Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

Imagem profissional e Ética juntas – 06mar2012

enigma.consultoria Sem categoria Leave a comment   ,

Neste post quero me dirigir aos mais jovens. Parei e pensei agora, já estou com 52, quase 53! Meu Deus!

Bem, vamos lá. Você estuda, estuda e estuda. Faz sua graduação e claro, como manda o figurino, não para de estudar, e nem deve. Acredita que isso é tudo? Que é garantia de bom emprego? Que é garantia para promoções? Meu caro, posso garantir para você que Não! É preciso mais, bem mais. Vou dizer uma coisa, você deve cultivar a melhor imagem profissional possível e transparecer em seus atos essa imagem.

Como se cria essa tal de Imagem profissional que você desejaria que todos respeitassem? Uma regra simples: praticando os melhores valores deixados como herança por seus pais, professores e os amigos de fato. Coloque nessa mistura ética, que é aquilo que você não gostaria que fizesse com você; isso mesmo, quando for pensar em fazer alguma coisa, pense se está indo contra os valores apregoados por aqueles que você admira, pense se você mesmo faria isso contra você. Com essa prática levada para o mundo dos negócios, você estará construindo uma imagem profissional que transmite a palavra chave que quero chegar: Confiança! Isso mesmo, tanto quanto se tornar confiável no assunto que é seu “ganha pão”, você deve antes de tudo se tornar confiável como pessoa. Se isso não ocorrer, provavelmente ninguém escutará você, ou pior, fingirão que estão te escutando.

Muito simples? Isso,é bem simples. O problema é que o dia a dia vai lhe impor uma série de fatos inesperados, sempre procurando testar para ver se você sai do trilho. Lembrem-se, todos os dias somos testados e a imagem e a força de nossa ética são testadas diariamente. A imagem é construída pedrinha por pedrinha. Nunca se esqueça disso.

Um abraço e até a próxima!

Segurança nos dispositivos móveis – 29fev2012

enigma.consultoria Sem categoria Leave a comment   , , ,

A mobilidade é a palavra da vez, seja aqui, seja em qualquer outro lugar do mundo. Tablets, smartphone e tudo mais que puder tornar a comunicação 24 horas do dia disponível. Mas, como estamos falando de dispositivos computacionais a segurança física e lógica deve estar na lista top de preocupação das pessoas. Já não são poucos os ataques lógicos e físicos em dispositivos móveis. Algumas atrizes de Hollywood já sentiram na pele o problema.

Todos esses dispositivos dispõem de um tópico de segurança em suas configurações. Se você não souber mexer e não souber do que se trata, pergunte a quem te vendeu ou consulte o manual. No mínimo, utilize senha. Em alguns dispositivos você pode baixar aplicativos que aumentam em poder a segurança. Se você for um usuário avançado faça isso, se não, peça ajuda. Como são muitos os tipos, vamos deixar essa dica genérica, mas que você o faça e de forma rápida.

Além da senha, mais uma dica bem simples é não disponibilizar em celulares, smartphones e outros nomes que possam facilmente identificar a pessoa. De uma forma bem ampla, as pessoas costumam inserir na agenda de endereços coisas do tipo: mãe, endereço da mãe, e-mail da mãe, fone da mãe, e por aí vai. Percebe, para um cara com más intenções, fica fácil saber o nome da sua mãe, endereço, fone e mais e mais…E isso serve para outros identificações que se utiliza: esposa, irmão, tio, filho. Dica: coloque o nome da mãe, e não mãe, coloque o nome da rua onde mora e não casa , e segue em frente.

Fotos. Não é muito difícil alguém hackear suas fotos armazenadas em seus dispositivos. Se não souber proteger com segurança avançada, não deixe nada armazenado neles. Compre um pen drive com senha, criptografia ou biometria e guarde tudo lá. Quando quiser ver, mexer, etc., pegue o pen drive e faça o que tem que fazer. Lembre-se, esse pen drive tem que ter segurança. Vários modelos já vêm embutidos, pelo menos com senha.

A dica final é que todo cuidado é pouco. Esteja sempre atento a segurança e a pratique, não fique apenas achando que é legal!

Um abraço e até a próxima!

Risco nos currículos escolares – 27fev2012

enigma.consultoria Sem categoria Leave a comment   ,

 De uns tempos para cá tenho cada vez mais a convicção da necessidade de inclusão de uma disciplina de Risco nos currículos escolares. Você pode achar que nós brasileiros temos noção do que é risco e do que não é, quem não sabe disso? Pode até ter noção, o que eu tenho lá minhas dúvidas, mas a quantidade de fatos onde se nota um risco assumido absolutamente desnecessário é impressionante. Vamos a alguns.

