Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

Morreu Osama, mas a ameaça…essa, não morreu! – 02mai2011

enigma.consultoria Sem categoria Leave a comment  

 Os EUA fizeram o que almejavam desde o 11 de setembro: mataram Osama Bin Laden. Pois bem, acabou-se o problema. Será? Definitivamente não! O que os EUA conseguiram é acabar com um dos agentes de ameaça, mais a ameaça chamada TERRORISMO, essa, permanece!

 Eu, como um profissional que “mastiga” a disciplina do risco todos os dias, não posso deixar de imaginar que outros agentes de ameaça foram “construídos” por Osama Bin Laden desde o 11 de setembro de 2001. Foram 10 anos de tempo suficiente para que ele pudesse criar novos “agentes de ameaça”. Não vejo com bons olhos essa ação americana. Por mais que os americanos digam que não, um herói foi criado. Uma massa de agentes de ameaça despontará e haja controles, contramedidas para segurar a ameaça do Terrorismo.

 Você pode dizer que as 3 mil e poucas mortes do 11 de setembro precisavam de justiça. Concordo, mas minha impressão e espero que esteja errado, é que com a morte de Osama os riscos do crescimento dos agentes de ameaça se ampliem exponencialmente. Mais uma vez, espero que eu esteja redondamente errado!

 Um abraço e até a próxima!

A importância de auditar periodicamente seus Terceiros – 27abr2011

enigma.consultoria Sem categoria Leave a comment  

Voltei!!! Não morri!! Estou de volta e agora para ficar!!! Então, vamos trabalhar…

Que a Terceirização de serviços é fato há muito tempo no Brasil, isso todos nós sabemos. Mas a questão é: diagnosticamos ou mesmo auditamos esses Terceiros sob a ótica dos riscos de segurança da informação e da continuidade dos negócios? Conto nos dedos as empresas que fazem isso, e mesmo assim, de vez em nunca…

Segurança da Informação. Independente da terceirização que você contrata, muito provavelmente o Terceiro tem com ele informações de sua empresa com certo nível de criticidade. Ok, legal. Então perguntamos:

1. Qual o nível de maturidade que esse Terceiro tem com a segurança da informação?

2. Tem política, normas e procedimentos implementados para a segurança da informação de seus clientes?

3. Conscientiza seus colaboradores sobre a questão?

4. Que controles ele tem implementado para salvaguardar suas informações?

Isso é o mínimo que devemos apurar e avaliar, ah, e periodicamente.

E com relação a gestão da continuidade dos negócios. O quão esse Terceiro está preparado para uma interrupção prolongada no negócio dele? Ele tem um GCN para isso? Se o seu Terceiro é daqueles que se ficar gripado você pega uma pneumonia, e não tem GCN, então, torça e reze para que nada aconteça!

Entonces, mãos a obra caros…

 

Um abraço e até a próxima!

Quando e quanto Monsieur Jerome conseguirá devolver dos 4,9 bilhões de euros? – 06out2010

enigma.consultoria Sem categoria Leave a comment  

 O Adriano, um ex-aluno enviou um e-mail e eu fui atrás da informação. É isso mesmo, um tribunal francês condenou na terça feira, dia 5, Jerome Kerviel, ex-trader do Société Générale a três anos de prisão e a devolver a empresa 4,9 bilhões de euros. Hoje ela trabalha como consultor de informática, ganha 2.300 euros por mês. Quantas vidas teria que ter para pagar essa quantia?

 O Tribunal considerou Jerome, 33 anos, culpado por abuso de confiança, falsificação e introdução fraudulenta de dados em um sistema de informática. Ainda, segundo o Tribunal, Jerome não respeitou as regras de seu mandato ao tomar posições especulativas sem que o banco soubesse e em proporções gigantescas. Por seu lado, o advogado de Jerome alega que os superiores de Jerome permitiam sua livre atuação e, inclusive, o estimulavam a assumir riscos desde que isso permitisse ganhos financeiros.

