Valor: “Tragédia das enchentes revela falha de governança e gestão”

11 jan, 2012 | Nenhum Comentário »

Lendo o Valor de hoje, 11/01/12, uma reportagem sobre as enchentes reforça aquela minha antiga preocupação sobre a falta de Governança sobre Ameaças, Crises e Desastres Naturais.

Em artigo anterior já demonstrei minha preocupação e o despreparo do governo em relação a isso. Será que a Presidenta Dilma vai mudar esta história?

Bom, Minas Gerais já virou piada. São sempre os mesmos impactos ocasionados por chuvas nesta época. Será que as autoridades sofrem de inércia ou será despreparo? Não sei, mas, o governo federal e o de Minas correm como tartarugas mancas.

Uma força nacional foi criada, porém, isso não quer dizer nada se não forem bem preparados e articulados.

A Defesa Civil ainda é um braço dos bombeiros e acho que isto precisa mudar urgente. O cartão de repasse de verba criado pelo Banco do Brasil em parceria do Ministério da integração no ano passado não está andando, e a velha e sucateada Defesa Civil sofre com heróis anônimos e doações. Isto é lamentável!

O Brasil é imenso e temos questões sazonais que precisam há muitos anos serem resolvidas, e é pura falta de interesse político e vaidade de setores do governo.

Em Santa Catarina, Blumenau, a Defesa Civil tornou-se uma Secretaria de Defesa Civil, o que é muito recomendável e um bom exemplo a ser seguido.

Cadê a Política nacional de Defesa Civil? Cadê o Plano Diretor de Governança de Riscos de Desastres? Cadê o escritório nacional de prevenção e combate a Desastres Naturais?

Está tudo separado e cada um cuida do seu quadrado: Aeronautica, Bombeiros, Forças armadas, Defesa Civil etc. Isto não resolve?

O Ministério da Integração, deveria fazer jus ao nome e começar a entender que Gestão de Riscos se faz integrando disciplinas de riscos muito próximas.

O Rio de Janeiro tem um programa público muito bom, mas, veremos os resultados daqui a alguns anos.

Solução:

1-  Governança de Riscos e Prevenção a Desastres Naturais diretamente ligados a Presidência

2- Criação de Secretarias de Defesa Civil

3- Profissionalização e mais preparo das Defesas Civis

4- Aplicação de tecnologias regionais capazes de monitorar e prevenir desastres.

5- Educação contínua e obrigatória nas escolas sobre prevenção a acidentes, monitoramento de situações de desastres e proteção a vida.

Categorias: Artigos

Brasil abençoado por Deus, bonito por natureza e aqui tudo acontece.

19 dez, 2011 | Nenhum Comentário »

No Brasil da década de 80 o que preocupava os empresários era os juros e a inflação, na década de 90 o que preocupava era o congelamento e a falta de habilidade do governo, de 2000 a 2010 o que preocupou foi aumentar a competitividade internacional e manter o Brasil progredindo e estabilizando-se. Porém, o que mudou na maneira de identificar e responder a crises ou desastres naturais no Brasil?

Infelizmente, pouca coisa mudou. Mesmo iniciativas isoladas de algumas secretarias de segurança, ministério da integração e governos não são suficientes para dizer que o Brasil está preparado. A falta de governança de riscos, principalmente os tecnológicos e naturais no governo brasileiro é assustador.

Percebo que o negócio é remediar e não prevenir. Remediar custa mais caro e os controles anti-fraudes são menos rígidos, portanto, fraudes e corrupção imperam neste cenário. Que deveria ter mais atenção de nossa Presidenta e sua equipe!

O Governo FHC pensou muito e agiu pouco, o governo Lula ficou no mesmo e Dilma? O que está pensando sobre isso?  A quantas décadas vemos regiões serem afetadas por chuvas, deslizamentos (coisa que já é um dos cartões postais de BH, por exemplo), desabrigados, doenças decorrentes disso, problemas de infraestrutura no atendimento as vitimas, mortes sem sentido, hospitais públicos DESPREPARADOS e outros? Deixe-me ver…1, …2 …3 décadas?

Não sabemos o que fazer? Ou não queremos parar para pensar e resolver? Ou não há int$r$ss$ político?

Vejo profissionais, acadêmicos e militares do mais alto nível no governo, independente de quem é o Executivo Chefe a muitos anos, para ser mais sincero desde o governo FHC. Mesmo assim, ainda temos problemas de infraestrutura de telecomunicações, elétrica, transporte público, saúde e principalmente Defesa Civil. Que deveria se chamar “Organização de jovens heróis do Brasil sem recursos”, e não Defesa Civil. Forças públicas de segurança e emergência como Policia e Bombeiros deveriam receber cada um uma medalha no final de cada ano e um bônus salarial, pois, pelo que fazem seria o mínimo.

