor universitário. Logo, estou dentro da estatística do professor De Mais. Vou tentar expressar as duas atividades que exerço e que me torna hoje uma pessoa muito feliz.

Ser Professor

Sou professor desde 1990, portanto, vinte e cinco anos nesse 2015. Se contarmos o tempo de monitor de física, acrescento mais quatro anos. Já fui coordenador e diretor de faculdades de engenharia e computação, coordenador de pós-graduação, etc., trabalhos mais burocráticos; mas, uma sala de aula é única. Confesso que me sinto em casa. Tenho em mim a necessidade de compartilhar aquilo que consegui adquirir de conhecimento e, tanto quanto, aprender com quem está presente na mesma sala.

Conheço diversos amigos que dizem não gostarem de dar aula…não se sentem bem…entre outras tantas. Outros dizem que dão aula para complementar a renda, fazendo muito mais pelo contracheque do que pelo prazer de compartilhar. Aqui uma questão: o dinheiro é importante? Claro, não duvido. Uma atividade profissional exercida sem voluntarismo deve ser remunerada. Ok, mas nessa atividade só o contracheque não é o suficiente. É preciso ter “no sangue” a vontade de compartilhar o que sabe, de perceber que está contribuindo para a formação do outro, de saber que em uma sala de aula existe sempre a possibilidade de aprender. Essa vontade tenho até hoje, passado quase trinta anos. O dia que ela deixar de existir, se é que isso vai acontecer, vou fazer outra coisa de minha vida. Não existe nada pior do que não ver mais o brilho nos olhos de admiração de seus alunos pela aula de seu mestre. Isso não tem preço e provavelmente é um sinal para tirar o time de campo.

Quer um bom argumento para ser professor? Você nunca ficará velho! Isso mesmo!  Hoje reduzi minhas atividades, mas mantenho minhas aulas na pós-graduação da FIA-USP, na ANBIMA e em cursos in-company que ministro pela minha empresa. Na grande maioria dos casos, encontro pessoas bem mais jovens do que eu. Muitas delas poderiam ser meus filhos. Estar junto com o jovem faz você se sentir jovem. Faz você entrar na conversa deles. Faz você aprender as novidades da idade deles. Faz sempre você voltar no tempo. Faz um bem danado para a alma da gente!

Outro ótimo argumento é o de ser professor obriga você a usar o aprender a aprender sempre, a estudar e estudar. Se exercer outra atividade além da acadêmica, obrigatoriamente terá uma base inigualável da Academia para desempenhar muito bem o seu papel no mercado. Essa necessidade constante de aprendizado o fortifica internamente e isso reflete em suas atividades dentro e fora da Academia.

Falo sempre em minhas aulas para meus alunos: se não nasceram rico, não casaram com alguém rico e não tem esperança de herdarem algo, a única coisa que resta a vocês é estudar! Como dizem, podem tirar várias coisas de você, mas o estudo ninguém irá tirar. Indo mais além, oriento a todos a fazerem um mestrado e doutorado. Erradamente do que se fala por aí, mestrado e doutorado não é somente um requisito para dar aula. É um upgrade sem precedente em sua carreira, sendo uma experiência de vida excepcional. Além disso, pode se tratar de outra fonte de renda ou, se desejar, ser a única, rumando para a vida acadêmica de coordenação, direção e outros andares dentro de instituições acadêmicas. Pensem nisso. Oriente os seus.

Enfim, Ser professor é acima de tudo um estado de espírito!

Ser Consultor

Afinal, o que é ser Consultor? Tenho uma opinião bem particular com relação a isso. Penso que Consultor deva ser aquele profissional que alia seu conhecimento e experiência de mercado e da Academia (se possível), com a competência para entender as necessidades de seus clientes e supri-las com o seu trabalho. Para isso deverá ter desenvolvido inúmeras habilidades ao longo de sua carreira, habilidades essas que não tem nada a ver com o conhecimento e experiência, e sim, com outros atributos. Vejamos alguns desses atributos:

  •  Gostar de se relacionar com pessoas e respeitando toda e qualquer diversidade;
  • Ter uma excelente capacidade de trabalhar em equipe;
  • Ter e praticar uma conduta ética e de boas maneiras. Ser exemplo;
  • Ouvir muito, falar apenas o necessário;
  • Compartilhar seu conhecimento de forma simples e transparente;
  • Nunca assumir uma postura de “ban ban ban” do assunto. Você foi contratado para auxiliar a empresa a resolver uma necessidade e não para dar show de conhecimento e de ego;
  • Ter atitude para auxiliar sempre que possível e dentro de suas competências e habilidades;
  • Ter adaptabilidade para trabalhar em diferentes culturas organizacionais;
  • Saber que pessoas são diferentes, umas das outras, e “jogo de cintura” é crucial para desenvolver seu trabalho;

 

Muita coisa? Aparentemente sim, mas é um trabalho fascinante! Ter a oportunidade de ajudar a empresa que o contratou e intrinsecamente, agregar valor ao conhecimento e habilidades das pessoas que lá trabalham com as quais manteve contato, é de um enorme prazer. Perceber que antes do projeto a situação da empresa e das pessoas era X e que depois do projeto concluído evidenciar a evolução para Y, é o requisito primordial para continuar na profissão.

Em cada projeto de consultoria que concluí e/ou que liderei, e onde pude perceber essa evolução da empresa de X para Y, superando em vários casos as expectativas depositadas, a sensação de dever cumprido é fator primordial. Além disso, o valor agregado proporcionado pela chance de compartilhar minha experiência profissional e de vida aos profissionais da empresa com os quais tive contato, sabendo deles que o dia a dia do projeto e seus resultados melhoraram sua condição, acaba tendo um significado que não há como medir e não há preço para isso. Vejo isso como um dos grandes legados do trabalho do consultor.

Como escopo e mesmo sem estar no escopo, o consultor atua como coach de profissionais da empresa. Em vários projetos pude perceber uma grande evolução desses profissionais, pelo simples fato de poder compartilhar do dia a dia de um projeto. Melhoraram as competências técnicas, comportamentais, o espírito de equipe que um projeto solicita, e em muitos casos, o coach do consultor auxilia o profissional a olhar com profundidade, perceber os detalhes, que às vezes não parece muito claro. Os cases do consultor funcionam como um diferencial para os profissionais.

É um trabalho que exige acima de tudo gostar de estar com pessoas, e mais, com as mais diferentes pessoas. Precisa estar preparado para isso. Se agir de forma contrária a essa premissa básica, certamente o projeto naufraga e sua trajetória também. Como já falado, as culturas organizacionais são diferentes, as pessoas de uma dada região agem e pensam de formas diferentes. Desenvolver um projeto em um dado estado do país requer conhecer como são as pessoas daquela região. Umas são mais expansivas, outras menos. É fundamental o consultor estar totalmente preparado para isso.

O trabalho de consultoria exige acima de tudo a premissa de Ser Confiável. Quem contrata uma consultoria não quer confusão para o lado dele (a). Quer alguém em quem possa confiar para realizar um dado trabalho. Quer alguém que ao ser colocado “para dentro de sua casa” irá mostrar competência e inteligência emocional madura, não trazendo problemas para o ambiente. Quer alguém que some valor e não faça conta de subtração. Quer alguém em quem possa aprender mais, e não que tenha que ficar pajeando e ensinando o que fazer, como fazer.

 

Como conclusão, tenho a nítida impressão que ambas as profissões, professor/instrutor e consultor tem um enorme e forte elo. Uma complementa a outra e as duas andam de mãos dadas. Esse elo tem uma palavra chave que as une: Compartilhar! Se você não consegue fazer isso, certamente não terá sucesso em ambas, quiça, em qualquer uma delas. Esse sentimento é o grande motor que impulsiona quem abraçou as duas profissões.

 

Seja feliz. Faça o que gosta e se sinta bem. Esse é o legado que deixamos por aqui.

 

Até a próxima!

_________________________________________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Como podemos recuperar algo que parece perdido?

enigma.consultoria Sem categoria Leave a comment  

Mário Sérgio Ribeiro (*)

Confesso a vocês que em mais de 30 anos de profissão e com 55 anos de vida indo para 56 nesse ano, nunca, nunca vi tantos maus tratos com a Honestidade, Moral e Ética como nos últimos tempos. E olha que em algumas expertises de meus trabalhos convivo de forma direta e indireta com esses conceitos, mas, mesmo assim, estou boquiaberto. Só se vê fraudes, corrupção, suborno, propina, roubo de informação… Isso tem fim? O que falar para nossos filhos? Como os educadores estão se virando para tentar mostrar que o “outro lado” é o certo? Como pensar em um futuro digno para esse País?

Pensei em enumerar os casos mais cabeludos para reavivar nossa memória e “esquentar” o que quero falar, mas achei desnecessário. São tantos e a imprensa tem batido neles diariamente que nem preciso fazer isso. Vou direto ao ponto tentando responder:

(1) Tem jeito?

(2) O que precisamos dizer para aqueles que necessitamos educar?

(3) Como fazer?

 

Tem jeito?

Claro que tem! Os tempos são bicudos, as diversidades são enormes, mas é preciso agir. Vou propor uma solução em duas partes: ações de curto e ações de médio/longo prazo.