 Pois bem, estamos diante de mais um caso onde os Controles Internos e a Auditoria falharam ou a Alta Administração “fecho os olhos” para o camarada que vem mostrando lucro (pelo menos, aparente)? Sabemos que para prevenirmos de fraudes e ilícitos semelhantes é essencial o estabelecimento de um Programa de Combate baseado na gestão do risco, integrado com controles internos e compliance atuante, e claro, com uma auditoria interna também atuante e preparada para lidar com o tema.

 Mas, eu disse mas, a história na teoria é uma e na prática é outra. Uma boa parte das empresas não gosta de gastar seu rico dinheirinho em prevenção a esses ilícitos, a não ser que sejam obrigadas a fazê-lo. E é incrível que desconheçam as pesquisas nacionais e internacionais sobre a questão e fechem os olhos. Em 2009 as perdas com fraudes ocupacionais nos EUA bateram a casa do U$ 1 trilhão, é isso, U$ 1 trilhão. Os números nacionais não chegam a tanto, mas são elevados.

 Ok Mário, o que fazer? Curto e grosso: investir em Prevenção! Combater a Fraude, Lavagem de Dinheiro e ilícitos semelhantes por meio da Prevenção sai muito, mas muito mais barato do que ter que correr atrás de um Jerome da vida. E isso porque já tivemos Nick Lesson, Georgina e outros tantos exemplos…mas a máxima que escuto é: aqui em minha casa isso não vai acontecer…Será?

 Minha pergunta: quando e quanto o Jerome conseguirá devolver dos 4,9 bilhões de euros?

 Quem souber a resposta, fique a vontade….

 Um abraço e até a próxima!

Os cisnes negros e os brancos – 25set10

enigma.consultoria Sem categoria Leave a comment  

Alunos e alguns clientes já viram eu utilizar a metáfora do cisne negro, que cunhei do professor Taleb, autor do brilhante A Lógica do Cisne Negro, o impacto do altamente improvável.

Que o cisne negro existe e que a probabilidade de ver um é baixa, sim, diria muito baixa, e, trazendo para a disciplina do risco, o evento de um impacto qualificado como cisne negro pode ser devastador. Mas, talvez pior sejam os cisnes brancos, que estão a um palmo do nosso nariz e que podemos vê-lo a rodo. O que fazemos com os riscos dos cisnes brancos? O que fazemos com os dois?

Os eventos de risco que podemos chamar de cisnes brancos estão à nossa frente e devemos, eu disse devemos, dar um tratamento a eles. Aceitamos, transferimos, mitigamos ou evitamos o risco desses eventos. Não podemos e não devemos ser negligentes com isso. Alguns desses cisnes brancos, a despeito de uma possível baixa probabilidade de ocorrência, podem ter um impacto tão espetacular, que levaria a empresa a uma crise. Precisamos enxergar pelo menos os cisnes brancos mais críticos, aqueles que geralmente estão debaixo de nossos narizes.

Ok, e o que fazemos com os cisnes negros, aqueles com uma probabilidade quase nula, mas que pode acabar com a organização (apenas um exemplo, o WTC era um cisne negro e sumiu com 70% das empresas nas duas torres)? Se você for aquele cara extremado, você pode elucubrar uma série de cisnes negros e prever um tratamento para eles, mas, com certeza você é uma agulha em um palheiro. Costumo dizer aos meus alunos e clientes que fazemos Planos de Continuidade como um tratamento aos cisnes negros, antes de tudo, pois os cisnes brancos têm quase que a obrigação de conhecê-los e tratá-los para que nunca invoquemos o Plano.

Aos que não leram, fica a dica do livro do Taleb. Apenas uma observação: tenham um pouco de paciência no começo, que do meio para a frente o livro fica ótimo.

Um abraço e até a próxima!

