Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Já não era sem tempo, uma resolução como essa expõe a necessidade das IFs e seus parceiros a agirem contra ameaças reais que já prejudicaram diversas empresas e podem vir a continuar com o seu intento no futuro.

Detalhada em três capítulos, o BACEN procurou trazer à tona a preocupação com a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro. Segundo o BACEN, isso requer que as IFs tenham controles e sistemas de segurança cibernética cada vez mais robusta, especialmente quanto à resiliência a ataques cibernéticos.

Demonstrando preocupação, o Fórum Econômico Mundial divulgou um estudo recente em que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o planeta, com os crimes cibernéticos. Uma estimativa de uma consultoria internacional estima que os crimes virtuais possam chegar a US$ 6 trilhões em 2021. É muita coisa…

Claro que o alvo principal dos criminosos virtuais ainda são as empresas do setor financeiro, mas aqui vai um alerta de sinal amarelo, meio avermelhado: diversos outros setores têm experimentado o gosto amargo desses crimes virtuais. Um bom exemplo é o setor da Saúde, aqui composto por hospitais, laboratórios, clínicas, planos de saúde, operadoras de plano de saúde, etc. Esse setor é um dos principais alvos do ataque de, por exemplo, ransomware (deixa seus dados e informações indisponíveis e pede um resgate em bitcoin).

 Dessa forma quero salientar que esse artigo interessa não somente aos leitores, que de uma forma ou de outra estão sob a égide do BACEN, mas a todo mercado; uns com maior, outros com menor ênfase, mas ninguém está livre e o interesse deveria ser geral.

A Segurança Cibernética deve ser vista como um braço da segurança tecnológica que faz parte de algo bem maior que é a Segurança da Informação. Lembrando que a segurança da informação tem em pessoas, processos, TI e infraestrutura física o escopo de seu trabalho. A segurança cibernética compreende tecnologias, processos e controles que são projetados para proteger sistemas, redes e dados de ataques em um mundo não físico. Esse grifo é importante para entendermos que estaremos tratando em um local sem rosto. Qualquer uma dessas seguranças que estamos falando trabalha na proteção de três pilares básicos de dados e informações: Confidencialidade, Disponibilidade e Integridade.

Algo que caracteriza a Segurança Cibernética é que o seu agente de ameaça, isto é, aquele que perpetra os ataques virtuais, é única e exclusivamente alguém fora do ambiente da empresa, alguém que não tem rosto, identidade e nem está presente na folha de pagamento. Lembrando que quando tratamos a segurança da informação, incluímos o agente de ameaça interno, representado entre outros por funcionários.

Pois bem, voltemos a 4658. Vou me ater nesse artigo, aos itens que tem um prazo curto (até 06/05/2019) para ter Aprovação do Conselho de Administração ou, na inexistência, a Diretoria da IF. São eles: Política de Segurança Cibernética e o Plano de Ação e Resposta a Incidentes. Não pretendo detalhar O COMO fazer, pois, seria um desrespeito àqueles que já contrataram meus serviços de consultor para auxiliar no cumprimento dos requisitos. Vou pinçar o que acredito ser extremamente importante e que os responsáveis pelo tema nas empresas devam abrir os olhos e “arregaçar as mangas”. Vamos lá então.

POLÍTICA DE SEGURANÇA CIBERNÉTICA

  1. Redução da Vulnerabilidade a Incidentes Cibernéticos

Aqui estamos falando na gestão de riscos, onde a vulnerabilidade é um de seus componentes. O propósito desse item é claramente atuar de forma preventiva, o que é a ação mais barata e correta a se fazer.

A redução da vulnerabilidade é obtida por meio da implantação de controles/mecanismos/procedimentos que reduzem a chance de ocorrência (probabilidade) de um dado evento.

A resolução cita um baseline de controles mínimos, mas pode ser que ele seja insuficiente para a IF. É necessário definir o escopo dos ativos tangíveis e intangíveis e aplicar, no mínimo, uma análise de vulnerabilidades. Fica a sugestão de fazer algo mais ampliado, como a análise do risco.

  1. Cenários de Incidentes nos Testes de Continuidade de Negócios

Na segurança da informação é comum elaborar os mais variados cenários em função do acontecimento de determinados eventos. É possível simular cenários catastróficos, como um incêndio total, ou cenários menores que acionem um PCN, como uma greve.