Comecemos pelo financeiro. Gasta mais do que recebe, ou, imagina que em 72 meses nada vai acontecer que faça com que ele deixe de pagar a prestação do carro. Gasta um monte no final do ano, mesmo sabendo que existe uma lista enorme de contas obrigatórias no início do ano. Não acredita no Impacto negativo de um evento, que lhe traga o risco, nesses casos, de um impacto financeiro que lhe traga inúmeros problemas.

Outro. Vejam a quantidade de acidentes com motos, carros e agora na moda do verão, jet ski. Quem é o agente de ameaça, o ser humano, que deveria ser ele, o próprio mitigador do risco, ou até o que evita o risco. Se seu não tiver agente de ameaça, não tenho ameaça, consequentemente não há como explorar vulnerabilidades (conceitos básicos do risco). O menino (?!) em Bertioga bateu o pé e fez com que o caseiro liberasse o jet ski, ambos, sem nenhuma noção do elevado risco que aquela aventura poderia levar. Ontem, o pai em uma manobra brusca com um Jet Ski, traz como consequência a morte do filho que bateu a cabeça no pilar de uma ponte. Os motoboys em São Paulo, na ânsia da rapidez pelo dinheiro, assumem inconsequentemente risco de morte, isso, risco de morte! Não há pior risco do que esse.

Poderia ficar aqui citando uma centena de fatos, situações que me remetem ao início desse blog: precisamos ensinar as noções básicas de Risco. Tenho quase que absoluta certeza se isso fosse feito há muito tempo atrás, muitas mazelas poderiam ser evitadas. E o que eu falo vale para todos, sem exceção. Ou você pensa o contrário?

Um abraço e até a próxima!

Informe de Rendimento para IR e Pishing – 24fev2012

enigma.consultoria Sem categoria Leave a comment   , ,

 Hoje a Receita Federal inicia a disponibilização para download do programa para elaborar o IR 2012. Uma novidade para quem faz a sua declaração diz respeito aos Informes de Rendimentos enviado pelos Bancos. A Receita Federal desobrigou os bancos a enviarem esses Informes por correio. Os bancos poderão disponibilizar em seu site esses Informes e os usuários acessam a Internet e fazem o download do mesmo. Até aí tudo bem, o Planeta agradece. Mas, por outro lado, abre a possibilidade para que crackers possam agir, utilizando uma técnica chamada Pishing. É muito simples.

Fazem se passar pela instituição financeira, enviando um e-mail com logo da empresa e tudo mais que faz acreditar aos não conscientizados sobre o tema, que de fato o e-mail é da Instituição Financeira. Nesse e-mail, entre outras possibilidades, inserem um link para a pessoa clicar e dizem que esse link baixará o Informe de Rendimento no computador da pessoa. Pronto, está feita a coisa! O link é falso e o cracker consegue roubar senha e uma série de informações privativas da máquina do usuário atacado.

Um amigo me perguntou um dia desses se existem pessoas que ainda caem nesse golpe. Eu disse que sim, e que não são poucas. Falta conscientização sobre a segurança da informação, e muita. Os crackers procuram de toda forma ludibriar, e conseguem em muitos casos seu intento.

Qual é a dica? É muito simples: Nenhuma instituição financeira utiliza e-mail ou qualquer outro meio eletrônico que possa trazer insegurança para se comunicar com seus clientes. Então, não clique em nada. Trate esse e-mail como lixo eletrônico ou spam e pronto. Aliás, estenda essa dica a outras empresas como Serasa, SPC, Receita federal, etc.

Um abraço e até a próxima!

Pronto, agora o ano começa! – 22fev2012

enigma.consultoria Sem categoria Leave a comment   ,

 Pronto! Passou o carnaval e agora começou o ano?! Acho engraçado escutar isso, mas todo ano sou obrigado a escutar. O carnaval brasileiro tem a mística de ser um divisor de água: entre o 1º de janeiro e ele, se “empurra com a barriga” depois que ele passa, agora sim, começamos a tocar o ano como se deve.

Fui fazer uma pesquisa para ver se encontrava alguma coisa que pudesse explicar tal fato. De fato, não encontrei nada palpável. Algumas conjecturas levam a ideia de coincidir com as férias escolares, e daí os profissionais da maioria das empresas tiram suas férias para ficarem com os filhos. Nesse período não funciona o legislativo e o judiciário, enfim, temos uns 45 dias com pouca ou nenhuma decisão sobre nada.