Antes de começarmos, apenas uma consideração teórica sobre aspectos comuns que alicerçam esse meu artigo a respeito de fraudadores/corruptos/corruptores/subornadores e todos “adjetivos” correlatos:

  • a motivação, que combina uma predisposição e uma oportunidade;
  • a presença de alvos disponíveis;
  • a inexistência de controles internos e/ou externos ou a insuficiência destes;
  • a desorganização social e/ou a perda de valores sociais e morais.

Em um curto prazo a classe política, as instituições públicas e as empresas privadas precisam primeiramente ter vontade, inserirem em seu sangue a cultura da moralidade, honestidade e da ética. Difícil? Alguns podem achar isso impossível, pois o sistema funciona somente dessa forma e ficar fora dessa é não crescer no capitalismo. Mas existe o caminho de fazer a coisa certa e uma série de países e empresas que viviam sob um sistema maléfico como esse deram a volta por cima e sobreviveram.

Este caminho deve primeiramente ter a tolerância zero com relação às pessoas que forem pegas com evidências claras de terem cometido um ilícito. Em uma empresa privada isso fica mais fácil, pois a flexibilidade é maior para se tomar de forma ágil ações punitivas (demissão, demissão por justa causa, processo judicial para recuperação de ativos, etc.).

Conheço diversas empresas privadas que adotam essa prática e o funcionário sabe disso desde o processo de seleção de emprego, passando pela assinatura de seu contrato de trabalho, onde, além disso, recebe cópias de código de ética, políticas de segurança da informação, antifraude e outros, até a palestra de integração, que ocorre em seus primeiros dias de emprego. Nessas empresas o exemplo vem de cima, uma velha máxima que tem um enorme valor. O funcionário sabe que se for pego com a “boca na botija”, com claras evidências, ele sofrerá as consequências que poderá manchar sua carreira para sempre.

Nas instituições públicas a coisa não funciona na agilidade e na eficácia que se deseja como ocorre na empresa privada. Processos percorrem um longo caminho, no máximo o funcionário é afastado de suas funções, quando isso ocorre, o que faz transparecer que a tolerância não chega nem perto do zero.

Com a classe política a coisa piora e muito. Os nobres políticos brasileiros parecem legislar a seu favor e não a favor da sociedade brasileira, e quando há notórias e categóricas evidências de ilícitos cometidos, sabemos com que velocidade a coisa anda e o seu desfecho. O que é uma vergonha!

O que é preciso nessa questão de tolerância zero é retirar todas as possibilidades de subterfúgios existentes e punir ágil e exemplarmente aqueles que são pegos em sua ilicitude, já que Leis para isso existem. Não pode ficar de forma alguma no ar o cheiro de impunidade. Essa tal impunidade é o motor para que outros potenciais criminosos fiquem motivados a fazer, e entramos em um loop, com elevada força centrípeta, que acelera a cada nova notícia de impunidade. Isso é mais do que evidente e os fatos só comprovam.

Ainda em curto prazo, notamos claramente que os domínios de Prevenção, Detecção e Investigação, com processos e implantação de medidas de controle carecem de uma qualidade em sua elaboração, e quiça, quando implantadas, são realizadas sem o rigor e cuidados necessários. Notadamente o domínio Prevenção, que já frisei em outros artigos, não é uma palavra praticada por nossas bandas.

Conforme pode ser visto em diversos casos noticiados pela mídia e fazendo uma engenharia reversa dos acontecimentos, percebemos claramente o quanto que a instituição não fez uma simples lição de casa no que tange à Prevenção. Se quisermos aprofundar um pouco mais, são vários os casos que alguma coisa errada estava acontecendo, o que quer dizer que controles preventivos foram burlados ou não existiam, e que os sinais eram claros para se realizar uma detecção/investigação para que a maionese não desandasse mais do que já estava. Espera-se a materialidade da perda chegar ao topo para fazermos alguma coisa, ou, ser noticiada pelo Jornal Nacional: “…Receita Federal desbarata quadrilha que fraudou 200 milhões de reais da ..!”. É absurdo, para não dizer bizarro! Achamos maravilhosa a notícia, mas os 200 milhões raramente voltam para quem de direito.

Enquanto não investirmos de forma maciça no conceito de Prevenção não melhoraremos a situação. É fundamental a implantação de políticas, processos e medidas de controle eficazes para que se diminua o risco desses ilícitos ocorrerem.

Um procedimento utilizado por países e empresas privadas e públicas em diversos países é a Denúncia Anônima para os ilícitos que estamos tratando nesse artigo. No último relatório da ACFE, mais de 40% dos casos de fraude e outros foram detectados e desbaratados por meio da Denúncia Anônima. Por que tão pouco é aplicado por aqui? Não tenho uma resposta, pois não consegui chegar a uma conclusão das respostas que recebi. Uma pena!

 

Para o médio/longo prazo o maior investimento deve ser na formação do ser humano, já que ele é o elemento causador. É uma solução que parece simples, mas infelizmente não é. A educação de uma pessoa começa em casa, desde cedo, ganha um parceiro ainda na infância, a escola, e tem um terceiro elemento, o relacionamento com as outras pessoas que não são sua família.

 

Tenho que infelizmente falar que a nossa sociedade está doente e todos precisam agir para o bem comum. Criamos uma sociedade que vem há algum tempo privilegiando o TER no lugar do SER, e isso é ruim demais. As consequências não são nada animadoras para as personalidades e caráter mais frágeis. A espiritualidade das pessoas ficou para qualquer outro plano, que não os primeiros. A coisa parece não ter volta…

 

Os ilícitos que vemos a todo o momento são praticados por pessoas que podem agir isoladamente ou por meio de associações com outras. Agem motivadas e/ou pressionadas e racionalizam sua ilicitude, seja porque algo lhe é devido, ou porque precisam fazer o seu pé de meia, já que se não o fizer, além de passar por idiota, outro vem e fará; até porque, usando a fraude como exemplo, ela é interpretada como fruto da corrupção sistêmica do capitalismo. O emprego do “sistêmica” se justifica, nesse caso, em virtude de a corrupção estar espalhada pela economia, em empresas de vários portes, do setor privado ou público. Há latente no sistema econômico, uma oferta e uma demanda pela fraude e outros ilícitos.

 

E como solucionar esse imbróglio? Com sólidos valores morais e éticos, que devem ser ensinados em casa, se possível diariamente e com exemplos práticos que ocorram no dia a dia. Nada de terceirizar esses valores para serem ensinados pela TV ou pela escola. Não se terceiriza o que é estratégico!

 

Essa, a escola, deve inserir em seu conteúdo noções básicas de moral, ética e cidadania. Essa parceria entre casa-escola é a chave para o sucesso de uma nova sociedade. Não existe solução mais barata e eficaz do que essa. Eu fui ensinado e educado dessa forma, e garanto que vocês também o foram. Se o elo fraco dessa corrente é o homem, é imperativo tratá-lo desde cedo.

Enquanto essa revolução não ocorre, o que devem fazer nossas empresas privadas e públicas para selecionar seu pessoal e colocá-lo para dentro de sua casa? Simples, procurar conhecer da forma mais detalhada possível quem é a pessoa sob a ótica do SER, e não somente sob a ótica do VOCÊ SABE FAZER. Privilegiamos de forma demasiada as competências técnicas e profissionais e deixamos literalmente de lado as competências de SER HUMANO e EMOCIONAL do candidato. Isso deve ser realizado com todo rigor antes de abrir as portas da empresa para o potencial candidato.

E o povo para eleger seus políticos? Infelizmente o povo ainda cai na lorota das retóricas e promessas estapafúrdias que a maioria espalha aos quatro cantos. Quando pararmos para avaliarmos o ser humano, sua ética e moral, suas competências emocionais, talvez poderemos quebrar o sistema que aí está. Claro que esse momento virá a acontecer na medida em que a educação que falei anteriormente venha a ser implantada.

 

(2) O que precisamos dizer para aqueles que precisamos educar?

Precisamos dizer que ter moral, ser ético e honesto vale a pena, mesmo que o educando pense que possa ser taxado de otário em um país de espertalhões. Que o certo é fazer o errado para se dar bem o mais rápido possível? Claro que não! É necessário fazer sempre o certo, mesmo que isso custe muito tempo. O caminho importa e muito. Como?

