A Fraude Ocupacional: entendendo e mitigando a Oportunidade.


Mário Sérgio Ribeiro (*) O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Read more

Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Precisamos criar a cultura de realizar Testes com maior frequência. (06mai14)

6 de maio de 2014 enigma.consultoria Sem categoria Leave a comment   , , , , ,

(*) Mário Sérgio Ribeiro

Ao escolher o tema Teste para escrever esse artigo, fiquei pensando na primeira vez em que tive que me defrontar com essa fatídica palavra. Acho que eu estava com 3-4 anos e frequentava o que na época chamava parque infantil. Fui desafiado por um coleguinha a subir em um brinquedo, que eram cubos de ferro que se entrelaçavam até uma altura de uns 5 metros, acho. Era um primeiro Teste, um Teste que mostraria o quanto eu estava preparado para vencer o medo ou não. Com dificuldade cheguei ao final, mas lembro de que ao descer, me desequilibrei e tomei um tombo. Acho que a adrenalina baixou e desprezei a descida; nada grave, mas ficou a lição.

Eu como você passamos nossa vida pessoal e profissional sendo testados a todo o momento. Em alguns deles temos tempo de planejar no que vamos ser testados e em outros não temos esse tempo de planejamento e temos que usar nosso conhecimento e experiência adquiridos para, digamos, passar no Teste, ou pelo menos enfrentá-lo.

Então chegamos a um primeiro ponto. Nós, como seres humanos em constante evolução, somos testados em muitos momentos em nossa vida. Aproveitamos os resultados de cada Teste que somos submetidos para avaliar onde temos pontos fracos e onde temos nossos pontos fortes; esperamos que da próxima vez que o dito Teste aparecer, esteja melhor, corrigindo, se não todos, alguns dos pontos fracos mais críticos e mantendo intacto ou melhorado nossos pontos fortes. E assim caminhamos…

Essa introdução trata apenas de uma reflexão sobre como nós seres humanos inconscientemente temos esse tema ao nosso lado durante nossa existência. Resolvi escrever sobre o mesmo em face de uma indagação realizada um dia desses por um amigo sobre a Copa do Mundo no Brasil. Bradava o amigo sobre a correria para se deixar tudo pronto para a dita cuja data de 12 de junho. Dizia o amigo: “Vi as pessoas se preocupando com os superfaturamentos de tudo, com os atrasos, etc., mas não vi ninguém se preocupando em saber se as obras e tudo que tem ser realizado, e claro, serão entregues aos 47 do segundo tempo, estão passando pelos devidos Testes. Será que alguém tá vendo isso?”. Palavra mágica: Testes!

Sem entrar em detalhes na discussão da Copa do Mundo e tudo que está ficando para trás, respondi ao amigo como um engenheiro de formação que sou, mas que não atua na área há 30 anos, que no caso de obras de engenharia as normas técnicas são rígidas e exigem uma quantidade muito grande de Testes; afinal de contas, são vidas humanas que estão em jogo. Não posso acreditar, a despeito da correria, que Testes obrigatórios tenham sido “esquecidos” em nome de entregar o que tem ser entregue no prazo para a FIFA. Não posso pensar ao contrário! Espero que tudo tenha sido feito dentro das normas.

Uma empresa, instalada em uma determinada edificação, com processos de negócios e/ou de manufatura definidos e em operação, tocados por pessoas e com o apoio incondicional da Tecnologia (da informação, automação e de outras), como ela encara a questão dos Testes? Para detalhar um pouco a questão tenho que fixar a abrangência dessa minha conversa. Não tratarei aqui dos Testes em processos de manufatura, em função de ser totalmente obrigatório para o negócio e uma exigência do mercado. Nessa abrangência do escopo falaremos do serviço e consequentemente de processos de negócios.

Comecemos pela Instalação física de sua empresa. São várias engenharias envolvidas em uma edificação comercial: civil, elétrica, hidráulica, incêndio, etc. A manutenção preventiva dos itens dessas engenharias é imperativo, qualquer coisa ao contrário, é negligência pura. Testes devem sempre ser planejados e executados quando algo novo deve ser implantado ou algo deve ser reformado ou retirado. Mudanças devem ser sempre, sempre testadas! Nesses Testes, conforme detalharemos mais à frente, a premissa número 1 é encontrar os pontos fracos à exaustão.

Existe alguém em sua empresa destacado para isso? Está capacitado para a função? Existe gestão sobre o assunto? Não, minha instalação é em um condomínio e isso está na mão do síndico/administradora, ele cuida de tudo… Uma série de acidentes poderia ser evitada pela absoluta negligência que administradores tratam essa questão. Você sabia que existe uma especialidade na engenharia que trata de combate a incêndio? Existe um livro sobre o assunto que tem mais de 400 páginas. É pouco? Pense nisso!

E as Pessoas, existem Testes para elas? Sim, existem, e não são somente os realizados para a admissão na empresa. Os Testes que eu quero tratar são aqueles a serem executados durante o contrato de trabalho. Já vi muita experiência boa por aí. Por exemplo, empresas que antes de saírem para o mercado na procura de um profissional para uma dada vaga fazem um processo seletivo interno, composto de Testes, análise de currículo e entrevista. Excelente! Outro tipo de Teste que muitas empresas adotam é a chamada Avaliação 180 ou mesmo a 360º, onde o profissional pode ser avaliado pelo gestor, por um par, por um subordinado e recebe o resultado de seus pontos fortes e fracos em uma conversa. Se bem implantado, trata-se de uma eficaz alternativa de melhoria nas Pessoas. Áreas de Compliance, Controles Internos e Segurança da Informação, por exemplo, também realizam Testes com Pessoas. Por exemplo, para quem atua no setor financeiro e de seguros tem o Teste de capacitação na prevenção a lavagem de dinheiro, na segurança da informação, tem os Testes para avaliar a conscientização e educação dos colaboradores quanto a SI e a Engenharia Social.

E a TI, hein? O que podemos falar dela? Teste é um item que o profissional de TI aprende a soletrar desde criancinha. Deve-se testar tudo antes de se colocar em produção, essa é a máxima. Antes de se colocar um determinado hardware (uma estação de trabalho, por exemplo) deve-se testar, um sistema, deve se testar, um link de comunicação, deve-se testar, estratégias de contingência, deve-se testar…O Teste faz parte da vida da TI e de seus profissionais. O que acontece, infelizmente, é que o Teste é a última linha do cronograma de um projeto e até chegar lá, normalmente a grana e o prazo já foram para o ralo. E então? Bem, ou não se faz, ou se faz na meia boca, como dizemos no linguajar popular. Na melhor hipótese faz-se o Teste, aponta os pontos fracos e há prazo e grana para se fazer um novo Teste e colocar o item em produção; na pior hipótese, coloca-se o item em produção sem Teste algum. Problemas? Muitos! As áreas de negócios que dependem da TI cada vez mais, rezam…os profissionais de TI sabem disso e rezam também, quando invariavelmente caem nessa ciranda.

E os processos da empresa, o que temos para eles? É muito importante para qualquer empresa que ela tenha seus processos definidos, projetado seus fluxos e pessoal treinado para utilizá-los. A falta dessa maturidade com relação aos processos e a consequente não implantação de padronização das atividades de negócios, sabemos que pode aumentar e muito o risco operacional nas empresas. Quantos incidentes podem ter por conta de processos que em Testes realizados notamos que estão mal desenhados? Que faltam atividades em seu fluxo? Que entidades relacionadas estão cumprindo atividades que não são suas?

É fundamental que a área de Risco Operacional juntamente com Compliance, Controles Internos, Segurança da Informação, TI e Auditoria Interna trabalhem juntas para diminuir os riscos de incidentes relacionados aos processos. Por exemplo, a área de Compliance e Controles Internos devem ter anualmente elencados em um cronograma, quais são os Testes que devam ser realizados e em qual periodicidade; segurança da informação e TI a mesma coisa. Fraudes, vazamento de informação, espionagem industrial, sabotagem e mais um sem número de ameaças podem ter sua origem em processos que não tem o devido nível de maturidade implantado. E testando encontramos suas fraquezas.

É isso, esse é o mote! Devemos planejar e executar Testes com o intuito de buscar ferozmente os pontos fracos daquilo que estamos testando. Aquele celebre frase que você já deve ter ouvido, “…realizamos todos os Testes e deu tudo 100% certo; nada saiu errado…” , pode até ser verdade, o que na grande maioria dos casos eu duvido. É importante termos em mente sempre que planejamos e executamos Testes que estamos buscando as fraquezas, e não somente o que está operando eficazmente.

