Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Já não era sem tempo, uma resolução como essa expõe a necessidade das IFs e seus parceiros a agirem contra ameaças reais que já prejudicaram diversas empresas e podem vir a continuar com o seu intento no futuro.

Detalhada em três capítulos, o BACEN procurou trazer à tona a preocupação com a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro. Segundo o BACEN, isso requer que as IFs tenham controles e sistemas de segurança cibernética cada vez mais robusta, especialmente quanto à resiliência a ataques cibernéticos.

Demonstrando preocupação, o Fórum Econômico Mundial divulgou um estudo recente em que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o planeta, com os crimes cibernéticos. Uma estimativa de uma consultoria internacional estima que os crimes virtuais possam chegar a US$ 6 trilhões em 2021. É muita coisa…

Claro que o alvo principal dos criminosos virtuais ainda são as empresas do setor financeiro, mas aqui vai um alerta de sinal amarelo, meio avermelhado: diversos outros setores têm experimentado o gosto amargo desses crimes virtuais. Um bom exemplo é o setor da Saúde, aqui composto por hospitais, laboratórios, clínicas, planos de saúde, operadoras de plano de saúde, etc. Esse setor é um dos principais alvos do ataque de, por exemplo, ransomware (deixa seus dados e informações indisponíveis e pede um resgate em bitcoin).

 Dessa forma quero salientar que esse artigo interessa não somente aos leitores, que de uma forma ou de outra estão sob a égide do BACEN, mas a todo mercado; uns com maior, outros com menor ênfase, mas ninguém está livre e o interesse deveria ser geral.

A Segurança Cibernética deve ser vista como um braço da segurança tecnológica que faz parte de algo bem maior que é a Segurança da Informação. Lembrando que a segurança da informação tem em pessoas, processos, TI e infraestrutura física o escopo de seu trabalho. A segurança cibernética compreende tecnologias, processos e controles que são projetados para proteger sistemas, redes e dados de ataques em um mundo não físico. Esse grifo é importante para entendermos que estaremos tratando em um local sem rosto. Qualquer uma dessas seguranças que estamos falando trabalha na proteção de três pilares básicos de dados e informações: Confidencialidade, Disponibilidade e Integridade.

Algo que caracteriza a Segurança Cibernética é que o seu agente de ameaça, isto é, aquele que perpetra os ataques virtuais, é única e exclusivamente alguém fora do ambiente da empresa, alguém que não tem rosto, identidade e nem está presente na folha de pagamento. Lembrando que quando tratamos a segurança da informação, incluímos o agente de ameaça interno, representado entre outros por funcionários.

Pois bem, voltemos a 4658. Vou me ater nesse artigo, aos itens que tem um prazo curto (até 06/05/2019) para ter Aprovação do Conselho de Administração ou, na inexistência, a Diretoria da IF. São eles: Política de Segurança Cibernética e o Plano de Ação e Resposta a Incidentes. Não pretendo detalhar O COMO fazer, pois, seria um desrespeito àqueles que já contrataram meus serviços de consultor para auxiliar no cumprimento dos requisitos. Vou pinçar o que acredito ser extremamente importante e que os responsáveis pelo tema nas empresas devam abrir os olhos e “arregaçar as mangas”. Vamos lá então.

POLÍTICA DE SEGURANÇA CIBERNÉTICA

  1. Redução da Vulnerabilidade a Incidentes Cibernéticos

Aqui estamos falando na gestão de riscos, onde a vulnerabilidade é um de seus componentes. O propósito desse item é claramente atuar de forma preventiva, o que é a ação mais barata e correta a se fazer.

A redução da vulnerabilidade é obtida por meio da implantação de controles/mecanismos/procedimentos que reduzem a chance de ocorrência (probabilidade) de um dado evento.

A resolução cita um baseline de controles mínimos, mas pode ser que ele seja insuficiente para a IF. É necessário definir o escopo dos ativos tangíveis e intangíveis e aplicar, no mínimo, uma análise de vulnerabilidades. Fica a sugestão de fazer algo mais ampliado, como a análise do risco.

  1. Cenários de Incidentes nos Testes de Continuidade de Negócios

Na segurança da informação é comum elaborar os mais variados cenários em função do acontecimento de determinados eventos. É possível simular cenários catastróficos, como um incêndio total, ou cenários menores que acionem um PCN, como uma greve.

 Na segurança cibernética os cenários são mais específicos e levam em conta as tentativas de interrupção de serviços, provocadas, por exemplo, para uma tentativa de invasão aos sistemas da IF. Esses vários cenários devem ser colocados em uma lista e um Planejamento de Testes deve ser elaborado contemplando um a um dos cenários. Ao longo do ano é aconselhável fazer pelo menos dois testes desses, com dois cenários diferentes. Um relatório detalhado deve ser produzido, salientando principalmente os pontos fracos para posterior correção.

Vale salientar nesse caso a necessidade de reavaliar o seu PCN em todas as etapas: análise de risco, BIA, estratégias de continuidade e planos. Isso porque o seu plano pode não ter sido preparado vislumbrando as ameaças do cyber espaço.