 

Vamos então:

  • O Bem sempre vence o Mal: antigo e verdadeiro. Quem é o Bem e quem é o Mal? O Bem é o moral, o ético, o honesto, o não passar a perna nos outros, na empresa que dá o pão de sua família e que paga os teus carnês. Se existe um Deus, uma energia superior, é universal, é histórico, é estatístico, cedo, ou um pouco mais tarde, o Mal aparece e a pessoa pode passar vergonha, pode sofrer outras consequências nas mais variadas formas. A história é pródiga nesses ensinamentos. Tenho uma base histórica disso. Sempre vale a pena praticar o Bem. Sempre!
  •  Dormir bem é necessário: você já escutou a frase: “coloco a cabeça no travesseiro e durmo como um anjo.” Você acredita que alguém que está sempre na mira de ser descoberto, na iminência de uma denúncia, que vive sempre preocupado pelos quatro cantos, consegue ter uma noite de sono sem um Dormonid do lado? Garanto para você que nem esses caras manjados que aparecem na TV conseguem. O cérebro consome uma boa parte de sua energia para pensar sobre os ilícitos, sobre maneiras de ocultar, de driblar tais pensamentos, etc. Em certo tempo o corpo vem cobrar a conta. Veja quantos que foram pegos, ou ainda estão soltos, tem uma face um tanto envelhecida, para não falar de outras consequências.
  • O que você dirá a sua família e amigos?: todos consideram você um exemplo e de repente, bum, bingo, você é desmascarado e todos agora sabem que você cometeu um ilícito contra sua empresa ou contra a sociedade. E agora, o que fará? Certamente você carregará essa mancha pelo resto de sua vida. Vai querer isso? Sua família vai querer?
  • Vencer os desafios, sem falcatrua: uma das boas coisas da vida não é somente conseguir o que desejamos, o que sonhamos. Melhor é saber que o caminho para se chegar lá foi o caminho de vencer os obstáculos por força própria, com suor, de fazer a coisa certa e ter conquistado seus sonhos Saber que os desafios foram vencidos e os sonhos conquistados sem ter passado a perna em ninguém, sem ter enganado seus chefes, sem furar com a moral e a ética, é o legado que você deixa para os seus e para a sociedade. Certamente seu epitáfio não terá mancha alguma e poderá ser escrito pelo Bem.

 

(3) Como fazer?

Eu tenho algumas estratégias e vou dividir com vocês. Vejamos:

  • Comece pelo mau exemplo que aparece na mídia. Fale, escreva, se comunique com os seus mostrando o que será da vida do camarada dali para frente;
  • De forma contrária, enfatize os bons exemplos que aparecem. O que certamente essas pessoas colherão? Qual será o seu legado?
  • Livros, livros…A leitura de bons livros que ajudem a compor o caráter e a personalidade valem sempre a pena. Entre vários que tenho sobre o tema gostaria de indicar um especial: chama-se o Livro das Virtudes, de William J. Bennett, vol I e II, da Editora Nova Fronteira. Compre para seus filhos, netos, sobrinhos… Garanto que até você irá querer ler.
  • Cobre da escola dos seus um conteúdo que o auxilie na educação e formação. Noções dos temas que tratei aqui nesse artigo devem ser abordadas, se possível, com exemplos do cotidiano.
  • Para as empresas, vale o mesmo recado. Treinamentos periódicos voltados para o SER devem ser incluídos em seus programas. Garanto que todos aprovarão. E não fique com a ideia de que todos sabem de forma clara o que é ser Moral, Ser ético, etc. É um conteúdo que deve ser preparado e repassado em um programa de treinamento.

 

Precisamos cuidar das próximas gerações. Essa sociedade de consumo e de exposição está perdendo o rumo, o trem está fora dos trilhos. É necessário agirmos de forma rápida, para não termos que ficar assistindo a um show de horrores, de péssimos exemplos que está sendo imposto, não mais silenciosamente, mas de forma escandalosa.

 

Que tenhamos força, sabedoria e fé para enfrentar a situação.

 

Até a próxima!

 

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Métricas e Indicadores são um excelente aliado na melhoria da Gestão e da Qualidade.

enigma.consultoria Sem categoria Leave a comment  

Mário Sérgio Ribeiro (*)

Joseph Moses Juran, o guru da Qualidade, tem uma célebre frase: quem não mede, não gerencia. Quem não gerencia, não melhora. Parece bem claro o que mestre Juran diz, mas é preciso executar. Definir métricas e indicadores e de posse dos mesmos, elencar metas e de forma constante buscar pela melhoria contínua, parece ser algo claro e lógico.

 Nesse artigo desenvolvo esse tema que serve a todas as áreas de uma empresa. Apenas utilizo como exemplo uma área de vital importância nos dias atuais e que está presente em todos os setores que conhecemos: a TI, ou mais precisamente a Tecnologia da Informação. Vejamos…

 Vamos começar por tentar definir alguns termos que ainda existe certa confusão no mercado: medida, métricas e indicadores.

 Medida é a quantificação de dados em um padrão e qualidade aceitáveis (exatidão, completude, consistência e temporalidade). A Medida representa um dado.

 Métrica é uma extrapolação de medida, isto é, uma conclusão com base em dados finitos. Podemos entender como a relação entre duas medidas de grandezas iguais ou diferentes. Um exemplo pode ser a relação entre a quantidade total de chamados por mês no help desk de TI [número] e os chamados que são referentes a uma reclamação no mesmo período [número]. A Métrica representa uma informação.

 Indicador é uma representação de uma métrica para facilitar sua interpretação quando for comparada a uma referência ou alvo. Indicadores representam informações a partir das quais nós podemos avaliar uma dada situação e tirar conclusões. A seguir, um exemplo:

Em um dado mês foram medidos 500 chamados ao help desk e desses 500 chamados, 250 foram reclamações (sistema que não funciona, internet indisponível, etc.). Logo a relação 250/500 nos diz que 50% dos chamados em dado mês ao help desk são de reclamações. Então temos um indicador de reclamações no help desk para um dado mês: 50%.

 Esse indicador que conceituamos e, que na maioria das vezes é o único tipo que utilizado nas empresas, chamamos de Indicador de Resultados. Um Indicador dessa natureza monitora o efeito e não permite mais que se altere o resultado.

Entretanto, se quisermos de fato monitorar desempenho, por exemplo, dos processos e atividades de nossa Tecnologia da Informação, precisamos também ter o Indicador direcionador, que monitora a causa antes do efeito e traz a possibilidade de alterar o curso para que se alcance um determinado resultado.

 Vamos ilustrar o conceito voltando ao exemplo do help desk. A TI da empresa detectou que das 250 reclamações (50% dos chamados), metade deles, ou seja, 125 eram referentes à indisponibilidade com a Internet. Um Plano de Ação foi colocado em prática e em 30 dias um Indicador Direcionador foi determinado: que o percentual de reclamações junto ao help desk referentes à indisponibilidade da internet para o mês seguinte fosse de 10%.

 Ok, mostramos as definições e as ilustramos, mas, onde essas métricas e indicadores podem auxiliar ao gerenciamento de uma área tão complexa como a TI? Como elaborar essas métricas e indicadores? Como medi-los? Como interpretar os resultados para se ter uma melhoria contínua dos serviços? Vamos ver…

 Em mais de 30 anos de carreira raramente escutei em alguma empresa que a TI tenha 100% ou perto disso em termos de satisfação dos usuários e/ou do valor de suas entregas e serviços. São muitas as frases: “…TI é cara …TI não entrega o que promete…TI não entrega no prazo…faço minha reclamação e não sou atendido … esses caras ganham muito para fazer pouco…” e por aí vai o mundo de lamentações.

 Difícil comentar, mas minha experiência mostrou até hoje que existem assertividade e justiça em várias dessas reclamações, como também existe exagero e falta de conhecimento por parte do usuário ou cliente da TI em vários casos. O certo é que a TI é uma área nova no mundo dos negócios em relação às demais. E mais do que isso, é uma área técnica que carece de mecanismos de melhoria contínua de seus processos e atividades para alcançar seus resultados, para melhorar sua qualidade.

 Nessa linha de raciocínio e entre outras práticas que devem ser implantadas, a ideia de se elaborar e implantar métricas e indicadores para melhor gerir e governar a TI parece imperativo. Convencido da ideia você deve pensar qual deve ser o caminho? Por onde começar? O que fazer com os resultados medidos?

 A forma simples de se pensar e executar é sempre o melhor caminho. Lembrando que simplicidade não é sinônimo de se faltar com alguma coisa, de ser até negligente, é sim, o meio mais eficaz de se atingir um resultado desejado, otimizando todo e qualquer tipo de recurso.

Uma ideia de projeto pode ser:

 (1)  Olhar para a TI e ver como está estruturada em termos de processos e atividades de natureza estratégica, tática e operacional;

(2)  Para cada uma dessas três linhas, definir as métricas e indicadores desejáveis. Aqui é importante iniciar com poucas, mas as mais importantes métricas e indicadores. Critérios de importância devem ser definidos;

(3)  Como e quem irá medir as métricas definidas. Quais são os mecanismos utilizados para realizar a correta medição, qual a periodicidade;

(4)  Com as métricas medidas e os indicadores alcançados, realizar uma análise e fazer um benchmark com a área de atuação da empresa, ou, na falta da informação, com algo mais geral;

(5)  Nessa comparação, checar o quão estamos para o bem ou para o mal;

(6)  Definir “para onde queremos ir”.  Quais os indicadores a serem alcançados;

(7)  Elaborar um Plano de Ação e acompanhá-lo.

 Posso garantir a vocês que o resultado é notável. Realizamos diversos projetos de elaboração e implantação de Métricas e Indicadores em TI e em outras áreas além da TI e os resultados alcançados continuam sendo excelentes.

 Trata-se de uma prática que o setor industrial já o faz há muito, mas muito tempo. Vi isso de perto quando tive a oportunidade de trabalhar no setor industrial. Os resultados obtidos com essa prática para a indústria, assim como para qualquer outro setor que o implante, é auxiliar no controle de qualidade daquilo que se mede (produto, serviço, etc.). Esse parece ser o “pulo do gato”.

