Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

Risco, Resiliência e PCN pós COVID-19.

enigma.consultoria Sem categoria Leave a comment   , , , , , ,

MÁRIO  SÉRGIO RIBEIRO (*)

Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que nos acostumar com a ideia de lidar com cada vez mais incertezas, a despeito de toda tecnologia e metodologia de previsão que dispomos.

A Pandemia do COVID-19 que se abateu sobre o mundo é um de vários possíveis eventos catastróficos que pode vir a nos colocar “de joelhos”. Como consequência desse atual evento que vivenciamos, fica uma pergunta: os negócios sobreviventes da COVID-19, como ficarão? As empresas têm Resiliência organizacional para aguentar um tranco desse tamanho? Como podem desenvolver estratégias de continuidade e sobreviver, mesmo diante de eventos dessa magnitude, que pelo jeito, pode vir a nos visitar novamente?

Há quase dez anos atrás o matemático americano John Casti escreveu um livro com o título “O colapso de tudo” – os eventos extremos que podem destruir a civilização a qualquer momento”. Título impactante? O autor quis chamar a atenção, alguns poderiam pensar, para vender livro? Em um primeiro momento talvez sim. Mas se você ler o currículo de Casti provavelmente não apostaria nisso. No livro, Casti analisa onze eventos alarmantes – e prováveis – situações que podem arrastar o mundo para uma idade das trevas, como diz a contracapa. Vamos a eles:

(1) Um apagão na Internet

(2) A falência do sistema global de abastecimento de alimentos

(3) Um ataque por pulso eletromagnético que destrói todos os aparelhos eletrônicos

(4) O fracasso da globalização

(5) A destruição provocada pela criação de partículas exóticas

(6) A desestabilização do panorama nuclear

(7) O esgotamento das reservas de petróleo

(8) Uma Pandemia Global

(9) Pane no sistema elétrico e no suprimento de água potável

(10) Robôs inteligentes que dominam a humanidade

(11) Uma crise no sistema financeiro global

Eu li e reli nesses dias este livro de Casti e confesso que não duvido do que ele fala! Alguns deles já acenderam sinal amarelo…Trata-se de um livro excelente e que recomendo a leitura a todos. Infelizmente, um dos eventos previstos por Casti estamos vivenciando: a Pandemia Global do COVID-19. E quando sairmos dela, machucados, mas vivos, até que ponto estaremos preparados para outros eventos que porventura possam vir, como alguns dos citados por Casti? Devemos, tanto como pessoas como empresa, ampliar nossa Resiliência. Mas afinal, o que essa tal de Resiliência organizacional?

 Resiliência Organizacional é a capacidade de uma organização em absorver e se adaptar em um ambiente em mudança e capacitada a cumprir seus objetivos, sobreviver e prosperar. Organizações mais resilientes podem antecipar e responder a ameaças e oportunidades, decorrentes de mudanças repentinas ou graduais em seu contexto interno e externo. (fonte: ISO 22316:17)

O aumento da resiliência pode ser uma meta organizacional estratégica e é o resultado de boas práticas comerciais e gerenciamento eficaz de riscos. E é nesse aspecto do gerenciamento eficaz de riscos que quero iniciar meu raciocínio nesse aumento da Resiliência organizacional.

 Ao sairmos dessa Pandemia veremos um mundo de outra forma e certamente as empresas olharão para essa questão da Resiliência. Mais conservadora e mais ressabiada com eventos de rara probabilidade, mas de impactos catastróficos, elas investirão em aumentar sua resiliência ou, pelo menos, deverão pensar muito mais do que antes do COVID-19 na sua Avaliação de Risco, em suas estratégias de continuidade e em seus planos de continuidade de negócios. Disso eu não tenho dúvida! Vamos explorar a questão…

Quando desenvolvemos nosso Plano de Continuidade de Negócios passamos por uma etapa que chamamos de Processo de Avaliação de Risco, que tem como objetivo: identificar os riscos de interrupção das atividades prioritárias da empresa, bem como os processos, sistemas, informações, pessoas, bens, parceiros terceirizados e outros recursos que os suportam. Em seguida, esses riscos identificados devem ser analisados, avaliados e identificados tratamentos que se alinhem com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa.

Essa pandemia do COVID-19 acendeu uma luz amarela sobre o processo de avaliação de riscos. Eventos que antes poderiam ser considerados de probabilidade raríssima e que nem eram avaliados na maioria dos planos, devem passar a serem considerados e, seu tratamento, alinhado com as devidas estratégias de continuidade. Esse certamente é o momento ideal para que se faça uma análise desse processo dentro da continuidade de negócios. Para ajudar nessa análise, uma série de perguntas devem ser feitas. Vejamos algumas delas:

(1) Estou usando uma metodologia devidamente referendada para Avaliar o Risco da continuidade dos negócios?

(2) A identificação dos riscos tem processo e critérios definidos que tragam para o contexto os riscos de quaisquer probabilidade e magnitude?

(3) Ainda no que diz respeito a identificação dos riscos, estamos usando metodologia que nos permite identificar todas as categorias de riscos possíveis que tenham uma alinhamento direto com a continuidade de negócios?

(4) Existem riscos catastróficos (ou quase) que eu poderia estar incluindo em minha avaliação?

(5) Existe metodologia claramente definida que permite avaliar quais riscos de interrupção podem ser tratados?

(6) Os tratamentos escolhidos estão alinhados com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa?

Os riscos que foram identificados e que necessitem de tratamento, a empresa deve considerar medidas proativas que possam reduzir a probabilidade, diminuir o período de interrupção e limitar o impacto da interrupção. Para alguns riscos, o tratamento, com o intuito de aumentar a resiliência organizacional, será a inclusão em algumas das estratégias de continuidade a serem definidas.

As estratégias de continuidade que são definidas e selecionadas a partir da análise de impacto nos negócios e no processo de avaliação de riscos tem como propósito proteger atividades prioritárias, estabilizar, continuar, retomar e recuperar atividades priorizadas, além de suas dependências e recursos de apoio. Faz ainda parte de seu escopo, mitigar, responder e gerenciar impactos.

Nessa pandemia do COVID-19 uma grande maioria de empresas “descobriu na marra” a estratégia do home office e do trabalho virtual. Obviamente as empresas que já tinham seu PCN, em sua grande parte, deveriam ter essa estratégia de home office definida para algumas de suas atividades e, portanto, saíram na frente. Mas, mesmo assim, provavelmente para uma boa parte delas, se tornou insuficiente para tirar a empresa de uma situação complicada, em alguns casos, dramática.

A questão central é que o evento da COVID-19 parou a roda da economia porque o seu ativo principal saiu de cena: Pessoas! E sem as pessoas, a roda não gira, não há como as empresas existirem. Dessa forma, o que se pode aprender com o COVID-19?

Eventos catastróficos, que podem ir desde um incêndio total das instalações de sua empresa ou uma crise sistema financeiro global (como a de 2008) e que Casti coloca que pode voltar (está entre os onze eventos), devem começar a fazer parte de seu processo de avaliação de risco, estratégia de continuidade de negócios e planos de continuidade de negócios.

A preocupação até hoje na elaboração e implementação de PCNs era com eventos como no máximo um incêndio com perda total. Estratégias de continuidade que estabilizem, continuem, retomem e recuperem as atividades priorizadas de uma empresa em um evento dessa natureza ou semelhante, é possível de se planejar e implementar. As estratégias não dependem de um contexto externo.

Mas o que fazer para eventos nos quais você depende de um governo, de uma situação extrema, onde a decisão não está com você, que se vê de “mãos atadas” para enfrenta-la? Para cada tipo de evento desse deve ser pensada e elencada uma solução. Vejamos como exemplo o próprio COVID-19.

Em um primeiro plano sugestiono que as empresas comecem a olhar com mais carinho para os Riscos Emergentes. Risco Emergente é um termo usado para descrever novos riscos que não encaixam no universo de riscos atual ou riscos que estão mudando, assim como sua interação com outros riscos. Comum a ambos é que Riscos Emergentes são difíceis de quantificar, mas considerados como tendo potencial para impactar a empresa de forma substancial.

A importância de gerir Riscos Emergentes se encontra no seu potencial para afetar a estratégia de negócios; consideração antecipada e mitigação podem ser vista como uma atividade chave de agregar valor através das Funções de Gestão de Risco. Não é objeto aqui fazer um detalhamento sobre Riscos Emergentes, que farei breve em outro artigo, mas se as empresas já estivessem inserido essa abordagem em sua função de riscos, muito provavelmente teriam detectado uma ameaça nas Endemias já ocorridas. Vejamos:

1. Poderiam dar atenção, entre outros, a estudos como de Casti, que é um dos fundadores do X-Center, instituição de pesquisa com sede em Viena que analisa eventos extremos causados pelo homem e como prever sua ocorrência;

2. Recorrer a base histórica sobre eventos de endemia, que já tivemos. Vejamos:

  • Coronavírus são conhecidos desde meados da década de 1960;
  • 2003: SARS (síndrome respiratória aguda grave);
  • 2005: Gripe aviária;
  • Síndrome Respiratória do Oriente Médio (MERS) foi identificada em 2012 e segunda onda em 2018;
  • Mercado de Whuan na China já foi fechado e reaberto três vezes.