  1. Procedimentos e Controles preventivos e de tratamento de incidentes por prestadores e terceiros

Os prestadores de serviços e terceiros que manuseiam, armazenam, enfim, que trabalhem com a informação da IF dentro do ciclo de vida de uma informação, deverão elaborar e levar ao conhecimento da IF o seu plano de tratamento de incidentes para com os dados e informações da IF. Nesse plano deverão constar procedimentos e controles preventivos e de tratamento de incidentes. A IF deverá evidenciar, onde for possível, a implantação dos procedimentos e controles elaborados. Essa etapa pode ser bem trabalhosa para a IF em função da quantidade possível de prestadores e terceiros que trabalhem com dados e informações da IF.

  1. Classificação dos dados e das informações

A classificação dos dados e informações é uma disciplina de extrema importância na segurança. A resolução fala em classificar quanto à sua relevância, o que quer dizer, classificar pela importância aos negócios da IF. Os dados e informações cumprem seu ciclo de vida nos sistemas e bancos de dados das empresas. Deve ser estabelecido um critério para categorizar esses dados e informações para atender a relevância solicitada. É uma outra etapa trabalhosa da resolução que pede experiência quando for executar o trabalho, notadamente na inteligência para definir a categorização.

  1. Mecanismos de disseminação da cultura de segurança cibernética
  • Implementação de programas de capacitação e de avaliação periódica de pessoal

Aqui deve ser elaborado e implantado um programa educacional junto ao corpo de colaboradores da empresa, com o intuito de prevenir riscos provocados por pessoas em relação à segurança cibernética. Quando falamos pessoas nos referimos a todos os colaboradores, de todas as áreas, inclusive as de TI. Lembrando sempre que pessoas são consideradas o elo fraco da segurança, haja visto que a engenharia social tecnológica é fartamente utilizada pelos criminosos virtuais, e com grande eficácia.

  • Prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.

Várias IFs há algum tempo demonstram sua preocupação com a questão e investem em comunicação a seus clientes sobre e principalmente a utilização do principal canal que é o Internet Banking. Um Plano deve ser elaborado, levando-se em conta uma avaliação minuciosa, por exemplo, dos canais de atendimento, para definir como conscientizar e educar seus clientes e usuários acerca dos riscos com o cyber espaço. Uma estatística de incidentes pode ajudar na questão. A IF não deve poupar esforços nesse sentido, pois essa ação é altamente recomendável em função do tamanho do risco operacional.

 

PLANO DE AÇÃO E DE RESPOSTA A INCIDENTES

  1. Adequação da estrutura organizacional e operacional

A resolução fala em um diretor para segurança cibernética. Algumas IFs já tem esse cargo, só que chamam de diretor de segurança da informação. Aqui é importante avaliar qual o escopo da área e as atribuições desse diretor. A segurança dos dados e informações está baseada em pessoas, processo, infraestrutura física e TI. A segurança cibernética se diferencia pelo seu agente de ameaça ser exclusivamente externo e o ambiente de “luta” não é físico, é virtual, é o cyber espaço. Nas empresas onde não existe a figura de um diretor para o tema, e o cargo, seja de gerencia ou de coordenação, deve ser avaliado e pensado. Toda a adequação deve ser elaborada levando-se em conta a conformidade com a resolução sem esquecer, entretanto, o tamanho e a complexidade das operações da IF.

  1. Plano de Ação e de Resposta a Incidentes

Antes de um Plano vem o processo de resposta a incidentes atrelado a uma metodologia e/ou a norma internacional que rege o tema, a 27.035. Algumas IFs já tem o processo, a metodologia, só não sei se dentro do que trata a norma. Nós da consultoria aplicamos a metodologia abaixo em conjunto com a norma internacional citada. A metodologia elenca seis passos:

Passo 1 – PREPARAÇÃO

Passo 2 – DETECÇÃO

Passo 3 – CONTENÇÃO

Passo 4 – ERRADICAÇÃO

Passo 5 – RECUPERAÇÃO

Passo 6 – ACOMPANHAMENTO

Uma política deve ser elaborada para apoiar uma estrutura a ser montada. Ter recursos humanos e materiais de acordo com o tamanho e a complexidade da IF, é uma tarefa que o gestor da área deve decidir com o apoio da Alta Administração. De toda forma, há também um trabalho espinhoso a ser executado para esse item.

 A resolução ainda tem uma outra seção que diz respeito à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Em um outro artigo comentarei sobre esse capítulo da resolução.

Sugiro às IFs que promovam uma análise de gap diante dessa resolução. Ela permitirá à IF entender de forma analítica onde está conforme, onde não está ou até, onde tem alguma coisa encaminhada. Essa análise possibilita à IF entender de forma mais profunda como se encontra para com o tema e colocar dinheiro realmente onde precisa.

Como um recado final que quero deixar e usei no título do artigo, é que esta resolução pode ajudar outros segmentos de mercado que não são regulados, mas que são alvos de ataques do cyber espaço. Dessa forma acho extremamente importante que os responsáveis nesses setores vejam como podem usar a resolução em seu proveito.

Outra, parceiros, fornecedores e terceiros de uma IF tem na resolução uma ótima oportunidade de aumentar o nível de maturidade de sua empresa para com um tema tão importante para os dias de hoje. Podem, e no meu entender deveriam aproveitar o momento e aumentar sua resiliência na questão. Além de mitigarem um importante risco operacional, podem propagandear pelo mercado o profissionalismo que tratam tão importante questão.

Era isso!

Até a próxima.