Que o caso da Receita Federal sirva de exemplo. – 18set10

enigma.consultoria Sem categoria Leave a comment  

 Vou voltar mais uma vez ao caso da Receita Federal para servir de exemplo à minha argumentação. Para que a Segurança da Informação funcione dentro de um contexto de gerenciamento razoável é necessário que se planeje, execute o planejado, verifique o executado e aja sobre os resultados da verificação (ciclo PDCA). Pois bem, até planejamos, selecionando processos e controles preventivos e detectivos, adotamos a ideia de gerenciar o risco da segurança da informação e passamos do planejamento para a execução, implementando processos e controles.

 Quero dar uma primeira parada para argumentar. Nós brasileiros gostamos de pensar em controles, antes de pensar no processo (em sua análise e modelagem). O caso da Receita é típico (e não é só ela): falta de processos adequados de segurança da informação em disciplinas importantes como controle de acesso lógico. Porque não pensamos em processos quando estamos planejando? Porque pensar em controles é mais rápido, gasta menos e aparece mais aos olhos de quem promove. E quando acontece o problema? Vai lá e veja que, ou foi falta de processo ou foi falha em sua modelagem. Ainda essa semana o ministro Mantega enumerou uma série de novos controles que serão exercidos a partir de agora..não vi ele falar no bendito processo.

 E saindo da execução e entrando na verificação (veja o leitor amigo que já estou no C – control do ciclo PDCA de Deming). O nosso querido C, esse então deixamos de lá porque o orçamento não permite. Quando verificamos, fazemos isso somente por meio da auditoria, que geralmente é lenta e pode chegar tarde demais (veja que no caso da Receita quando a Corregedoria chegou a casa já havia caído). Não dá para depender somente da Auditoria para fazer o C. Há que existir um Monitoramente mais constante, mais dia a dia. Êpa, mas é preciso budget para isso. É, precisa! Então…então espera-se que alguém acerte a mosca, talvez quando já não der mais tempo. E por último o nosso A – act, que deve agir sobre o que encontramos no C. Um C ágil e eficaz e um A, composto por um Comitê que se reúne com frequência (no mínimo uma vez no mês), pode ajudar e muito o sistema de gestão da segurança da informação.

 Que o exemplo da Receita não caia no esquecimento, ou se reze todos os dias para que seus controles segurem tudo, mesmo sem processos!!

 Um abraço e até a próxima

9 anos do 11 de setembro! – 11set2010

enigma.consultoria Sem categoria Leave a comment  

 Passados nove anos custo ainda a acreditar como o ser humano pode arquitetar e executar uma barbárie dessas. Mais de 3 mil pessoas morreram. E se era prejudicar e matar só americanos, juntos aos 3 mil estavam judeus, muçulmanos, etc. As cenas permanecem em nossa memória e em nossos corações e esperamos que elas nunca mais se repitam!

 Na ótica dos negócios, foi um divisor de águas na questão de recuperação de desastre. Mais de 60% das empresas instaladas nas torres sumiram do mapa em função de ter perdido um dos seus principais ativos: informação. Essas empresas tinham seu site alternativo na torre 1 ou na torre 2. Diriam elas na época da elaboração de seu plano de recuperação: qual a probabilidade de um evento ocorrer que acabem com essas duas torres? Ou pode nem ser que se perguntaram?!

 Na melhor das hipóteses qualificaram como muito baixo e aí, talvez por comodismo, optaram pelo mais fácil e barato. Todos sabemos que a boa prática dita que não devemos instalar nosso site alternativo de TI e/ou nosso people center próximos a uma mesma ameaça do site principal. Então fica a pergunta: como que empresas americanas caíram nessa? Sinceramente, não sei!

 É como diz o professor Taleb em seu brilhante “A Lógica do cisne negro”: não há como prever os cisnes negros, simplesmente, preparar-se adequadamente e preventivamente para quando eles ocorrerem, porque geralmente fazem um grande estrago!