 A melhoria contínua da qualidade do produto/serviço com recursos otimizados, buscando alcançar padrões de excelência, é o desejo de todos. Joseph Duran dizia duas coisas para definir qualidade:

1. Qualidade são aquelas características do produto que atendem as necessidades dos clientes e, portanto, promovem satisfação com o produto;
2. Qualidade consiste na ausência de deficiências.

 Medir por si só não serve para nada se eu não sei o que fazer com o que foi medido. Se todo o projeto foi elaborado e executado de forma criteriosa, é possível retirar inúmeros benefícios de seus números, entre eles, a possibilidade de melhorar a qualidade daquilo que estamos produzindo e entregando aos nossos clientes. Interpretar o que os indicadores estão dizendo é um exercício extraordinário, é um mergulho naquilo que não está sendo planejado e executado dentro do que desejamos, do que o cliente deseja.

 Pelas já reclamações aqui citadas de usuários, alta administração, clientes, etc., a TI carece dessa prática. O valor da TI está sendo sempre medido por aquilo que ela entrega, como ela entrega, quando entrega e quanto cobra por isso. São inúmeros os processos e atividades que a TI exerce, inclusive, em vários desses processos, faz a Terceirização, o que pode aumentar seus riscos e alterar a perspectiva de valor para pior.

 Elaborar métricas e indicadores para a TI é uma forma de olhar “para o próprio umbigo” e enxergar o que eu não estou fazendo, ou se estou fazendo pouco. Essa, digamos, autocrítica, é o primeiro passo para controlar a qualidade daquilo que se faz.

 E fica aqui um recado final. Utilizei a TI como exemplo, mas a prática aqui comentada pode e, acredito até que deva ser utilizada por todas as áreas da empresa.

Até a próxima!

_________________________________________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Reflexões para 2015 (em 25jan15)

enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

Resolvi compartilhar nesse artigo, aliás, o primeiro de 2015, algumas reflexões que realizei sobre temas que trabalho e que há mais de vinte e cinco anos estudo e pesquiso. Farei isso sem uma ordem de prioridade do assunto; eles aparecerão de forma aleatória. Então, vamos lá.

Segurança da Informação

A maioria de vocês acompanha noticiário e devem ter reparado que nos últimos anos os casos envolvendo incidentes de segurança da informação crescem de forma vertiginosa, isso é fato. Esses incidentes, vindos de agentes de ameaça de dentro ou de fora da empresa não poupam ninguém. Pode ser empresa privada de qualquer porte, pode ser empresa pública, todos são alvos hoje em dia.

A competitividade e os interesses comerciais não são os mesmos de vinte anos atrás. Existe uma complexa teia comercial que envolve empresas de todos os portes, segmentos e tipo (privada, pública). E com o incremento espetacular da tecnologia da informação, tornou muito, mais muito mais fácil realizar qualquer transação, negócio, para o bem ou para o mal.

As pessoas, elo fraco nessa questão, também sabem disso, notadamente as mal intencionadas. Valores que eram cultuados em nossa sociedade há trinta anos saíram de moda, e deram lugar há outros “valores”. Isso tem mudado drasticamente, para minha tristeza. É preciso entender que existe hoje um punhado de pessoas que desejam se dar bem rapidamente, usando Maquiavel: o fim justifica os meios.

A informação continuará a ser por muito tempo o ativo, depois das pessoas, mais valioso que qualquer organização possa ter. E dessa forma é imperativo que a proteção da mesma seja realizada dentro das melhores práticas. É preciso ter em mente que quando estou falando em Segurança da Informação, falo de forma ampla, como deve ser, focada em: Pessoas, Processos e TI. É um erro crasso considerar apenas a parte da TI.

Nesse contexto, uma situação que não me parece muito fácil de lidar é com a potencialidade dos “celulares”, opa, digo, smartphones, de hoje em dia. Em uma velocidade espantosa tornaram-se um instrumento que não mais usa somente a voz, mas transmitem dados, fotos e vídeos em um piscar de olhos.

Para a Segurança da informação corporativa essas maquininhas devem ser consideradas uma ameaça; não há como pensar de outra forma. Imaginem a situação a seguir, absolutamente factível em qualquer empresa:

Alguém esquece um documento importante sobre uma mesa. Uma pessoa, de dentro ou de fora da empresa, com alguma intenção no momento ou guardando para um futuro, saca seu smartphone, bate uma foto (a resolução está cada dia melhor), envia para seu e-mail, para onde quiser, abre o local que enviou para certificar que chegou e faz a checagem, apaga a foto do aparelho e do e-mail enviado, para não deixar vestígio se alguma coisa der errada até sair da empresa. Realiza o processo em minutos.

Mas, o que a pessoa fará com a foto do documento que obteve? Eu tenho algumas conclusões e você certamente tem as suas. Posso garantir para vocês que as minhas não são nada boas.

E como tratar uma possibilidade como essa? Radicaliza-se, proibindo a entrada desses aparelhos? Assume-se o risco, e seja lá o que Deus quiser? Acha um meio termo, com políticas e controles de segurança? O fato é que a dinâmica do ambiente corporativo se alterna em uma velocidade dramática e por vezes temos a impressão de estarmos sempre atrasados em nossas ações. É difícil, mas se antecipar deve ser o verbo a se conjugar.

Fraudes e Corrupção

O ano de 2014 sem dúvida foi o ano dessa dupla: fraudes e corrupção. Durante os trezentos e sessenta e cinco dias do ano estimo que se houve uns dez dias de noticiário que não foi mencionada uma das duas palavras, ah, e mais a sua prima irmã Lavagem de Dinheiro, foi muito. Um verdadeiro absurdo!

E durante esse 2014 tive que responder muitas vezes a pergunta: professor, é possível se combater as dita cuja? Sim, desde que se queira. Metodologias e técnicas existem e estão aí para serem aplicadas. Falta atitude!

Ok, mas por que são tantas e ninguém as previne? Bingo, essa é a palavra, PREVINE. Ninguém as previne porque ninguém gosta ou acredita na Prevenção.

Fiquei refletindo porque a maioria acha sensacional o trabalho de A ou de B quando aparece na TV que foi pego fulano e cicrano que fraudaram alguma entidade em X milhões! Nossa, pegaram os caras! Que legal, parece bem bacana…só parece. Olhando pelo lado da interrupção do incidente, é ótimo, não haverá provavelmente mais prejuízo, mas é só. Há dois pontos aqui.

O primeiro é que para a esmagadora maioria desses incidentes não se consegue recuperar o que foi materializado, digo, a grana; ou, quando se consegue, o nível de recuperação é baixíssimo. Isso quer dizer que a maioria das perdas foi para o ralo mesmo.

Segundo. Se você for tecnicamente avaliar, a maioria desses incidentes de fraude e corrupção poderiam ter sido facilmente prevenidos evitando assim a sua materialização. E o custo da prevenção revela-se infinitamente inferior ao incidente materializado.

Fiquei pensando, ok, mas por que não se previne? Elucubrei algumas respostas:

  • Falta de interesse;
  • Falta de conhecimento dos resultados da palavra Prevenção;
  • Interesses escusos ou interesses paralelos;
  • Falta de recursos, digo grana, para investir na Prevenção (desculpa);
  • Nunca vai acontecer isso conosco, só com os outros (negligência);
  • E por aí vai.

Será que alguma coisa nesse cenário vai mudar para 2015?

Risco

Outra palavrinha que fiquei aqui pensando é sobre o Risco. Como a maioria do povo brasileiro parece não inseri-la em seu dia a dia. Se fizesse uma pesquisa na rua não sei se de cada dez dois acertariam com certa precisão a definição.

São tantos os acontecidos no ano passado e nos outros anos que já até lancei uma campanha para se ensinar o conceito de risco na escola, mas, enfim…vamos ver alguns exemplos:

A pessoa bebe e bebe muito e vai pegar o carro para dirigir… o cara compra três ar condicionado de muitas BTUs e não dá a mínima importância para sua capenga instalação elétrica … o camarada vai ao banco e saca 10 mil reais, enfia o dinheiro no bolso, fazendo aquele volume, que não chama a atenção de ninguém …a indústria armazena insumos de fácil combustão em áreas pouco arejadas e de rápida propagação de fogo … a pessoa volta do trabalho ou escola à noite e escolhe o caminho mais curto, mas aquele que é um verdadeiro breu … o cara sai com o helicóptero sabendo que no meio do caminho existe a previsão de que uma tempestade está se formando…o cara sabe que aquele morro já desbarrancou dezenas de vezes, mas vai lá e faz a sua casa …

Ligue a TV ou leia o noticiário diário que verá inúmeros, alguns até bizarros, riscos assumidos, como os citados. Aliás, não posso dizer se tratar de um risco assumido os exemplos que dei acima. Risco assumido é quando lhe é apresentado ou você enxerga o agente de ameaça, a ameaça, as vulnerabilidades, quantifica o risco e daí, o assume, como uma das respostas que são pertinentes à disciplina. Mas nos casos acima e tantos outros que temos nos deparado, é outra coisa, no mínimo, total negligência, falta de conhecimento, para não se falar algo mais grosseiro, sobre do que se trata o Risco.