_______________________________________________________________

(*) 59 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

As pessoas, seus novos hábitos, costumes e comportamentos e a segurança das informações.

enigma.consultoria Sem categoria Leave a comment   , , , , ,

Mário Sérgio Ribeiro (*)

Se você parou para pensar e refletir um pouco sobre o que vem acontecendo no dia a dia deve ter notado o quanto as relações e comportamentos das pessoas têm mudado e a velocidade que isso tem acontecido. É fato! A Tecnologia da informação e comunicação tem patrocinado mudanças significativas no modo de as pessoas se relacionarem, se comunicarem. Essas mudanças criam novos hábitos, comportamentos, muda a forma de as pessoas se relacionarem com o mundo exterior. Nesse contexto eu pergunto: como as empresas, que têm como principal ativo Pessoas, tem percebido e encarado essas transformações? Como essas mudanças podem afetar o ambiente corporativo e colocar em risco o outro ativo, o segundo em importância, as informações corporativas.

 

A tecnologia e comunicação nos últimos dez anos se tornou o principal catalisador na mudança de hábitos e comportamentos das pessoas. Celular que virou computador com internet e máquina fotográfica, velocidade maior pela rede, meios instantâneos de se comunicar, como o falecido Orkut, o viciante facebook, instagram, twitter, o mais novo e conquistador com o nome de WhatsApp, ou zap zap como brasileiro gosta de chamar. Alguns têm falado que o tal e-mail já coisa do passado, é para Tiozão!!!

 

Enquanto escrevia esse artigo li uma pesquisa saindo no portal da UOL. A manchete dizia que 75% dos casais brasileiros se comunicavam via WhatsApp, sendo esse o principal meio de comunicação escolhido. As mulheres o utilizam mais do que o homem e muitas falaram que não sabiam dizer quantas vezes o fazem por dia, sabiam apenas que eram muitas, muitas comunicações com seus amados.

 

Mais uma constatação a uma máxima que eu e você já sabemos: trocamos literalmente a fala, mesmo por telefone, não precisa ser mais aquela olho no olho, pelas palavras. Os casais não se falam mais, imagem os outros. Se já pelo telefone a coisa é fria, imagina por palavras…

 

O povo brasileiro gosta de se comunicar, de interagir. Hoje temos mais celular do que aparelhos fixos. Alguém poderia imaginar algo assim? Essa gama de dispositivos tecnológicos e de comunicação, aliado às “invenções” para popular esses dispositivos, mudou alguns paradigmas. Por exemplo, que tal pensarmos o que as pessoas fizeram com a sua privacidade?

 

A partir do lançamento do Orkut e posteriormente do microblog Twitter, até os Instagrams da vida, as pessoas tiveram a possibilidade de se expor, se expuseram, e como vem se expondo!! Se pensarmos que a onda pegou a partir do uso maciço por pessoas públicas (artistas, celebridades e pseudo-celebridades, políticos…) que passaram a utilizar as primeiras redes sociais e o Twitter para se expor, até porque vivem dessa exposição, pessoas comuns gostaram da ideia e foram à luta. Vejam que quase 2 bilhões de pessoas usam o facebook.

 

O que é fato aqui, é que a tal preservação da privacidade é, em muitos exemplos, banida pela própria pessoa. Quantos e quantos casos tomamos conhecimento pela mídia onde o culpado foi a quebra da privacidade patrocinada pela própria vítima? E pior, vários deles com consequências catastróficas.

 

Não quero e nem pretendo entrar na discussão psicológica, sociológica e até antropológica do tema, mas é inegável que as pessoas de uma maneira geral estão se expondo e expondo seus familiares, em muitos casos de forma perigosa. Diante de tantos alertas e casos mostrados as pessoas continuam a quebrar sua privacidade se escorando em alicerces pouco seguros como: somente meus amigos me veem, não compartilho com quem não conheço, e por aí vai…De uma vez por todas as pessoas precisam entender que a melhor segurança é aquela que avalia o valor da informação antes de praticar qualquer ato. E esse parece ser um dos Xs da questão.

 

Quando faço minhas palestras de conscientização em segurança da informação nas empresas e coloco o tema sob a ótica pessoal/familiar e não somente corporativa, as pessoas parecem tomar um clic. E a coisa esquenta quando, por meio de uma dúzia de casos e de situações de risco, demonstro o que a pessoa pode estar fazendo com a sua segurança e de seus próximos.

Parece que definitivamente só se toma consciência quando partimos para um discurso um pouco mais duro, quando mostramos que antes de qualquer coisa avalie-se o VALOR da informação e as consequências de seu compartilhamento antes de tomar qualquer decisão.

Essas mudanças e transformações que vem ocorrendo no modo como as pessoas tem tocado suas vidas, mais uma vez como falei, patrocinado e muito pela tecnologia e comunicação, não há como não fazer uma relação com o ambiente do trabalho. As pessoas estão diferentes do que eram anos atrás com a incorporação desses novos hábitos, costumes e comportamentos querendo e/ou não querendo levando-os para dentro da empresa.

Ninguém sai de casa para trabalhar e diz para seus hábitos, costumes e comportamentos o seguinte: ei, vocês, fiquem quietinhos aí em casa que agora eu vou levar outros hábitos, costumes e comportamentos para ir trabalhar comigo? Alguém faz essa dissociação? Você e sua empresa já pensaram sobre isso?

Para os que não pensaram ou desacreditam nessa questão, poderia listar aqui uma série de ameaças e probabilidades que podem se transformar em impactos indesejáveis para a empresa, e ajudar a mudar de opinião.