3. Os eventos citados protagonizaram Endemias e uma Pandemia não foi questionada, mas poderia. Entre alguns aspectos, a globalização diminuiu as fronteiras e o vai e vem pelo mundo ocorre em abundância e em um piscar de olhos. A China comunista virou um potência capitalista e seus aeroportos são dos mais movimentados do mundo. Saímos da Ásia em um dia e depois de 18 horas estamos no Brasil? Ou em sete na Europa? E assim com qualquer país do mundo…

Com essa abordagem não tenho pretensão nenhuma de fazer previsões, de se prestar a um tolo, que fala depois do ocorrido, de encontrar uma fórmula de encontrar os cisnes negros de Taleb ou de encontrar culpados (OMS, governos, empresas, etc.). Nada disso! O que pretendo é mostrar que nosso cuidado com a Avaliação de Riscos de agora em diante deve ser muito mais contínuo e detalhado, carecendo de um monitoramento diário de dados e informações, em função da ampliação das categorias de risco que podem afetar o negócio de uma empresa. Talvez, incluir a raridade em sua Avaliação seja um começo…

Um dos maiores, senão o maior problema, enfrentado pelas empresas agora é a falta de caixa para suportar esse período incerto de inatividade. Uma das mais variadas soluções que podem ser adotadas para o futuro, baseada nessa nova avaliação de risco a ser realizada, é entender a Alocação de Capital para Risco Operacional como uma excelente resposta à um evento de risco operacional de elevada magnitude. Isso já existe de forma obrigatória em alguns setores regulados de nossa economia. Essa alocação seria usada diante de um evento, como o da COVID-19 por exemplo, por meio de políticas claramente definidas e aprovadas pela Alta Administração da empresa.

Na sequência de nossa revisão da Gestão da Continuidade de Negócios, a partir da avaliação de riscos e das estratégias, os procedimentos dos planos devem ser revistos. A resposta e estabilização da emergência, a gestão da crise, a comunicação com partes interessadas, a recuperação e o retorno ganham novos contextos que devem ser reavaliados com detalhes e critérios. Um item muito importante e que muitos esquecem é a sua cadeia de suprimentos! Reavaliar o risco de seus fornecedores/parceiros, pelo menos os mais críticos, é fundamental!

Muito dessa reavaliação tem como aprendizado este exato momento em que as empresas estão passando e tendo que resolver e resolver e… É um momento duro, mas deve ser guardado como forma de avaliar o que deu certo e o que deu errado. O certo entra como resposta a essa reavaliação, o errado, como aprendizado para um novo acerto.

De toda forma temos um novo paradigma. Os tomadores de decisão da empresa devem começar a pensar que infelizmente o imprevisto faz parte de nossa vida humana nesse planeta. Que os Eventos Extremos devem aparecer com maior frequência e que precisaremos desenvolver nossa Resiliência, ou mais ainda como define Taleb em seu livro Antifrágil: precisamos ser mais do que resilientes, precisamos ser Antifrágeis!

Em A Peste, romance existencialista de 1947, o escritor Albert Camus pinta um quadro emocionante de profissionais de saúde que se unem para combater um surto de peste bubônica. Camus em seu livro diz: parece ser que os seres humanos têm, na melhor hipótese, uma ilusão de controlar seu destino e que, em última análise, a irracionalidade governa os acontecimentos.

Se cuidem!

Abraço.

Até a próxima.

_______________________________________________________________

(*) 60 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Incerteza, acaso, imprevistos: a influência em nossas vidas e na vida das empresas.

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

 

Você consegue recorrer a sua base histórica, armazenada nos rincões de sua memória e recuperar a informação de quantas vezes o Acaso esteve presente em sua vida pessoal, seja para o bem ou para o mal? Quantas vezes a Incerteza tomou conta de sua vida e a vida das empresas em que trabalhou ou trabalha, quando decisões precisavam ser tomadas? Percebeu que a cada dia que passa, novas “surpresas” vão acontecendo, quantos imprevistos, o que não existia, passa a existir, que nossas previsões não conseguem ser mais tão assertivas como tempos atrás?  

 

Provavelmente irá se surpreender com o número de ocorrências. Elas certamente são maiores do que você imaginava. Quantos acasos nos levaram a inúmeras descobertas, quantas incertezas levaram empresas e até nações a tomarem decisões erradas. Quanta suposta subjetividade parecia existir na probabilidade, na chance de algo ocorrer, e, muitas vezes de forma até negligenciadora, fizemos a coisa errada. Vamos explorar essa temática.

 

De uma maneira geral somos orientados desde criancinha a trilhar uma vida dentro de padrões, de regras, e dentro do possível, tocas a vida de uma forma planejada. O padrão e o planejado gostam de andar de mãos dadas com a certeza, daquilo que podemos prever e que de fato vai acontecer. Adoramos quando podemos prever, e mais ainda quando acertamos as previsões, mas detestamos a incerteza. Somos contextualizados a não tolerar a incerteza e por conta disso, geralmente a colocamos de lado, mas temos conosco, mesmo de forma subliminar, que ela existe. Com o Acaso a mesma coisa, mas se for para o lado bom, torcemos para que ele sempre apareça.

 

Ocorridos fora do planejado podem ser exemplos interessantes. Vejam o que ocorreu com essas empresas:

·         A Coca-Cola começou como um produto farmacêutico;

·         A Tiffany & Co, hoje famosa por suas joias, começou como uma loja de artigos de papelaria;

·         A Nokia,que já foi a maior fabricante de telefones celulares, teve início como uma fábrica de papel e em algum momento chegaram a fabricar sapatos de borracha;

·         A DuPont, hoje com uma infinidade de produtos, mas famosa por suas panelas antiaderentes de teflon, lançou-se como uma empresa de explosivos;

·         A Avon, empresa de cosméticos, começou com a venda porta a porta de livros.

 

O que não é esperado, planejado, que pode ser trazido por uma situação, um evento aleatório qualquer, pode ter o seu lado bom, como também um lado ruim. Cada uma dessas empresas citadas tem em sua história de mudança, o que parecia ser certo por seu planejamento estratégico inicial, mostrou-se errôneo no decorrer do tempo, e o sucesso ocorreu de outra forma.

 

Se você for conversar com pessoas idosas, ainda vivas, acima dos 80 anos, constatará que a vida era mais fácil, podemos dizer bem mais previsível. Converso muito com minha mãe que tem 98 anos, nascida, portanto, em 1919. Nasceu logo após o final da primeira guerra e passou por diversas transformações que aconteceram no mundo ao longo desse quase um século.

 

Ela fala que a grande maioria das coisas que você planejava fazer para sua vida, a maioria ocorria sem muitos solavancos, mas ocorriam. Os ruídos ou sinais que porventura aconteciam no percurso, eram possíveis de serem percebidos e se podia ajeitar o curso das coisas. Muitas pessoas se aposentavam naquele que era o seu primeiro emprego. Havia certa estabilização, havia menos incertezas, a vida provavelmente era mais fácil de se levar.

 

Hoje a coisa é bem diferente. Se olharmos o universo que gira em torno de nossas vidas e da vida das empresas percebemos que as variáveis desse enorme sistema são quase que infindáveis. Com tantas variáveis e poucas constantes, nossas incertezas se acumulam e como! Corajoso aquele que realiza previsões, sejam elas quais forem nos dias atuais. A chance de acertar na mosca é quase que nenhuma, mas a possibilidade de fazer previsões é parte do ser humano.

 

Nessa linha que estamos tratando poderíamos pensar em o que devemos fazer, ou o que podemos fazer para reduzir as incertezas que nos cercam? Como podemos tornar um pouco mais certa tanta coisa incerta? E o acaso, o aleatório, como podemos nos proteger de sua aparição?

 

Para as incertezas você quase sempre tem a possibilidade de decidir. As incertezas obriga você a trabalhar com a chance de que algo possa acontecer e que possa trazer impactos positivos ou negativos, claro, dependendo do contexto que esteja avaliando. A ideia é encontrar esse grau de incerteza e tentar reduzi-lo. Um bom método de procurar reduzir esse grau de incerteza é utilizar componentes do gerenciamento de risco.

 

Em minhas aulas e palestras sobre Risco costumo usar um exemplo da vida das pessoas para ajudar no entendimento dos conceitos que estamos aqui tratando. Vamos a um caso, muito comum por sinal nos dias atuais.