Quando você for pensar em realizar Testes deve elencar três etapas:

Etapa 1 – Planejamento

Etapa 2 – Execução

Etapa 3 – Avaliação

 

Na Etapa 1 – Planejamento, algumas atividades que você deve pensar são:

  • Qual o objetivo ou objetivos dos Testes a serem realizados
  • Qual o Escopo e a abrangência
  • Avaliar possíveis restrições dos Testes
  • Desenvolver as estratégias dos Testes (tempo, métodos, cenários, etc.)
  • Especificar logística para o Teste (se for o caso)
  • Especificar a programação do Teste (fase de preparação e execução)

 

Já a Etapa 2 – Execução, algumas atividades que você deve pensar são:

  • Coordenador dos Testes checa todos os itens preparatórios
  • Coordenador dá início aos Testes
  • Pessoas/equipes destacadas fazem as anotações necessárias durante a execução dos Testes
  • Coordenador finaliza os Testes

 

Já a Etapa 3 – Avaliação, algumas atividades que você deve pensar são:

  • Compilam-se todas as informações coletadas dos Testes
  • Relata os Pontos fracos e pontos fortes dos Testes
  • Avalia-se de forma geral e propõem-se Recomendações

 

Entendo que a dinâmica das empresas nos dias atuais não permite que Testes sejam realizados da forma mais periódica possível. Entretanto, considero fundamental que itens críticos dentro de instalações, pessoas, TI e processos devam merecer atenção especial. A Alta Administração deve ser sensibilizada e entender que os Testes devem fazer parte do orçamento das áreas e apoiá-los. É sempre melhor encontrar os problemas em Testes do que na “vida real”. Para quem gosta de futebol tem uma máxima antiga: “É melhor errar na hora do treino e corrigir, do que na hora do jogo.”

Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

Compliance – importância, relacionamentos e desafios – 07abril14

7 de abril de 2014 enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Após os escândalos da Enron, WorldCom e outras no início dos anos 2000, áreas como Compliance e Controles Internos começaram a ganhar o devido destaque dentro das organizações. De lá para cá, outros tantos escândalos ocorreram, uma enxurrada de regulamentações entraram no ar e a função Compliance vem tomando páginas de jornal e TV, como antes não se viam por aqui. E como consequência, claro, valoriza-se a carreira, paga-se melhor aos profissionais da área. Mas…

Crescendo a importância e responsabilidades, na mesma proporção vem os desafios a serem enfrentados. Desafios esses que trazem em seu bojo a necessidade de claramente definir o papel desse “novo Compliance” que se espera. Como a área deve se estruturar, discutir como será o relacionamento com outras áreas da empresa, como, e esse um dos grandes desafios, inserir o Compliance no “DNA da empresa”, como se alinhar a Governança Corporativa. Enfim, como administrar isso tudo?

A palavra Compliance tem origem no verbo em inglês “to comply” que significa executar o que lhe foi imposto, o que significa à empresa estar em conformidade é o dever de cumprir e fazer cumprir regulamentos internos e externos às suas atividades. Por aí já podemos deduzir um dos principais desafios a ser enfrentado pela área: ser e estar em Compliance são uma obrigação individual de cada colaborador dentro da empresa.

Segundo a ABBI e a FEBRABAN Compliance tem como missão: “assegurar, em conjunto com as demais áreas, a adequação, fortalecimento e o funcionamento do sistema de Controles Internos da Instituição, procurando mitigar os riscos de acordo com a complexidade de seus negócios, bem como, disseminar a cultura de controles para assegurar o cumprimento de leis e regulamentos existentes.” Nessa definição de Compliance existem duas palavrinhas de grande complexidade: riscos e controles.

Os riscos de Compliance a que se atém a missão pode ser desmembrado em dois: o risco de imagem e reputação e o risco legal. O risco de imagem e reputação consideramos intangível, não é como um risco com impacto financeiro, que pega diretamente no bolso da empresa e se consegue medir em reais. É diferente. Ele ataca aquilo que a empresa ficou a sua vida inteira construindo: sua marca e a reputação que carrega. Não consigo medi-lo com números, mas consigo saber se tal impacto pode ser mínimo, ou pode jogar a marca “barranco abaixo”. O mercado e seus consumidores regem o que deve ser feito com a empresa. Exemplo? Veja o caso recente da Siemens. Olhe os esforços que tem sido feito pela Alta Administração da empresa e pelo seu Compliance Officer mundial para “limpar a barra” de bobagens feitas no passado. Quer outro bom exemplo, e meus alunos que leem esse artigo vão se lembrar, veja o documentário Enron, os mais espertos da sala. É simples assim!

Diferente do Risco de imagem e reputação, onde quem julga é o mercado, no Risco legal o problema é com os reguladores e a justiça. Pegamos por exemplo uma nova dor de cabeça que aparece para a área de Compliance: a Lei 12.846, a chamada Lei Anticorrupção em vigor desde 29 de janeiro último. Ela é completa sob a ótica dos riscos. Tem o risco de imagem e reputação, por conta da repercussão e do envio da empresa culpada para o CNEP (cadastro nacional de empresas punidas), tem o risco econômico-financeiro, por conta das pesadas multas e tem o legal, onde a empresa e seus proprietários podem ser processados civil e criminalmente.

Um aluno um dia desses em uma aula fez-me uma pergunta onde tive que vestir um chapéu um tanto espinhoso: “Professor, se o senhor fosse o presidente, dono da empresa, o que faria, como pensaria para criar essa área, a tal função de Compliance nos dias atuais?”.

Antes de começar, uma explicação para algo que uma parte dos que estão lendo esse artigo devem estar estranhando. Caramba, o presidente pensando sobre a função Compliance, isso não é demais? Não deve ser “mais embaixo” na estrutura? Alguém não tão poderoso?

O aluno contextualizou o Compliance dentro da mesma importância e características de trabalho da Auditoria Interna: autonomia e independência. Quanto mais alto colocado na estrutura, mais autonomia e mais independência para atuar. Tudo bem, se trata de um exercício, que nem sempre na vida das empresas é assim. Mas, voltemos..

Uma vez eu li em algum lugar, livro ou artigo, que o que existe de mais solitário no mundo é a Decisão. E essa de nosso presidente não fica atrás. Bem, vamos enfrentar então…

Começaria por enumerar os passos que teria que tomar e executar:

1. Convocaria as pessoas de minha confiança para escutar o que eles

conhecem e teriam para falar sobre o assunto;

2. Faria um benchmarking informal do mercado usando meu networking;

3. Compilaria essas informações e voltava com o pessoal de confiança;

4. Traçaria o perfil do profissional e solicitaria à área competente da empresa a
busca pelo profissional. Requisito imprescindível: conduta moral e ética
absolutamente ilibada;

5.  Contrataria esse profissional sem pressa;

6. Na primeira reunião de trabalho, solicitaria um Plano Estratégico da Área
para ser apresentado em 15 dias.

7. Deixaria claro nessa primeira reunião que esse profissional responderia
diretamente a mim, o presidente.

O Compliance Officer para o presidente: se o senhor encerrou, eu preciso de pelo menos um profissional emprestado de alguma área, dois seria ideal, para auxiliar nesse trabalho? Presidente; Ok, concedido. Fale com o diretor de RH.

E agora o chapéu do Compliance Officer, meu Deus, 15 dias para preparar um Plano desses…mãos à obra…um mínimo seria:

1. Levantar tudo que for possível sobre a empresa (negócios, cultura organizacional, governança corporativa, incidentes de compliance, etc.), o que existe de normativos, regulamentos, etc. na qual a empresa necessita cumprir,

o que há hoje na empresa de políticas, normas, códigos, etc.;

2. Compilar e ter entendimento das informações coletadas;

3. Preparar um Plano anual que tenha pelo menos os seguintes itens:

  • Missão da área;
  • Propósito;
  • Resultados esperados a curto e médio prazo;
  • Estruturação da área (posicionamento na estrutura organizacional, profissionais (quantos, perfil, descrição de trabalho, etc.);
  • A função do Compliance (os riscos de compliance, as responsabilidades, programa de treinamento, elaboração de políticas, manuais, códigos, enfim, o O Que e o Como de tudo que for da função);
  • A matriz de responsabilidades com outras áreas (Controles Internos, Risco, Auditoria Interna, Segurança da Informação, TI, RH, Jurídico);
  • A relação com Órgãos Reguladores e de Fiscalização;
  • Orçamento anual da área (custeio e investimento).