No lado corporativo a coisa melhora um pouco, mas ainda há muito que se fazer. Infelizmente a maioria ainda prefere ter a sua base histórica para se mexer, aquela frase, que depois que passa a boiada é que vou fechar melhor o portão. Fazer o que, né? A maioria nem conhece os seus riscos e diz que eles estão assumidos, pois são baixos e não merecem tratamento, ou, pior ainda, nunca aconteceu então não vai acontecer!!!!

Quantificaremos quantas perdas dessas em 2015? Muda essa visão?

Tecnologia da Informação

Percebo claramente que ano após ano a área de TI da empresa deixa de ser vista como uma área técnica, que todos dependem e que geralmente nos traz problemas, para uma área estratégica, que guarda uma elevada importância nos negócios da empresa. Em alguns ramos inclusive, deixa de ser o suporte para os negócios, o coadjuvante, para ser o ator principal. Isso é notável!

Mas penso que existe ainda um bom caminho de melhorias. Fiquei pensando que a TI como provedora de serviços para seus clientes internos não tem um Controle de Qualidade de suas entregas. Falo aqui em Controle de Qualidade com base nas melhores práticas da indústria e não com Testes de sistemas, por exemplo, para se colocar em produção; não é nada disso.

Qualidade é um assunto delicado e exaustivamente discutido. Qualidade é entregar um produto/serviço dentro do que foi solicitado ou desejado pelo cliente, obedecendo a todas as especificações, requisitos e premissas, sem erro, sem imperfeições, sem volta. Isso deve ser feito dentro de prazos e custos muito bem planejados.

São raríssimos os casos em que vi uma área dessas de Qualidade dentro da TI. Na maioria parece que os caras não dão importância para o assunto, pois ainda estão resolvendo questões em outros níveis de maturidade. Mas, mesmo assim, é crucial pensar nesses tempos bicudos que Qualidade é básico, seu Controle é imperativo e sugerir melhorias a partir daí, passa a ser diferencial.

Era isso. Eu espero que tenhamos um 2015 de dedicação, trabalho e sucesso.

Até a próxima!

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

…Mas professor, quem realmente precisa de um PCN?

enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro 

Essa foi a pergunta que me foi feita em uma palestra recente: quem realmente precisa de um PCN? Toda e qualquer empresa? Apenas aquelas que têm alguém exigindo? O tom era um tanto desafiante, o que achei ótimo! Entre algumas das intenções, a pergunta tinha um endereço certo e parecia querer vestir a roupagem da maioria da Alta Administração das empresas que tem dúvida se o seu negócio precisa mesmo de um plano para o inesperado, que ninguém espera e claro, ninguém deseja. Agradeci a pergunta e depois de ter respondido, gostei tanto da questão, das discussões que se sucederam e pensei: porque não escrever um artigo sobre a questão?! Então, vamos lá. Vou tentar ser o mais didático e prático possível. Dessa forma vou dividir esse artigo em alguns tópicos. São eles:

  • Do que trata um Plano de Continuidade de Negócios (PCN)?
  • E o tal evento, ele ocorre mesmo?
  • E a chance de ocorrência do tal evento?
  • E o impacto, o que dizer dele?
  • Enfim, quem realmente precisa de um PCN?

Do que trata um Plano de Continuidade de Negócios (PCN)?

Um PCN é um documento que você elabora, implanta, treina e testa que tem por objetivo operar como um tratamento a um risco que pode ocorrer. Mas, que risco é esse? O risco de seus negócios pararem de operar por conta de algum evento, evento esse que pode vir até a provocar a descontinuidade do negócio. Esse evento pode assumir, em termos da magnitude de seu impacto, algumas classificações. Para facilitar as coisas vamos considerar quatro deles: pequeno, médio, alto e catastrófico impacto. Em um evento de pequeno impacto as operações do negócio serão poucas ou muito poucas afetadas; as perdas resultantes são baixas. Em um evento de médio impacto as operações já são mais afetadas, trazendo certa indisponibilidade nas operações, com perdas razoáveis, tanto financeiras como não financeiras. Mais um degrau, um evento de alto impacto trará consequências bem danosas para o negócio por conta da paralisação total de várias das operações críticas da empresa. E por último, o catastrófico, onde todas as operações críticas e também as menos críticas são afetadas, podendo provocar a descontinuidade do mesmo. Esse tal PCN pode proporcionar em algumas de suas primeiras etapas de projeto uma análise desse impacto no negócio e os riscos associados. E essa é uma das ótimas entregas dentro do projeto: proporcionar que a empresa conheça a magnitude do impacto em seus negócios e os riscos que estão associados. A partir desse entendimento e análise é possível pular para a etapa de quais estratégias a escolher e entre elas, as melhores em termos de custo-benefício de continuidade de seus negócios. Dessa escolha rumo para a elaboração de meu plano, o treinamento das equipes e os testes finais.

E o tal evento, ele ocorre mesmo?

Enquanto estava escrevendo esse artigo, ocorria na cidade de São Paulo um incêndio em um depósito de armarinho de média para grande proporção; eram mais de 150 bombeiros que há três horas lutavam contra as chamas. Prejudicados? A própria empresa que sofria o incêndio e os seus vizinhos. Mas por que os vizinhos? Certamente a área deve ser bloqueada para rescaldo e verificação de segurança e as edificações vizinhas certamente sofrerão as consequências dos bloqueios de acesso. Lembram-se do desabamento de um prédio ocorrido no centro do Rio de Janeiro no início de 2013, onde cinco quarteirões ficaram interditados por semanas? Pessoas morreram e negócios sumiram por não estarem preparados para esse evento. Inesperado? Sim. Ocorre? Sim! Ou um cliente nosso que em um belo dia pela manhã foi avisado que o prédio precisava ser evacuado para averiguação, pois foram detectadas diversas rachaduras em seu interior. O bom dessa história é que o cliente tinha um PCN estruturado, implantado e testado e pode acioná-lo; caso contrário, as consequências para o seu negócio seriam gravíssimas. A lista de eventos que não dão aviso de que vão acontecer é grande, e a quantidade de casos dos quais disponho também. O que quer dizer que esses eventos ocorrem, por mais que possa existir uma baixa probabilidade. Falando de outra categoria de evento temos aquele que eu chamo de “esperado oculto”. Esses eventos são aqueles que em uma linguagem popular falamos mais ou menos assim: olha, você está esperando que aconteça alguma coisa para consertar isso aqui? Quantas vezes já não escutamos ou falamos essa frase. Já que falei de incêndio, vou pegar esse evento como exemplo para explicar o “esperado oculto”. As causas de um incêndio podem ser diversas, inclusive criminosa. Uma boa estatística de incêndio ocorre por conta de uma instalação elétrica fora dos padrões normativos e também pela absoluta falta de manutenção. Pois bem, eu particularmente já entrei em algumas instalações e pensei: isso só está ainda de pé porque alguém está rezando todos os dias para que não ocorra nada! Era uma lástima a instalação elétrica do lugar. A chance de que um incêndio pudesse ocorrer era enorme. O que eu quero dizer é que não temos somente o que chamamos de evento inesperado, que pode ocorrer por ameaças externas, situações climáticas e outros. Temos também eventos ocultos, às vezes não tão ocultos assim, dentro de nossa casa, que podem desencadear uma situação de crise e paralisação das operações da empresa. E só para categorizar de onde esses eventos podem se originar, vai uma pequena lista:

  • Ameaças externas (a lista pode ser bem grande);
  • Pessoas (internas e externas);
  • Instalação (superestrutura e infraestrutura);
  • Tecnologia da Informação.

 

E a chance de ocorrência do tal evento?

Essa é uma das perguntinhas que pode fazer com que uma empresa tenha como justificativa Não fazer o tratamento de um risco de descontinuidade, implantando um PCN. Vamos tentar desmistificar. Interpretemos essa chance de ocorrência de duas formas. A primeira delas e a usada para Não fazer o tratamento com PCN é a estatística. O pensamento na prática é mais ou menos esse: se não ocorreu um incêndio, então nunca vai ocorrer…se a TI nunca ficou indisponível mais do que 20 minutos, nunca ficará 2 dias … se, se…É possível eu escrever um número bem grande de eventos por cada fonte. As pessoas acreditam que a probabilidade advinda da estatística é a sua justificativa para Não fazer o tratamento. Infelizmente sinto dizer que isso é um erro! Vejamos a seguir. Estamos em uma época sem precedentes da humanidade. Com o avanço espetacular dos sistemas computacionais, temos a oportunidade de prever muitas coisas, de termos banco de dados fantásticos, etc. Infelizmente não conseguimos prever tudo e em muitos casos, nem nos damos conta de fazer isso. O que ocorre é que eventos inesperados acontecem em diversas categorias e não temos como prever a chance de sua ocorrência. Qual a chance de você saber quando alguém sabotará sua empresa? Que um equipamento crítico de TI vai parar de operar e desencadear um processo em cadeia? Que uma rachadura aparece em sua instalação? Que a instalação hidráulica do vizinho de cima rompe e inunda seu CPD que está embaixo dele? Que um evento climático ocorreu de repente e que inundou toda a região de sua instalação? Que um prédio vizinho desaba por conta de uma obra de reforma? Que um bando de criminosos furta a fiação elétrica da rua de madrugada, provoca uma elevação de tensão em sua instalação, e um princípio de incêndio se inicia? Quando…quando…Nesses eventos citados poderia até existir estatística, alguns até já ocorreram, mas não são comuns e conceituamos como inesperados. E os “esperados ocultos” que falei no início do artigo? Esses também ainda não ocorreram, mas estão esperando uma “mãozinha” para ocorrerem. As vulnerabilidades e a falta de controles básicos acentuam o risco; e ainda não entraram para o rol da estatística. E os “quase acidentes”? Isso mesmo. São eventos que em algum dia acenderam o sinal amarelo de que algo está errado em alguma fonte de evento, e que se não nada for feito, bum!, ele volta e pode fazer um belo estrago. É muito comum, muito mais do que imaginamos. Tenho inúmeros exemplos de “quase acidentes” que viraram catastrófico para as empresas. Então, não posso me basear na estatística para Não fazer o tratamento com PCN? Definitivamente Não! Você pode justificar por outros argumentos, mas esse, sinto dizer, Não!