Suponhamos que um indivíduo esteja em um bar com amigos e começa a ingerir bebida alcoólica, ultrapassando facilmente os limites definidos na Lei de trânsito. Analisemos duas hipóteses nesse caso. Uma primeira, na qual o risco é evitado (elimina-se as incertezas) e a outra hipótese, o risco é assumido (assumem-se as incertezas e os possíveis impactos):

 

Hipótese1: Ele está sem carro próprio. Em uma primeira situação, esse indivíduo saiu de casa deliberadamente sem carro, pois sabia que iria a um bar e iria beber acima do permitido. Voltaria de taxi ou pegaria carona com algum amigo que estivesse de carro, mas que não havia bebido. Ele retirou suas incertezas, reduzindo-as a zero com essas ações preventivas, evitando o risco de dirigir seu carro alcoolizado e assumir riscos deliberadamente.

 

Hipótese 2: Ele está de carro próprio. Saiu de casa de carro sabendo que iria a um bar e que beberia, certamente acima do permitido por Lei. Foi o que ocorreu: bebeu bem acima do permitido. Sua dúvida, sua incerteza é: pego o carro e assumo todos os riscos decorrentes ou evito os mesmos riscos pegando um taxi, ou solicitando a um amigo que não bebeu que leve o meu carro. O que fazer?

 

Interessante verificarmos que se olharmos as situações sobre a ótica do risco, fica mais fácil tratar das incertezas que nos cercam. Claro que na situação colocada acima, atuar preventivamente indo de táxi, eu evito o risco e elimino qualquer incerteza. Agora, quando eu assumo as consequências do risco pegando o carro alcoolizado, minhas incertezas permanecem até estacionar o carro na garagem de casa.

 

No trajeto do bar até sua residência o indivíduo está sujeito a todas as variáveis do risco que assumiu: das incertezas, dos acasos, da aleatoriedade. Assume o indivíduo para si que está bem para dirigir, que não haverá blitz, que ninguém estará atravessando uma rua quando ele virar a esquina… e por aí vai. Então, qual a melhor decisão, ou quem sabe, a única?

 

E se na vida de nós próprios mortais a vida é repleta de incertezas e riscos, não é diferente para as empresas. Certamente toda decisão tomada no ambiente empresarial vem imbuída de uma série de incertezas, mas que, provavelmente antes de tomá-la, deve se procurar reduzi-la a um mínimo tolerável, buscando a certeza da melhor decisão.

 

No ambiente empresarial, muito mais do que na vida da maioria dos indivíduos, o uso da prática do risco como elemento mitigador de incertezas e busca cada vez mais de decisões assertivas nos dias atuais, soa como elemento de sobrevivência. E também aqui, acaso, aleatoriedade, volatilidade “ajudam” a temperar ainda mais o contexto.

 

Em uma sociedade minada de informações para todos os lados e cada vez mais com sistemas extremamente complexos e dependentes de inúmeras variáveis, as empresas tem lançado mão de todo o aparato tecnológico e não tecnológico para reduzir suas incertezas. Adotar a prática da gestão do risco passa a ser uma obrigatoriedade na maioria delas, em dias e cenários cada vez mais turbulentos.

 

Para finalizar esse artigo compartilho com vocês o que ocorreu em uma recente apresentação que fiz sobre a Gestão da Continuidade de Negócios. Um participante perguntou o porquê da empresa dele ter que elaborar e implantar um Plano desse se, até aquele momento, nunca havia ocorrido nenhum evento de magnitude que pudesse paralisar suas operações e que ele também não via indício de ocorrer no futuro? Disse que ficava contente em poder responder essa pergunta e vamos a um resumo dela abaixo:

 

Eu e você sabemos que se elabora e implanta-se um Plano de Continuidade de Negócios (PCN) para não sermos surpreendidos por eventos que possam paralisar o negócio. Sabemos também que esses eventos podem ter, desde baixa até alta chance de ocorrência, e seus impactos podem levar uma empresa a parar de operar. Procuramos ter um tratamento preventivo para nossas inúmeras incertezas e preservar o negócio. Incertezas essas alinhadas às incontáveis ameaças que rondam o negócio. No ambiente empresarial podemos ter uma lista de riscos operacionais que passam facilmente de mais de cem ameaças. Vamos pegar uma boa: um incêndio.

 

Como está a instalação elétrica da empresa? E se for condomínio, como está a instalação do condomínio e a do seu vizinho? Ah, mas não temos nada a ver com o condomínio, com o vizinho. Ok, mas se tiver problemas ali, a ameaça pega a todos, e pode ser uma vez só, como no caso do incêndio. Então, mesmo que nunca tenha ocorrido, e oxalá sempre torcemos para nunca ocorrer, não quer dizer que não vai ocorrer. E se porventura ocorrer, a empresa não descontinua, pois tem um tratamento a esse risco que atende pelo nome de PCN. Lembrando: você faz um Plano desse para não ter que usar mesmo, mas, se aparecer a Crise, ele está ali!

 

Essas e outras infinidades de incertezas, normais em sistemas cada vez mais complexos, como foram mencionadas ao longo desse artigo, nos faz repensar a forma que pensamos e agimos sobre elas. Não conseguimos evitar ou reduzir todas que queremos, mas podemos priorizar quanto à criticidade de suas consequências e adotar medidas que tragam mais certezas do que incertezas.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Os riscos de um processo de acesso lógico sem planejamento.

enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

 

… Infelizmente tenho que informar que o risco de você demitir alguém é alto. Como? Isso mesmo, demitir alguém é risco alto em sua empresa!

Não se trata de nenhum terrorismo, mas é a história e a situação em que várias empresas já se encontraram. E do outro lado a pergunta, mas como você chegou a essa conclusão?

Vejamos. Por meio de várias pistas que aparecem ao colaborador, uma boa parcela deles desconfia que esteja entrando na marca do pênalti. Muitos gestores fornecem essa pista, mudando seu comportamento, muita fofoca ocorre, e hoje, muita informação, com dicas para empregados saberem se estão na lista negra circula pela Internet em sites especializados.

O ser humano reage de forma diferente diante de uma situação como essa. Uma parcela começa a procurar outro lugar para se colocar antes que seja pego de surpresa; outra, entretanto, acredita que alguma coisa seja devido a ele, que se trata de uma injustiça, e é essa a situação em mora o perigo.

Essa parcela de colaboradores chamada “do mal” acaba entrando no conhecido triângulo de Cressey, e racionaliza que algo é devido a ele e que precisa fazer justiça de alguma forma. O resto fica por conta da motivação/pressão que ele tem de sobra dentro desse contexto e, por último, onde eu queria chegar, a oportunidade.

Essa tal oportunidade é fornecida pela empresa, em seu desestruturado, ou melhor, desastroso processo de acesso a sistemas de informação. Com privilégios e mais privilégios sem qualquer análise, com total falta de controle e tudo o mais que se tem direito, esse colaborador “do mal” devidamente motivado, pode se apoderar de informações altamente sensíveis. Pois bem, está feito. Divulga onde não devia, vende para quem pagar, e por aí vai a lista de estrago que ele pode trazer para a sua ex-empresa, com as informações que teve acesso e que de alguma forma a armazenou.

A Alta Administração na situação citada relutam um pouco em aceitar, mas enxergam o risco e o tamanho do estrago que pode ocorrer. Ser humano é ser humano, é da natureza a possibilidade do erro!

E o porquê de algo tão impactante e para alguns, podendo soar como surreal? A resposta é por conta de uma causa simples: um processo de acesso a sistemas de informação desestruturado, sem planejamento, sem noção do risco, isto é, quando o tem.

A falta ou o processo de acesso a sistemas de informação planejados e executados de forma desestruturado, sem ater as consequências da coisa malfeita, pode dar a chance de pessoas que não deviam ver, alterar ou excluir o dado/informação o façam.

Todos sabemos o quanto o mundo corporativo de hoje está completamente informatizado e dependente da Tecnologia da Informação (TI). Difícil encontrar algum processo de negócio que não tenha a TI envolvida, e claro, como consequência, o ser humano como seu usuário principal. Nessa linha que vivemos, as empresas de todo tamanho são obrigadas a responder à questão: que dado/informação os colaboradores podem acessar? Quais softwares e sistemas informáticos devo disponibilizar para os usuários da empresa realizarem suas atividades? Que política, critérios e métodos devem ser utilizados para mitigar o risco de disponibilizar mais do que o necessário e poder ter consequências nada agradáveis?

Os processos de negócios das empresas, com suas atividades e tarefas definidas, os inter-relacionamentos entre as diversas áreas, estão todos entrincheirados sobre a batuta da TI com seus dispositivos computacionais, seus aplicativos e sistemas informáticos. Os dados e as informações que compõem todo esse universo precisam ser criados, manuseados, transportados, armazenados e descartados, em uma clara obediência ao ciclo de vida da informação. É assim que as coisas ocorrem e esse é o contexto na qual vivemos.

