Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

Não é fácil, mas o que importa é o prazer de fazer o que se gosta.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Um dia desses fiquei pensando que nesse mês de maio farei 56 anos. Incrível, mas como o tempo é inexorável e parece que nem percebemos seu rápido caminhar. Nessa reflexão olhei minha trajetória profissional e parei para pensar com mais detalhes como me tornei professor e consultor e que me faz um profissional feliz. Alguns dizem que desde muito cedo já sabiam “o que seriam quando crescessem”, mas nem sempre é assim e nem todos as cumprem. Para a grande maioria há um caminho a se percorrer, a se descobrir, às vezes curto, às vezes longo, conflituoso até, mas ao encontrar, certamente um tanto do quinhão da felicidade em sua vida pode acontecer. Garanto que muitos aqui devem estar nesse caminho.

Quando fui estudar engenharia confesso não ter total certeza de que aquela seria a profissão do resto de minha vida. Meu pai não tinha nada a ver com a engenharia, era gerente de um clube. Meu irmão sim é engenheiro e trabalhava com meu cunhado, também engenheiro. Acabei estudando engenharia, um curso que forneceu uma base excepcional e que carrego em minhas atividades.

Importante para essa narrativa é o fato de, ao final do 1º ano do curso de engenharia, surgir um concurso interno na faculdade para vaga de monitor em laboratório de física. Virei monitor de física experimental. Foram quatro anos até me formar como monitor e assistente de professor. Nessa época, aos 18 anos de idade, inicio, sem saber até então, minha incursão no ramo educacional, naquele que tem como princípio básico, compartilhar o que sabe e tomar o cuidado para não falar sobre o que não se sabe.

Formei engenheiro. Trabalhei alguns anos na área. Continuei a estudar depois de formado, concluindo duas especializações. Migrei da Engenharia para a TI (Informática). Comecei a dar aula na área de Tecnologia, conciliando com minhas atividades no mercado. Dentro da TI conheci a segurança da informação, que me levou às suas diversas disciplinas e ao fascinante mundo do risco corporativo e controles internos. Tornei-me mestre em segurança da informação.

Resumi em um parágrafo mais de 30 anos, pois não é meu objetivo ficar aqui narrando minha trajetória profissional e principalmente porque acho muito chato esses detalhes. O que me interessa é dividir com vocês a sensação de como é importante você ser feliz no que faz, saber que construiu com erros e acertos esse caminho e que a trajetória e o legado que se deixa é a grande vitória.

Domenico De Masi em um dos seus brilhantes livros, “O ócio criativo” diz que ao longo da vida uma pessoa em média experimenta quatro atividades profissionais diferentes. No mercado, fui engenheiro civil, gestor em TI, gestor em Segurança da Informação e dono de uma consultoria. Na academia, professor, coordenador e diretor universitário. Logo, estou dentro da estatística do professor De Mais. Vou tentar expressar as duas atividades que exerço e que me torna hoje uma pessoa muito feliz.

Ser Professor

Sou professor desde 1990, portanto, vinte e cinco anos nesse 2015. Se contarmos o tempo de monitor de física, acrescento mais quatro anos. Já fui coordenador e diretor de faculdades de engenharia e computação, coordenador de pós-graduação, etc., trabalhos mais burocráticos; mas, uma sala de aula é única. Confesso que me sinto em casa. Tenho em mim a necessidade de compartilhar aquilo que consegui adquirir de conhecimento e, tanto quanto, aprender com quem está presente na mesma sala.

Conheço diversos amigos que dizem não gostarem de dar aula…não se sentem bem…entre outras tantas. Outros dizem que dão aula para complementar a renda, fazendo muito mais pelo contracheque do que pelo prazer de compartilhar. Aqui uma questão: o dinheiro é importante? Claro, não duvido. Uma atividade profissional exercida sem voluntarismo deve ser remunerada. Ok, mas nessa atividade só o contracheque não é o suficiente. É preciso ter “no sangue” a vontade de compartilhar o que sabe, de perceber que está contribuindo para a formação do outro, de saber que em uma sala de aula existe sempre a possibilidade de aprender. Essa vontade tenho até hoje, passado quase trinta anos. O dia que ela deixar de existir, se é que isso vai acontecer, vou fazer outra coisa de minha vida. Não existe nada pior do que não ver mais o brilho nos olhos de admiração de seus alunos pela aula de seu mestre. Isso não tem preço e provavelmente é um sinal para tirar o time de campo.