Fiz uma pesquisa para ver como funciona em outros países, e não há que se compara com essa nossa mania: tudo começa depois do carnaval! Vocês podem pensar que sou contra o carnaval, mas não sou. Acho extraordinária essa nossa tradicional festa popular. O que não concordo é sermos conivente com a máxima para deixar para resolver depois do carnaval, como se o carnaval fosse um ser dotado de poderes supremo e que estipulasse que antes dele nada, só depois que ele passar.

Mas enfim, desde que me conheço por gente escuto que somos o país do futebol e do carnaval. Até quando? Não sei, mas que na prática parece que sim, ah, isso é uma verdade!

Então, que o Ano Novo comece!

Um abraço e até a próxima!

Uma questão oculta no caso dos desabamentos – 16fev2012

enigma.consultoria Sem categoria Leave a comment   , ,

 Os desabamentos recentes ocorridos no Rio de Janeiro e em São Bernardo do Campo, sob a ótica do Risco Operacional, mostra a necessidade de termos um PCN e atualizado. Quantas empresas afetadas diretamente (as dos edifícios em questão) tinham um PCN? Que eu tenha notícias, nenhuma! Até a empresa de informática (TBO) no Rio que ocupava alguns andares e onde ocorria uma reforma não o tinha. Ok, isso é fato e o que aparece facilmente para todos os que têm um pouco de vivência com o risco operacional.

Mas a pergunta que desejo fazer: e os edifícios no entorno desses prédios, também “pagaram o pato”?

Sim! Também entraram na dança. No caso do Rio de Janeiro a Defesa Civil isolou a área por 4 dias para os trabalhos de procura de vítimas e remoção de escombros e não permitia a entrada de ninguém na área.

Com isso, as empresas que eram vizinhas dos edifícios que desabaram ficaram 4 dias sem trabalhar. Pergunto: A sua empresa pode ficar 4 dias parada, sem trabalhar? O negócio continua ou provavelmente ele é descontinuado? Quais os impactos financeiros e operacionais de uma parada dessas?

Então, como sempre digo, para um evento inesperado dessa magnitude você tem um PCN sempre atualizado e testado. É o seu tratamento ao risco. No tempo que foi planejado de recuperação, os negócios estarão operando de outra instalação, sem comprometer a sua continuidade.

Eventos dessa natureza apontam deficiências e mazelas de nossa sociedade que precisam urgentemente serem corrigidas, mas também enfatizam a necessidade de estarmos preparados e prevenidos com um plano que não prejudique a continuidade e andamento dos meus negócios.

 

Um abraço e até a próxima!

Prevenção, êta palavrinha difícil de praticar …-27mai2011

enigma.consultoria Sem categoria Leave a comment  

 Um dia desses um profissional de uma empresa cliente nossa perguntou: professor, por que é tão difícil se praticar a prevenção em nosso país? Respondi de bate pronto: cultura! Mas que cultura é essa?

Somos um povo jovem e praticamente não sofremos com muitas coisas. Acreditamos firmemente que as coisas não vão acontecer, até porque, como falei, somos muito jovens. Nosso banco de dados é bem limitado e quando utilizamos a teoria da probabilidade, ela invariavelmente é dimensionada como baixa; mesmo que o impacto de algum evento possa demonstrar como desastroso.

Dizemos popularmente aqui no Brasil, que é preciso pegar fogo em um prédio, cair a cerca para consertá-la depois que a boiada passou e por aí afora, para tomarmos as providências. São quase que infindáveis os exemplos que temos. Deslizamentos, desabamentos, eventos climáticos, dengue, estouro de ATM (caixa eletrônico), aluno que bate em professora, aluno que entra armado na escola, babá que bate em criança, acompanhante que bate em idoso, funcionários públicos e privados que fraudam empresas, políticos que roubam o erário público, incêndios por negligência e….podia terminar o post com uma lista.

Vemos uma frequência sem fim desses eventos e perguntamos: meu Deus, isso ainda acontece? Acontece. Imagina, se tendo estatística fazemos muito pouco para prevenir, imagina se não as tenho. Por mais que eu tenha os indícios de que possa acontecer, eu, prevenir, para quê? Lembram-se do evento que destruiu as cidades nas serras do RJ? Pois bem, pergunte a qualquer geólogo se eles colocariam as famílias deles para morar naquelas encostas. Perguntem? Isso é prevenção. É mais. É evitar o risco! Lembram-se do final de 2008 das chuvas em Santa Catarina? Pois bem, desde 1870 que existem estatísticas do Rio Itajaí transbordando. E daí, para que prevenir e/ou evitar e/ou mitigar o risco?