4. Preparar o ppt e ir para a “arena”!

O Compliance Officer (CO) quando estiver montando seu Plano e na arena fazendo sua apresentação, deve saber que o antigo Compliance de cumprimento de normas ficou para trás. O novo Compliance deve estar totalmente alinhado com a Governança Corporativa da empresa, sendo um de seus pilares, trazendo para a corporação credibilidade e confiabilidade; pensar no que há de melhor mundialmente de práticas de negócios e incorporar na empresa.

Entre tantos espinhosos desafios, acredito que o mais complicado, e isso deve ficar muito bem demonstrado quando o CO estiver na arena, é falar da necessidade de colocar no sangue da empresa, das pessoas que por ela trabalham, a necessidade de entenderem e praticarem o Compliance. Para esse desafio não deve se poupar esforços e recursos. O risco de Compliance que falamos no início é perpetrado por pessoas e não por alienígenas. São pessoas que lavam dinheiro, cometem fraudes, subornam, são negligentes com controles, vazam informação confidencial, etc.  Dessa forma, pessoas são o elo fraco dessa corrente de Compliance. Deve haver um grande esforço no desenvolvimento de padrões éticos, de condutas morais; isso começa no processo de seleção de candidatos, se intensifica durante o contrato de trabalho e se perpetua, se for o caso, com um ético processo de desligamento. Antigo mais ainda funciona nesses tempos bicudos: o exemplo vem das pessoas de cima!

Claro que existe uma série de outras atividades da função de Compliance que poderíamos estar aqui falando e detalhando, como a dura atividade de se relacionar com reguladores e fiscalização, com gestores de áreas internas da empresa, que são parceiros diretos do Compliance. Mas se seu tivesse que escolher um elo dessa corrente de trabalho de Compliance, que se mostra como um grande desafio, eu não tenho dúvida em apontar os colaboradores da empresa. Se você conseguir colocar o Compliance no DNA da empresa, pode começar a pensar em dormir mais tranquilo!

Até a próxima!

____________________________________________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Engenharia Social: uma ameaça silenciosa nas empresas. (27fev14)

27 de fevereiro de 2014 enigma.consultoria Sem categoria Leave a comment   , ,

Mário Sérgio Ribeiro (*)

Leonardo di Caprio na pele de Frank Abagnale Jr em Prenda-me se for capaz, com seus disfarces e golpes milionários ou Kevin Mitnick, considerado o maior hacker e engenheiro social de todos os tempos, que ganhou fama, foi perseguido, preso e hoje está com os bolsos cheios de seus livros e palestras, são exemplos da aplicação de uma técnica que está por toda parte, em todas as empresas e, que de forma silenciosa, pode trazer graves problemas se não for entendida e tratada seus riscos. Ela atende pelo nome de Engenharia Social e vamos nesse artigo explorar um pouco a ameaça por trás dela.

 Se você puxar por sua memória verá que em pelo menos alguma vez em sua vida alguém tentou aplicar uma engenharia social em você; talvez esse “engenheiro social” nem sabia que estava ganhando um título de “engenheiro” ao aplicar tal técnica e até mesmo não sabia que era uma técnica. De toda forma, o fato é que a Engenharia Social definida como uma técnica capaz de manipular pessoas, enganando-as, para que forneçam informações ou executem uma ação desejada pelo executor (engenheiro social), podendo ocorrer interna ou externamente ao ambiente da empresa é uma ameaça às organizações e das grandes!

 Apenas para alinharmos nosso discurso, a Engenharia Social encontra-se no domínio Pessoas, quando classificamos a Segurança da Informação em domínios.  Os outros três domínios são: Tecnologia da Informação, Processos e Infraestrutura física. E complementando o que todos nós sabemos há muito tempo, Pessoas é o elo fraco da corrente de segurança da informação.

 Quando disse no parágrafo anterior que a Engenharia Social pode ocorrer interna ou externamente, é porque existe o engenheiro social interno e o engenheiro social externo. Infelizmente, a maioria das notícias dá conta de que parece apenas existir o engenheiro social externo, personificado na figura dos hackers; eles enviam, por exemplo, pishing para a lista de e-mails da empresa, e pescam os, digamos, ingênuos ou outras qualificações que exploraremos a seguir de plantão que tem em todo lugar. Ou telefonam para uma e para outro até obter a informação desejada, ou, deixam cair um disquete no saguão da empresa até que um incauto abaixe, lê o rótulo, enfia no bolso e insere em seu driver para saber detalhes da etiqueta que lhe deixou tão curioso (essa é uma das muitas histórias de Kevin). O que estava escrito na etiqueta? O logo da empresa e o título: “Folha de Pagamento – fevereiro de 2014”.

 Ledo engano dos que acreditam apenas existir o engenheiro social externo; o interno existe e pode ser muito, mas muito mais perigoso. Um colaborador formal, um terceiro atuando em período integral nas instalações da empresa, um parceiro/terceiro que não atue de maneira integral, mas é rotineira sua presença na empresa, são alguns exemplos do engenheiro social interno, que pode ter motivações muito mais diversificadas e danosas à empresa do que o externo.

 E o que desejam esses engenheiros sociais internos? Na mesma linha do externo, enganar, manipular pessoas para que façam o que desejam: informações que eles não poderiam obter de forma lícita e ações que somente essas pessoas podem executar para favorecê-lo de alguma forma. Com as informações coletadas ou ações tomadas pelo seu alvo, podem iniciar uma lista de ilícitos. Vejamos alguns:

  • Todo e qualquer tipo de fraude interna;
  • Roubo de propriedade intelectual;
  • Sabotagem com ou sem o intuito de extorsão;
  • Vingança contra a empresa e/ou seu chefe;
  • Vazamento de informação à concorrência mediante ganho financeiro;
  • Espionagem industrial;
  • A lista é grande …

As pessoas em sua maioria acreditam serem pensadores independentes, mas a realidade é que é fácil fazer com que as pessoas sigam instruções, ainda mais se eu faço parte do corpo funcional da empresa. E esse é o intuito do Engenheiro Social: fazer com que as pessoas obedeçam e sigam as suas instruções.

 Apesar da nossa crença de que não seguimos instruções dadas pelos outros, a realidade é que para cada vez que você recusa, existem milhares de vezes em que você obedece. Desde que eu me conheço por gente nós naturalmente seguimos instruções. Vejamos algumas condições onde a maioria de nós obedece a instruções e saiba, o engenheiro social sabe do que vou dizer.

 Uma grande parcela de pessoas obedece a instruções quando se sente ignorante a respeito da situação em que está. Por exemplo, vamos pegar o tema TI. Olhe para o interior de sua empresa e veja que a maioria das pessoas sente-se relativamente ignorante a respeito do tema. Isso é mais evidente quando percebem que outras pessoas sabem mais do que elas. Um engenheiro social interno que tenha esse conhecimento acima da média, nem precisa ser um técnico de TI, pode usar isso em benefício próprio para conseguir obediência. Na maioria dos casos, um usuário normal vai sempre seguir sua instrução, pois o “cara” sabe mais do que eu, é um especialista. E não se trata de falta de inteligência do usuário e sim um sentimento localizado que se relaciona com as circunstâncias específicas nas quais o alvo se posiciona.

Nos enganamos se acreditarmos que somente os “menos inteligentes” são os alvos do engenheiro social. Segundo algumas pesquisas, uma das premissas mais fortes para explicar a engenharia social é a tentativa de explorar a ingenuidade das pessoas, e essa característica pode pegar o menos ou o mais inteligente.

 Outra característica explorada é tal da Credulidade das pessoas. Essa tal credulidade tende a aumentar se elas recebem uma oferta de benefícios cada vez mais atraentes. Um exemplo famoso ficou conhecido pela Fraude 419 (419 refere-se à parte do Código Criminal Nigeriano que trata de fraude). Você recebe um e-mail de um parente de um príncipe africano que tem uma história de milhões que estão bloqueadas em uma conta bancária em algum lugar. Escolheram você para transferir os fundos por meio da sua conta bancária e por isto você vai receber uma comissão de um milhão …você deve pagar uma pequena quantia…e chega o dia e o dinheiro não cai na conta…Você acha que tem gente que não cai nessa? Cai e cai em outras variantes desse golpe. Mas por quê?

 Parece que quanto maior for a promessa, mais os nossos processos lógicos conscientes dão espaço para a ganância que há no nosso subconsciente. É em função dessa lógica que uma grande quantidade de pessoas chega a você e dizem o que elas fariam com o dinheiro viessem a ganhar na loteria do que falar da probabilidade irrisória de elas realmente ganharem.