Por exemplo, aliado a tais mudanças e o elevado poder dos “celulares” de hoje em dia, podemos pensar em alguém com alguma intenção, bater fotos de tela, de documentos que não deveriam ter acesso e de alguma forma tiveram e bum, em um clic, jogar onde quiser tais informações, inclusive na concorrência.

Para o caso dos não intencionados, alguma foto da equipe de trabalho em uma festinha de aniversário, com tela de computador aberta ao fundo, documentos sobre a mesa, etc.

Comentários públicos da empresa com o intuito de se gabar, tentando aumentar sua escala de valores como uma pessoa importante…É, a lista pode ser imensa.

 

OK, mas o que e como fazer com a questão?

Em primeiro lugar e de forma clara você precisa entender e aceitar esse novo contexto em nossas vidas. Não há como mudar o curso onde a maioria deseja levar. Em segundo lugar precisa ter em mente que, em se tratando de ambiente de trabalho, na segurança das informações corporativas, são as Pessoas o ativo mais importante. Elas são o agente da ameaça, que é aquele sujeito que perpetra uma ameaça explorando vulnerabilidades existentes.

 

Entendendo e aceitando essas duas ponderações é necessário arregaçar as mangas e agir. Agir no sentido de reduzir o risco das possíveis consequências. Essa ação demandará identificar e implantar controles que possam levar a um risco residual aceitável para a empresa.

 

Sei que muito provavelmente vários desses controles você deve tê-lo implantado na empresa. Modelos de contratação que olhem para o SER Políticas, Normas, Códigos, controles de acesso físico, lógico, PLRs, etc. devem fazer parte desse rol de controles. Ok. Mas uma rápida e simples pergunta que faço: eles permanecem operando de forma a deixar o risco residual no patamar que se julgou aceitável? Todo o controle deve ter uma espécie de “memorial descritivo” e será que o tal memorial descritivo continua a ser atendido?

 

Ainda nessa linha, será que foi pensado nos devidos controles para mitigar o risco Pessoas nesse novo contexto que ponderei? Não faltou ou não falta nada? Digo isso porque normalmente encontro a falta de alguns controles importantes, como o Programa de Conscientização e Educação em Segurança da Informação, Antifraudes e ilícitos semelhantes. O seu programa de conscientização, caso você o tenha e o execute de forma continuada, anda acompanhando essas mudanças e transformações comentadas nesse artigo?

 

Julgo o Programa de Conscientização um dos controles mais eficazes nessa luta pela mitigação dos riscos com a segurança das informações corporativas e assemelhados. Aumenta sua importância com esses tempos bicudos e de mudanças e transformações citadas. Mas existem limitações em sua eficácia quando não for devidamente planejado e implantado.

 

É fundamental que um programa desses tenha em seu planejamento a ideia de que ele não é para ser feito uma vez na vida e outro na morte. Um dos atributos de sua eficácia é a sua continuidade. Sua execução deve acontecer ao longo do ano, e não somente com uma palestra e pronto. Isso funciona em pequena escala, não colocando o risco em um patamar residual que desejamos. Pense nisso.

 

Como conclusão gostaria de deixar uma reflexão. O mundo tem se transformado diariamente e em uma velocidade que não percebemos, que não temos tido tempo para parar e pensar no que está ocorrendo. E nessa linha, são as Pessoas que estão conduzindo essas transformações e vivenciando o que há de bom e também o que há de ruim. Já falado, somos vítimas ou felizardos de nossos atos e também dos outros. As transformações nos hábitos, costumes e comportamentos das Pessoas têm alterado diariamente os riscos associados. Digo isso olhando para todos os lados, e não mais somente para um pequeno pedaço dele que tratei nesse artigo. Que possamos ter sabedoria e paciência para entender o que se passa, e procurar sempre as melhores formas de vivermos felizes e tentar ajudar os outros a também o ser!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Não é fácil, mas o que importa é o prazer de fazer o que se gosta.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Um dia desses fiquei pensando que nesse mês de maio farei 56 anos. Incrível, mas como o tempo é inexorável e parece que nem percebemos seu rápido caminhar. Nessa reflexão olhei minha trajetória profissional e parei para pensar com mais detalhes como me tornei professor e consultor e que me faz um profissional feliz. Alguns dizem que desde muito cedo já sabiam “o que seriam quando crescessem”, mas nem sempre é assim e nem todos as cumprem. Para a grande maioria há um caminho a se percorrer, a se descobrir, às vezes curto, às vezes longo, conflituoso até, mas ao encontrar, certamente um tanto do quinhão da felicidade em sua vida pode acontecer. Garanto que muitos aqui devem estar nesse caminho.

Quando fui estudar engenharia confesso não ter total certeza de que aquela seria a profissão do resto de minha vida. Meu pai não tinha nada a ver com a engenharia, era gerente de um clube. Meu irmão sim é engenheiro e trabalhava com meu cunhado, também engenheiro. Acabei estudando engenharia, um curso que forneceu uma base excepcional e que carrego em minhas atividades.

Importante para essa narrativa é o fato de, ao final do 1º ano do curso de engenharia, surgir um concurso interno na faculdade para vaga de monitor em laboratório de física. Virei monitor de física experimental. Foram quatro anos até me formar como monitor e assistente de professor. Nessa época, aos 18 anos de idade, inicio, sem saber até então, minha incursão no ramo educacional, naquele que tem como princípio básico, compartilhar o que sabe e tomar o cuidado para não falar sobre o que não se sabe.