Quer um bom argumento para ser professor? Você nunca ficará velho! Isso mesmo!  Hoje reduzi minhas atividades, mas mantenho minhas aulas na pós-graduação da FIA-USP, na ANBIMA e em cursos in-company que ministro pela minha empresa. Na grande maioria dos casos, encontro pessoas bem mais jovens do que eu. Muitas delas poderiam ser meus filhos. Estar junto com o jovem faz você se sentir jovem. Faz você entrar na conversa deles. Faz você aprender as novidades da idade deles. Faz sempre você voltar no tempo. Faz um bem danado para a alma da gente!

Outro ótimo argumento é o de ser professor obriga você a usar o aprender a aprender sempre, a estudar e estudar. Se exercer outra atividade além da acadêmica, obrigatoriamente terá uma base inigualável da Academia para desempenhar muito bem o seu papel no mercado. Essa necessidade constante de aprendizado o fortifica internamente e isso reflete em suas atividades dentro e fora da Academia.

Falo sempre em minhas aulas para meus alunos: se não nasceram rico, não casaram com alguém rico e não tem esperança de herdarem algo, a única coisa que resta a vocês é estudar! Como dizem, podem tirar várias coisas de você, mas o estudo ninguém irá tirar. Indo mais além, oriento a todos a fazerem um mestrado e doutorado. Erradamente do que se fala por aí, mestrado e doutorado não é somente um requisito para dar aula. É um upgrade sem precedente em sua carreira, sendo uma experiência de vida excepcional. Além disso, pode se tratar de outra fonte de renda ou, se desejar, ser a única, rumando para a vida acadêmica de coordenação, direção e outros andares dentro de instituições acadêmicas. Pensem nisso. Oriente os seus.

Enfim, Ser professor é acima de tudo um estado de espírito!

Ser Consultor

Afinal, o que é ser Consultor? Tenho uma opinião bem particular com relação a isso. Penso que Consultor deva ser aquele profissional que alia seu conhecimento e experiência de mercado e da Academia (se possível), com a competência para entender as necessidades de seus clientes e supri-las com o seu trabalho. Para isso deverá ter desenvolvido inúmeras habilidades ao longo de sua carreira, habilidades essas que não tem nada a ver com o conhecimento e experiência, e sim, com outros atributos. Vejamos alguns desses atributos:

  •  Gostar de se relacionar com pessoas e respeitando toda e qualquer diversidade;
  • Ter uma excelente capacidade de trabalhar em equipe;
  • Ter e praticar uma conduta ética e de boas maneiras. Ser exemplo;
  • Ouvir muito, falar apenas o necessário;
  • Compartilhar seu conhecimento de forma simples e transparente;
  • Nunca assumir uma postura de “ban ban ban” do assunto. Você foi contratado para auxiliar a empresa a resolver uma necessidade e não para dar show de conhecimento e de ego;
  • Ter atitude para auxiliar sempre que possível e dentro de suas competências e habilidades;
  • Ter adaptabilidade para trabalhar em diferentes culturas organizacionais;
  • Saber que pessoas são diferentes, umas das outras, e “jogo de cintura” é crucial para desenvolver seu trabalho;

 

Muita coisa? Aparentemente sim, mas é um trabalho fascinante! Ter a oportunidade de ajudar a empresa que o contratou e intrinsecamente, agregar valor ao conhecimento e habilidades das pessoas que lá trabalham com as quais manteve contato, é de um enorme prazer. Perceber que antes do projeto a situação da empresa e das pessoas era X e que depois do projeto concluído evidenciar a evolução para Y, é o requisito primordial para continuar na profissão.

Em cada projeto de consultoria que concluí e/ou que liderei, e onde pude perceber essa evolução da empresa de X para Y, superando em vários casos as expectativas depositadas, a sensação de dever cumprido é fator primordial. Além disso, o valor agregado proporcionado pela chance de compartilhar minha experiência profissional e de vida aos profissionais da empresa com os quais tive contato, sabendo deles que o dia a dia do projeto e seus resultados melhoraram sua condição, acaba tendo um significado que não há como medir e não há preço para isso. Vejo isso como um dos grandes legados do trabalho do consultor.