 Os Engenheiros sociais sabem e exploram com muita naturalidade e maestria o desejo de sermos amados, isso é próprio e necessário ao ser humano. Kevin Mitnick sabia disso e usava com incrível habilidade essa, digamos, necessidade do ser humano. São inúmeros os casos contados por Kevin onde o alvo eram pessoas que ele percebia serem solitárias, o que ampliava ainda mais esse desejo.

 Por último, o ser prestativo com os colegas de trabalho, praticada incentivada por 100 entre 100 empresas. O ser prestativo em um ambiente de trabalho é não dizer não para um colega, mesmo sabendo em seu subconsciente que a pessoa que te pediu uma determinada informação não deveria poder obtê-la, pelo simples fato de não ter direito de acesso sobre ela. Ou o prestativo que pode vir do lado do engenheiro social, como nos inúmeros casos em que um engenheiro social de forma engenhosa, atua sobre um colega de trabalho que vai sair de férias, com a seguinte ação: “Ricardo, você vai sair de férias na semana que vem, certo? Então deixe sua senha comigo para o caso de acontecer imprevistos, e você sabe, eu não quero te atrapalhar em suas férias caso…” Ou pelo outro lado de atuação, buscando o amigo de trabalho prestativo: “ Carlos, os caras de informática, sempre aqueles caras, ainda não liberaram o meu acesso no sistema de contas a receber e eu preciso gerar uns relatórios. Empresta sua senha e seu token para eu gerar os relatórios e depois te devolvo.” Não preciso comentar…

 O objetivo primário do engenheiro social é desenvolver a confiança para que ele possa em seguida executar o ataque. É essencial que a área de Segurança da Informação ou quem cuide do tema entenda muito bem os processos que compõem o desenvolvimento da confiança. Para entendermos e nos protegermos dos ataques de engenharia social, é importante que entendamos onde devem ficar os limites da confiança.

Um engenheiro social precisa adquirir a habilidade necessária para desenvolver confiança em seu alvo que seja proporcional à tarefa que ele vai solicitar ao alvo. Um ataque pode ser facilmente executado em um único telefonema, enquanto outros requerem semanas para que se desenvolva a confiança necessária para lograr êxito.

 Ministrando uma palestra um dia desses, onde o tema engenharia social foi abordado, uma pessoa perguntou: “Professor, mas como mitigar o risco dessa ameaça presente em todas as empresas?” A resposta é simples nas palavras, mas construída aos poucos dentro da empresa: entender o tamanho do risco e implantar conscientização e treinamento.

 Sabendo que a ameaça existe e está presente, conhecer o tamanho do risco é procurar identificar nossas vulnerabilidades e o que estamos fazendo, se estamos fazendo alguma coisa para mitigá-la. Em nossos trabalhos de consultoria utilizamos uma Metodologia de Testes de Engenharia Social para testar vulnerabilidades de engenharia social de uma organização. Trabalhamos com níveis de progressão, onde no nível 1 não temos informações internas, no nível 2 temos informações internas e no nível 3 temos ajuda interna ativa. E a partir daí realizamos os Testes em cinco etapas, onde a última é o relatório final, onde a base é a análise do risco com as recomendações.

 O outro lado da solução é a Implantação de um Programa de Conscientização e Treinamento com objetivos claros:

 1. Promover a conscientização sobre a ameaça do ataque de engenharia social (interno e/ou externo)

2. Treinar os usuários para cumprir e apoiar as medidas defensivas de segurança sistêmica que protegem as informações e sistemas de ataque.

3. Entender o perfil e como pensa e age um Engenheiro Social.

 Como conclusão desse artigo gostaria de deixar um recado. Se existem inúmeras evidências que Pessoas é considerado o Domínio “elo fraco da corrente de segurança da informação” as empresas devem focar seus controles para ele. Os engenheiros sociais internos e externos sabem disso e exploram essas fraquezas e você nunca deve subestimar sua capacidade de atuação. Trabalhar de forma ininterrupta a cabeça das pessoas de sua empresa é uma atitude que você não pode deixar de fazer. Não se atenha somente a um domínio (Tecnologia da Informação), como muitos erroneamente se atêm. Os quatro domínios da Segurança da Informação devem ser todos avaliados, e o das Pessoas, bem, esse você já sabe.

 Até a próxima!

 _______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

A Indisponibilidade da TI custa caro! (03-fev-14)

3 de fevereiro de 2014 enigma.consultoria Sem categoria Leave a comment  

Por Mário Sérgio Ribeiro (*)

Ano após ano a Tecnologia da Informação e Comunicação, alguns chamam de TIC outros apenas TI, ganha importância no ambiente corporativo. Podemos até dizer, que uma grande parcela dos negócios hoje tem uma dependência total da TIC. Com a missão de ser a custodiante da informação nas empresas e não a sua proprietária, e entre “tantas lutas” que seus gestores são obrigados a travar, uma das que tiram o sono é um dos seus pilares: manter a Disponibilidade da Informação, manter os negócios operando e se viável, sem qualquer paralisação. É possível? E quando não o for, qual o custo disso?

 Pesquisas recentes mostram que grandes corporações tentam operar com um número mágico de 99,9999% de disponibilidade dos serviços de TI ao longo dos 365 dias do ano. Veja, eu estou falando de grandes corporações que têm um orçamento para a área colossal, alguns deles girando entre 5% -15% da receita bruta da empresa.

 Fazendo a conta para 100%, ainda restam 0,0001% de chance de ocorrer uma indisponibilidade, uma paralisação dos serviços de TI; rápido, em minutos temos: 365 dias x 24 horas x 60 minutos = 525.600 minutos em um ano de 365 dias. Então acompanhe: 0,0001% equivalem há aproximadamente 52 minutos e meio. É pouco? Parece que sim. Mas veja, isso pode acontecer em uma única vez e em um dia crítico para os negócios da empresa (terrível hipótese) ou pode ocorrer diversas vezes, em pequenas doses homeopáticas ao longo do ano e em dias pouco crítico (melhor hipótese). Em uma boa parcela, ainda bem, ocorre à segunda hipótese: pequenas indisponibilidades ao longo do ano.

 Mas no mundo dos mortais, que é o da grande maioria das empresas, a história é outra. Existe um conjunto de itens que se somam e que aumentam os problemas: falta dinheiro, falta entendimento dos riscos de TI pelos “homens da caneta”, falta o gestor de TI saber mostrar esses riscos, falta governança e gestão da TI e por aí vai…Mas como começar a melhorar essa situação?

 Para responder a essa questão vamos apenas nos ater ao pilar da Disponibilidade da Informação, esquecendo-se da Confidencialidade, Integridade e outros atributos importantes da ciência da informação, onde a TIC é sua custodiante. Então vejamos a seguir.

 Entendo a Indisponibilidade nos Processos de Negócios

A TIC existe porque existe o negócio, e consequentemente, os processos e atividades que tocam o negócio. Dessa forma, a TIC precisa saber com detalhes o que uma indisponibilidade sua (seus ativos computacionais) pode afetar a operação dos processos de negócios; de forma simples, qual seria o impacto financeiro e o impacto na imagem e reputação da empresa se cada um dos processos de negócios sofresse uma paralisação por conta da TIC? O nome disso: BIA (business impact analysis) ou em tradução literal, Análise de Impacto do Negócio.

 Já sei, você deve estar pensando que já ouviu falar em BIA, mas foi para fazer um Plano de Continuidade de Negócios, um Plano de Recuperação de Desastre de TI ou outro nome semelhante. Você está certo! Usamos o BIA para um PCN/PRDTI, mas não devia ser assim. O BIA deve ser usado pela TIC para pensar em suas estratégias de recuperação de ativos computacionais para eventos de baixa, média, alta interrupção e não somente para permanente interrupção (evento de desastre). Isso é feito? Na quase totalidade das empresas NÃO! Por quê?

 Difícil explicar o porquê. Falta de conhecimento sobre os benefícios do método? Falta de mão de obra para aplicar o BIA? Falta de dinheiro? O fato é que os benefícios de uma Análise de Impacto do Negócio com um foco voltado para a TIC é enorme. Entre tantos, os investimentos que a TIC deve fazer em estratégias de recuperação para qualquer evento, estará amplamente apoiada e justificada pelas áreas de negócio, que são as responsáveis por diversas informações coletadas durante o BIA. E mais, com o apoio do BIA, a escolha das estratégias de recuperação para quaisquer tipos de eventos quanto ao seu período de indisponibilidade tem sua lógica e implantação determinada em função do negócio e não da TIC.