Uma empresa precisa dispor de pessoas para desempenhar o que convencionamos chamar de funções de trabalho. Essas funções de trabalho estão atreladas a um cargo, a uma posição que a pessoa assume na empresa. A empresa espera que no desempenho de suas funções a pessoa contribua para o alcance das metas e resultados previstos em seu planejamento. E hoje, mais do que nunca, as atividades a serem desempenhadas pelas funções de trabalho tem uma total dependência de dispositivos computacionais.

Nesse contexto de um mundo quase que, ou, totalmente dependente da TI, torna-se necessário que as empresas definam quais dados e informações que seus colaboradores possam ter acesso, para que desempenhem suas funções no atendimento aos anseios projetados pela empresa e, que esse acesso, seja concedido de forma que sejam minimizados riscos.

E que riscos são esses? São riscos de natureza intencional ou não intencional. Pela concessão de acessos a dados e informações acima da necessidade que o colaborador tem para realizar suas funções, ele pode utilizar esses privilégios oferecidos pela empresa e perpetrar os mais variados atos ilícitos, como por exemplo, se apoderar de informações de dada criticidade e “oferecer” a potenciais interessados. Essa é uma ação intencional.

Apesar de existir uma linha tênue entre uma ação intencional e uma não intencional, um exemplo de uma não intencionalidade é o colaborador transmitir uma informação sensível, na qual não se deveria ter sido fornecido acesso a ele, para alguém interessado (interno ou externo da empresa). Essa informação transmitida pode trazer consequências de magnitude severa à empresa.

Uma das principais premissas que deve ser observada e utilizada para mitigar riscos como o mencionado e dentro do tema em questão é utilizar o conceito do Menor Privilégio:

Menor privilégio é a prática administrativa consagrada seletivamente de atribuir permissão para usuários, de tal forma que, ao usuário, não seja fornecida permissão além daquela necessária para desempenhar sua função de trabalho. Garantir aderência ao princípio do menor privilégio é um grande desafio administrativo que requer a identificação das funções de trabalho, a especificação da série de permissões requeridas para desenvolver essas funções e a restrição do usuário para um domínio com tais privilégios.

A prática do Menor Privilégio independe do tamanho da empresa, sua quantidade de usuários e de sistemas informáticos. O que deve prevalecer é bem claro aqui: as permissões de acesso devem ser concedidas dentro dos limites do que é necessário para o colaborador desempenhar sua função, suas atividades, nada a mais, nada a menos.

Uma outra prática importante é a instituição da segregação de funções, que deve ter uma matriz elaborada e implantada e levada para o acesso lógico, com a segregação de acesso a sistemas informáticos.

Lendo o que coloquei parece algo absolutamente óbvio e simples de se executar, disse bem, parece…. Esse é o caso, na teoria é uma coisa e na prática outra. Independentemente do tamanho da empresa se não houver compromisso do andar de cima, com falas e atos, sem admitir qualquer “carteirada”, venha de onde vier, além de política e normas que se façam cumprir, com sansões explícitas, a coisa não começa muito bem…e deve invariavelmente terminar mal.

Na vida empresarial não são poucas as exceções que quebram regulamentos e regras estabelecidas, com justificativas sem fundamento e valor para o negócio. Exceções que na grande maioria das vezes elevam mais ainda o risco, sem agregar ao negócio da empresa e no atingimento de metas estabelecidas. Trata-se de riscos assumidos e de forma absolutamente desnecessária.

Mas então, por onde começar? O que deve ser pensado para que riscos desnecessários não sejam assumidos e que seja fornecido o acesso devido para que os colaboradores realizem suas atividades? Essas são pelo menos duas das variadas perguntas que bate na cabeça daqueles que tenham que tratar do assunto. Vejamos algumas atividades macro que podem ser cumpridas pela empresa:

  • Ter uma Política de Segurança da Informação atualizada que seja suporte para uma norma complementar de controle de acesso lógico;
  • Criar e/ou definir uma área/subárea que gerencie o acesso lógico/sistemas informáticos;
  • Criar e implantar uma Norma de Acesso e controle a dados e informações;
  • Elaborar a matriz de segregação de função e implantando em sistemas informáticos;
  • Definição de uma metodologia adequada de Acesso e controle lógico a sistemas informáticos;
  • Criação do processo de concessão, manutenção e exclusão do acesso a sistemas informáticos;
  • Monitoramento e revisão periódica dos processos e dos riscos relacionados.

Essas atividades macro são independentes do tamanho da empresa. São as que costumamos chamar de boas práticas e se aplica a toda e qualquer empresa. O que varia, e isso é absolutamente correto, é, por exemplo, o método de concessão e revisão de acesso em uma pequena empresa e uma grande empresa. Enquanto a pequena pode basear sua concessão por usuário, na grande já se torna obrigatória fazê-lo por funções.

Como indicamos, para iniciar é necessário que haja uma Política de Segurança da Informação (PSI) devidamente implantada e “no sangue” dos colaboradores da empresa. Normalmente encontramos PSI que parece mais um romance, com inúmeras páginas, quando na verdade uma PSI deve ter no máximo três páginas, quando muito. Além de outras “virtudes” uma PSI deve servir de suporte para uma norma complementar de controle de acesso lógico que deve ser escrita e implantada.

Um outro ponto importante é a necessidade se ter definido uma área que seja responsável em gerenciar o acesso a dispositivos e sistemas informáticos, ou como se convencionou chamar, Controle de Acesso Lógico, o que é mais abrangente. Interessante essa área estar dentro do Security Office da empresa. Como qualquer área, deve ter seus propósitos definidos, seus colaboradores especializados e processos estabelecidos. Lembrar que a função de gestão aqui envolve os processos de concessão, manutenção e exclusão dos usuários de TI. Além disso, deve a área exercer a devida Governança munida de métricas e indicadores estabelecidos.

Em seguida e com a participação da área responsável de Controle de Acesso Lógico, deve ser elaborada e estabelecida uma Norma que defina como se dará o acesso e o seu controle aos dados e informações, que estão sob a custódia da Tecnologia da Informação. Isso é fundamental! Essa Norma deve trazer no mínimo o escopo, a abrangência, o propósito, as diretrizes e as sanções para quem descumprir o que estiver estabelecido. Uma Norma é o guia, aquilo que a empresa julga que deva ser cumprido para um assunto específico e de importância.

O passo seguinte é definir qual a metodologia de Controle de Acesso a sistemas informáticos que deve ser implantada. Algumas das várias abordagens utilizadas no mercado são:

  • Baseado no Usuário;
  • Baseado em Política;
  • Baseado em Funções.

Baseado no Usuário

Nessa abordagem, direitos de acesso são autorizados diretamente para um usuário ou grupos de usuários, muitas vezes, por exemplo, com o uso de ACLs (listas de controle de acesso) para recursos de rede e controle de acesso discricionário (DAC) e mandatório (MAC).

Aqui, os usuários têm garantido acesso aos recursos de sistemas e aplicações por meio de regras de acesso discretas que especificam o nível de autorização de usuários para recursos específicos ou grupos de recursos (arquivos de dados ou aplicações, por exemplo). Para organizações que tenham poucos sistemas (20 no máximo) e são relativamente pequenas (100 funcionários) e uma população de usuários estáveis, as despesas administrativas associadas com esse tipo de controle de acesso/perfis é aceitável.

Entretanto, com organizações médias e grandes e em crescimento, o número de usuários aumenta e os sistemas se multiplicam. Manter a segurança de acesso usando essa abordagem torna-se um desafio administrativo devido ao significativo nível de manutenção que deve ser desenvolvido. Por exemplo, quando um novo colaborador é contratado, os requerimentos de permissões de usuários necessitarão ser definidos nas regras de acesso para múltiplos sistemas e aplicações.

 

Baseado em Política

Neste modelo regras organizacionais são usadas com informação do atributo do usuário para determinado controle de acesso. Por exemplo, uma regra pode definir que um usuário tenha código de localização X e função Y para completar uma transação Z.

 

Baseado em Funções

Diferente do baseado em usuário, neste método o usuário estará incluído em um ou mais perfis funcionais. RBAC (Role Based Access Control) é definido como um método que aplica e gerencia o controle de acesso por meio do uso de componentes intermediários (funções) entre usuários e privilégios. O modelo básico preconizado pelo NIST (National Institute of Standards and Technology) é composto por três componentes distintos: usuários, funções e privilégios ou permissões.

No ambiente RBAC usuários ganham acesso aos recursos de TI por estarem associados com um apropriado perfil empresarial. Para um novo usuário, as responsabilidades de seu trabalho devem estar identificadas e então o perfil que corresponde aquelas responsabilidades deve ser conectado ao ID do novo colaborador/usuário.

O modelo RBAC considera ambas, as funções do negócio e as responsabilidades organizacionais, e permite as organizações estabelecerem uma série de direitos de acessos necessários para indivíduos desenvolverem suas responsabilidades requeridas por seu cargo, entre esses indivíduos estão empregados, clientes ou parceiros de negócios.