Como escopo e mesmo sem estar no escopo, o consultor atua como coach de profissionais da empresa. Em vários projetos pude perceber uma grande evolução desses profissionais, pelo simples fato de poder compartilhar do dia a dia de um projeto. Melhoraram as competências técnicas, comportamentais, o espírito de equipe que um projeto solicita, e em muitos casos, o coach do consultor auxilia o profissional a olhar com profundidade, perceber os detalhes, que às vezes não parece muito claro. Os cases do consultor funcionam como um diferencial para os profissionais.

É um trabalho que exige acima de tudo gostar de estar com pessoas, e mais, com as mais diferentes pessoas. Precisa estar preparado para isso. Se agir de forma contrária a essa premissa básica, certamente o projeto naufraga e sua trajetória também. Como já falado, as culturas organizacionais são diferentes, as pessoas de uma dada região agem e pensam de formas diferentes. Desenvolver um projeto em um dado estado do país requer conhecer como são as pessoas daquela região. Umas são mais expansivas, outras menos. É fundamental o consultor estar totalmente preparado para isso.

O trabalho de consultoria exige acima de tudo a premissa de Ser Confiável. Quem contrata uma consultoria não quer confusão para o lado dele (a). Quer alguém em quem possa confiar para realizar um dado trabalho. Quer alguém que ao ser colocado “para dentro de sua casa” irá mostrar competência e inteligência emocional madura, não trazendo problemas para o ambiente. Quer alguém que some valor e não faça conta de subtração. Quer alguém em quem possa aprender mais, e não que tenha que ficar pajeando e ensinando o que fazer, como fazer.

 

Como conclusão, tenho a nítida impressão que ambas as profissões, professor/instrutor e consultor tem um enorme e forte elo. Uma complementa a outra e as duas andam de mãos dadas. Esse elo tem uma palavra chave que as une: Compartilhar! Se você não consegue fazer isso, certamente não terá sucesso em ambas, quiça, em qualquer uma delas. Esse sentimento é o grande motor que impulsiona quem abraçou as duas profissões.

 

Seja feliz. Faça o que gosta e se sinta bem. Esse é o legado que deixamos por aqui.

 

Até a próxima!

_________________________________________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Precisamos criar a cultura de realizar Testes com maior frequência. (06mai14)

enigma.consultoria Sem categoria Leave a comment   , , , , ,

(*) Mário Sérgio Ribeiro

Ao escolher o tema Teste para escrever esse artigo, fiquei pensando na primeira vez em que tive que me defrontar com essa fatídica palavra. Acho que eu estava com 3-4 anos e frequentava o que na época chamava parque infantil. Fui desafiado por um coleguinha a subir em um brinquedo, que eram cubos de ferro que se entrelaçavam até uma altura de uns 5 metros, acho. Era um primeiro Teste, um Teste que mostraria o quanto eu estava preparado para vencer o medo ou não. Com dificuldade cheguei ao final, mas lembro de que ao descer, me desequilibrei e tomei um tombo. Acho que a adrenalina baixou e desprezei a descida; nada grave, mas ficou a lição.

Eu como você passamos nossa vida pessoal e profissional sendo testados a todo o momento. Em alguns deles temos tempo de planejar no que vamos ser testados e em outros não temos esse tempo de planejamento e temos que usar nosso conhecimento e experiência adquiridos para, digamos, passar no Teste, ou pelo menos enfrentá-lo.

Então chegamos a um primeiro ponto. Nós, como seres humanos em constante evolução, somos testados em muitos momentos em nossa vida. Aproveitamos os resultados de cada Teste que somos submetidos para avaliar onde temos pontos fracos e onde temos nossos pontos fortes; esperamos que da próxima vez que o dito Teste aparecer, esteja melhor, corrigindo, se não todos, alguns dos pontos fracos mais críticos e mantendo intacto ou melhorado nossos pontos fortes. E assim caminhamos…

Essa introdução trata apenas de uma reflexão sobre como nós seres humanos inconscientemente temos esse tema ao nosso lado durante nossa existência. Resolvi escrever sobre o mesmo em face de uma indagação realizada um dia desses por um amigo sobre a Copa do Mundo no Brasil. Bradava o amigo sobre a correria para se deixar tudo pronto para a dita cuja data de 12 de junho. Dizia o amigo: “Vi as pessoas se preocupando com os superfaturamentos de tudo, com os atrasos, etc., mas não vi ninguém se preocupando em saber se as obras e tudo que tem ser realizado, e claro, serão entregues aos 47 do segundo tempo, estão passando pelos devidos Testes. Será que alguém tá vendo isso?”. Palavra mágica: Testes!