E o impacto, o que dizer dele?

Em uma etapa da construção do PCN você faz uma Análise de Impacto no Negócio, o que se convencionou chamar no mercado de BIA (business impact analysis). O BIA é uma importante etapa, pois nos dá, desde que feito de forma metodológica e por pessoal habilitado, a oportunidade de entender quais os impactos (financeiros e não financeiros) que um evento, que dure uma hora ou que seja catastrófico (duração perda permanente), pode trazer para meus negócios. E aqui podemos dizer que estamos chegando à resposta, título desse artigo. Por quê? Porque o BIA traz uma radiografia, diria até uma tomografia em 3D, dos impactos que os negócios sofrerão por conta de eventos de indisponibilidade. O BIA é a fonte das estratégias de continuidade que devo selecionar, estudar e adotar para os vários recursos que compõem o escopo de proteção do PCN. Uma coisa importante a citar aqui é o dueto que o impacto faz com a chance de ocorrência de um evento. Veja, daqueles vários exemplos que citei, podem existir vários que tenham uma pequena chance de ocorrência (credito essa pequena muito mais a estatística do que a outra análise), mas se ocorrerem, seu impacto pode ser catastrófico, isso é, a empresa pode sair de circulação se não tiver um tratamento para isso, quer dizer, um PCN estruturado.

Enfim, quem realmente precisa de um PCN?

Vocês devem estar falando: Professor, o senhor deve estar de brincadeira!! Faz-me ler um monte de páginas para chegar aqui com a resposta? É que eu estou contando a história para vocês de como a coisa se desenrolou na palestra, só que aqui eu posso escrever, me aprofundar, lá tinha que ser resumido, ok? Bem, vamos à resposta. Em seguida a pergunta, que é título do artigo, a pessoa comentou que sua empresa teria certa disponibilidade de dias em algumas áreas e até de semana em outras, caso um evento de proporções maiores ocorresse. E que dessa forma, será que sua empresa precisaria mesmo de um PCN? O PCN é um tratamento de um risco. Ao pensar em tratar um risco você tem algumas alternativas, entre elas: aceitar, transferir e mitigar.

Aceitar, em nossa discussão seria: “vou deixar do jeito que está, e se acontecer algo, penso na hora o que vou fazer”. Não acredito que um evento possa ocorrer … minha empresa é pequena …não tenho dinheiro para isso…posso ficar algumas semanas sem instalação, TI, etc. que não vai acontecer nada com meu negócio, até eu achar outro lugar para dar continuidade. Enfim, encontro alguma justificativa e pronto, não faço nada.

Transferir. Se acontecer um incêndio, por exemplo, meu negócio está no seguro (vide o caso do incêndio no depósito de armarinho que citei no início do artigo). Transferi diversos riscos para um seguro, e se algo acontecer recebo o dinheiro. Ok, mas e o negócio, continua onde? Com quem? Como? Em alguns casos funciona como parte da estratégia.

Mitigar tem a ver com a redução de algum risco. Aqui nessa alternativa estacionamos nosso PCN. Se ter um PCN é ter a possibilidade real de continuar a operar o negócio, em caso de um evento de certa magnitude, essa é a alternativa escolhida. Tirando as empresas que são obrigadas por regulamentações de órgãos reguladores, não conformidades apontadas por auditorias externas/internas e outros, o restante das empresas estabelecem o plano e a gestão da continuidade de negócios se desejarem. A questão é saber o quanto desejam assumir o risco. Risco é uma questão de Governança, e cada empresa deve saber “onde aperta seu calo” nesse quesito. Se sua empresa, como da pessoa que fez a pergunta, que disse que a empresa poderia ficar dias e até semana sem operar em alguns processos que não traria maiores consequências, e que acreditava que não precisaria de um Plano, mesmo assim, é importante saber e colocar no papel o que você fará se a crise se estabelecer. Sinceramente eu não consigo listar processos críticos em alguns negócios que possam ficar dias ou semana sem operar, mas…
Na lista de dispensa de um PCN incluo agências bancárias, supermercados e semelhantes. A estratégia de continuidade nesses casos é a agência mais próxima, a loja de supermercado mais próxima.

No mundo extremamente competitivo que vivemos vários ramos e negócios, independentes de tamanho, não podem assumir o risco de não poderem, do dia para noite, não terem como operar mais. Se forem obrigados ou não a terem um Plano desses, é fundamental a demonstração de que conhecem e entendem o risco e, que desenvolveram e estruturam estratégias mitigatórias para o risco maior de uma possível descontinuidade. Funcionários, Acionistas, Clientes, Parceiros, Seguradoras, etc. por certo agradecem a Alta Administração dessas empresas!

Até a próxima! ________________________________________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

É absolutamente imperativo focar nas Pessoas em primeiro lugar. (06jun14)

enigma.consultoria Sem categoria Leave a comment   ,

Mário Sérgio Ribeiro (*)

Na semana passada o noticiário de jornais e principais portais do país davam conta de que o Itamaraty vinha sendo alvo de hackers que promoveram ataque contra o sistema de comunicação interna, que serve ao Ministério das Relações Exteriores e às embaixadas brasileiras pelo mundo. Não há dimensão dos atos, mas certo que dados pessoais de diplomatas e telegramas secretos podem ter sido acessados. Como ocorreu a invasão? O velho e conhecido “phishing”, uma técnica de engenharia social tecnológica que utiliza mensagens falsas com anexos e/ou links para o usuário clicar e ter seus dados e senhas capturados; nesse caso, os anexos vinham disfarçados de comunicados oficiais do Itamaraty. Estima-se que pode chegar a 5.000 as contas hackeadas, considerando a invasão de sistemas nas embaixadas. Qual o impacto financeiro e operacional do ocorrido? Algo novo e inusitado? Certo que não!

Maio de 2013, Edward Snowden inicia sua série de vazamento de informações classificadas como sigilosas pelo governo americano. Coloca em uma “sinuca de bico” Barack Obama, revelando detalhes da espionagem que a NSA, a agência de segurança da informação americana, faz em líderes de governo, empresas, etc., exceto cidadãos americanos. Pergunta: como Snowden teve acesso à informações sigilosas tendo apenas um cargo mediano, de analista, em uma agência que supostamente deva ter os melhores controles do mundo?

Outra. O último relatório divulgado pela ACFE em 2014 dá conta de que as organizações perdem 5% de suas receitas em fraudes ocupacionais (praticada por um colaborador com um cargo na empresa), o que projeta a cifra global de U$ 3,7 trilhões. Levam-se em média 18 meses para se detectar uma fraude e quem mais detecta não é ferramenta tecnológica, auditorias, etc., é uma “ferramenta” conduzida por pessoas e atende pelo nome de Denúncia Anônima. Em 42,2% dos casos quem salvou a Pátria foram pessoas denunciando pessoas, o que representa em 1.483 casos relatados o número de 626 denúncias anônimas! No caso da pesquisa da ACFE, só para você ter uma ideia, ferramentas de detecção ficaram com 1,15% dos 1.483 casos relatados, o que dá 17!!! Pouco, né?

Dois fatos e uma pesquisa em que o centro das atenções são Pessoas. No primeiro fato citado, um ato não intencional que provoca um impacto danado. No segundo fato, um ato intencional (vazamento de informação) em um local que se supunha em teoria que tivesse os melhores processos e ferramentas de controle de segurança da informação. E por último, pessoas agindo como uma “ferramenta” de controle, na prevenção de detecção de ilícitos, como fraudes, corrupção, etc.. Ok, mas afinal, aonde eu quero chegar com isso? Qual a relação dos fatos ocorridos e de uma pesquisa de um órgão independente, conceituado e sem nenhum interesse comercial? É isso que vou dissecar nesse artigo.

Primeiro um alerta. Atuo com Segurança da Informação, Combate a Fraudes e outros riscos operacionais há quase 30 anos. Sinto-me um estudante voraz em busca de conhecimento, mesmo com 55 anos. Nesse período venho procurando dizer a todos que convivi e convivo profissionalmente (colaboradores de minhas equipes, clientes potenciais e clientes ativos, alunos e até amigos pessoais) que para mitigar o risco de eventos indesejados com as informações da empresa e de ativos tangíveis, é imperativo focar sempre as atenções em Pessoas. Não há melhor receita! Processos, Segurança física e Controles Tecnológicos são outros pilares, mas não devem ser tratados com  prioridade maior do que as Pessoas. Nunca! É um erro! Agindo dessa forma você inverte a ordem das coisas: coloca o tratamento da consequência em primeiro lugar e a Causa em segundo plano. Isso está errado.