Trata-se de um modelo ideal para médias e grandes corporações, que tem um número razoável de funções em seu recurso humano e sistemas informáticos em operação. São inúmeros os benefícios desse método, mas deve-se estar consciente de que não é um projeto simples de ser implantado, demandando a participação de várias áreas da empresa. O RBAC é o método que permite a implantação do conceito de gestão de identidade e a possibilidade da implantação do SSO (single sign on), da senha única ao invés de inúmeras senhas.

Escolhida a metodologia é fundamental mapear e modelar o processo de concessão, revisão e exclusão do acesso lógico a sistemas informáticos. Nesse mapeamento e modelamento a empresa tem definido como quer que o processo, em todas as suas etapas, seja devidamente cumprido por todos.

E por último o Monitoramento do processo e dos riscos associados. Disciplina quase sempre esquecida, o monitoramento do processo e dos riscos associados ao tema deve trazer métricas e indicadores que possibilitem à empresa avaliar, corrigir/melhorar o rumo do que ocorre.

Em diversos projetos que desenvolvi do tema em questão, ficou a lição de que o fator chave de sucesso aqui é a visão mais detalhada possível que a Alta Administração da empresa deva ter com os riscos que estão atrelados ao tema. Essa visão deve estar refletida nas políticas e normas que a mesma referenda e, em quanto ela insere em sua agenda a cobrança da área responsável de indicadores, que reflitam periodicamente incidentes e riscos associados a questão.

Não se trata de um assunto especificamente do security office ou da TI da empresa, estamos falando de um risco corporativo. Um tema dessa magnitude tratado com certa displicência pode trazer consequências até catastróficas para a empresa, ou o receio permanente de demitir alguém! É bom abrir bem o olho!

 

Até a próxima!

 

_______________________________________________________________

(*) 57 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

Vazamento de Informação: na moda, mas um problema antigo.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Vivemos momentos conturbados e delicados em nosso país. Parece que não se fala outra coisa a não ser: corrupção, fraude, propina, suborno…e agora o termo da vez é Vazamento de Informação. Capa da última edição da revista Isto É, por conta da delação premiada do senador Delcídio do Amaral, o certo, a despeito de estar na moda e na boca do povo, é que o vazamento de informação é um problema antigo e, infelizmente, na maioria das vezes erroneamente interpretado e consequentemente mal combatido.

 

O Vazamento de Informação pode ter dois agentes. Um é interno, na figura de seus colaboradores de uma maneira geral. O outro é externo, onde seu mais ilustre representante é um hacker. Vou me ater nesse artigo ao agente de ameaça interno.

 

O conceito de Vazamento de Informação no contexto do ambiente empresarial, público ou privado, e olhando o agente interno, é a ação de colaboradores dessas empresas ou mesmo de terceiros que lá trabalham, tendo ou não tendo acesso autorizado à uma dada informação, de compartilhar informações classificadas, no mínimo como internas, para o ambiente externo da empresa, por exemplo, para a concorrência Essa desobediência, essa ação não autorizada com relação à política de classificação da informação da empresa é que caracteriza o Vazamento de Informação.

 

A despeito de alguns considerarem que o vazamento de informação pode ter um caráter não intencional, p.ex., envio de um e-mail para um destinatário errado, a questão é que o termo ganhou uma característica de uma ação intencional, praticada com diversos intuitos. E a pergunta é: por que alguém faz isso?

 

Entre os vários intuitos destacam-se a possibilidade de ganho financeiro com a informação vazada e/ou a possibilidade de prejudicar o proprietário direto ou indireto da informação, por exemplo, uma vingança. Em muitos casos quem pratica tem aquele pensamento: com uma paulada mato dois coelhos. Leva a grana do solicitante da informação e prejudica ao mesmo tempo o proprietário da mesma; entretanto, existem inúmeros casos em que a ideia era só a de prejudicar.

 

Com base em uma série de casos e fatos que vocês já leram ou tomaram conhecimento, imaginam que é algo intrínseco do ser humano, e dessa forma, muito complicado de evitar. Certamente, de evitar sim, mas não de mitigar essa possibilidade, colocá-la em um patamar em que posso fazer o gerenciamento de um risco residual aceitável.

 

Valor e Classificação.

Uma empresa que entende e de fato cumpre na prática a máxima de que a Informação, em todo seu ciclo, é um dos principais ativos que mantém seu negócio de pé, procura a todo custo avaliar o risco do Acesso à Informação.

 

O Acesso a Informação sucede a duas importantes premissas: o Valor e a Classificação da Informação. O valor determina sua classificação. Se eu não consigo determinar o valor de cada informação no meu negócio, eu não consigo classificá-la.

 

Valorar a informação pode não ser uma tarefa das mais fáceis, mas deve ser feita. Você deve assumir uma série de critérios e atributos para valorar a informação de sua empresa. Feito isso, passe para a etapa de classificar a informação, colocar um rótulo nela.

 

Aqui cabe um lembrete oriundo da ciência da informação. É importante você ter em mente nesse trabalho de valoração e classificação da informação que existem abordagens, modalidades de informação em uma empresa. São elas: a informação não-estruturada, a estruturada em papel e a estruturada em computadores. Entender cada uma dessas modalidades é de extrema importância nesse trabalho.

 

A informação em computadores e seu dilema.

Vivemos a era da informação em computadores, mas com dilema. As pessoas certamente preferem as informações que são oportunas e ricas em detalhes contextuais. Elas gostam quando envolvem sequência e causalidade, percebem uma historia, quando são apresentadas com humor ou quando ganham uma interpretação única – informações visivelmente ricas, em cores, texturas, estilos – e que tenham relevância para nossas vidas e nosso trabalho.

 

Mas o que recebemos dos computadores são normalmente informações datadas, com pouco contexto ou significado, destituídas de sequência ou causalidade, apresentadas em formato geralmente pobre, ou em volume muito maior do que desejamos.

 

Várias pesquisas indicam que gestores preferem informações que não residem no computador, porque elas não oferecem a variedade, atualidade ou relevância que esses executivos exigem. Como resultado, a maioria das informações verbais em suas fontes são mais importantes. Esses gestores tendem a obter de fontes humanas mais de dois terços da informação que usam. A maior parte dessa informação provém de contatos pessoais, conversas telefônicas, e-mail e semelhantes.

E isso é um grande perigo e acende o sinal amarelo quase laranja. Essas informações não-estruturadas dependem única e exclusivamente para sua proteção da conscientização e educação da pessoa em relação à segurança da informação. Bato muito nessa tecla em minhas palestras. São fundamentais!

 

Acesso a Informação.

Quem pode acessar O Que nos sistemas computacionais? Quem pode ler determinado documento no papel? Quem pode entrar em determinada sala na empresa? Sempre QUEM e sua relação com O QUE, aqui subentendido como a informação corporativa.

 

A ideia desse controle todo é simples: evitar que pessoas não autorizadas possam ter acesso à determinada informação, que tem seu valor e sua classificação definida, quer seja em uma informação estruturada em papel, não estruturada ou em computadores.

 

Eis aí a questão. Desde que você já tenha feito a lição de casa como se deve para a Valoração e Classificação da Informação, agora começa por fornecer o Acesso à ela. E aqui mora o perigo.

 

O acesso à informação em uma empresa pública ou privada deve ser fornecido em uma relação diretamente proporcional à necessidade do indivíduo para exercer o seu trabalho, nem mais e nem menos. E isso inclui, veja, acesso a sistemas computacionais, internet, e-mail…acesso a documentação em papel …acesso em locais físicos onde existam informações. Essa é uma premissa absolutamente básica.

A partir daí você pode utilizar a metodologia que bem entender em obediência à suas políticas e normas de segurança da informação. Mas ferir essa premissa, por certo estará arrumando dor de cabeça no futuro. Aqui não cabe eu preciso acessar, eu sou amigo do dono e por aí vai. É preciso fazer a coisa certa!

 

Riscos do Vazamento de Informação.

Mesmo valorando, classificando, definindo o acesso, e claro, com política e normas complementares homologadas e conscientizadas aos colaboradores, os riscos são vários.

 

O tal colaborador necessitando de uma grana com um interessado em determinadas informações subornando-o, ele vai arrumar um jeito de vazar essa informação, mesmo não tendo autorização de acesso a tal. Como?

 

De uma coisa podemos ter certeza, as possibilidades são muitas. Vamos a duas bem simples, que certamente existem na maioria das empresas.

 

Situação 1

Não tendo autorização de acesso a determinada informação e precisando obtê-la para levantar a grana, utilizo da técnica da engenharia social sobre determinada pessoa que tem acesso a essa informação, independente de onde esteja essa informação. E com grande chance a tenho em mãos. Difícil? Negativo. Um bom engenheiro social interno ainda consegue hoje em dia fazer muito estrago e acreditem, sair ileso da história. Oculta e muito bem.

