Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

Precisamos criar a cultura de realizar Testes com maior frequência. (06mai14)

enigma.consultoria Sem categoria Leave a comment   , , , , ,

(*) Mário Sérgio Ribeiro

Ao escolher o tema Teste para escrever esse artigo, fiquei pensando na primeira vez em que tive que me defrontar com essa fatídica palavra. Acho que eu estava com 3-4 anos e frequentava o que na época chamava parque infantil. Fui desafiado por um coleguinha a subir em um brinquedo, que eram cubos de ferro que se entrelaçavam até uma altura de uns 5 metros, acho. Era um primeiro Teste, um Teste que mostraria o quanto eu estava preparado para vencer o medo ou não. Com dificuldade cheguei ao final, mas lembro de que ao descer, me desequilibrei e tomei um tombo. Acho que a adrenalina baixou e desprezei a descida; nada grave, mas ficou a lição.

Eu como você passamos nossa vida pessoal e profissional sendo testados a todo o momento. Em alguns deles temos tempo de planejar no que vamos ser testados e em outros não temos esse tempo de planejamento e temos que usar nosso conhecimento e experiência adquiridos para, digamos, passar no Teste, ou pelo menos enfrentá-lo.

Então chegamos a um primeiro ponto. Nós, como seres humanos em constante evolução, somos testados em muitos momentos em nossa vida. Aproveitamos os resultados de cada Teste que somos submetidos para avaliar onde temos pontos fracos e onde temos nossos pontos fortes; esperamos que da próxima vez que o dito Teste aparecer, esteja melhor, corrigindo, se não todos, alguns dos pontos fracos mais críticos e mantendo intacto ou melhorado nossos pontos fortes. E assim caminhamos…

Essa introdução trata apenas de uma reflexão sobre como nós seres humanos inconscientemente temos esse tema ao nosso lado durante nossa existência. Resolvi escrever sobre o mesmo em face de uma indagação realizada um dia desses por um amigo sobre a Copa do Mundo no Brasil. Bradava o amigo sobre a correria para se deixar tudo pronto para a dita cuja data de 12 de junho. Dizia o amigo: “Vi as pessoas se preocupando com os superfaturamentos de tudo, com os atrasos, etc., mas não vi ninguém se preocupando em saber se as obras e tudo que tem ser realizado, e claro, serão entregues aos 47 do segundo tempo, estão passando pelos devidos Testes. Será que alguém tá vendo isso?”. Palavra mágica: Testes!

Sem entrar em detalhes na discussão da Copa do Mundo e tudo que está ficando para trás, respondi ao amigo como um engenheiro de formação que sou, mas que não atua na área há 30 anos, que no caso de obras de engenharia as normas técnicas são rígidas e exigem uma quantidade muito grande de Testes; afinal de contas, são vidas humanas que estão em jogo. Não posso acreditar, a despeito da correria, que Testes obrigatórios tenham sido “esquecidos” em nome de entregar o que tem ser entregue no prazo para a FIFA. Não posso pensar ao contrário! Espero que tudo tenha sido feito dentro das normas.

Uma empresa, instalada em uma determinada edificação, com processos de negócios e/ou de manufatura definidos e em operação, tocados por pessoas e com o apoio incondicional da Tecnologia (da informação, automação e de outras), como ela encara a questão dos Testes? Para detalhar um pouco a questão tenho que fixar a abrangência dessa minha conversa. Não tratarei aqui dos Testes em processos de manufatura, em função de ser totalmente obrigatório para o negócio e uma exigência do mercado. Nessa abrangência do escopo falaremos do serviço e consequentemente de processos de negócios.

Comecemos pela Instalação física de sua empresa. São várias engenharias envolvidas em uma edificação comercial: civil, elétrica, hidráulica, incêndio, etc. A manutenção preventiva dos itens dessas engenharias é imperativo, qualquer coisa ao contrário, é negligência pura. Testes devem sempre ser planejados e executados quando algo novo deve ser implantado ou algo deve ser reformado ou retirado. Mudanças devem ser sempre, sempre testadas! Nesses Testes, conforme detalharemos mais à frente, a premissa número 1 é encontrar os pontos fracos à exaustão.

Existe alguém em sua empresa destacado para isso? Está capacitado para a função? Existe gestão sobre o assunto? Não, minha instalação é em um condomínio e isso está na mão do síndico/administradora, ele cuida de tudo… Uma série de acidentes poderia ser evitada pela absoluta negligência que administradores tratam essa questão. Você sabia que existe uma especialidade na engenharia que trata de combate a incêndio? Existe um livro sobre o assunto que tem mais de 400 páginas. É pouco? Pense nisso!