Formei engenheiro. Trabalhei alguns anos na área. Continuei a estudar depois de formado, concluindo duas especializações. Migrei da Engenharia para a TI (Informática). Comecei a dar aula na área de Tecnologia, conciliando com minhas atividades no mercado. Dentro da TI conheci a segurança da informação, que me levou às suas diversas disciplinas e ao fascinante mundo do risco corporativo e controles internos. Tornei-me mestre em segurança da informação.

Resumi em um parágrafo mais de 30 anos, pois não é meu objetivo ficar aqui narrando minha trajetória profissional e principalmente porque acho muito chato esses detalhes. O que me interessa é dividir com vocês a sensação de como é importante você ser feliz no que faz, saber que construiu com erros e acertos esse caminho e que a trajetória e o legado que se deixa é a grande vitória.

Domenico De Masi em um dos seus brilhantes livros, “O ócio criativo” diz que ao longo da vida uma pessoa em média experimenta quatro atividades profissionais diferentes. No mercado, fui engenheiro civil, gestor em TI, gestor em Segurança da Informação e dono de uma consultoria. Na academia, professor, coordenador e diretor universitário. Logo, estou dentro da estatística do professor De Mais. Vou tentar expressar as duas atividades que exerço e que me torna hoje uma pessoa muito feliz.

Ser Professor

Sou professor desde 1990, portanto, vinte e cinco anos nesse 2015. Se contarmos o tempo de monitor de física, acrescento mais quatro anos. Já fui coordenador e diretor de faculdades de engenharia e computação, coordenador de pós-graduação, etc., trabalhos mais burocráticos; mas, uma sala de aula é única. Confesso que me sinto em casa. Tenho em mim a necessidade de compartilhar aquilo que consegui adquirir de conhecimento e, tanto quanto, aprender com quem está presente na mesma sala.

Conheço diversos amigos que dizem não gostarem de dar aula…não se sentem bem…entre outras tantas. Outros dizem que dão aula para complementar a renda, fazendo muito mais pelo contracheque do que pelo prazer de compartilhar. Aqui uma questão: o dinheiro é importante? Claro, não duvido. Uma atividade profissional exercida sem voluntarismo deve ser remunerada. Ok, mas nessa atividade só o contracheque não é o suficiente. É preciso ter “no sangue” a vontade de compartilhar o que sabe, de perceber que está contribuindo para a formação do outro, de saber que em uma sala de aula existe sempre a possibilidade de aprender. Essa vontade tenho até hoje, passado quase trinta anos. O dia que ela deixar de existir, se é que isso vai acontecer, vou fazer outra coisa de minha vida. Não existe nada pior do que não ver mais o brilho nos olhos de admiração de seus alunos pela aula de seu mestre. Isso não tem preço e provavelmente é um sinal para tirar o time de campo.

Quer um bom argumento para ser professor? Você nunca ficará velho! Isso mesmo!  Hoje reduzi minhas atividades, mas mantenho minhas aulas na pós-graduação da FIA-USP, na ANBIMA e em cursos in-company que ministro pela minha empresa. Na grande maioria dos casos, encontro pessoas bem mais jovens do que eu. Muitas delas poderiam ser meus filhos. Estar junto com o jovem faz você se sentir jovem. Faz você entrar na conversa deles. Faz você aprender as novidades da idade deles. Faz sempre você voltar no tempo. Faz um bem danado para a alma da gente!

Outro ótimo argumento é o de ser professor obriga você a usar o aprender a aprender sempre, a estudar e estudar. Se exercer outra atividade além da acadêmica, obrigatoriamente terá uma base inigualável da Academia para desempenhar muito bem o seu papel no mercado. Essa necessidade constante de aprendizado o fortifica internamente e isso reflete em suas atividades dentro e fora da Academia.

Falo sempre em minhas aulas para meus alunos: se não nasceram rico, não casaram com alguém rico e não tem esperança de herdarem algo, a única coisa que resta a vocês é estudar! Como dizem, podem tirar várias coisas de você, mas o estudo ninguém irá tirar. Indo mais além, oriento a todos a fazerem um mestrado e doutorado. Erradamente do que se fala por aí, mestrado e doutorado não é somente um requisito para dar aula. É um upgrade sem precedente em sua carreira, sendo uma experiência de vida excepcional. Além disso, pode se tratar de outra fonte de renda ou, se desejar, ser a única, rumando para a vida acadêmica de coordenação, direção e outros andares dentro de instituições acadêmicas. Pensem nisso. Oriente os seus.

Enfim, Ser professor é acima de tudo um estado de espírito!