 Outro argumento interessante para o uso do BIA. O conhecido RTO (recovery time objective) que o pessoal da TIC conhece como o tempo testado que se consegue recuperar recursos e serviços de TI pós uma paralisação, ganha um aliado na busca para diminuir seu número: o MTD, ou o período máximo tolerado pelo processo de negócio para que não haja perda. Por exemplo, se eu tenho um RTO acordado com o negócio de uma hora para um cenário que envolva a paralisação de um dado serviço de um sistema, o MTD coletado pode apontar que esse número é alto demais, em face das perdas que o processo sofrerá. Nesse ponto deve haver uma discussão entre as áreas sobre risco a se assumir ou risco a ser mitigado. Ao final da discussão pode se chegar à conclusão de que o investimento a ser feito na TIC para igualar o RTO ao MTD vale e muito a pena! Quem possibilitou se chegar até aqui? A Análise de Impacto do Negócio. É simples!

 A Análise de Risco da TIC é algo periódico

Se a quantidade de ativos computacionais de uma TIC de uma média empresa pode ser muito grande, imagine a possibilidade de eventos esperados e inesperados que podem ocorrer e daí, quebrar o importante pilar da TIC que é a Disponibilidade da Informação. Garanto a você pela peculiaridade desses ativos tecnológicos que as chances são muitas. O caminho?

 O gestor de TIC que não gosta de ter surpresa e de ter que viver com um “extintor de incêndio” debaixo do braço, tem como seu aliado a periódica análise do risco de seus ativos computacionais mais críticos. Riscos analisados, medidos e tratados, esse prudente gestor monitora diariamente seu sistema de controles para avaliar sua eficácia e com isso, colocar sua cabeça no travesseiro e dormir no final da jornada. Quantos fazem isso? Poucos, muito poucos. Não existe cultura. Não existe uma disciplina na grande maioria dos currículos de graduação que trate de riscos de TIC. Só quando o cara coloca o pé em algum curso de pós ele verá alguma coisa, mas mesmo assim, com pouquíssima carga horária. Ou aprendeu pela dor, ou porque ouviu falar, ou por qualquer outro motivo. Mas uma coisa é certa: a prudência aqui é periodicamente fazer a análise do risco e cotidianamente avaliar o seu sistema de controles. Ajuda e muito a empresa e o coração de nosso gestor de TIC. É fato!

 Os Planos para serem usados quando de uma Indisponibilidade

A TIC é conhecida, principalmente por auditores, por sua incapacidade em não documentar quase nada, para não dizer nada. Documentação de sistema, dos processos, de testes …enfim, é uma questão por demais conhecida. São raros os bons exemplos. E no caso de Planos para cenários de indisponibilidade, acontece o mesmo problema? Na grande maioria das empresas a resposta é SIM, não temos documento. Qual é a sugestão?

 

A TIC criar pelo menos dois documentos a partir da elaboração do BIA e Análise de Risco. São eles: um Plano de Contingência, para indisponibilidades de baixa e média intensidade e, um Plano de Recuperação de Desastre, para indisponibilidades permanentes no site atingido.

 Entre tantos benefícios desses documentos é a possibilidade de, que por meio de uma metodologia estruturada, ter um documento formal chamado de Plano, que pode ser usado sem improvisações, que é periodicamente testado para avaliar seus pontos fracos e continuamente melhorado. Bingo! E mais, o teste periódico, e a consequente melhoria de versão para versão, serve para treinar a equipe, deixar ela mais madura, com mais “musculatura”, mais confiante.

 Um fator chave de sucesso para ter documentos de qualidade, como os mencionados, é sem dúvida a escolha da metodologia. Deve ser simples, sem devaneios, mas que preencha todas as necessidades que o tema sugere. Além disso, o método escolhido para elaborar os Planos deve trazer como resultado documentos limpos, claros, e de rápido e fácil entendimento. O que deve se pensar é que em uma crise a ansiedade cresce, o pensamento pode ficar perturbado e ter documentos de difícil leitura e compreensão, só piora a situação.

 Como conclusão fica aqui um alerta. O mundo ideal é que a TIC esteja em qualquer situação com um RTO de zero ou próximo disso. Sabemos que isso não existe, então é necessário que as áreas de negócio e a área de TIC estejam devidamente alinhadas sobre impactos de indisponibilidade da TIC (financeiro e de imagem e reputação). Que os investimentos que forem feitos na TIC por conta de recuperar pequenas/médias indisponibilidades ou mesmo um desastre, foram os de melhor custo-benefício que a empresa encontrou. Para isso é importante que haja comunicação entre as áreas e documentos formais devidamente assinados.

  

Até a próxima!

______________________________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

A Lei Anticorrupção entrará em vigor. O que fazer? (11dez13)

11 de dezembro de 2013 enigma.consultoria Sem categoria Leave a comment   , ,

Por Mário Sérgio Ribeiro (*)

Em 1º de fevereiro de 2014, daqui a quase cinquenta dias, entrará em vigor no país a Lei nº 12.486, já chamada de Lei Anticorrupção, que dispõe sobre a responsabilização administrativa e civil contra a administração pública, nacional e estrangeira. Dessa data em diante haverá uma Lei que punirá pessoas jurídicas por irregularidades cometidas por qualquer um de seus funcionários, no âmbito que dispõe a Lei. E agora, o que fazer? Como se preparar?

 Pela regra que ainda existe, uma empresa só é punida após os investigadores comprovarem o ato ilícito de algum funcionário, por exemplo, subornando um agente público e, depois, o prévio conhecimento da empresa. O impossível: provar que ele atuava seguindo ordens! Quando se conseguia algo produtivo, como a rara condenação, ela recaía apenas sobre os empregados. Isso deve mudar com a Lei.

 De 1º de fevereiro em diante as empresas não mais poderão alegar desconhecimento do que acontece com seus colaboradores, coligadas, consorciadas, controladas e fornecedores e os órgãos estatais no país, e no exterior. Por trás o conceito da responsabilidade objetiva: a empresa será considerada culpada porque não evitou o pagamento de propina, por exemplo. Sanções? Sim, e como! Multas de até 20% do faturamento bruto, proibição de receber incentivos ou financiamentos públicos, nome inscrito no CNEP (Cadastro Nacional de Empresas Punidas) e até suspensão das atividades. É pouco?

 Ok, não é pouco e pode custar muito, até a sua descontinuidade. Então, o que as empresas devem fazer para evitar cair nessa Lei? Não é uma resposta tão simples como parece, mas há bons caminhos. Vejamos.

 O primeiro deles é a empresa ter em mente que os Valores que a maioria delas menciona junto com a Visão e Missão, em que geralmente Ética e Boas práticas de governança corporativa são alardeadas, de fato existem na prática cotidiana da empresa. Esse tom deve vir do alto da pirâmide da empresa e com exemplos, não somente com falas e códigos escritos. Não deve ser desprezado em hipótese nenhuma o que se chama de “rádio peão”; se uma prática inadequada é executada pela Alta Administração, é quase certo que a rádio peão se encarrega de distribuir a informação para o restante da empresa. É preciso desenvolver uma Cultura baseada de fato nos Valores mencionados, onde geralmente a Conduta Moral e Ética é o bastião. Essa Cultura deve fazer parte do DNA da empresa, na prática.

 A Ética impõe padrões de pensamentos, afirmações e ações que orientam as pessoas a agir bem e direito, ao invés de fazer o que é fácil e cômodo. Nessa linha, é fundamental que os Líderes percebam sua importância.

 É responsabilidade de o líder dar bom exemplo, os funcionários observam e agem como o líder e decidem o que é certo com base no que o líder faz. Independentemente dos princípios e valores éticos da empresa, o exemplo de comportamento do líder é o que os funcionários seguirão.

 Allen Morrison, professor da escola de negócios suíça IMD, em recente passagem pelo Brasil comentou: “O mau caráter em uma empresa é pior que um incompetente”. Segundo o professor Allen, desvios éticos podem destruir para sempre a imagem de uma empresa. E conclui: é preciso avaliar a reputação de líderes executivos antes de contratá-los, falar com quem ele trabalhou ou fez negócios. A empresa precisa consultar muitas fontes imparciais.