Sem entrar em detalhes na discussão da Copa do Mundo e tudo que está ficando para trás, respondi ao amigo como um engenheiro de formação que sou, mas que não atua na área há 30 anos, que no caso de obras de engenharia as normas técnicas são rígidas e exigem uma quantidade muito grande de Testes; afinal de contas, são vidas humanas que estão em jogo. Não posso acreditar, a despeito da correria, que Testes obrigatórios tenham sido “esquecidos” em nome de entregar o que tem ser entregue no prazo para a FIFA. Não posso pensar ao contrário! Espero que tudo tenha sido feito dentro das normas.

Uma empresa, instalada em uma determinada edificação, com processos de negócios e/ou de manufatura definidos e em operação, tocados por pessoas e com o apoio incondicional da Tecnologia (da informação, automação e de outras), como ela encara a questão dos Testes? Para detalhar um pouco a questão tenho que fixar a abrangência dessa minha conversa. Não tratarei aqui dos Testes em processos de manufatura, em função de ser totalmente obrigatório para o negócio e uma exigência do mercado. Nessa abrangência do escopo falaremos do serviço e consequentemente de processos de negócios.

Comecemos pela Instalação física de sua empresa. São várias engenharias envolvidas em uma edificação comercial: civil, elétrica, hidráulica, incêndio, etc. A manutenção preventiva dos itens dessas engenharias é imperativo, qualquer coisa ao contrário, é negligência pura. Testes devem sempre ser planejados e executados quando algo novo deve ser implantado ou algo deve ser reformado ou retirado. Mudanças devem ser sempre, sempre testadas! Nesses Testes, conforme detalharemos mais à frente, a premissa número 1 é encontrar os pontos fracos à exaustão.

Existe alguém em sua empresa destacado para isso? Está capacitado para a função? Existe gestão sobre o assunto? Não, minha instalação é em um condomínio e isso está na mão do síndico/administradora, ele cuida de tudo… Uma série de acidentes poderia ser evitada pela absoluta negligência que administradores tratam essa questão. Você sabia que existe uma especialidade na engenharia que trata de combate a incêndio? Existe um livro sobre o assunto que tem mais de 400 páginas. É pouco? Pense nisso!

E as Pessoas, existem Testes para elas? Sim, existem, e não são somente os realizados para a admissão na empresa. Os Testes que eu quero tratar são aqueles a serem executados durante o contrato de trabalho. Já vi muita experiência boa por aí. Por exemplo, empresas que antes de saírem para o mercado na procura de um profissional para uma dada vaga fazem um processo seletivo interno, composto de Testes, análise de currículo e entrevista. Excelente! Outro tipo de Teste que muitas empresas adotam é a chamada Avaliação 180 ou mesmo a 360º, onde o profissional pode ser avaliado pelo gestor, por um par, por um subordinado e recebe o resultado de seus pontos fortes e fracos em uma conversa. Se bem implantado, trata-se de uma eficaz alternativa de melhoria nas Pessoas. Áreas de Compliance, Controles Internos e Segurança da Informação, por exemplo, também realizam Testes com Pessoas. Por exemplo, para quem atua no setor financeiro e de seguros tem o Teste de capacitação na prevenção a lavagem de dinheiro, na segurança da informação, tem os Testes para avaliar a conscientização e educação dos colaboradores quanto a SI e a Engenharia Social.