Situação 2

Preciso da informação, mas não quero ter muito trabalho e até posso demorar um pouco mais até obtê-la. Como? Seleciono aqueles que porventura podem me fornecer sem desconfiar de nada. Monitoro-os anotando seus hábitos e costumes. Vejo que ele tem por hábito deixar documentos sobre a mesa, tela aberta em sistemas que tem a informação que preciso, sai de salas de reunião com quadro branco por apagar, e por aí vai. Anoto e vou à luta. Hoje muito mais simples do que antigamente. Com meu super telefone celular, fotografo com altíssima resolução tudo o que desejo, de forma disfarçada, dissimulada.

Pronto. Feito. Afinal de contas, a moda de hoje é fotografar qualquer coisa, então…

 

Controle e Monitoramento.

Estabelecer e implantar Controles tem por objetivo reduzir a possibilidade de que o vazamento ocorra. Deve ser determinado a partir de sua matriz de risco. A gama de controles é inúmera e depende da cultura organizacional, de quanto sua empresa se preocupa com os impactos de um incidente desses, o quanto ela está disposta a investir, e por aí vai.

Por exemplo, e pegando a situação 1 do exemplo que dei para riscos de vazamento, tem empresa que proibiu o uso de celular com câmera no interior da empresa. É um controle? Sim. Mitiga a possibilidade de risco de vazamento? Sim, claro. Mas, você pode argumentar que não é uma atitude simpática, ok? Certamente. Mas a empresa também pode argumentar: o colaborador precisa trazer uma máquina fotográfica para trabalhar? A não ser que seja um fotógrafo! Pode ser uma discussão de quem nasceu primeiro, o ovo ou a galinha?

Já o Monitoramento, para ser eficaz, deve ser estabelecido de tal forma que eu consiga detectar que um vazamento de informação está na iminência de ocorrer e conseguir evitar. Existem diversos mecanismos que possibilitam essa ação. Outras formas de Monitoramento em que eu apenas consiga detectar que um vazamento ocorreu ou que está ocorrendo, pode não ser nada eficaz, pois dependendo da situação, pode ser uma bomba para a empresa. Infelizmente em muitas empresas o Monitoramento nem existe, o que pode ser um erro terrível nesse caso.

 

O problema é antigo, mas com o tempo novas abordagens o tornam mais do que atual. As vulnerabilidades no ambiente empresarial são inúmeras, quase sempre provocadas por uma visão desfocada do problema, o estabelecimento de pobres controles, quando eles existem, e má gestão.

 

Claro que você deve ter a política, as normas, a conscientização e outros controles básicos que mitigam a possibilidade de vazamento, mas é necessário ir mais fundo para tentar colocar esse risco em um ponto bem residual. Já falei em outros artigos que o mundo hoje é absolutamente diferente do que era há 50, 30, 20 anos atrás. Valores mudaram, transformações ocorrem diariamente, tecnologia avança em ritmo frenético e aqueles profissionais que tem que lidar com esses incidentes precisam, mais do que nunca, acompanhar essa evolução e adequar na melhor condição. Caso contrário, lamenta-se, quando ainda se pode!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Não é fácil, mas o que importa é o prazer de fazer o que se gosta.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Um dia desses fiquei pensando que nesse mês de maio farei 56 anos. Incrível, mas como o tempo é inexorável e parece que nem percebemos seu rápido caminhar. Nessa reflexão olhei minha trajetória profissional e parei para pensar com mais detalhes como me tornei professor e consultor e que me faz um profissional feliz. Alguns dizem que desde muito cedo já sabiam “o que seriam quando crescessem”, mas nem sempre é assim e nem todos as cumprem. Para a grande maioria há um caminho a se percorrer, a se descobrir, às vezes curto, às vezes longo, conflituoso até, mas ao encontrar, certamente um tanto do quinhão da felicidade em sua vida pode acontecer. Garanto que muitos aqui devem estar nesse caminho.

Quando fui estudar engenharia confesso não ter total certeza de que aquela seria a profissão do resto de minha vida. Meu pai não tinha nada a ver com a engenharia, era gerente de um clube. Meu irmão sim é engenheiro e trabalhava com meu cunhado, também engenheiro. Acabei estudando engenharia, um curso que forneceu uma base excepcional e que carrego em minhas atividades.

Importante para essa narrativa é o fato de, ao final do 1º ano do curso de engenharia, surgir um concurso interno na faculdade para vaga de monitor em laboratório de física. Virei monitor de física experimental. Foram quatro anos até me formar como monitor e assistente de professor. Nessa época, aos 18 anos de idade, inicio, sem saber até então, minha incursão no ramo educacional, naquele que tem como princípio básico, compartilhar o que sabe e tomar o cuidado para não falar sobre o que não se sabe.

Formei engenheiro. Trabalhei alguns anos na área. Continuei a estudar depois de formado, concluindo duas especializações. Migrei da Engenharia para a TI (Informática). Comecei a dar aula na área de Tecnologia, conciliando com minhas atividades no mercado. Dentro da TI conheci a segurança da informação, que me levou às suas diversas disciplinas e ao fascinante mundo do risco corporativo e controles internos. Tornei-me mestre em segurança da informação.

Resumi em um parágrafo mais de 30 anos, pois não é meu objetivo ficar aqui narrando minha trajetória profissional e principalmente porque acho muito chato esses detalhes. O que me interessa é dividir com vocês a sensação de como é importante você ser feliz no que faz, saber que construiu com erros e acertos esse caminho e que a trajetória e o legado que se deixa é a grande vitória.

Domenico De Masi em um dos seus brilhantes livros, “O ócio criativo” diz que ao longo da vida uma pessoa em média experimenta quatro atividades profissionais diferentes. No mercado, fui engenheiro civil, gestor em TI, gestor em Segurança da Informação e dono de uma consultoria. Na academia, professor, coordenador e diretor universitário. Logo, estou dentro da estatística do professor De Mais. Vou tentar expressar as duas atividades que exerço e que me torna hoje uma pessoa muito feliz.

Ser Professor

Sou professor desde 1990, portanto, vinte e cinco anos nesse 2015. Se contarmos o tempo de monitor de física, acrescento mais quatro anos. Já fui coordenador e diretor de faculdades de engenharia e computação, coordenador de pós-graduação, etc., trabalhos mais burocráticos; mas, uma sala de aula é única. Confesso que me sinto em casa. Tenho em mim a necessidade de compartilhar aquilo que consegui adquirir de conhecimento e, tanto quanto, aprender com quem está presente na mesma sala.

Conheço diversos amigos que dizem não gostarem de dar aula…não se sentem bem…entre outras tantas. Outros dizem que dão aula para complementar a renda, fazendo muito mais pelo contracheque do que pelo prazer de compartilhar. Aqui uma questão: o dinheiro é importante? Claro, não duvido. Uma atividade profissional exercida sem voluntarismo deve ser remunerada. Ok, mas nessa atividade só o contracheque não é o suficiente. É preciso ter “no sangue” a vontade de compartilhar o que sabe, de perceber que está contribuindo para a formação do outro, de saber que em uma sala de aula existe sempre a possibilidade de aprender. Essa vontade tenho até hoje, passado quase trinta anos. O dia que ela deixar de existir, se é que isso vai acontecer, vou fazer outra coisa de minha vida. Não existe nada pior do que não ver mais o brilho nos olhos de admiração de seus alunos pela aula de seu mestre. Isso não tem preço e provavelmente é um sinal para tirar o time de campo.

Quer um bom argumento para ser professor? Você nunca ficará velho! Isso mesmo!  Hoje reduzi minhas atividades, mas mantenho minhas aulas na pós-graduação da FIA-USP, na ANBIMA e em cursos in-company que ministro pela minha empresa. Na grande maioria dos casos, encontro pessoas bem mais jovens do que eu. Muitas delas poderiam ser meus filhos. Estar junto com o jovem faz você se sentir jovem. Faz você entrar na conversa deles. Faz você aprender as novidades da idade deles. Faz sempre você voltar no tempo. Faz um bem danado para a alma da gente!

Outro ótimo argumento é o de ser professor obriga você a usar o aprender a aprender sempre, a estudar e estudar. Se exercer outra atividade além da acadêmica, obrigatoriamente terá uma base inigualável da Academia para desempenhar muito bem o seu papel no mercado. Essa necessidade constante de aprendizado o fortifica internamente e isso reflete em suas atividades dentro e fora da Academia.

Falo sempre em minhas aulas para meus alunos: se não nasceram rico, não casaram com alguém rico e não tem esperança de herdarem algo, a única coisa que resta a vocês é estudar! Como dizem, podem tirar várias coisas de você, mas o estudo ninguém irá tirar. Indo mais além, oriento a todos a fazerem um mestrado e doutorado. Erradamente do que se fala por aí, mestrado e doutorado não é somente um requisito para dar aula. É um upgrade sem precedente em sua carreira, sendo uma experiência de vida excepcional. Além disso, pode se tratar de outra fonte de renda ou, se desejar, ser a única, rumando para a vida acadêmica de coordenação, direção e outros andares dentro de instituições acadêmicas. Pensem nisso. Oriente os seus.