Ser Consultor

Afinal, o que é ser Consultor? Tenho uma opinião bem particular com relação a isso. Penso que Consultor deva ser aquele profissional que alia seu conhecimento e experiência de mercado e da Academia (se possível), com a competência para entender as necessidades de seus clientes e supri-las com o seu trabalho. Para isso deverá ter desenvolvido inúmeras habilidades ao longo de sua carreira, habilidades essas que não tem nada a ver com o conhecimento e experiência, e sim, com outros atributos. Vejamos alguns desses atributos:

  •  Gostar de se relacionar com pessoas e respeitando toda e qualquer diversidade;
  • Ter uma excelente capacidade de trabalhar em equipe;
  • Ter e praticar uma conduta ética e de boas maneiras. Ser exemplo;
  • Ouvir muito, falar apenas o necessário;
  • Compartilhar seu conhecimento de forma simples e transparente;
  • Nunca assumir uma postura de “ban ban ban” do assunto. Você foi contratado para auxiliar a empresa a resolver uma necessidade e não para dar show de conhecimento e de ego;
  • Ter atitude para auxiliar sempre que possível e dentro de suas competências e habilidades;
  • Ter adaptabilidade para trabalhar em diferentes culturas organizacionais;
  • Saber que pessoas são diferentes, umas das outras, e “jogo de cintura” é crucial para desenvolver seu trabalho;

 

Muita coisa? Aparentemente sim, mas é um trabalho fascinante! Ter a oportunidade de ajudar a empresa que o contratou e intrinsecamente, agregar valor ao conhecimento e habilidades das pessoas que lá trabalham com as quais manteve contato, é de um enorme prazer. Perceber que antes do projeto a situação da empresa e das pessoas era X e que depois do projeto concluído evidenciar a evolução para Y, é o requisito primordial para continuar na profissão.

Em cada projeto de consultoria que concluí e/ou que liderei, e onde pude perceber essa evolução da empresa de X para Y, superando em vários casos as expectativas depositadas, a sensação de dever cumprido é fator primordial. Além disso, o valor agregado proporcionado pela chance de compartilhar minha experiência profissional e de vida aos profissionais da empresa com os quais tive contato, sabendo deles que o dia a dia do projeto e seus resultados melhoraram sua condição, acaba tendo um significado que não há como medir e não há preço para isso. Vejo isso como um dos grandes legados do trabalho do consultor.

Como escopo e mesmo sem estar no escopo, o consultor atua como coach de profissionais da empresa. Em vários projetos pude perceber uma grande evolução desses profissionais, pelo simples fato de poder compartilhar do dia a dia de um projeto. Melhoraram as competências técnicas, comportamentais, o espírito de equipe que um projeto solicita, e em muitos casos, o coach do consultor auxilia o profissional a olhar com profundidade, perceber os detalhes, que às vezes não parece muito claro. Os cases do consultor funcionam como um diferencial para os profissionais.

É um trabalho que exige acima de tudo gostar de estar com pessoas, e mais, com as mais diferentes pessoas. Precisa estar preparado para isso. Se agir de forma contrária a essa premissa básica, certamente o projeto naufraga e sua trajetória também. Como já falado, as culturas organizacionais são diferentes, as pessoas de uma dada região agem e pensam de formas diferentes. Desenvolver um projeto em um dado estado do país requer conhecer como são as pessoas daquela região. Umas são mais expansivas, outras menos. É fundamental o consultor estar totalmente preparado para isso.

O trabalho de consultoria exige acima de tudo a premissa de Ser Confiável. Quem contrata uma consultoria não quer confusão para o lado dele (a). Quer alguém em quem possa confiar para realizar um dado trabalho. Quer alguém que ao ser colocado “para dentro de sua casa” irá mostrar competência e inteligência emocional madura, não trazendo problemas para o ambiente. Quer alguém que some valor e não faça conta de subtração. Quer alguém em quem possa aprender mais, e não que tenha que ficar pajeando e ensinando o que fazer, como fazer.

 

Como conclusão, tenho a nítida impressão que ambas as profissões, professor/instrutor e consultor tem um enorme e forte elo. Uma complementa a outra e as duas andam de mãos dadas. Esse elo tem uma palavra chave que as une: Compartilhar! Se você não consegue fazer isso, certamente não terá sucesso em ambas, quiça, em qualquer uma delas. Esse sentimento é o grande motor que impulsiona quem abraçou as duas profissões.

 

Seja feliz. Faça o que gosta e se sinta bem. Esse é o legado que deixamos por aqui.

 

Até a próxima!

_________________________________________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

É absolutamente imperativo focar nas Pessoas em primeiro lugar. (06jun14)

enigma.consultoria Sem categoria Leave a comment   ,

Mário Sérgio Ribeiro (*)

Na semana passada o noticiário de jornais e principais portais do país davam conta de que o Itamaraty vinha sendo alvo de hackers que promoveram ataque contra o sistema de comunicação interna, que serve ao Ministério das Relações Exteriores e às embaixadas brasileiras pelo mundo. Não há dimensão dos atos, mas certo que dados pessoais de diplomatas e telegramas secretos podem ter sido acessados. Como ocorreu a invasão? O velho e conhecido “phishing”, uma técnica de engenharia social tecnológica que utiliza mensagens falsas com anexos e/ou links para o usuário clicar e ter seus dados e senhas capturados; nesse caso, os anexos vinham disfarçados de comunicados oficiais do Itamaraty. Estima-se que pode chegar a 5.000 as contas hackeadas, considerando a invasão de sistemas nas embaixadas. Qual o impacto financeiro e operacional do ocorrido? Algo novo e inusitado? Certo que não!

Maio de 2013, Edward Snowden inicia sua série de vazamento de informações classificadas como sigilosas pelo governo americano. Coloca em uma “sinuca de bico” Barack Obama, revelando detalhes da espionagem que a NSA, a agência de segurança da informação americana, faz em líderes de governo, empresas, etc., exceto cidadãos americanos. Pergunta: como Snowden teve acesso à informações sigilosas tendo apenas um cargo mediano, de analista, em uma agência que supostamente deva ter os melhores controles do mundo?