Bem, vamos em frente…

Vamos classificar nosso personagem Pessoas em três categorias distintas. Na primeira delas vamos defini-las como alguém que comete erros e não há intenção de qualquer tipo de ganho com o ato cometido; essa categoria vamos classificá-la como Pessoas sendo um Agente Não Intencional de Ameaça. Pessoas como agente  e a ameaça como algo danoso que pode ocorrer por conta do erro cometido. No caso 1, o erro foi clicar no anexo e a ameaça é patrocinada pelo o que o phishing deseja, a princípio, capturar dados e perpetrar ilícitos a partir daí.

No caso do Snowden, temos a segunda categoria que é a do Agente de Ameaça Intencional. Snowden tinha a intenção de causar algum ganho, de causar um impacto com sua ação e ela foi intencional, a partir do instante em que ele começa a coletar informações, que certamente não deveria ter acesso.

E por último a categoria de Controle, isso mesmo, Controle. Pessoas podem funcionar muito bem como controles para mitigarem riscos. É o caso do Canal de Denúncias de Fraudes e ilícitos semelhantes. Vejam, e funciona! Quase a metades das detecções feitas foram por conta desse controle, mostrados na pesquisa da ACFE. Do que depende essa ação? Da conscientização das Pessoas em realizarem a denúncia de que uma fraude esteja ocorrendo ou está prestes a ocorrer.

Vejamos o primeiro caso, o recebimento de uma mensagem falsa por e-mail, com uso da engenharia social tecnológica tendo como seu ator um hacker, utilizando-se do “phishing”. Como tantos caíram? Só lá no Itamaraty que ocorre isso? Quem clicou no anexo? Por que clicou? As pessoas que trabalham no Itamaraty ou outras tantas que caíram e caem nesse golpe, tem uma constante conscientização e educação sobre esse e outros tantos riscos da segurança da informação? Qual foi a última vez que alguém falou sobre isso dentro da empresa, conscientizando e educando as pessoas, se é que falou? Quanto do orçamento é dedicado ao tema?

Infelizmente encontram-se muitas empresas que enviam um e-mail para todos da empresa dizendo: pessoal, acessem a Intranet da empresa leiam as políticas, códigos e normas, deem um clic que entenderam…, ok? Você, sinceramente, com tantos afazeres estaria convencido a fazer a leitura de um simples e-mail desses e clicar Ok, eu li e entendi? Para que se adota essa prática? Para cumprir o que auditoria pede? Que um órgão regulador questionou? Essa prática não funciona em hipótese alguma! Ninguém vai ler nada…não vai entender nada…e não vai praticar da forma que você deseja que se pratique. Se você quer fazer a coisa certa, tratando a Causa (Pessoas), precisa colocar no “sangue” delas, no DNA da empresa, a conduta certa, e isso se faz por meio de palestras muito bem planejadas, com cunho pedagógico, com didática e por pessoas capacitadas e habilitadas a conduzir a questão. Não adianta pegar um técnico de TI, profundo conhecedor de técnicas hackers, por exemplo, colocar ele lá na frente porque você não tem custo, e pronto, resolvi o problema. Tem esse técnico a habilidade e capacidade pedagógica e didática de conscientizar as Pessoas que estão ali escutando? Pense nisso. Além disso, é necessário ter um Programa de Conscientização e Educação planejado, e que é executado o ano inteiro, e se renova ano após ano. Não é para fazer no ano 1 e depois lembrar e fazer no ano 4. São inúmeras as variáveis nessa questão que mudam em uma velocidade muito grande. Se não for realizado dessa maneira, não funciona.

Ok, você até concorda com o que eu falo, mas infelizmente só lembra-se de fazer quando a porteira já escancarou…ou não consegue convencer a Alta Administração da empresa a fazê-lo? Com tantos casos populando pela mídia, é difícil alguém no topo não perceber a necessidade. Só posso entender que eles assumem o risco ou é pura negligência.

Veja na sua empresa qual foi a última vez que você fez uma campanha de conscientização e educação em segurança da informação. Veja também, qual foi a última vez que você fez a revisão de sua política, de seu código de ética, de suas normas de segurança. Na maioria, e não é privilégio seu, devem ter pelo menos uns três anos sem revisão.

O agente de ameaça intencional, categoria 2, ele existe nas empresas, mas ainda bem que é minoria em relação a categoria 1. Essas pessoas também são conscientizadas e educadas a fazer o certo e cumprirem o que for determinado. Mas, em um dado momento na empresa, por conta de pressões/motivações internas e/ou externas e oportunidades, passam para o lado do não legal, do crime. Se formos pegar o caso do Snowden em detalhes é claro que podemos encontrar algumas falhas de controles dentro da NSA, mesmo sendo a NSA. Snowden não comenta como conseguiu as informações, talvez em um livro que por certo lançara, mas usou sua inteligência e cometeu o abuso. Mas a pergunta: como detectar um agente de ameaça intencional na empresa? O que poderia ter evitado a ação de Snowden?

 

Com elevado QI e considerado um “gênio da computação”, Snowden não deve ter deixado rastros em suas coletas. Controles tecnológicos que devem existir em abundância e qualidade na NSA, por certo não detectaram as ações de Snowden. E onde Snowden poderia ser pego? Somente Pessoas que conhecessem seu perfil, seus hábitos, temperamento, personalidade poderiam ajudar nesse sentido. Por mais frio que o agente de ameaça intencional seja, alterações ocorrem em seu comportamento verbal e não verbal. Algumas atitudes e temperamento ficam alterados nesse período. O que não fazia antes, começa a fazer; agia de um jeito e começa a agir de outro…traços de um perfil de alguém que está fazendo alguma coisa errada começam a saltar os olhos daqueles mais próximos.

 

Ok, mas onde você quer chegar? Na 3ª categoria do início de meu artigo: Pessoas funcionando como controles. Uma empresa é feita de várias equipes de trabalho com alguém liderando, um gestor. É assim que a coisa anda.

 

Em primeiro lugar precisamos ter gestores de pessoas e não somente de resultados. Esses gestores precisam estar aptos e treinados para identificar uma “maça podre” no meio das outras. Precisamos de líderes de fato. Se não o temos, precisamos treiná-los, para incentivar, promover, para pensar para frente, mas também para servir de escudo, de barreira aos maus intencionados. É possível treinar um gestor para agir dessa forma? Claro que sim! E podem ter certeza, trata-se de um excelente e eficaz controle.

 

Em segundo lugar, as pessoas de uma equipe precisam trabalhar em prol da equipe e consequentemente da empresa. Precisam ser conscientizadas e educadas no sentido de proteger a empresa das “maças podres”. Não se trata de caça as bruxas, mas sim, de se criar um ambiente em que se preze as condutas esperadas pela empresa: ganha a empresa, ganha a equipe e ganha você!

 

No segundo caso, particularmente, podemos estar falando do Canal de Denúncia, do início de nosso artigo, quando mencionamos os índices da pesquisa da ACFE. Se planejado e implantado dentro das melhores práticas, o Canal de Denúncia pode funcionar como um controle preventivo de ilícitos, isto quer dizer, que eu posso chegar antes da perda. Ah, e falando em perda, a mesma pesquisa da ACFE relata que em 54% dos casos pesquisados não houve nenhuma recuperação depois de anos de investigação e execução; apenas em 14% dos casos ocorreu total recuperação do prejuízo.

 

Como conclusão propomos a empresa de qualquer porte, com vista a mitigar o risco de vazamentos de informação, fraude, corrupção, etc. a planejar e implantar os seguintes processos/controles:

 

Segurança da Informação:

1. Política, Normas complementares e procedimentos operacionais;

2. Programa de Conscientização de Segurança da Informação (envolvendo palestras presenciais, gravação de vídeos, boletins, etc.) para colaboradores, gestores e alta administração.

 

Fraude, Corrupção e ilícitos semelhantes:

1. Política Antifraude e Anticorrupção;

2. Código de ética e de conduta;

3. Treinamento Antifraude para colaboradores;

4. Treinamento Antifraude para gestores e alta administração;

5. Canal de Denúncia.

 

Era isso!

 

 

Até a próxima!

 

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Precisamos criar a cultura de realizar Testes com maior frequência. (06mai14)

enigma.consultoria Sem categoria Leave a comment   , , , , ,

(*) Mário Sérgio Ribeiro

Ao escolher o tema Teste para escrever esse artigo, fiquei pensando na primeira vez em que tive que me defrontar com essa fatídica palavra. Acho que eu estava com 3-4 anos e frequentava o que na época chamava parque infantil. Fui desafiado por um coleguinha a subir em um brinquedo, que eram cubos de ferro que se entrelaçavam até uma altura de uns 5 metros, acho. Era um primeiro Teste, um Teste que mostraria o quanto eu estava preparado para vencer o medo ou não. Com dificuldade cheguei ao final, mas lembro de que ao descer, me desequilibrei e tomei um tombo. Acho que a adrenalina baixou e desprezei a descida; nada grave, mas ficou a lição.