O verão é uma época linda no Brasil, economicamente ótima e também muito perigosa devido as chuvas ao calor e outras ameaças naturais e físicas. O que ainda não sabemos? Não temos tecnologia para medir? Para identificar? Não temos tecnologia para isso? Inventasse imposto para tudo no Brasil, e pagamos caro, mas, cadê o retorno.

É lamentável ver um país como o BRASIL ainda não ter capacidade centralizada de identificar, mitigar e responder a graves incidentes, crises ou desastres de uma forma estruturada. E ainda não ter muitas leis que exijam planos de continuidade de negócios, planos de gestão de crises e auditoria forte sobre estes pontos.

Vamos apostar: Quantos incidentes graves, desastres, desabamentos, deslizamentos, enchentes, mortes e interrupções de serviços elétricos e de infraestrutura teremos até Fevereiro de 2012? Quem arrisca um palpite? Santa Catarina, Minas Gerais, São Paulo, Nordeste?

Estamos agora leiloando desesperadamente nossos aeroportos que não estarão preparados para a COPA e Olimpíada a tempo. E cada a governança de riscos e de crises? Acham que um aeroporto no Brasil está preparado para responder a um desastre grande? Um problema regional?

É lamentável termos a oportunidade econômica de resolver 70% destes problemas,  dar exemplo e gerar renda com estas práticas e não ter ESTRATÉGIA DE GOVERNANÇA PARA ISTO. Infelizmente teremos que continuar vendo a reprise do que vimos nos últimos 10 anos de novo, até Fevereiro de 2012.

Governo é responsável. Governo não é o único responsável. Governança do Brasil deve ser mais que qualquer governo para os próximos 100 anos.

Que Deus nos abençoe e continue sendo brasileiro!

Categorias: Artigos

11 de Setembro. 10 anos depois.

1 set, 2011 | Nenhum Comentário »

Se passaram 10 anos do fatidico 11/09/2001. Um incidente lamentável, triste e que menospreza todo o valor do ser humano.

Há seis anos atrás, nós da equipe DARYUS perguntamos o que poderíamos fazer para prestar uma homenagem as famílias afetadas e aos heróis. A resposta foi criar um evento e além de homenagear propor uma ampla discussão sobre gestão de riscos corporativos, sociais e econômicos. Nascia o GRM – Global Risk Meeting numa mesa almoçando no aeroporto de congonhas em SP com a Nadia Guimarães e o Fabio Ramos (AXUR).

Manter um evento todo dia 11 de Setembro ao lado do WTC em SP não é fácil. Muitas pessoas achavam que éramos apenas marketeiros querendo aproveitar a data. Porém, somos empreendedores e entusiastas de Riscos e Segurança da Informação querendo abrir os olhos do mundo e principalmente das empresas por mais investimento, preparação, condicionamento, governança e uma gestão de riscos holística na prática.

Hoje, 6 anos depois do primeiro evento, o GRM está maduro, consolidado, aprovado pelo mercado e tivemos uma outra idéia: Levar para o Nordeste. Onde foi escolhida a cidade de Fortaleza.

O 11 de Setembro é o evento mais marcante da história recente dos EUA, e um evento que mudou a forma com que se estuda a gestão de riscos.

Esperamos que um evento que mudou a forma de se pensar em Gestão de Riscos e Segurança possa de alguma forma ajudar pessoas nos seus desafios profissionais a criar empresas mais seguras e preparadas e a entender que a VIDA é o maior ativo de todos.

A Gestão moderna mudou e mudará ainda mais com o advento da tecnologia inserida no dia a dia das pessoas de uma forma cada vez mais pervasiva, porém, ainda não virtualizamos a vida e não há second-life na vida real.

Empresas sejam dos EUA ou do Brasil lutam para sobreviver num mercado global que possui poucos compradores com potencial, crises esconomicas seguidas e muita, muita gente que ganha com o ilicito.

O que mudou para os americanos? Tudo! Nada!  Mas, para as futuras gerações de americanos o valor da VIDA, será sempre maior que o da MORTE. Guerras não serão tão bom negócio. E o terror se vence primeiro dentro de casa.

Categorias: Artigos

Plano de Continuidade de TIC efetivo.

9 ago, 2011 | Nenhum Comentário »

Para termos um plano de continuidade de TIC (tecnologia da Informação e comunicação) efetivo é necessário que façamos todos os passos de um processo de implementação da continuidade com base na norma BS 25.999 (NBR 15.999), porém, é com base na BS 25.777 que realmente temos mais base e conteúdo para tornar efetivas as análises e estratégias de continuidade de TIC.