E a TI, hein? O que podemos falar dela? Teste é um item que o profissional de TI aprende a soletrar desde criancinha. Deve-se testar tudo antes de se colocar em produção, essa é a máxima. Antes de se colocar um determinado hardware (uma estação de trabalho, por exemplo) deve-se testar, um sistema, deve se testar, um link de comunicação, deve-se testar, estratégias de contingência, deve-se testar…O Teste faz parte da vida da TI e de seus profissionais. O que acontece, infelizmente, é que o Teste é a última linha do cronograma de um projeto e até chegar lá, normalmente a grana e o prazo já foram para o ralo. E então? Bem, ou não se faz, ou se faz na meia boca, como dizemos no linguajar popular. Na melhor hipótese faz-se o Teste, aponta os pontos fracos e há prazo e grana para se fazer um novo Teste e colocar o item em produção; na pior hipótese, coloca-se o item em produção sem Teste algum. Problemas? Muitos! As áreas de negócios que dependem da TI cada vez mais, rezam…os profissionais de TI sabem disso e rezam também, quando invariavelmente caem nessa ciranda.

E os processos da empresa, o que temos para eles? É muito importante para qualquer empresa que ela tenha seus processos definidos, projetado seus fluxos e pessoal treinado para utilizá-los. A falta dessa maturidade com relação aos processos e a consequente não implantação de padronização das atividades de negócios, sabemos que pode aumentar e muito o risco operacional nas empresas. Quantos incidentes podem ter por conta de processos que em Testes realizados notamos que estão mal desenhados? Que faltam atividades em seu fluxo? Que entidades relacionadas estão cumprindo atividades que não são suas?

É fundamental que a área de Risco Operacional juntamente com Compliance, Controles Internos, Segurança da Informação, TI e Auditoria Interna trabalhem juntas para diminuir os riscos de incidentes relacionados aos processos. Por exemplo, a área de Compliance e Controles Internos devem ter anualmente elencados em um cronograma, quais são os Testes que devam ser realizados e em qual periodicidade; segurança da informação e TI a mesma coisa. Fraudes, vazamento de informação, espionagem industrial, sabotagem e mais um sem número de ameaças podem ter sua origem em processos que não tem o devido nível de maturidade implantado. E testando encontramos suas fraquezas.

É isso, esse é o mote! Devemos planejar e executar Testes com o intuito de buscar ferozmente os pontos fracos daquilo que estamos testando. Aquele celebre frase que você já deve ter ouvido, “…realizamos todos os Testes e deu tudo 100% certo; nada saiu errado…” , pode até ser verdade, o que na grande maioria dos casos eu duvido. É importante termos em mente sempre que planejamos e executamos Testes que estamos buscando as fraquezas, e não somente o que está operando eficazmente.

Quando você for pensar em realizar Testes deve elencar três etapas:

Etapa 1 – Planejamento

Etapa 2 – Execução

Etapa 3 – Avaliação

 

Na Etapa 1 – Planejamento, algumas atividades que você deve pensar são:

  • Qual o objetivo ou objetivos dos Testes a serem realizados
  • Qual o Escopo e a abrangência
  • Avaliar possíveis restrições dos Testes
  • Desenvolver as estratégias dos Testes (tempo, métodos, cenários, etc.)
  • Especificar logística para o Teste (se for o caso)
  • Especificar a programação do Teste (fase de preparação e execução)

 

Já a Etapa 2 – Execução, algumas atividades que você deve pensar são:

  • Coordenador dos Testes checa todos os itens preparatórios
  • Coordenador dá início aos Testes
  • Pessoas/equipes destacadas fazem as anotações necessárias durante a execução dos Testes
  • Coordenador finaliza os Testes

 

Já a Etapa 3 – Avaliação, algumas atividades que você deve pensar são:

  • Compilam-se todas as informações coletadas dos Testes
  • Relata os Pontos fracos e pontos fortes dos Testes
  • Avalia-se de forma geral e propõem-se Recomendações

 

Entendo que a dinâmica das empresas nos dias atuais não permite que Testes sejam realizados da forma mais periódica possível. Entretanto, considero fundamental que itens críticos dentro de instalações, pessoas, TI e processos devam merecer atenção especial. A Alta Administração deve ser sensibilizada e entender que os Testes devem fazer parte do orçamento das áreas e apoiá-los. É sempre melhor encontrar os problemas em Testes do que na “vida real”. Para quem gosta de futebol tem uma máxima antiga: “É melhor errar na hora do treino e corrigir, do que na hora do jogo.”

Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br