Outra. O último relatório divulgado pela ACFE em 2014 dá conta de que as organizações perdem 5% de suas receitas em fraudes ocupacionais (praticada por um colaborador com um cargo na empresa), o que projeta a cifra global de U$ 3,7 trilhões. Levam-se em média 18 meses para se detectar uma fraude e quem mais detecta não é ferramenta tecnológica, auditorias, etc., é uma “ferramenta” conduzida por pessoas e atende pelo nome de Denúncia Anônima. Em 42,2% dos casos quem salvou a Pátria foram pessoas denunciando pessoas, o que representa em 1.483 casos relatados o número de 626 denúncias anônimas! No caso da pesquisa da ACFE, só para você ter uma ideia, ferramentas de detecção ficaram com 1,15% dos 1.483 casos relatados, o que dá 17!!! Pouco, né?

Dois fatos e uma pesquisa em que o centro das atenções são Pessoas. No primeiro fato citado, um ato não intencional que provoca um impacto danado. No segundo fato, um ato intencional (vazamento de informação) em um local que se supunha em teoria que tivesse os melhores processos e ferramentas de controle de segurança da informação. E por último, pessoas agindo como uma “ferramenta” de controle, na prevenção de detecção de ilícitos, como fraudes, corrupção, etc.. Ok, mas afinal, aonde eu quero chegar com isso? Qual a relação dos fatos ocorridos e de uma pesquisa de um órgão independente, conceituado e sem nenhum interesse comercial? É isso que vou dissecar nesse artigo.

Primeiro um alerta. Atuo com Segurança da Informação, Combate a Fraudes e outros riscos operacionais há quase 30 anos. Sinto-me um estudante voraz em busca de conhecimento, mesmo com 55 anos. Nesse período venho procurando dizer a todos que convivi e convivo profissionalmente (colaboradores de minhas equipes, clientes potenciais e clientes ativos, alunos e até amigos pessoais) que para mitigar o risco de eventos indesejados com as informações da empresa e de ativos tangíveis, é imperativo focar sempre as atenções em Pessoas. Não há melhor receita! Processos, Segurança física e Controles Tecnológicos são outros pilares, mas não devem ser tratados com  prioridade maior do que as Pessoas. Nunca! É um erro! Agindo dessa forma você inverte a ordem das coisas: coloca o tratamento da consequência em primeiro lugar e a Causa em segundo plano. Isso está errado.

Bem, vamos em frente…

Vamos classificar nosso personagem Pessoas em três categorias distintas. Na primeira delas vamos defini-las como alguém que comete erros e não há intenção de qualquer tipo de ganho com o ato cometido; essa categoria vamos classificá-la como Pessoas sendo um Agente Não Intencional de Ameaça. Pessoas como agente  e a ameaça como algo danoso que pode ocorrer por conta do erro cometido. No caso 1, o erro foi clicar no anexo e a ameaça é patrocinada pelo o que o phishing deseja, a princípio, capturar dados e perpetrar ilícitos a partir daí.

No caso do Snowden, temos a segunda categoria que é a do Agente de Ameaça Intencional. Snowden tinha a intenção de causar algum ganho, de causar um impacto com sua ação e ela foi intencional, a partir do instante em que ele começa a coletar informações, que certamente não deveria ter acesso.

E por último a categoria de Controle, isso mesmo, Controle. Pessoas podem funcionar muito bem como controles para mitigarem riscos. É o caso do Canal de Denúncias de Fraudes e ilícitos semelhantes. Vejam, e funciona! Quase a metades das detecções feitas foram por conta desse controle, mostrados na pesquisa da ACFE. Do que depende essa ação? Da conscientização das Pessoas em realizarem a denúncia de que uma fraude esteja ocorrendo ou está prestes a ocorrer.

Vejamos o primeiro caso, o recebimento de uma mensagem falsa por e-mail, com uso da engenharia social tecnológica tendo como seu ator um hacker, utilizando-se do “phishing”. Como tantos caíram? Só lá no Itamaraty que ocorre isso? Quem clicou no anexo? Por que clicou? As pessoas que trabalham no Itamaraty ou outras tantas que caíram e caem nesse golpe, tem uma constante conscientização e educação sobre esse e outros tantos riscos da segurança da informação? Qual foi a última vez que alguém falou sobre isso dentro da empresa, conscientizando e educando as pessoas, se é que falou? Quanto do orçamento é dedicado ao tema?

Infelizmente encontram-se muitas empresas que enviam um e-mail para todos da empresa dizendo: pessoal, acessem a Intranet da empresa leiam as políticas, códigos e normas, deem um clic que entenderam…, ok? Você, sinceramente, com tantos afazeres estaria convencido a fazer a leitura de um simples e-mail desses e clicar Ok, eu li e entendi? Para que se adota essa prática? Para cumprir o que auditoria pede? Que um órgão regulador questionou? Essa prática não funciona em hipótese alguma! Ninguém vai ler nada…não vai entender nada…e não vai praticar da forma que você deseja que se pratique. Se você quer fazer a coisa certa, tratando a Causa (Pessoas), precisa colocar no “sangue” delas, no DNA da empresa, a conduta certa, e isso se faz por meio de palestras muito bem planejadas, com cunho pedagógico, com didática e por pessoas capacitadas e habilitadas a conduzir a questão. Não adianta pegar um técnico de TI, profundo conhecedor de técnicas hackers, por exemplo, colocar ele lá na frente porque você não tem custo, e pronto, resolvi o problema. Tem esse técnico a habilidade e capacidade pedagógica e didática de conscientizar as Pessoas que estão ali escutando? Pense nisso. Além disso, é necessário ter um Programa de Conscientização e Educação planejado, e que é executado o ano inteiro, e se renova ano após ano. Não é para fazer no ano 1 e depois lembrar e fazer no ano 4. São inúmeras as variáveis nessa questão que mudam em uma velocidade muito grande. Se não for realizado dessa maneira, não funciona.