Enfim, Ser professor é acima de tudo um estado de espírito!

Ser Consultor

Afinal, o que é ser Consultor? Tenho uma opinião bem particular com relação a isso. Penso que Consultor deva ser aquele profissional que alia seu conhecimento e experiência de mercado e da Academia (se possível), com a competência para entender as necessidades de seus clientes e supri-las com o seu trabalho. Para isso deverá ter desenvolvido inúmeras habilidades ao longo de sua carreira, habilidades essas que não tem nada a ver com o conhecimento e experiência, e sim, com outros atributos. Vejamos alguns desses atributos:

  •  Gostar de se relacionar com pessoas e respeitando toda e qualquer diversidade;
  • Ter uma excelente capacidade de trabalhar em equipe;
  • Ter e praticar uma conduta ética e de boas maneiras. Ser exemplo;
  • Ouvir muito, falar apenas o necessário;
  • Compartilhar seu conhecimento de forma simples e transparente;
  • Nunca assumir uma postura de “ban ban ban” do assunto. Você foi contratado para auxiliar a empresa a resolver uma necessidade e não para dar show de conhecimento e de ego;
  • Ter atitude para auxiliar sempre que possível e dentro de suas competências e habilidades;
  • Ter adaptabilidade para trabalhar em diferentes culturas organizacionais;
  • Saber que pessoas são diferentes, umas das outras, e “jogo de cintura” é crucial para desenvolver seu trabalho;

 

Muita coisa? Aparentemente sim, mas é um trabalho fascinante! Ter a oportunidade de ajudar a empresa que o contratou e intrinsecamente, agregar valor ao conhecimento e habilidades das pessoas que lá trabalham com as quais manteve contato, é de um enorme prazer. Perceber que antes do projeto a situação da empresa e das pessoas era X e que depois do projeto concluído evidenciar a evolução para Y, é o requisito primordial para continuar na profissão.

Em cada projeto de consultoria que concluí e/ou que liderei, e onde pude perceber essa evolução da empresa de X para Y, superando em vários casos as expectativas depositadas, a sensação de dever cumprido é fator primordial. Além disso, o valor agregado proporcionado pela chance de compartilhar minha experiência profissional e de vida aos profissionais da empresa com os quais tive contato, sabendo deles que o dia a dia do projeto e seus resultados melhoraram sua condição, acaba tendo um significado que não há como medir e não há preço para isso. Vejo isso como um dos grandes legados do trabalho do consultor.

Como escopo e mesmo sem estar no escopo, o consultor atua como coach de profissionais da empresa. Em vários projetos pude perceber uma grande evolução desses profissionais, pelo simples fato de poder compartilhar do dia a dia de um projeto. Melhoraram as competências técnicas, comportamentais, o espírito de equipe que um projeto solicita, e em muitos casos, o coach do consultor auxilia o profissional a olhar com profundidade, perceber os detalhes, que às vezes não parece muito claro. Os cases do consultor funcionam como um diferencial para os profissionais.

É um trabalho que exige acima de tudo gostar de estar com pessoas, e mais, com as mais diferentes pessoas. Precisa estar preparado para isso. Se agir de forma contrária a essa premissa básica, certamente o projeto naufraga e sua trajetória também. Como já falado, as culturas organizacionais são diferentes, as pessoas de uma dada região agem e pensam de formas diferentes. Desenvolver um projeto em um dado estado do país requer conhecer como são as pessoas daquela região. Umas são mais expansivas, outras menos. É fundamental o consultor estar totalmente preparado para isso.

O trabalho de consultoria exige acima de tudo a premissa de Ser Confiável. Quem contrata uma consultoria não quer confusão para o lado dele (a). Quer alguém em quem possa confiar para realizar um dado trabalho. Quer alguém que ao ser colocado “para dentro de sua casa” irá mostrar competência e inteligência emocional madura, não trazendo problemas para o ambiente. Quer alguém que some valor e não faça conta de subtração. Quer alguém em quem possa aprender mais, e não que tenha que ficar pajeando e ensinando o que fazer, como fazer.

 

Como conclusão, tenho a nítida impressão que ambas as profissões, professor/instrutor e consultor tem um enorme e forte elo. Uma complementa a outra e as duas andam de mãos dadas. Esse elo tem uma palavra chave que as une: Compartilhar! Se você não consegue fazer isso, certamente não terá sucesso em ambas, quiça, em qualquer uma delas. Esse sentimento é o grande motor que impulsiona quem abraçou as duas profissões.

 

Seja feliz. Faça o que gosta e se sinta bem. Esse é o legado que deixamos por aqui.

 

Até a próxima!

_________________________________________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

O ROI em Fraudes e ameaças semelhantes (28out2013)

enigma.consultoria Sem categoria Leave a comment   , ,

Por Mário Sérgio Ribeiro (*)

Há alguns dias atrás ministrei uma palestra patrocinada pelo CPqD e IBM na sede da IBM em Belo Horizonte. O tema era Prevenção e Combate de Fraudes Corporativas. Na mesa redonda ao final do evento, com a participação de outros palestrantes e moderadores, veio uma pergunta: como demonstrar o ROI de projetos de prevenção e combate de Fraudes? É possível? O ROI como se conhece e que é utilizado em investimentos de vários tipos, ah, esse ROI não é possível demonstrar. Entretanto, há “uma luz no final do túnel” e essa luz, dentro de minha visão, é a que eu vou procurar trazer nesse artigo.

Vamos alinhar nosso contexto. Vamos procurar uma maneira de encontrar um retorno sobre o investimento para que fraudes corporativas, corrupção, lavagem de dinheiro, vazamento de informação, roubo de identidade, etc., não ocorram, ou, que se possa detectá-las antes que uma perda material (impacto financeiro) e/ou um dano à imagem e reputação (impacto não financeiro) ocorram.

O conceito simplificado de ROI que se conhece é encontrado fazendo: o ganho a ser obtido (em termos monetários, com o investimento que deve ser realizado) dividido pela quantia gasta com o investimento x 100; com isso extraímos o ROI em um formato percentual. Para o nosso contexto a questão que não se cala é simples: que ganhos são esses, considerando que o tema do ROI que pretendemos encontrar não existe os ganhos expressos no numerador da sentença matemática como entendemos, mas sim “evitar ou mitigar prejuízos” que porventura possamos ter? Pensar dessa forma é acreditar no risco dos eventos de nosso rol de ameaças: fraudes, corrupção, lavagem de dinheiro…lista grande!

OK. Se a Alta Administração de sua empresa não acredita nessa história de riscos, que os riscos dessas ameaças não existem na empresa, etc., tudo bem, tente achar outro meio de convencê-los. Talvez eles sejam daqueles onde tenha que ocorrer uma fraude de R$ 1 milhão, para pensarem em começar a investir, ou ainda, apostam no chamado “benefício da imprevidência”, onde um dado percentual de fraude é tolerada pela Alta Administração da empresa por conta de supostos ganhos com ela, claro, maiores do que o valor das fraudes. É incrível, mas isso acontece em várias empresas. Mas enfim, se por outro lado eles acreditam que os riscos dessas ameaças podem ocorrer e trazerem impactos que podem prejudicar os objetivos organizacionais da empresa, então podemos “tocar o barco” com nosso modelo.

Então, em nosso modelo de ROI temos a premissa de que é necessário identificarmos o risco da fraude, mensurarmos o seu valor, definirmos uma resposta ao risco encontrado, implantar essa resposta e monitorar esse risco e sua dinâmica. Nessa cadeia simplificada, que também atende pelo nome de gestão do risco, a resposta ao risco encontrado tem sempre investimentos a serem feitos – a não ser que se opte por aceitá-los – e o que espero com esses investimentos é que o risco que sobra, o risco conhecido como residual, seja menor ou igual ao risco antes da resposta. Esse risco residual é aquele que eu aceito, que eu suporto ter como perda por conta de sua ocorrência.

Pois bem, então o tal ROI que procuramos está na capacidade de encontrarmos a resposta mais otimizada ao possível risco, logo, com o investimento mais otimizado, que me possibilite chegar a um risco residual que a empresa considere desejável. Lembrando que se esse risco acontecer de se manifestar é aquele que eu aceitei como perda em face dos investimentos que fiz. Então, a partir do conhecimento e aceite desse risco residual que encontrei, o ROI ideal é aquele na qual não há manifestação desse risco residual, ou, se houver, que ele tenha uma perda menor ou igual ao risco residual aceito. Se você concorda com essa afirmação, saiba que ela é bonita no papel, mas não é tão simples de ser executada. Por quê? Vejamos a seguir.

Construir o Mapa de Risco da Fraude.