 Na segurança cibernética os cenários são mais específicos e levam em conta as tentativas de interrupção de serviços, provocadas, por exemplo, para uma tentativa de invasão aos sistemas da IF. Esses vários cenários devem ser colocados em uma lista e um Planejamento de Testes deve ser elaborado contemplando um a um dos cenários. Ao longo do ano é aconselhável fazer pelo menos dois testes desses, com dois cenários diferentes. Um relatório detalhado deve ser produzido, salientando principalmente os pontos fracos para posterior correção.

Vale salientar nesse caso a necessidade de reavaliar o seu PCN em todas as etapas: análise de risco, BIA, estratégias de continuidade e planos. Isso porque o seu plano pode não ter sido preparado vislumbrando as ameaças do cyber espaço.

  1. Procedimentos e Controles preventivos e de tratamento de incidentes por prestadores e terceiros

Os prestadores de serviços e terceiros que manuseiam, armazenam, enfim, que trabalhem com a informação da IF dentro do ciclo de vida de uma informação, deverão elaborar e levar ao conhecimento da IF o seu plano de tratamento de incidentes para com os dados e informações da IF. Nesse plano deverão constar procedimentos e controles preventivos e de tratamento de incidentes. A IF deverá evidenciar, onde for possível, a implantação dos procedimentos e controles elaborados. Essa etapa pode ser bem trabalhosa para a IF em função da quantidade possível de prestadores e terceiros que trabalhem com dados e informações da IF.

  1. Classificação dos dados e das informações

A classificação dos dados e informações é uma disciplina de extrema importância na segurança. A resolução fala em classificar quanto à sua relevância, o que quer dizer, classificar pela importância aos negócios da IF. Os dados e informações cumprem seu ciclo de vida nos sistemas e bancos de dados das empresas. Deve ser estabelecido um critério para categorizar esses dados e informações para atender a relevância solicitada. É uma outra etapa trabalhosa da resolução que pede experiência quando for executar o trabalho, notadamente na inteligência para definir a categorização.

  1. Mecanismos de disseminação da cultura de segurança cibernética
  • Implementação de programas de capacitação e de avaliação periódica de pessoal

Aqui deve ser elaborado e implantado um programa educacional junto ao corpo de colaboradores da empresa, com o intuito de prevenir riscos provocados por pessoas em relação à segurança cibernética. Quando falamos pessoas nos referimos a todos os colaboradores, de todas as áreas, inclusive as de TI. Lembrando sempre que pessoas são consideradas o elo fraco da segurança, haja visto que a engenharia social tecnológica é fartamente utilizada pelos criminosos virtuais, e com grande eficácia.

  • Prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.

Várias IFs há algum tempo demonstram sua preocupação com a questão e investem em comunicação a seus clientes sobre e principalmente a utilização do principal canal que é o Internet Banking. Um Plano deve ser elaborado, levando-se em conta uma avaliação minuciosa, por exemplo, dos canais de atendimento, para definir como conscientizar e educar seus clientes e usuários acerca dos riscos com o cyber espaço. Uma estatística de incidentes pode ajudar na questão. A IF não deve poupar esforços nesse sentido, pois essa ação é altamente recomendável em função do tamanho do risco operacional.

 

PLANO DE AÇÃO E DE RESPOSTA A INCIDENTES

  1. Adequação da estrutura organizacional e operacional

A resolução fala em um diretor para segurança cibernética. Algumas IFs já tem esse cargo, só que chamam de diretor de segurança da informação. Aqui é importante avaliar qual o escopo da área e as atribuições desse diretor. A segurança dos dados e informações está baseada em pessoas, processo, infraestrutura física e TI. A segurança cibernética se diferencia pelo seu agente de ameaça ser exclusivamente externo e o ambiente de “luta” não é físico, é virtual, é o cyber espaço. Nas empresas onde não existe a figura de um diretor para o tema, e o cargo, seja de gerencia ou de coordenação, deve ser avaliado e pensado. Toda a adequação deve ser elaborada levando-se em conta a conformidade com a resolução sem esquecer, entretanto, o tamanho e a complexidade das operações da IF.