 Um abraço e até a próxima!

Você faz a manutenção de seu Plano de Continuidade de Negócios? – 07set10

enigma.consultoria Sem categoria Leave a comment  

 Nós brasileiros não temos maturidade para muitas coisas. Por exemplo, prevenção. Esperamos que “a cerca seja danificada” para que façamos algo. Outro exemplo, manutenção. Quem faz a manutenção correta de seu carro? Daria para contar nos dedos…Em se tratando de Plano de Continuidade de Negócios (PCN), a coisa pode pegar.

 O PCN depois de elaborado, treinado e testado pela primeira vez, entra em um ciclo de manutenção periódica. Não tem jeito, você, como costumo dizer, criou “um monstrinho” e agora precisa cuidar dele para sempre. Mesmo que sua empresa não enxergue o PCN como um componente do tratamento do risco operacional, enxergue como algo que tenha que cumprir regulatórios e auditorias (infelizmente tem muitas empresas que pensam assim), você vai ter que mostrar que fez uma revisão pelo menos anual.

 O objetivo da manutenção é claro: fazer com que o Plano esteja em constante estado de prontidão. Isso mesmo, precisou, ele estará atualizado para ser utilizado! Já pensou, você invoca o PCN e a árvore de chamada está completamente desatualizada. Processos de negócios que tinham baixo nível de criticidade, por alguma mudança nas regras de negócio, bingo, o processo passa a ser um dos mais críticos e desde então, deve ter uma estratégia de recuperação bem diferente de sua primeira definição. E por aí vai…tenho que olhar os processos, a infraestrutura, TI, pessoas e partes interessadas.

 Dessa forma, para que se mantenha o PCN em estado de prontidão nos 365 dias do ano, o processo de Manutenção é fator decisivo de sucesso e item obrigatório nas auditorias de orgãos reguladores, auditorias internas ou externas.

 Deixo no ar: você tem um processo desse plenamente estabelecido ou é contrário a essa ideia?

 Um abraço e até a próxima!

O vazamento na Receita Federal. Você tem uma receita? – 03set2010

enigma.consultoria Sem categoria Leave a comment  

 Claro que estamos em época eleitoral e um assunto desses envolvendo pessoas, que de uma forma direta ou indireta estão no pleito político, o assunto ganha outra conotação. Vazamento de informação não é um assunto novo, mas a questão é muito simples: nosso nível de maturidade de prevenção ao risco é muito baixo! Aliás, se eu for levar o pé da letra, prevenção é uma coisa que o brasileiro pouco pratica, gestão do risco então…vamos detalhar esse tema de risco um dia desses.

 Voltando as vacas magras, a prevenção ao risco de vazamento de informações tem sede de processos e controles devidamente planejados, implementados, monitorados e corrigidos periodicamente. Alguém já ouviu falar do PDCA, ciclo de Deming, é isso. Nossas empresas agem nesse ciclo? Não, literalmente não! Podem no máximo planejar e implementar, mas não monitoram e não corrigem.

 Então, a Receita não está sozinha nessa?! Por certo que não! O azar dela é que ela custodia informações de elevado nível de criticidade dos cidadãos brasileiros economicamente ativos. E aí, essas informações tem um valor tangível e intangível que alcança as nuvens. Logo, conhece a regra, o que importa é o que interessa, vem com tudo. Pode-se vazar por interesses políticos, para extorquir, para vender, para sabotar, por revanchismo, enfim, a lista é grande. Vocês leram, um dia desses prenderam um camarada que vendia um CD recheado na região da 25 de março com informações detalhadas de milhares de pessoas.

Mas há quanto tempo o cara agia?

 Dessa forma, lanço um desafio: você tem uma receita para o não vazamento de informações de uma empresa (de qualquer natureza)?

 Um abraço e até a próxima!

« Previous   1 2 3 4 5 6