 Em um segundo ponto é importante elaborar e implantar alguns controles, que chamamos de Controles Base. Alguns desses controles são:

 1. Estabelecimento de um processo de seleção de pessoas que avalie a competência da prática de valores morais e éticos;

2. Monitoramento por parte dos gestores de equipe quanto às condutas morais e éticas de seus subordinados;

3. Elaboração e implantação de um Código de Conduta Moral e Ética, alinhado com os valores enunciados pela empresa;

4. Elaboração e implantação de uma Campanha de Educação em Valores Morais e Ética Empresarial a colaboradores e parceiros/terceiros;

5. Elaboração e implantação de um Canal de Denúncias que incentivem colaboradores a denunciar irregularidades que infringem o estabelecido no Código de Conduta Moral e Ética;

6. Criação de um Comitê de Compliance e de Boas Práticas Corporativas que possa decidir sobre a melhoria do processo, além de centralizar as denúncias recebidas na empresa e conduzir a investigação dos casos.

 Existem outros controles que chamamos de Base e que devem ser implantados, como segregação de funções, limites de alçada e autoridade, controle e monitoramento de acesso computacional rígidos, etc., Entretanto, vamos nos ater aos seis mencionados, e em especial, a forte ligação formada pelos controles 3, 4 e 5.

 Vejo muitos projetos Antifraude, anticorrupção e ilícitos semelhantes naufragarem, quando somente olham para o controle 5: o Canal de Denúncia. Em diversos projetos que trabalhamos encontramos os profissionais da empresa lamentando que o Canal de Denúncia não funcionava. Quando íamos avaliar com profundidade, geralmente encontrávamos projetos mal planejados.

 A Denúncia somente funciona plenamente se for elaborado e implantado um Código de Conduta Moral e Ética simples, que todos possam entender. Não há que se fazer um calhamaço de páginas que ninguém irá guardar aquelas informações e, consequentemente, conseguir entender e executar. Só fazemos as coisas que entendemos, se não entendemos, dificilmente colocaremos a “mão na massa”.

 Com o Código elaborado, é necessário educar as pessoas naquilo que a empresa acredita ser correto Moralmente e Eticamente. Isso se faz em sala de aula, utilizando de pessoas preparadas. Esse seminário deve ter pelo menos meio período, 3 a 4 horas, com a possibilidade das pessoas praticarem, ser dinâmico. Nesse ponto, as pessoas começam a ter entendimento daquilo que realmente é certo e do que é errado.

 Agora sim. Concluída a educação, o Canal de Denúncia pode ser implantado, escolhendo-se o meio que a empresa julga ser mais adequado. Os resultados podem ser excelentes. Em pesquisa de 2012 da ACFE, mais de 45% dos casos de fraude nos EUA (onde corrupção está dentro) foram desvendados por meio da Denúncia Anônima. Muito mais do que qualquer outra forma.

 Se bem planejado em todas as suas etapas, o Canal de Denúncia pode ser preventivo contra a corrupção. Isso é excepcional! Se olharmos para a Lei, tema desse artigo, a ação preventiva proporcionada pelo Canal de Denúncia pode fazer com que a empresa não seja punida em face do fato ainda não ocorrido, consumado, materializado. Pode agir antes disso.

 Como conclusão, não vou entrar no mérito da fiscalização, do cumprimento da Lei entre outros. A ideia aqui foi acender um sinal amarelo às áreas competentes nas empresas (Compliance, Controles Internos, Governança, Auditoria, etc.) para se prepararem ou ajustarem seus programas Anti-ilícitos como esse, o da Corrupção.

 Os impactos, além do financeiro, por meio da multa, traz no seu bojo um invisível, mas terrível dano: o reputacional. O esforço que uma empresa faz para ter credibilidade e uma marca sólida pode virar um castelinho na beira mar do dia para noite. O capital reputacional armazenado com muito suor pode virar pó em instantes. Capital reputacional pode custar mais do que numerário que se vai, do que uma perda material. É bom pensar nisso antes de chegar 1º de fevereiro.

 

Até a próxima!

 _______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA (Associação Brasileira de Entidades Financeiras e Mercado de Capitais). E-mail: mario.ribeiro@enigmaconsultoria.com.br

O ROI em Fraudes e ameaças semelhantes (28out2013)

28 de outubro de 2013 enigma.consultoria Sem categoria Leave a comment   , ,

Por Mário Sérgio Ribeiro (*)

Há alguns dias atrás ministrei uma palestra patrocinada pelo CPqD e IBM na sede da IBM em Belo Horizonte. O tema era Prevenção e Combate de Fraudes Corporativas. Na mesa redonda ao final do evento, com a participação de outros palestrantes e moderadores, veio uma pergunta: como demonstrar o ROI de projetos de prevenção e combate de Fraudes? É possível? O ROI como se conhece e que é utilizado em investimentos de vários tipos, ah, esse ROI não é possível demonstrar. Entretanto, há “uma luz no final do túnel” e essa luz, dentro de minha visão, é a que eu vou procurar trazer nesse artigo.

Vamos alinhar nosso contexto. Vamos procurar uma maneira de encontrar um retorno sobre o investimento para que fraudes corporativas, corrupção, lavagem de dinheiro, vazamento de informação, roubo de identidade, etc., não ocorram, ou, que se possa detectá-las antes que uma perda material (impacto financeiro) e/ou um dano à imagem e reputação (impacto não financeiro) ocorram.

O conceito simplificado de ROI que se conhece é encontrado fazendo: o ganho a ser obtido (em termos monetários, com o investimento que deve ser realizado) dividido pela quantia gasta com o investimento x 100; com isso extraímos o ROI em um formato percentual. Para o nosso contexto a questão que não se cala é simples: que ganhos são esses, considerando que o tema do ROI que pretendemos encontrar não existe os ganhos expressos no numerador da sentença matemática como entendemos, mas sim “evitar ou mitigar prejuízos” que porventura possamos ter? Pensar dessa forma é acreditar no risco dos eventos de nosso rol de ameaças: fraudes, corrupção, lavagem de dinheiro…lista grande!

OK. Se a Alta Administração de sua empresa não acredita nessa história de riscos, que os riscos dessas ameaças não existem na empresa, etc., tudo bem, tente achar outro meio de convencê-los. Talvez eles sejam daqueles onde tenha que ocorrer uma fraude de R$ 1 milhão, para pensarem em começar a investir, ou ainda, apostam no chamado “benefício da imprevidência”, onde um dado percentual de fraude é tolerada pela Alta Administração da empresa por conta de supostos ganhos com ela, claro, maiores do que o valor das fraudes. É incrível, mas isso acontece em várias empresas. Mas enfim, se por outro lado eles acreditam que os riscos dessas ameaças podem ocorrer e trazerem impactos que podem prejudicar os objetivos organizacionais da empresa, então podemos “tocar o barco” com nosso modelo.

Então, em nosso modelo de ROI temos a premissa de que é necessário identificarmos o risco da fraude, mensurarmos o seu valor, definirmos uma resposta ao risco encontrado, implantar essa resposta e monitorar esse risco e sua dinâmica. Nessa cadeia simplificada, que também atende pelo nome de gestão do risco, a resposta ao risco encontrado tem sempre investimentos a serem feitos – a não ser que se opte por aceitá-los – e o que espero com esses investimentos é que o risco que sobra, o risco conhecido como residual, seja menor ou igual ao risco antes da resposta. Esse risco residual é aquele que eu aceito, que eu suporto ter como perda por conta de sua ocorrência.

Pois bem, então o tal ROI que procuramos está na capacidade de encontrarmos a resposta mais otimizada ao possível risco, logo, com o investimento mais otimizado, que me possibilite chegar a um risco residual que a empresa considere desejável. Lembrando que se esse risco acontecer de se manifestar é aquele que eu aceitei como perda em face dos investimentos que fiz. Então, a partir do conhecimento e aceite desse risco residual que encontrei, o ROI ideal é aquele na qual não há manifestação desse risco residual, ou, se houver, que ele tenha uma perda menor ou igual ao risco residual aceito. Se você concorda com essa afirmação, saiba que ela é bonita no papel, mas não é tão simples de ser executada. Por quê? Vejamos a seguir.

Construir o Mapa de Risco da Fraude.

Para um escopo e abrangência definidos pelo projeto, a construção do Mapa do Risco da Fraude envolve identificar os riscos do mesmo. Suponhamos que eu tenha como escopo o Mapeamento do Risco da Fraude Interna na área de Compras de uma dada empresa. Olhando os elementos Processos, TI, Pessoas e Infraestrutura física da área em questão, devo desmembrar minha ameaça Fraude Interna em categorias, levantar as vulnerabilidades e controles existentes, a eficácia desses controles, o agente de ameaça interno (comprador, por exemplo) e/ou um agente de ameaça externo (fornecedor, por exemplo) e a partir daí, descrever o risco, isso mesmo, fazer uma descrição do risco.