  1. Plano de Ação e de Resposta a Incidentes

Antes de um Plano vem o processo de resposta a incidentes atrelado a uma metodologia e/ou a norma internacional que rege o tema, a 27.035. Algumas IFs já tem o processo, a metodologia, só não sei se dentro do que trata a norma. Nós da consultoria aplicamos a metodologia abaixo em conjunto com a norma internacional citada. A metodologia elenca seis passos:

Passo 1 – PREPARAÇÃO

Passo 2 – DETECÇÃO

Passo 3 – CONTENÇÃO

Passo 4 – ERRADICAÇÃO

Passo 5 – RECUPERAÇÃO

Passo 6 – ACOMPANHAMENTO

Uma política deve ser elaborada para apoiar uma estrutura a ser montada. Ter recursos humanos e materiais de acordo com o tamanho e a complexidade da IF, é uma tarefa que o gestor da área deve decidir com o apoio da Alta Administração. De toda forma, há também um trabalho espinhoso a ser executado para esse item.

 A resolução ainda tem uma outra seção que diz respeito à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Em um outro artigo comentarei sobre esse capítulo da resolução.

Sugiro às IFs que promovam uma análise de gap diante dessa resolução. Ela permitirá à IF entender de forma analítica onde está conforme, onde não está ou até, onde tem alguma coisa encaminhada. Essa análise possibilita à IF entender de forma mais profunda como se encontra para com o tema e colocar dinheiro realmente onde precisa.

Como um recado final que quero deixar e usei no título do artigo, é que esta resolução pode ajudar outros segmentos de mercado que não são regulados, mas que são alvos de ataques do cyber espaço. Dessa forma acho extremamente importante que os responsáveis nesses setores vejam como podem usar a resolução em seu proveito.

Outra, parceiros, fornecedores e terceiros de uma IF tem na resolução uma ótima oportunidade de aumentar o nível de maturidade de sua empresa para com um tema tão importante para os dias de hoje. Podem, e no meu entender deveriam aproveitar o momento e aumentar sua resiliência na questão. Além de mitigarem um importante risco operacional, podem propagandear pelo mercado o profissionalismo que tratam tão importante questão.

Era isso!

Até a próxima.

_______________________________________________________________

(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

A melhoria continuada por meio das Perdas Operacionais.

enigma.consultoria Sem categoria Leave a comment   , , , , , , ,

(*) Mário Sérgio Ribeiro

Alguém disse certa vez que aprendemos muito mais com as derrotas, com as perdas, do que com as vitórias. Na vitória baixamos a guarda, ficamos mais relaxados, alguns deitam eternamente sobre os louros; já nas perdas, essas nos tiram do sossego e fazem com que busquemos saber o que ocorreu, como ocorreu e o que devemos fazer para que não ocorra novamente. Deveríamos aprender a aprender de forma constante com as perdas. A maioria sabe disso em suas vidas e as aplica consciente ou inconscientemente.

Trazendo a ideia para o mundo corporativo deveríamos pensar o mesmo. As Perdas e as Quase-Perdas que ocorrem no dia a dia das empresas devem ser objeto de aprendizado e da busca pela melhoria continuada. Claro que a palavra Perdas é grande demais e pode significar muita coisa. Nesse artigo vou limitar meu escopo às Perdas que classificamos como Operacionais.

Podemos conceituar uma Perda Operacional como um impacto financeiro e até não financeiro que acontece com a empresa por conta de um evento ocorrido, que tenha como elemento causador um ou mais dos cinco fatores citados a seguir:

  • Pessoas;
  • Processos;
  • TI;
  • Infraestrutura Interna; e
  • Eventos externos.

