A Fraude Ocupacional: entendendo e mitigando a Oportunidade.


Mário Sérgio Ribeiro (*) O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Read more

Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Que o caso da Receita Federal sirva de exemplo. – 18set10

enigma.consultoria Sem categoria Leave a comment  

 Vou voltar mais uma vez ao caso da Receita Federal para servir de exemplo à minha argumentação. Para que a Segurança da Informação funcione dentro de um contexto de gerenciamento razoável é necessário que se planeje, execute o planejado, verifique o executado e aja sobre os resultados da verificação (ciclo PDCA). Pois bem, até planejamos, selecionando processos e controles preventivos e detectivos, adotamos a ideia de gerenciar o risco da segurança da informação e passamos do planejamento para a execução, implementando processos e controles.

 Quero dar uma primeira parada para argumentar. Nós brasileiros gostamos de pensar em controles, antes de pensar no processo (em sua análise e modelagem). O caso da Receita é típico (e não é só ela): falta de processos adequados de segurança da informação em disciplinas importantes como controle de acesso lógico. Porque não pensamos em processos quando estamos planejando? Porque pensar em controles é mais rápido, gasta menos e aparece mais aos olhos de quem promove. E quando acontece o problema? Vai lá e veja que, ou foi falta de processo ou foi falha em sua modelagem. Ainda essa semana o ministro Mantega enumerou uma série de novos controles que serão exercidos a partir de agora..não vi ele falar no bendito processo.

 E saindo da execução e entrando na verificação (veja o leitor amigo que já estou no C – control do ciclo PDCA de Deming). O nosso querido C, esse então deixamos de lá porque o orçamento não permite. Quando verificamos, fazemos isso somente por meio da auditoria, que geralmente é lenta e pode chegar tarde demais (veja que no caso da Receita quando a Corregedoria chegou a casa já havia caído). Não dá para depender somente da Auditoria para fazer o C. Há que existir um Monitoramente mais constante, mais dia a dia. Êpa, mas é preciso budget para isso. É, precisa! Então…então espera-se que alguém acerte a mosca, talvez quando já não der mais tempo. E por último o nosso A – act, que deve agir sobre o que encontramos no C. Um C ágil e eficaz e um A, composto por um Comitê que se reúne com frequência (no mínimo uma vez no mês), pode ajudar e muito o sistema de gestão da segurança da informação.

 Que o exemplo da Receita não caia no esquecimento, ou se reze todos os dias para que seus controles segurem tudo, mesmo sem processos!!

 Um abraço e até a próxima