E as Pessoas, existem Testes para elas? Sim, existem, e não são somente os realizados para a admissão na empresa. Os Testes que eu quero tratar são aqueles a serem executados durante o contrato de trabalho. Já vi muita experiência boa por aí. Por exemplo, empresas que antes de saírem para o mercado na procura de um profissional para uma dada vaga fazem um processo seletivo interno, composto de Testes, análise de currículo e entrevista. Excelente! Outro tipo de Teste que muitas empresas adotam é a chamada Avaliação 180 ou mesmo a 360º, onde o profissional pode ser avaliado pelo gestor, por um par, por um subordinado e recebe o resultado de seus pontos fortes e fracos em uma conversa. Se bem implantado, trata-se de uma eficaz alternativa de melhoria nas Pessoas. Áreas de Compliance, Controles Internos e Segurança da Informação, por exemplo, também realizam Testes com Pessoas. Por exemplo, para quem atua no setor financeiro e de seguros tem o Teste de capacitação na prevenção a lavagem de dinheiro, na segurança da informação, tem os Testes para avaliar a conscientização e educação dos colaboradores quanto a SI e a Engenharia Social.

E a TI, hein? O que podemos falar dela? Teste é um item que o profissional de TI aprende a soletrar desde criancinha. Deve-se testar tudo antes de se colocar em produção, essa é a máxima. Antes de se colocar um determinado hardware (uma estação de trabalho, por exemplo) deve-se testar, um sistema, deve se testar, um link de comunicação, deve-se testar, estratégias de contingência, deve-se testar…O Teste faz parte da vida da TI e de seus profissionais. O que acontece, infelizmente, é que o Teste é a última linha do cronograma de um projeto e até chegar lá, normalmente a grana e o prazo já foram para o ralo. E então? Bem, ou não se faz, ou se faz na meia boca, como dizemos no linguajar popular. Na melhor hipótese faz-se o Teste, aponta os pontos fracos e há prazo e grana para se fazer um novo Teste e colocar o item em produção; na pior hipótese, coloca-se o item em produção sem Teste algum. Problemas? Muitos! As áreas de negócios que dependem da TI cada vez mais, rezam…os profissionais de TI sabem disso e rezam também, quando invariavelmente caem nessa ciranda.

E os processos da empresa, o que temos para eles? É muito importante para qualquer empresa que ela tenha seus processos definidos, projetado seus fluxos e pessoal treinado para utilizá-los. A falta dessa maturidade com relação aos processos e a consequente não implantação de padronização das atividades de negócios, sabemos que pode aumentar e muito o risco operacional nas empresas. Quantos incidentes podem ter por conta de processos que em Testes realizados notamos que estão mal desenhados? Que faltam atividades em seu fluxo? Que entidades relacionadas estão cumprindo atividades que não são suas?

É fundamental que a área de Risco Operacional juntamente com Compliance, Controles Internos, Segurança da Informação, TI e Auditoria Interna trabalhem juntas para diminuir os riscos de incidentes relacionados aos processos. Por exemplo, a área de Compliance e Controles Internos devem ter anualmente elencados em um cronograma, quais são os Testes que devam ser realizados e em qual periodicidade; segurança da informação e TI a mesma coisa. Fraudes, vazamento de informação, espionagem industrial, sabotagem e mais um sem número de ameaças podem ter sua origem em processos que não tem o devido nível de maturidade implantado. E testando encontramos suas fraquezas.

É isso, esse é o mote! Devemos planejar e executar Testes com o intuito de buscar ferozmente os pontos fracos daquilo que estamos testando. Aquele celebre frase que você já deve ter ouvido, “…realizamos todos os Testes e deu tudo 100% certo; nada saiu errado…” , pode até ser verdade, o que na grande maioria dos casos eu duvido. É importante termos em mente sempre que planejamos e executamos Testes que estamos buscando as fraquezas, e não somente o que está operando eficazmente.

Quando você for pensar em realizar Testes deve elencar três etapas:

Etapa 1 – Planejamento

Etapa 2 – Execução

Etapa 3 – Avaliação

 

Na Etapa 1 – Planejamento, algumas atividades que você deve pensar são:

  • Qual o objetivo ou objetivos dos Testes a serem realizados
  • Qual o Escopo e a abrangência
  • Avaliar possíveis restrições dos Testes
  • Desenvolver as estratégias dos Testes (tempo, métodos, cenários, etc.)
  • Especificar logística para o Teste (se for o caso)
  • Especificar a programação do Teste (fase de preparação e execução)

 

Já a Etapa 2 – Execução, algumas atividades que você deve pensar são:

  • Coordenador dos Testes checa todos os itens preparatórios
  • Coordenador dá início aos Testes
  • Pessoas/equipes destacadas fazem as anotações necessárias durante a execução dos Testes
  • Coordenador finaliza os Testes

 

Já a Etapa 3 – Avaliação, algumas atividades que você deve pensar são:

  • Compilam-se todas as informações coletadas dos Testes
  • Relata os Pontos fracos e pontos fortes dos Testes
  • Avalia-se de forma geral e propõem-se Recomendações

 

Entendo que a dinâmica das empresas nos dias atuais não permite que Testes sejam realizados da forma mais periódica possível. Entretanto, considero fundamental que itens críticos dentro de instalações, pessoas, TI e processos devam merecer atenção especial. A Alta Administração deve ser sensibilizada e entender que os Testes devem fazer parte do orçamento das áreas e apoiá-los. É sempre melhor encontrar os problemas em Testes do que na “vida real”. Para quem gosta de futebol tem uma máxima antiga: “É melhor errar na hora do treino e corrigir, do que na hora do jogo.”

Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br