Existe também o conceito de Quase-Perda, que geralmente é relegado pela maioria das empresas. A Quase-Perda diz respeito a um incidente ocorrido, mas que não resultou em uma Perda, ainda, ou que foi de alguma forma evitado. Costumo dizer que é um excelente sinal de alerta para podermos verificar e corrigir o rumo, caso contrário…

Um Evento de Perda Operacional é uma ação ou ato ocorrido por meio de um fator que trouxe uma perda para a empresa. O Evento de Perda Operacional pode ter uma extensa taxonomia. Das mais conhecidas e utilizadas é a classificação proposta pelo Banco Central (resolução 3.380/2006) e pela SUSEP (circular 492/2014) mostradas na tabela a seguir:

BANCO CENTRAL SUSEP
Fraudes Internas Fraude Interna
Fraudes Externas Fraude Externa
Demandas trabalhistas e segurança deficiente do local de trabalho Práticas trabalhistas ou segurança no trabalho
Práticas inadequadas relativas a clientes, produtos e serviços Clientes, produtos ou práticas de negócio
Danos a ativos físicos próprios ou em uso pela instituição Dano a ativo físico
Aqueles que acarretem a interrupção das atividades da Instituição Interrupção do negócio ou falha de sistemas
Falhas em sistemas de tecnologia da informação Falha na execução, entrega ou gestão das atividades do negócio
Falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição  

 

Os eventos categorizados pelos dois órgãos são os mesmos. O que há de diferente é a SUSEP agrupar os eventos de interrupção do negócio e falha de sistemas em um único evento, onde o BACEN segrega.

É óbvio que os eventos acima relacionados nesse nível não dão uma dimensão real onde possam ser esperadas perdas operacionais. Alguns consórcios como o ORX e a ORIC desmembram esse nível 1 em mais dois níveis, o que ajuda a enxergar melhor onde as perdas possam surgir; de toda forma é bom ficar claro, que mesmo a taxonomia proposta pelos dois consórcios não esgotam a possibilidade de outros tantos eventos de perdas ocorrerem. Isso é importante.

Setores diferentes do financeiro e de seguros devem criar sua própria taxonomia. Já fiz trabalhos para outros setores onde tive que construir uma taxonomia bem particular.

Ainda dentro das resoluções que os órgãos citados manifestam, não há a indicação da Infraestrutura Interna da empresa como elemento causador de perdas operacionais, como coloquei no início desse artigo. Particularmente acho uma falha. Vou justificar.

Por Infraestrutura Interna considero todas as “engenharias” que contemplam o local físico onde a empresa atua. Por exemplo, essas engenharias podem ser:

  • Civil;
  • Elétrica;
  • Hidráulica;
  • Climatização;
  • Energia;
  • Gás;
  • Outras.

Esses elementos que compõem, desde uma simples a uma complexa instalação, traz uma série de eventos potenciais em seus “ombros” capazes de proporcionar perdas operacionais, algumas até catastróficas. Para os dois ramos citados (financeiro e de seguros) consideram-se todos os fatores citados, excetuando a Infraestrutura Interna; mas fica aqui a dica se você quiser fazer algo mais abrangente e no meu modo de entender, mais assertivo: inclua a infraestrutura interna.

Ter as Perdas Operacionais devidamente armazenadas pode atender a alguns propósitos. Um deles pode ser de Compliance, atendendo a diretrizes regulatórias de órgãos como os já citados.

No caso do BACEN, para instituições financeiras, a base de dados de perdas operacionais é o componente essencial para a instituição adotar uma abordagem avançada (AMA) para a Alocação de Capital para risco operacional. Segundo os especialistas do setor e eu me junto a essa opinião, a abordagem AMA aliada a uma eficaz gestão do risco operacional deve produzir um capital a ser alocado bem inferior às outras abordagens que as instituições podem optar, mesmo considerando o alto grau de confiança de 99,90% para o método de cálculo a ser escolhido.

A SUSEP em sua resolução 492 de 2014 dispõe sobre os critérios para constituição do banco de dados de perdas operacionais (BDPO). Em até três anos (julho de 2017) o mercado segurador e de capitalização deverá estar com o BDPO devidamente sistematizado para ser alimentado com as perdas operacionais. E o que pretende a SUSEP com isso? Provavelmente atingir a dois propósitos que fundamentam a construção de um BDPO:

Propósito 1) Uma abordagem quantitativa de risco operacional com base no BDPO e utilizando de metodologias de calculo, como o Value at risk operacional (VaRop), obtendo um capital a ser alocado pela regulada por conta do risco operacional;

Propósito 2) Uma gestão mais eficaz do risco operacional com base nas perdas ocorridas em determinado intervalo de tempo.