Ok, você até concorda com o que eu falo, mas infelizmente só lembra-se de fazer quando a porteira já escancarou…ou não consegue convencer a Alta Administração da empresa a fazê-lo? Com tantos casos populando pela mídia, é difícil alguém no topo não perceber a necessidade. Só posso entender que eles assumem o risco ou é pura negligência.

Veja na sua empresa qual foi a última vez que você fez uma campanha de conscientização e educação em segurança da informação. Veja também, qual foi a última vez que você fez a revisão de sua política, de seu código de ética, de suas normas de segurança. Na maioria, e não é privilégio seu, devem ter pelo menos uns três anos sem revisão.

O agente de ameaça intencional, categoria 2, ele existe nas empresas, mas ainda bem que é minoria em relação a categoria 1. Essas pessoas também são conscientizadas e educadas a fazer o certo e cumprirem o que for determinado. Mas, em um dado momento na empresa, por conta de pressões/motivações internas e/ou externas e oportunidades, passam para o lado do não legal, do crime. Se formos pegar o caso do Snowden em detalhes é claro que podemos encontrar algumas falhas de controles dentro da NSA, mesmo sendo a NSA. Snowden não comenta como conseguiu as informações, talvez em um livro que por certo lançara, mas usou sua inteligência e cometeu o abuso. Mas a pergunta: como detectar um agente de ameaça intencional na empresa? O que poderia ter evitado a ação de Snowden?

 

Com elevado QI e considerado um “gênio da computação”, Snowden não deve ter deixado rastros em suas coletas. Controles tecnológicos que devem existir em abundância e qualidade na NSA, por certo não detectaram as ações de Snowden. E onde Snowden poderia ser pego? Somente Pessoas que conhecessem seu perfil, seus hábitos, temperamento, personalidade poderiam ajudar nesse sentido. Por mais frio que o agente de ameaça intencional seja, alterações ocorrem em seu comportamento verbal e não verbal. Algumas atitudes e temperamento ficam alterados nesse período. O que não fazia antes, começa a fazer; agia de um jeito e começa a agir de outro…traços de um perfil de alguém que está fazendo alguma coisa errada começam a saltar os olhos daqueles mais próximos.

 

Ok, mas onde você quer chegar? Na 3ª categoria do início de meu artigo: Pessoas funcionando como controles. Uma empresa é feita de várias equipes de trabalho com alguém liderando, um gestor. É assim que a coisa anda.

 

Em primeiro lugar precisamos ter gestores de pessoas e não somente de resultados. Esses gestores precisam estar aptos e treinados para identificar uma “maça podre” no meio das outras. Precisamos de líderes de fato. Se não o temos, precisamos treiná-los, para incentivar, promover, para pensar para frente, mas também para servir de escudo, de barreira aos maus intencionados. É possível treinar um gestor para agir dessa forma? Claro que sim! E podem ter certeza, trata-se de um excelente e eficaz controle.

 

Em segundo lugar, as pessoas de uma equipe precisam trabalhar em prol da equipe e consequentemente da empresa. Precisam ser conscientizadas e educadas no sentido de proteger a empresa das “maças podres”. Não se trata de caça as bruxas, mas sim, de se criar um ambiente em que se preze as condutas esperadas pela empresa: ganha a empresa, ganha a equipe e ganha você!

 

No segundo caso, particularmente, podemos estar falando do Canal de Denúncia, do início de nosso artigo, quando mencionamos os índices da pesquisa da ACFE. Se planejado e implantado dentro das melhores práticas, o Canal de Denúncia pode funcionar como um controle preventivo de ilícitos, isto quer dizer, que eu posso chegar antes da perda. Ah, e falando em perda, a mesma pesquisa da ACFE relata que em 54% dos casos pesquisados não houve nenhuma recuperação depois de anos de investigação e execução; apenas em 14% dos casos ocorreu total recuperação do prejuízo.

 

Como conclusão propomos a empresa de qualquer porte, com vista a mitigar o risco de vazamentos de informação, fraude, corrupção, etc. a planejar e implantar os seguintes processos/controles:

 

Segurança da Informação:

1. Política, Normas complementares e procedimentos operacionais;

2. Programa de Conscientização de Segurança da Informação (envolvendo palestras presenciais, gravação de vídeos, boletins, etc.) para colaboradores, gestores e alta administração.

 

Fraude, Corrupção e ilícitos semelhantes:

1. Política Antifraude e Anticorrupção;

2. Código de ética e de conduta;

3. Treinamento Antifraude para colaboradores;

4. Treinamento Antifraude para gestores e alta administração;

5. Canal de Denúncia.

 

Era isso!

 

 

Até a próxima!

 

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br