 Mensuração do Mapa de Risco elaborado.

Essa etapa seria motivo de mais de um artigo, é nevrálgica, mas vou resumir para nosso intento. Medir o risco envolve escolher entre várias abordagens disponíveis na literatura. O que você precisa encontrar aqui é o risco expresso em valores monetários. Por quê? Porque fica mais fácil convencer quem “assina o cheque” do investimento a fazê-lo. Que investimento? Em medidas de controle, por exemplo, que é uma das quatro respostas possíveis a um dado risco mensurado: reduzir (com controles), aceitar, transferir/financiar e evitar. Se você apresenta o risco de forma qualitativa (Alto, Médio, Baixo) e depois fala que precisa de R$ 150 mil para implantar uma dada ferramenta de controle, o cara que assina o cheque pergunta: “mas esse Alto que você mensurou para o risco é de quanto ($)?”. Entre as várias formas de calcular o Risco, a mais conhecida é aquela que multiplica a Probabilidade pelo Impacto. Outro “calcanhar de Aquiles” nessa mensuração é determinar a chance do risco ocorrer, o que chamamos de Probabilidade, e que muitos investimentos não saem, pois essa chance de ocorrer não foi devidamente fundamentada.

 Sem querer aprofundar a discussão acerca do conceito de Probabilidade nesse contexto da estimativa do Risco, julgo importante discutir a questão que sempre é colocada da subjetividade na determinação da Probabilidade.

 É possível determinar com boa assertividade a chance de um dado evento ocorrer causando impactos à empresa. Há uma série de requisitos e critérios que podem e devem ser estabelecidos que contribuam para essa assertividade na determinação da probabilidade. Veja esse exemplo hipotético:

– Suponhamos uma sala de certa empresa que guarda uma série de projetos em papel altamente inovadores e que tem como estimativa de valor a continuidade das operações da própria empresa. Pois bem, vejamos dois cenários. No cenário 1, o acesso físico a essa sala tem como barreira uma porta trancada com uma chave normal que fica dentro de um armário no corredor. Em um cenário 2, o acesso à essa sala é por meio de uma tripla autenticação colocada do lado da porta de acesso. Essa tripla autenticação envolve senha, token e biometria. Além dessa tripla autenticação, ao adentrar a sala, há a existência de um sistema CFTV que monitora as atividades no seu interior em tempo real. E mais um dado: ainda não houve nenhum incidente de violação do acesso físico à sala que trouxesse algum dano à empresa, como o roubo de um dos projetos; entretanto, estudo recente do Comportamento Organizacional revela um descontentamento generalizado dos colaboradores com uma série de itens, como salário, benefícios, plano de carreira, etc.

 Questão: apenas com os dados que passei, se você tivesse que estimar a chance (probabilidade) de alguém, que indevidamente pudesse acessar a sala e roubar um ou vários projetos, diria que em quais dos dois cenários essa chance é maior, mesmo sabendo que nunca ocorreu nenhum incidente?

 Sem pestanejar certamente você respondeu o Cenário 1. E por que fez isso? De forma simples deve ter pensado comparando os dois cenários, que os controles que mitigam o risco no cenário 1 de alguém indevidamente adentrar na sala e roubar os projetos é muito inferior do que os controles instalados no cenário 2. O cenário 1 proporciona inúmeras oportunidades para que o perpetrador consiga seu intento. As oportunidades que o perpetrador vislumbra ocorrem pelas vulnerabilidades que ele percebe existirem.

 Então, não é suficiente somente levar em conta ao determinar a chance de ocorrência quando se procura estimar um risco, olhar apenas para a estatística de acontecimentos. No risco operacional devemos levar em conta uma série de requisitos, além do estatístico, como vulnerabilidades, eficácia de controles, estudo do Clima Organizacional, etc., que aumenta a minha assertividade na determinação da chance de ocorrência.

 Quanto aos impactos, eles podem se apresentar de duas formas: o financeiro e o não financeiro. O financeiro é aquele que de forma direta pega no bolso da empresa. Em termos de uma fraude, por exemplo, um roubo de numerário ou de um ativo tangível é um impacto financeiro. Isso é importante. Para eu determinar um impacto financeiro é necessário mensurar essa perda. O outro, que chamamos de impacto não financeiro, pode não chamar tanto a atenção como o financeiro, mas dependo do caso, pode ser bem mais impactante. Normalmente o mais citado são as categorias relacionadas ao dano à imagem e reputação. A categorização do impacto não financeiro pode ser bem mais detalhada do que somente imagem e reputação.

 Então, encontrando a chance de ocorrência e o impacto eu consigo mensurar o meu risco. Mas já falei, dá trabalho e se você não estiver muito bem embasado, vai ser questionado e o dinheiro do investimento, que falaremos mais á frente, não virá.

 Resposta ou Tratamento ao Risco mensurado.

O risco encontrado pede que se defina que tipo de resposta ele terá. Ele poderá ser aceito, transferido, evitado ou mitigado. Dentro do nosso foco, vamos discutir a resposta Mitigado. A ideia de mitigar (reduzir) o risco pressupõe que eu tenha que procurar por medidas, controles que possam fazer com que o risco encontrado possa ser reduzido. Esses controles têm investimentos concentrados em processos, pessoas, tecnologia e infraestrutura física. Os controles selecionados atuam para diminuir a chance da ocorrência (probabilidade) e/ou o impacto financeiro e não financeiro.

 A regra de ouro é selecionar os controles que façam com que se encontre o risco residual desejável com o menor investimento possível. Não é fácil atender a essa regra, mas o esforço compensa e a Alta Administração agradece. A mensuração do risco residual é uma tarefa especializada e que deve ser realizada por pessoal capacitado, caso contrário, pode cair em descrédito.

 Muitos erros ocorrem por conta de acreditar que determinados controles seriam suficientes para colocar o risco residual em um patamar desejável. Procura se seguir a regra ao pé da letra ou atender a máxima faça mais com menos. Cuidado, nem sempre isso é possível! A disciplina de Riscos não admite amadorismo. E para finalizar não se esqueça de que as atividades em uma empresa mudam a toda a hora, mudando os riscos e consequentemente os controles devem ser revistos. O que eu quero dizer é que o monitoramento deve ser contínuo, sob pena do seu ROI poder vir a ruir!

 Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ABBC (Associação Brasileira de Bancos). E-mail: mario.ribeiro@enigmaconsultoria.com.br

Por que é importante gerenciar o Risco Operacional? – 01abr2012

14 de maio de 2013 enigma.consultoria Sem categoria Leave a comment   , ,

 Risco Operacional é o risco que as organizações de todos os ramos de negócios devem gerenciar. Isso mesmo, todas em todos! OK, mas fundamentado em quê?

Entre tantas definições de risco operacional (RO) uma boa é: a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas, sistemas e eventos externos; acrescento por minha conta e risco mais um item, infraestrutura física. Os itens citados chamaram de fatores do RO. Então, acharam pouca coisa? Pode ter certeza que é muita, muita possibilidade do indesejado ocorrer se o RO não for devidamente gerenciado.

Ok, que possibilidades são essas? Que tal uma Fraude interna (corrupção é uma categoria de fraude)? Uma fraude externa? Falha em TI? Uma pane na instalação elétrica?Etc. etc….Os eventos de risco são muitos e a formação de um dicionário de risco pode ser bem extensa.

Então, para que perdas financeiras e impactos na reputação e imagem da empresa não ocorram, ou, se ocorrerem, sejam de pequena monta, há a necessidade de conhecer o RO, tratá-lo, monitorá-lo e mudar onde for necessário.

A ideia é conhecer em detalhes o risco inerente, fazer sua avaliação e propor o tratamento adequado para que o risco residual seja aquele que a organização aceita. E porque isso importa?

Simples, a prevenção de perdas, tanto financeiras e/ou operacionais. A gestão estruturada e efetiva do RO minimiza futuras perdas à organização. Em instituições financeiras sob a batuta do BACEN, a prevenção de perdas com uma eficaz estrutura de gestão do RO, esvazia o banco de dados de perdas financeiras e em uma abordagem AMA, o cálculo do VaR operacional para atendimento ao capital regulatório, deve ficar bem menor.

Uma coisa é certa: uma estrutura de gestão de RO é a melhor prevenção que uma empresa pode fazer. Exemplos de gestão de RO e controles internos mal feitos não faltam. Eu poderia fazer uma lista de casos, a começar pelo Barings, mas fica para outra.