Para um escopo e abrangência definidos pelo projeto, a construção do Mapa do Risco da Fraude envolve identificar os riscos do mesmo. Suponhamos que eu tenha como escopo o Mapeamento do Risco da Fraude Interna na área de Compras de uma dada empresa. Olhando os elementos Processos, TI, Pessoas e Infraestrutura física da área em questão, devo desmembrar minha ameaça Fraude Interna em categorias, levantar as vulnerabilidades e controles existentes, a eficácia desses controles, o agente de ameaça interno (comprador, por exemplo) e/ou um agente de ameaça externo (fornecedor, por exemplo) e a partir daí, descrever o risco, isso mesmo, fazer uma descrição do risco.

 Mensuração do Mapa de Risco elaborado.

Essa etapa seria motivo de mais de um artigo, é nevrálgica, mas vou resumir para nosso intento. Medir o risco envolve escolher entre várias abordagens disponíveis na literatura. O que você precisa encontrar aqui é o risco expresso em valores monetários. Por quê? Porque fica mais fácil convencer quem “assina o cheque” do investimento a fazê-lo. Que investimento? Em medidas de controle, por exemplo, que é uma das quatro respostas possíveis a um dado risco mensurado: reduzir (com controles), aceitar, transferir/financiar e evitar. Se você apresenta o risco de forma qualitativa (Alto, Médio, Baixo) e depois fala que precisa de R$ 150 mil para implantar uma dada ferramenta de controle, o cara que assina o cheque pergunta: “mas esse Alto que você mensurou para o risco é de quanto ($)?”. Entre as várias formas de calcular o Risco, a mais conhecida é aquela que multiplica a Probabilidade pelo Impacto. Outro “calcanhar de Aquiles” nessa mensuração é determinar a chance do risco ocorrer, o que chamamos de Probabilidade, e que muitos investimentos não saem, pois essa chance de ocorrer não foi devidamente fundamentada.

 Sem querer aprofundar a discussão acerca do conceito de Probabilidade nesse contexto da estimativa do Risco, julgo importante discutir a questão que sempre é colocada da subjetividade na determinação da Probabilidade.

 É possível determinar com boa assertividade a chance de um dado evento ocorrer causando impactos à empresa. Há uma série de requisitos e critérios que podem e devem ser estabelecidos que contribuam para essa assertividade na determinação da probabilidade. Veja esse exemplo hipotético:

- Suponhamos uma sala de certa empresa que guarda uma série de projetos em papel altamente inovadores e que tem como estimativa de valor a continuidade das operações da própria empresa. Pois bem, vejamos dois cenários. No cenário 1, o acesso físico a essa sala tem como barreira uma porta trancada com uma chave normal que fica dentro de um armário no corredor. Em um cenário 2, o acesso à essa sala é por meio de uma tripla autenticação colocada do lado da porta de acesso. Essa tripla autenticação envolve senha, token e biometria. Além dessa tripla autenticação, ao adentrar a sala, há a existência de um sistema CFTV que monitora as atividades no seu interior em tempo real. E mais um dado: ainda não houve nenhum incidente de violação do acesso físico à sala que trouxesse algum dano à empresa, como o roubo de um dos projetos; entretanto, estudo recente do Comportamento Organizacional revela um descontentamento generalizado dos colaboradores com uma série de itens, como salário, benefícios, plano de carreira, etc.

 Questão: apenas com os dados que passei, se você tivesse que estimar a chance (probabilidade) de alguém, que indevidamente pudesse acessar a sala e roubar um ou vários projetos, diria que em quais dos dois cenários essa chance é maior, mesmo sabendo que nunca ocorreu nenhum incidente?

 Sem pestanejar certamente você respondeu o Cenário 1. E por que fez isso? De forma simples deve ter pensado comparando os dois cenários, que os controles que mitigam o risco no cenário 1 de alguém indevidamente adentrar na sala e roubar os projetos é muito inferior do que os controles instalados no cenário 2. O cenário 1 proporciona inúmeras oportunidades para que o perpetrador consiga seu intento. As oportunidades que o perpetrador vislumbra ocorrem pelas vulnerabilidades que ele percebe existirem.

 Então, não é suficiente somente levar em conta ao determinar a chance de ocorrência quando se procura estimar um risco, olhar apenas para a estatística de acontecimentos. No risco operacional devemos levar em conta uma série de requisitos, além do estatístico, como vulnerabilidades, eficácia de controles, estudo do Clima Organizacional, etc., que aumenta a minha assertividade na determinação da chance de ocorrência.

 Quanto aos impactos, eles podem se apresentar de duas formas: o financeiro e o não financeiro. O financeiro é aquele que de forma direta pega no bolso da empresa. Em termos de uma fraude, por exemplo, um roubo de numerário ou de um ativo tangível é um impacto financeiro. Isso é importante. Para eu determinar um impacto financeiro é necessário mensurar essa perda. O outro, que chamamos de impacto não financeiro, pode não chamar tanto a atenção como o financeiro, mas dependo do caso, pode ser bem mais impactante. Normalmente o mais citado são as categorias relacionadas ao dano à imagem e reputação. A categorização do impacto não financeiro pode ser bem mais detalhada do que somente imagem e reputação.

 Então, encontrando a chance de ocorrência e o impacto eu consigo mensurar o meu risco. Mas já falei, dá trabalho e se você não estiver muito bem embasado, vai ser questionado e o dinheiro do investimento, que falaremos mais á frente, não virá.

 Resposta ou Tratamento ao Risco mensurado.

O risco encontrado pede que se defina que tipo de resposta ele terá. Ele poderá ser aceito, transferido, evitado ou mitigado. Dentro do nosso foco, vamos discutir a resposta Mitigado. A ideia de mitigar (reduzir) o risco pressupõe que eu tenha que procurar por medidas, controles que possam fazer com que o risco encontrado possa ser reduzido. Esses controles têm investimentos concentrados em processos, pessoas, tecnologia e infraestrutura física. Os controles selecionados atuam para diminuir a chance da ocorrência (probabilidade) e/ou o impacto financeiro e não financeiro.

 A regra de ouro é selecionar os controles que façam com que se encontre o risco residual desejável com o menor investimento possível. Não é fácil atender a essa regra, mas o esforço compensa e a Alta Administração agradece. A mensuração do risco residual é uma tarefa especializada e que deve ser realizada por pessoal capacitado, caso contrário, pode cair em descrédito.

 Muitos erros ocorrem por conta de acreditar que determinados controles seriam suficientes para colocar o risco residual em um patamar desejável. Procura se seguir a regra ao pé da letra ou atender a máxima faça mais com menos. Cuidado, nem sempre isso é possível! A disciplina de Riscos não admite amadorismo. E para finalizar não se esqueça de que as atividades em uma empresa mudam a toda a hora, mudando os riscos e consequentemente os controles devem ser revistos. O que eu quero dizer é que o monitoramento deve ser contínuo, sob pena do seu ROI poder vir a ruir!

 Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ABBC (Associação Brasileira de Bancos). E-mail: mario.ribeiro@enigmaconsultoria.com.br

Risco nos currículos escolares – 27fev2012

enigma.consultoria Sem categoria Leave a comment   ,

 De uns tempos para cá tenho cada vez mais a convicção da necessidade de inclusão de uma disciplina de Risco nos currículos escolares. Você pode achar que nós brasileiros temos noção do que é risco e do que não é, quem não sabe disso? Pode até ter noção, o que eu tenho lá minhas dúvidas, mas a quantidade de fatos onde se nota um risco assumido absolutamente desnecessário é impressionante. Vamos a alguns.

Comecemos pelo financeiro. Gasta mais do que recebe, ou, imagina que em 72 meses nada vai acontecer que faça com que ele deixe de pagar a prestação do carro. Gasta um monte no final do ano, mesmo sabendo que existe uma lista enorme de contas obrigatórias no início do ano. Não acredita no Impacto negativo de um evento, que lhe traga o risco, nesses casos, de um impacto financeiro que lhe traga inúmeros problemas.

Outro. Vejam a quantidade de acidentes com motos, carros e agora na moda do verão, jet ski. Quem é o agente de ameaça, o ser humano, que deveria ser ele, o próprio mitigador do risco, ou até o que evita o risco. Se seu não tiver agente de ameaça, não tenho ameaça, consequentemente não há como explorar vulnerabilidades (conceitos básicos do risco). O menino (?!) em Bertioga bateu o pé e fez com que o caseiro liberasse o jet ski, ambos, sem nenhuma noção do elevado risco que aquela aventura poderia levar. Ontem, o pai em uma manobra brusca com um Jet Ski, traz como consequência a morte do filho que bateu a cabeça no pilar de uma ponte. Os motoboys em São Paulo, na ânsia da rapidez pelo dinheiro, assumem inconsequentemente risco de morte, isso, risco de morte! Não há pior risco do que esse.

Poderia ficar aqui citando uma centena de fatos, situações que me remetem ao início desse blog: precisamos ensinar as noções básicas de Risco. Tenho quase que absoluta certeza se isso fosse feito há muito tempo atrás, muitas mazelas poderiam ser evitadas. E o que eu falo vale para todos, sem exceção. Ou você pensa o contrário?

Um abraço e até a próxima!