Para quem está lendo esse artigo e não pertence aos setores regulados pelo BACEN e pela SUSEP o propósito 1 não faz o menor sentido, afinal de contas, não tem um órgão regulador que os obrigue a deixar um dinheiro alocado para perdas dessa natureza. Já o propósito 2 interessa, deve interessar a todos.

Realizar uma gestão eficaz de qualquer tipo de risco não é tarefa nada fácil para gestor e equipe, e a do risco operacional, tema desse artigo, digo para vocês que chega a ser herculana, mas deve ser feita.

Ter um BDPO devidamente estruturado e implantado pode ajudar muito na tarefa de gestão do risco operacional. O processo de construção do BDPO ensina muito sobre a empresa e seus riscos. Veja alguns desses itens:

  • As áreas de negócios devem estar definidas assim como os processos de cada área devem estar devidamente mapeados e modelados;
  • Os fatores causadores da perda operacional devem ser bem conhecidos e catalogados;
  • A taxonomia dos eventos de risco operacional deve ser a mais detalhada possível em uma primeira versão e periodicamente revisada;
  • Os colaboradores devem ser conscientizados da importância de reportarem as perdas ocorridas. Em muitas empresas é uma quebra de paradigma.

 

Além desses itens citados há o que considero determinante para o sucesso ou fracasso da estruturação do BDPO: a identificação e coleta dos controles que capturarão as perdas operacionais. Claro, porque essas perdas precisam ser identificadas, coletadas e armazenadas, considerando o universo da empresa. Detalhemos mais um pouco.

Dada uma determinada taxonomia para eventos de risco operacional e na ocorrência dos mesmos eventos, é preciso ter estruturados e implantados controles que possam identificar que determinados eventos ocorreram e mensurar as perdas ocorridas.

Esse trabalho exige muita inspiração e transpiração da equipe. Não é um trabalho fácil de ser executado. É necessário preparar um verdadeiro raio-x da empresa que resulte em memorial descritivo consistente para se ter um BDPO com qualidade necessária a ser sistematizado em uma ferramenta.

E aqui cabe uma ressalva. Por mais que sua taxonomia de eventos seja a mais detalhada que puder montar, sempre deve se ficar atento para eventos não planejados que tragam perdas. Ocorrendo esses eventos, o banco de dados deve ser atualizado.

Construído e implantado por meio de uma ferramenta, o BDPO entra em produção e começa a ser alimentado. Para aderir ao AMA, por exemplo, as instituições financeiras devem ter um BDPO com pelo menos três anos (ideal cinco anos) de implantação. Esse BDPO terá em sua base, entre outros, os dois componentes principais da mensuração de risco: a frequência e o impacto causado.

Nesse ponto começamos a enxergar em nosso BDPO os fatores causadores, os eventos relacionados, a frequência e a severidade do impacto de cada evento, quando ocorreu, em que condição ocorreu… Essa rica base de informações nos permite analisar em profundidade em que nível de maturidade encontra-se nossa resposta ao risco operacional e podermos agir.

É possível calibrarmos controles existentes, incrementar novos controles ou mesmo trocá-los. Por exemplo, se erros humanos estão ocorrendo em demasia em uma determinada área, por conta de um novo sistema implantado trazendo diversas perdas operacionais, devemos avaliar se o problema é com o sistema? Se o problema é na falta de treinamento do usuário? Enfim, temos informações para agir e com aquela que a Alta Administração tem preferência: a que trata de numerário!

Essa análise a partir das informações do BDPO permite a toda e qualquer organização gerir seu risco operacional com eficácia muito maior, calibrando seu risco residual da maneira mais assertiva possível. Um BDPO implantado de maneira correta (processo + ferramenta) é um importante aliado em uma gestão mais eficaz do risco operacional. E para setores que precisam ter uma alocação de capital, essa sinergia possibilitará ao longo do tempo um capital alocado cada vez menor.

Esse esforço requer processo, ferramenta, equipe especializada e empresa conscientizada sobre o tema. E podem certeza, os resultados a médio – longo prazo é de uma empresa muito, mas muito mais eficaz na gestão de seus riscos operacionais e mais amadurecida no tocante ao entendimento de suas perdas e quase perdas operacionais. Resultado: menos desperdício, maior eficiência, maior eficácia!

Até a próxima!

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br