 Um abraço e até a próxima!

Corrupção tem cura? – 25mar12

14 de maio de 2013 enigma.consultoria Sem categoria Leave a comment   ,

O Fantástico mostrou no domingo uma prática que atende pelo nome de Corrupção, um câncer nacional! Vamos aproveitar e comentar um pouco sobre tema tão em moda…

Corrupção é categorizada como uma Fraude Ocupacional (alguém utiliza uma ocupação, um cargo para perpetrar uma fraude). A fraude provoca grandes estragos em países como o Brasil e Estados Unidos, por exemplo. Em última pesquisa da ACFE estimou a perda nos EUA com a fraude ocupacional em parcos 900 bilhões de dólares. Não preciso ficar dando exemplos de corrupção, porque é diário os acontecimentos e podemos dizer que é o câncer a ser extirpado da sociedade brasileira.

Em minha dissertação de mestrado, que tratou da questão Fraude, tive que estudar e ler como um doido o tema e confesso: existe luz no final desse túnel! Mas, como resolver? Essa foi a pergunta de minha esposa após o Fantástico desse domingo, que mostrou uma parte do problema. Respondi: é simples, com Prevenção.

O combate a Corrupção atende por processos e controles definidos e implementados que Previnem, Detectem e Investiguem. A Prevenção deve ter um conjunto de processos e controles que agem de maneira pró-ativa contra a Corrupção, veja, eu disse pró ativamente. Os processos de Detecção são importantes, claro que são. Mas em uma escala de impactos financeiros e operacionais, são menos importantes do que a Prevenção. Isso porque a Detecção pode acontecer quando a materialização da perda financeira ou de imagem já ocorreu, quando se investiga e vê o tamanho do buraco. Daí ser muito mais barato investir na Prevenção, mas muito mais barato (veja os números americanos que citei no início). E mais, uma detecção de fraude leva mais de dois anos em média para ser detectada. Então, nos dois anos, qual terá sido o tamanho do rombo?

Nessa questão, vamos distinguir dois tipos de empresas: a privada e a pública. As empresas privadas, notadamente as do setor financeiro, tem um grau de maturidade no combate à corrupção ou a fraude muito maior do que outros setores privados e muito, muito maior em relação as empresas públicas. Ok professor, mas o que pode ser estabelecido em termos de processos para combater a corrupção? Vamos lá, alguns deles, só alguns, podem ser:

-> Implementação da Gestão do risco da Fraude (corrupção é uma das categorias);

-> Implementação de uma Política de Combate à Fraude;

-> Avaliação Continuada de Pessoal Interno;

-> Implementação e gestão da Conduta Ética de colaboradores;

-> Implementação e gestão da Denúncia Anônima (segundo a pesquisa da ACFE, o que mais produz resultados)

Simples? Não, não é! A empresa pública acima de tudo necessita ter vontade política para implementar. Eu, por exemplo, nunca vi uma licitação ou convite para contratação de uma consultoria para Elaborar e Implementar processos e controles para Combater a Fraude Interna ou a Corrupção. Vocês conhecem? Se conhecerem, me avisem que eu divulgo. Não existe cultura alguma da Prevenção a Corrupção. Enquanto isso, os agentes de ameaça (corrupção) deitam e rolam porque o terreno é fértil.

 Um abraço a todos e até a próxima.

Roubo de Identidade: muitas tentativas! – 15mar2013

14 de maio de 2013 enigma.consultoria Sem categoria Leave a comment   ,

 Li uma matéria no portal da UOL e fiquei surpreso com alguns números divulgados sobre Roubo de Identidade, que podemos dizer que é um tipo de fraude. Vamos lá:

– a cada 17 segundos um consumidor brasileiro é vítima da tentativa dessa fraude;

– de janeiro a outubro de 2011 1,54 milhão de tentativas dessa fraude foram detectadas;

– se todas tivessem sido realizadas o prejuízo total estimado seria de R$ 5,7 bilhões.

A pesquisa não fala sobre o montante dos prejuízos

O que me deixou muito surpreso foram os números de tentativas para apenas um dos vários tipos de fraudes que temos. Vamos tentar encontrar algumas explicações para isso.

Se existem tantas tentativas é porque o resultado da fraude é vantajoso, que o intento é vulnerável e, que se existirem controles, eles são frágeis. No caso do roubo de identidade em nosso país, fica fácil de explicar. Distribuímos informações privadas nossa para “Deus e todo mundo”. Nosso CPF, RG, endereço residencial, etc., é passado sem nenhuma preocupação, por telefone, pessoalmente, pelo computador…Acreditamos que todos são bem intencionados, até que provem o contrário, mesmo eu não conhecendo de quem se trata, não avaliamos se trata-se de uma solicitação falsa, enfim, como todo bom brasileiro, Acreditamos!!!

A fraude é a arte de se enganar, mesmo que isso possa não representar um ganho financeiro. Para controlar o risco da fraude é necessário estabelecer um mínimo de prevenção, de estabelecer um mínimo de controles para evitar o risco de cair na armadilha. Esses controles devem estar na cabeça de todos aqueles que desejam não serem ludibriados.

Perdeu documentos? Imediatamente faça um BO. Pediram seu CPF e você não sabe de quem se trata, ou nunca teve nenhum tipo de transação com o solicitante, diga que o CPF é um documento pessoal e privado.

Recebeu e-mails em sua caixa postal que não conhece o destinatário, e esse e-mail solicita uma série de informações pessoais? Não clique em nada e não forneça o que é pedido. A empresa séria procura meios mais seguros para solicitar essas informações do que o e-mail.

Os números só irão baixar e os prejuízos também, quando as “vítimas” se tornarem mais conscientes e não caírem na armadilha. Enquanto isso, os agentes da ameaça fraude (no caso, roubo de identidade) irão agir em busca de seu intento, e pelo andar da carruagem, devem estar conseguindo.

Um abraço a todos e até a próxima!

Um ano do Desastre no Japão e no Rio. O que pensar? – 11mar2012

14 de maio de 2013 enigma.consultoria Sem categoria Leave a comment   , ,

Janeiro de 2011 vimos as cidades serranas fluminenses sofrerem com as terríveis chuvas que mataram mais de 900 pessoas, milhares de desabrigados e muita destruição.

Março de 2011, Japão. Um tsunami trouxe números exponencialmente maiores que os do Rio. 129 mil casas destruídas, 250 mil parcialmente, quase 20 mil mortos. Prejuízos financeiros da ordem de 235 bilhões de dólares. Ah, e uma usina nuclear atingida, que provocou radiação nuclear em um entorno de mais de 30 km.

Março de 2012, Japão. Dos quase 600 Km de estradas destruídas, apenas 15 km, isso mesmo, apenas 15 km ainda não foram recuperados; isso porque estão em locais de acesso dificílimo. Todos os serviços de telefonia estão normalizados, água, luz e gás. Em novembro de 2011 o governo japonês anunciou que havia controlado a situação na usina nuclear. A vida, apesar de lenta, volta ao normal depois de 1 ano.

Março de 2012, Rio de Janeiro. Um ano depois muito pouco foi feito. Depois da papagaiada inicial de prefeitos, governo estadual e federal na televisão, a reconstrução anda a passos de tartaruga. Existem famílias desabrigadas. Em duas das sete cidades atingidas, seus prefeitos (Nova Friburgo e Teresópolis) foram afastados sob a acusação de desviar verba que deveriam ser usadas na recuperação. As coisas não andam.

O que explica essa diferença? Será que é porque o japonês é mais trabalhador e o brasileiro mais preguiçoso? Ou será porque o povo japonês está muito melhor preparado e equipado na questão do gerenciamento do risco? O povo japonês sabe o que deve fazer em cada situação de emergência. Sabe para onde ir. Sabe onde fica o hospital mais próximo, abrigos e outros. Tem a quem recorrer, porque as instituições funcionam, não existindo interesses diferentes do que o da própria sociedade.

Além disso, o Japão não tem em sua cultura um câncer que temos na nossa e atende pelo nome de Corrupção. Se formos querer pensar na Prevenção, com melhores abrigos e outros controles, provavelmente não ficarão prontos, porque o dinheiro some no meio do caminho. E claro, um primo da Corrupção anda de mãos dadas com ela e atende pelo nome de Impunidade. Enquanto isso, vamos assistindo as coisas acontecerem…

Um abraço a todos e até a próxima!

« Previous   1 2 3 4 5 6   Next »