Mas ainda somos um jovem País!

Abraços e até a próxima!

A Questão da Qualificação Profissional – 22mai2011

enigma.consultoria Sem categoria Leave a comment  

Em meu dia a dia, tanto com professor como sócio-diretor de uma consultoria, faço com prazer a tarefa de aconselhar os mais jovens que me chegam com uma dúvida: como qualificar-me?

A questão não é simples e obviamente vai exigir escolhas, que as vezes não atingem o que desejamos e as vezes acertam na mosca. Vamos começar a discutir a partir da graduação concluída, seja ela em que curso for.

Vamos partir de uma premissa. Se seu futuro depende de estudar sempre, então ponha uma coisa na cabeça: vou ter que estudar para sempre, até me aposentar. Então vamos começar a pensar nisso.

Fiz a graduação e agora? Começam as dúvidas. Faço um MBA? Faço um Lato-sensu (especialização)? Faço um mestrado? Qual o melhor caminho. Tanto o MBA como o Lato-sensu deveriam buscar a ideia da especialização em alguma área, em alguma “grande pedra” como costumo dizer. Se eu graduei-me em TI, trabalho com segurança da informação e vislumbro um crescimento profissional nessa área, vou buscar um lato-sensu ou um MBA na área. Essas especializações geralmente levam de 360 horas (mínimo) até programas de MBA com 540 horas. De 1 ano a 2 anos, depende da universidade. O ponto central aqui é a especialização para o mercado profissional.

Outra boa possibilidade é a busca pelo mestrado e em seguida o doutorado. Estamos falando aqui do stricto-sensu. Em um curso de mestrado (acadêmico ou profissional) você tem que começar por escolher uma área de atuação. Aqui pode valer o mesmo exemplo que escolhi para o Lato-sensu. Graduei-me em TI e vou buscar um mestrado em Segurança da Informação. Há que cursar uma quantidade de disciplinas em um determinado período e em seguida escolher o tema de sua dissertação, ter um orientador, pesquisar, escrever…defender e ser aprovado como mestre. Tempo para isso: em média 3 anos. Depois o doutorado. Mais, 3 anos no mínimo. O ponto central aqui é, além do mercado profissional, lecionar em universidade e trabalhar em centros de pesquisa.

Pois bem, o que devo escolher? Você deve traçar metas para sua vida profissional. Onde você deseja estar em 5 anos? Em 10 anos? Se você tem como meta a docência em universidade e/ou o trabalho com pesquisa, não perca tempo com lato-sensu, vá direto para o mestrado e doutorado. Agora, se você precisa se especializar em alguma área, deseja ser feliz como profissional em dada área, faça primeiro uma especialização. Mas ao escolher uma especialização, não pense somente na empresa que você está trabalhando no momento, que vai te dar uma oportunidade A, ou B se fizer a especialização. Pense na sua carreira. Naquele momento você está naquela empresa. Pense muito nisso.

A despeito do que o mercado erroneamente encara o mestrado como algo somente para a docência, isso é um erro crasso. O programa de stricto-sensu dá uma bagagem enorme ao profissional. A quantidade de competência exigida para programa de mestrado faz muita gente desistir. Você precisa, além de concluir uma série de disciplinas, saber pesquisar, ter método, saber escrever (muita gente pensa que sabe), saber defender suas posições, saber aceitar as críticas, saber respeitar o trabalho dos outros. O que você ganha no vai e vem com o orientador, é único. A experiência de um bom programa de mestrado é singular! Concluída a especialização, faça dela um “aperitivo” e encare um mestrado. Além do mais, você pode ganhar um bom dinheiro ministrando aula para aquela pós-graduação que um dia você foi aluno! Muita gente que conheço largou o mercado e vive de seus títulos.

Concluindo. A qualificação profissional só dará resultado se você colocar na cabeça que tem que fazer aquilo que você gosta, que tem talento e que te dá prazer. Ao buscar essa qualificação, que é perene, tem que ser com prazer e não por obrigação! Já imaginou fazendo um mestrado, 3 anos, sem prazer. É desistência na certa! Não pense no dinheiro. Ele é uma consequência do prazer!

Um abraço e até a próxima!

 

Os quase acidentes podem ajudar…e muito! – 18mai2011

enigma.consultoria Sem categoria Leave a comment  

Não sei se com vocês é o mesmo, mas sempre em minhas viagens carrego livros e revistas. Aguentar a espera em nossos aeroportos, é teste de paciência para monge budista…

Outro dia voltando de Curitiba, li um excelente artigo na Harvard Business Review que tinha como título “Como evita catástrofes”, escrito a três mãos por dois professores da Georgetown University e um da Brigham University.