Eu como você passamos nossa vida pessoal e profissional sendo testados a todo o momento. Em alguns deles temos tempo de planejar no que vamos ser testados e em outros não temos esse tempo de planejamento e temos que usar nosso conhecimento e experiência adquiridos para, digamos, passar no Teste, ou pelo menos enfrentá-lo.

Então chegamos a um primeiro ponto. Nós, como seres humanos em constante evolução, somos testados em muitos momentos em nossa vida. Aproveitamos os resultados de cada Teste que somos submetidos para avaliar onde temos pontos fracos e onde temos nossos pontos fortes; esperamos que da próxima vez que o dito Teste aparecer, esteja melhor, corrigindo, se não todos, alguns dos pontos fracos mais críticos e mantendo intacto ou melhorado nossos pontos fortes. E assim caminhamos…

Essa introdução trata apenas de uma reflexão sobre como nós seres humanos inconscientemente temos esse tema ao nosso lado durante nossa existência. Resolvi escrever sobre o mesmo em face de uma indagação realizada um dia desses por um amigo sobre a Copa do Mundo no Brasil. Bradava o amigo sobre a correria para se deixar tudo pronto para a dita cuja data de 12 de junho. Dizia o amigo: “Vi as pessoas se preocupando com os superfaturamentos de tudo, com os atrasos, etc., mas não vi ninguém se preocupando em saber se as obras e tudo que tem ser realizado, e claro, serão entregues aos 47 do segundo tempo, estão passando pelos devidos Testes. Será que alguém tá vendo isso?”. Palavra mágica: Testes!

Sem entrar em detalhes na discussão da Copa do Mundo e tudo que está ficando para trás, respondi ao amigo como um engenheiro de formação que sou, mas que não atua na área há 30 anos, que no caso de obras de engenharia as normas técnicas são rígidas e exigem uma quantidade muito grande de Testes; afinal de contas, são vidas humanas que estão em jogo. Não posso acreditar, a despeito da correria, que Testes obrigatórios tenham sido “esquecidos” em nome de entregar o que tem ser entregue no prazo para a FIFA. Não posso pensar ao contrário! Espero que tudo tenha sido feito dentro das normas.

Uma empresa, instalada em uma determinada edificação, com processos de negócios e/ou de manufatura definidos e em operação, tocados por pessoas e com o apoio incondicional da Tecnologia (da informação, automação e de outras), como ela encara a questão dos Testes? Para detalhar um pouco a questão tenho que fixar a abrangência dessa minha conversa. Não tratarei aqui dos Testes em processos de manufatura, em função de ser totalmente obrigatório para o negócio e uma exigência do mercado. Nessa abrangência do escopo falaremos do serviço e consequentemente de processos de negócios.

Comecemos pela Instalação física de sua empresa. São várias engenharias envolvidas em uma edificação comercial: civil, elétrica, hidráulica, incêndio, etc. A manutenção preventiva dos itens dessas engenharias é imperativo, qualquer coisa ao contrário, é negligência pura. Testes devem sempre ser planejados e executados quando algo novo deve ser implantado ou algo deve ser reformado ou retirado. Mudanças devem ser sempre, sempre testadas! Nesses Testes, conforme detalharemos mais à frente, a premissa número 1 é encontrar os pontos fracos à exaustão.

Existe alguém em sua empresa destacado para isso? Está capacitado para a função? Existe gestão sobre o assunto? Não, minha instalação é em um condomínio e isso está na mão do síndico/administradora, ele cuida de tudo… Uma série de acidentes poderia ser evitada pela absoluta negligência que administradores tratam essa questão. Você sabia que existe uma especialidade na engenharia que trata de combate a incêndio? Existe um livro sobre o assunto que tem mais de 400 páginas. É pouco? Pense nisso!

E as Pessoas, existem Testes para elas? Sim, existem, e não são somente os realizados para a admissão na empresa. Os Testes que eu quero tratar são aqueles a serem executados durante o contrato de trabalho. Já vi muita experiência boa por aí. Por exemplo, empresas que antes de saírem para o mercado na procura de um profissional para uma dada vaga fazem um processo seletivo interno, composto de Testes, análise de currículo e entrevista. Excelente! Outro tipo de Teste que muitas empresas adotam é a chamada Avaliação 180 ou mesmo a 360º, onde o profissional pode ser avaliado pelo gestor, por um par, por um subordinado e recebe o resultado de seus pontos fortes e fracos em uma conversa. Se bem implantado, trata-se de uma eficaz alternativa de melhoria nas Pessoas. Áreas de Compliance, Controles Internos e Segurança da Informação, por exemplo, também realizam Testes com Pessoas. Por exemplo, para quem atua no setor financeiro e de seguros tem o Teste de capacitação na prevenção a lavagem de dinheiro, na segurança da informação, tem os Testes para avaliar a conscientização e educação dos colaboradores quanto a SI e a Engenharia Social.

E a TI, hein? O que podemos falar dela? Teste é um item que o profissional de TI aprende a soletrar desde criancinha. Deve-se testar tudo antes de se colocar em produção, essa é a máxima. Antes de se colocar um determinado hardware (uma estação de trabalho, por exemplo) deve-se testar, um sistema, deve se testar, um link de comunicação, deve-se testar, estratégias de contingência, deve-se testar…O Teste faz parte da vida da TI e de seus profissionais. O que acontece, infelizmente, é que o Teste é a última linha do cronograma de um projeto e até chegar lá, normalmente a grana e o prazo já foram para o ralo. E então? Bem, ou não se faz, ou se faz na meia boca, como dizemos no linguajar popular. Na melhor hipótese faz-se o Teste, aponta os pontos fracos e há prazo e grana para se fazer um novo Teste e colocar o item em produção; na pior hipótese, coloca-se o item em produção sem Teste algum. Problemas? Muitos! As áreas de negócios que dependem da TI cada vez mais, rezam…os profissionais de TI sabem disso e rezam também, quando invariavelmente caem nessa ciranda.

E os processos da empresa, o que temos para eles? É muito importante para qualquer empresa que ela tenha seus processos definidos, projetado seus fluxos e pessoal treinado para utilizá-los. A falta dessa maturidade com relação aos processos e a consequente não implantação de padronização das atividades de negócios, sabemos que pode aumentar e muito o risco operacional nas empresas. Quantos incidentes podem ter por conta de processos que em Testes realizados notamos que estão mal desenhados? Que faltam atividades em seu fluxo? Que entidades relacionadas estão cumprindo atividades que não são suas?

É fundamental que a área de Risco Operacional juntamente com Compliance, Controles Internos, Segurança da Informação, TI e Auditoria Interna trabalhem juntas para diminuir os riscos de incidentes relacionados aos processos. Por exemplo, a área de Compliance e Controles Internos devem ter anualmente elencados em um cronograma, quais são os Testes que devam ser realizados e em qual periodicidade; segurança da informação e TI a mesma coisa. Fraudes, vazamento de informação, espionagem industrial, sabotagem e mais um sem número de ameaças podem ter sua origem em processos que não tem o devido nível de maturidade implantado. E testando encontramos suas fraquezas.

É isso, esse é o mote! Devemos planejar e executar Testes com o intuito de buscar ferozmente os pontos fracos daquilo que estamos testando. Aquele celebre frase que você já deve ter ouvido, “…realizamos todos os Testes e deu tudo 100% certo; nada saiu errado…” , pode até ser verdade, o que na grande maioria dos casos eu duvido. É importante termos em mente sempre que planejamos e executamos Testes que estamos buscando as fraquezas, e não somente o que está operando eficazmente.

Quando você for pensar em realizar Testes deve elencar três etapas:

Etapa 1 – Planejamento

Etapa 2 – Execução

Etapa 3 – Avaliação

 

Na Etapa 1 – Planejamento, algumas atividades que você deve pensar são:

  • Qual o objetivo ou objetivos dos Testes a serem realizados
  • Qual o Escopo e a abrangência
  • Avaliar possíveis restrições dos Testes
  • Desenvolver as estratégias dos Testes (tempo, métodos, cenários, etc.)
  • Especificar logística para o Teste (se for o caso)
  • Especificar a programação do Teste (fase de preparação e execução)

 

Já a Etapa 2 – Execução, algumas atividades que você deve pensar são:

  • Coordenador dos Testes checa todos os itens preparatórios
  • Coordenador dá início aos Testes
  • Pessoas/equipes destacadas fazem as anotações necessárias durante a execução dos Testes
  • Coordenador finaliza os Testes

 

Já a Etapa 3 – Avaliação, algumas atividades que você deve pensar são:

  • Compilam-se todas as informações coletadas dos Testes
  • Relata os Pontos fracos e pontos fortes dos Testes
  • Avalia-se de forma geral e propõem-se Recomendações

 

Entendo que a dinâmica das empresas nos dias atuais não permite que Testes sejam realizados da forma mais periódica possível. Entretanto, considero fundamental que itens críticos dentro de instalações, pessoas, TI e processos devam merecer atenção especial. A Alta Administração deve ser sensibilizada e entender que os Testes devem fazer parte do orçamento das áreas e apoiá-los. É sempre melhor encontrar os problemas em Testes do que na “vida real”. Para quem gosta de futebol tem uma máxima antiga: “É melhor errar na hora do treino e corrigir, do que na hora do jogo.”

Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br