Muitos gestores de TIC simplesmente recebem informações de uma BIA – Business Impacta Analysis e sequer dão a atenção devida. Note que uma BIA traz informações muito importantes para o TIC, como o RPO, RTO dos processos de negócios. É no processo de realização do BIA que podemos identificar claramente o que o TIC suporta e quais as dependencias tecnológicas significativas.

O BIA é focado em negócio e o correto é ser feito do negócio para TIC. Sendo assim, temos uma informação sólida e consistente do que realmente importa para o negócio, e o quanto é a dependencia de TIC.

Todo ativo de TIC que suporta um processo mais IMPACTANTE, ou seja, os que são apresentados no BIA como sendo os mais críticos do ponto de vista de impacto, torna-se um ativo de TIC crítico, e por isso deve ser analisado.

Como analisar? O primeiro ponto é ter todas as informações deste ativo de TIC. Suas interdependências com outros ativos de TIC. Seus tempos necessários para recuperação. Sua contingência, se existir, e o tempo para ativá-la.

Depois, cruze o tempo de recuperação do ativo de TIC (TRA) com o tempo de RTO dos processos que este suporta. Verifique se o tempo de TRA atende o tempo de RTO. Note que um ativo de TIC suporta muitas vezes vários processos de negócios, portanto sua estratégia deve ser orientada pelo RTO do processo mais crítico que ele suporta.

Com este tipo de análise podemos identificar se um ativo preciso de contingencia, ou de ajuste em sua contingencia atual, e o quanto precisamos investir. Podemos identificar se um ativo precisa de uma contingencia que tenha um tempo satisfatorio para atender a necessidade do negócio, ou seja o tempo de ativação da contingência (TAC).

Exemplo: Um processo X tem RTO=6 horas. O ativo principal que suporta este processo é o XPTO que tem TRA=36 horas, portanto totalmente não conforme com a necessidade. Este ativo de TIC então representa alto risco ao processo do ponto de vista da continuidade. Porém, ele tem uma contingência de TI que é ativada, TAC = 4 horas. OU seja, a contingência está em conformidade com a necessidade de tempo requerida pelo processo de negócio e não há necessidade de investimentos adicionais.

Com base em relatórios de BIA e relatórios de Análise de Sustentabilidade de TIC, um CIO e sua equipe pode ter subsidios muito consistentes para apoiá-lo no desenvolvimento de um plano de investimentos de TIC ou até mesmo um Plano Diretor, priorizando o que realmente é necessário para o negócio e tendo investimentos racionais.

Por isso um Plano de Continuidade alinhado as melhores práticas como BS 25.999 e BS 25.777 representa grande valor a médio prazo para a TI. E pode facilmente subsidiar os investimentos em estratégias efetivas,  alinhando o necessário para que os serviços de TI (ITIL e ISO 20.000) sejam efetivos, tornando Gestão de Riscos e Gestão de Serviços de TI alinhados.

Categorias: Artigos

Disponibilidade X Continuidade

5 ago, 2011 | Nenhum Comentário »

Interessante como muitos confundem disponibilidade com continuidade. Disponibilidade é um aspecto de segurança importante da informação. Continuidade um estado necessário da gestão de riscos para prevenir perdas. O que devemos ter em mente sobre tais palavras?

Disponibilidade – é necessária principalmente para quem tem serviço de missão crítica. É importante para quem tem muita dependência de TI. É mortal para quem tem serviços via WEB como comércio eletrônico e SaaS.

Continuidade – é necessária principalmente para quem tem dependência de TI.  É importante para quem tem serviços via Web. É mortal para quem tem serviço de missão crítica.

Muito próximas, porém com diferenças primordiais, a Disponibilidade e a Continuidade se confundem. Alguns acham que um RAID5 é continuidade, no entanto é disponibilidade. Já ter dois servidores em racks um ao lado do outro, idem. Agora ter um local alternativo de TI com 80% da infraestrutura de TI e capaz de ser acionado imediatamente, isto é continuidade.

Aliás, continuidade é mais que colocar o TI para funcionar novamente em outro local. É alinhar processos, pessoas e tecnologias para que garantam 80% do negócio com 20% da capacidade operacional. É estratégia, planejamento, decisões, cortes, opções, condicionamento TOP DOWN.

Disponibilidade é processo, monitoramento, prevenção e muito, muito controle em TI. De preferencia seguindo o ITIL e ISO 20.000.

Gestão de serviço de TI adequada esta alinhada permanentemente com a Gestão de Riscos Estratégico. Comunicação, processos, indicadores e comitês.

Fazer acontecer para que tenha o valor perceptível necessita de apoio e patrocínio da Alta Administração, empenho e perseverança dos gestores responsáveis por estes processos e muita paciência e adaptabilidade das equipes.

No fim, todos ganham! É valor na certa.

Categorias: Artigos

Próxima »