Pois bem, a ideia é simples e correta. Se olharmos atentamente para os quase acidentes que ocorrem com relativa frequência, podemos ter as pistas para futuros problemas maiores e até, para algumas catástrofes. Segundo os autores, e eu concordo em gênero, número e grau com que escrevem, a maioria dos grandes problemas de uma empresa é precedida de quase acidentes que, se não fosse o acaso, teriam terminado muito pior. Pare para pensar a sua volta e veja se encontra evidência para essa afirmação. Encontrou?

Esses sinais são frequentemente interpretados de forma equivocada pelos gestores das empresas. Um quase acidente é visto como um sinal de que os sistemas estão funcionando bem, ou simplesmente passa despercebido. O gestor racionaliza como algo inesperado, sem causa a ser explicado e que não deve voltar a acontecer, quando na verdade deveria examinar detalhadamente e chegar a causa raiz.

Os autores inclusive propõem sete estratégias que podem ajudar o gestor a reconhecer quase acidentes:

1. estar atento à intensificação da pressão devido a prazos ou custos;

2. detectar desvios em relação à norma;

3. identificar as causas desses desvios;

4. assumir a responsabilidade por quase acidentes;

5. imaginar piores cenários;

6. buscar quase acidentes travestidos de acertos; e

7. premiar quem expõe quase acidentes.

Você pode estar procurando exemplos e com certeza vai encontrar de sobra…basta ligar nossa telinha nesses tempo que vivemos, e pronto, lá estão eles. No artigo, diversos são os cases trazidos pelos autores, como o da Apple em lançar o iPhone 4, em junho de 2010. Logo após o lançamento, consumidores começaram a reclamar da queda de ligações e do sinal fraco. A resposta inicial da Apple foi acusar o público de segurar o aparelho do jeito errado, bloqueando a antena. Quando questionado, Jobs descreveu o problema como irrelevante. Moral da história toda: a Apple teve que ceder, admitindo a falha no software, reparou o programa e ofereceu ao usuário capinhas para resolver o problema da antena. Mas até aí, uma crise reputacional abateu sobre a empresa.

Se puderem, leiam o artigo na íntegra. Ele está na edição de abri de 2001 da HBR. Vale a pena!

Um abraço e até a próxima!

Vazamento da Informação: o eterno problema! – 08mai2011

enigma.consultoria Sem categoria Leave a comment  

Na última semana tivemos o caso de vazamento de informação com a Sony. É um dilema…Mas o que fazer contra essa questão que assola todas, eu disse, todas empresas. Simples? Talvez. Tem três vilões nessa história: cultura organizacional, negligência executiva e falta de grana mesmo. Explico.

O vazamento de informação não é realizado por um fantasma ou algo parecido, é por gente mesmo, de carne e osso. Em alguns casos acidentalmente, mas na maioria intencionalmente. Se é por gente mesmo, eu tenho gente interna, que trabalha na empresa ou que de vez em quando põe o pé nas instalações da mesma; e tenho gente externa, que pode estar mancomunado com gente interna, ou pode não estar, e tem interesse em determinadas informações da empresa (um bom exemplo é a figura do hacker, caso da Sony). Ok, conceituo esses caras como agentes de ameaça, e nossa ameaça chama-se vazamento de informação.

 

Certo, contra o cara externo, notadamente aquele que busca informações digitais, as empresas contam com um arsenal de ferramentas tecnológicas e normas e arcabouços conhecidos, que permitem reduzir o risco inerente a um risco residual de nível relativamente baixo e perfeitamente gerenciável. Ok. Nesse caso percebo que existe certa cultura organizacional, baixa negligência executiva e grana, bem a grana aparece, às vezes mal aplicada, mas aparece.

Mas, e o cara interno? O que temos? Baixa cultura organizacional, alta negligência executiva e falta grana, como consequência. A visão do risco que se tem com o agente de ameaça externa, não se tem com o agente de ameaça interno. Veja, estou falando em visão de risco, mas não que a maioria das empresas façam Gestão do Risco de Segurança da Informação ou mesmo de Risco Operacional, NÃO, não fazem…mas esse é assunto para outro blog. Definitivamente não são estabelecidos processos e controles preventivos com base na Gestão do risco para tentar domar essa eterna Ameaça de nome Vazamento de Informação.

Voltaremos aos detalhes em breve.

 

Abraços e até a próxima!