Já é avisado de maneira informal desde o segundo semestre de 2011 que a BS 25999 está com os dias contados. A norma desenvolvida pela British Standard Institute, tradicional em predesenvolver as bases das normas internacionais ISO, chegou ao seu ponto máximo, mesmo com uma aceitação ainda baixa.

A transição de uma norma regional para uma mundial como aconteceu com a  ISO 27001 em 2005, que substituiu a norma BS 7799 -2, é normal.

A principal vantagem de se tornar uma ISO é a aceitação mundial ainda mais forte e o respaldo.

Quais são as principais mudanças trazidas pela ISO 22301 em relação à BS 25999-2?

Com base na versão preliminar publicada em fevereiro de 2011 no site BSi (Draft Review).

O título da ISO 22301 será ISO 22301 Segurança social – Sistemas de gestão de continuidade de negócios – Requisitos. Embora “Segurança social” possa soar um pouco estranho em relação à continuidade de negócios, eis a sua definição de acordo com a ISO: “… normalização no domínio da segurança social, com a finalidade de aumentar os recursos de gestão de crises e continuidade de negócios, ou seja, por meio do aprimoramento da interoperabilidade técnica, humana, organizacional e funcional, bem como da conscientização situacional entre todas as partes interessadas.” Ou seja, continuidade é muito mais do que TI, como menciono a muito tempo no meu blog e site. As questões de proteção a marcas, respeito a sociedade, acionistas e questões ambientais são fundamentais para a Gestão de Continuidade de Negócios. Bom, que a ISO também entende dessa forma.

Alguns detalhes:

A base conceitual é a mesma e muita coisa como Política de Continuidade, Análises de Riscos e outros são considerados Business Continuity Options.

O BIA recebe atenção especial e será muito reforçado e enfatizado em várias partes para que sua precisão seja ainda maior. Muitas empresas ainda subestimam esta fase ou decidem de forma muito subjetiva, o que representa uma possível falha para toda a GCN.

O conteúdo de gestão da BS 25999-2 passam para a nova norma, assim como acontece na ISO 9001, ISO 14001 e ISO 27001. Isto será apresentado como complementos.

O modelo PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Verificar-Agir) é confuso e gera dúvidas, espero que na última versão isto seja corrigido, pois, acho que complicará a vida dos gestores de continuidade de negócios.

A ISO 22301, enfatizará a definição dos objetivos estratégicos, desempenho e métricas. Portanto, na minha opinião reforça a idéia de que a Gestão de Continuidade de Negócios é um Domínio de Gestão de Riscos Estratégicos. Ela define claramente o que é esperado em termos de gestão e resume essas expectativas em uma única seção. (similar a COBIT e outras referencias de apoio a Governança Corporativa e de TI).

A ISO 22301 vai exigir/recomendar um planejamento e preparação muito mais cuidadosos dos recursos necessários para garantir a continuidade dos negócios. Ou seja, a certificação será muito mais rígida.

Conclusão:

O que era uma boa referencia conceitual influenciada desde 2005 por DRI, BCI e BSI traduzindo uma expectativa de mais de 10 anos de profissionais de continuidade de negócios de todo o mundo através da norma BS 25.999-1 e BS 25.999-2, ficará ainda melhor. Creio que a norma ISO 22.301 reflete parte do momento de amadurecimento do mercado mundial em relação ao tema GESTAO DE RISCO ESTRATÉGICO e GRC. Precisa-se ter mais normas internacionais complementando este pacote. Temos a ISO 38500 de Governança de TIC, a ISO 27001 de Gestão de Segurança da Informação, a ISO 14001 Gestão Ambiental, ISO 26001 de Responsabilidade Social Corporativa, ISO 31.000 de Gestão de Riscos e agora a ISO 22.301 para Gestão de Continuidade de Negócios. Todas são complementares e congruentes. Pode-se usá-las em separado ou em sinergia para otimização de custos.

Fique atento também a toda a família e:

• ISO/TR 22312:2011
  Societal security — Technological capabilities
• ISO 22320:2011
  Societal security — Emergency management — Requirements for incident response
• ISO/PAS 22399:2007
  Societal security – Guideline for incident preparedness and operational continuity management

]]> http://www.daddario.com.br/la-vem-a-iso-22301-substituindo-a-bs-25999/feed/ 0 http://www.daddario.com.br/grc-integral-a-empresa-de-2025/ http://www.daddario.com.br/grc-integral-a-empresa-de-2025/#comments Tue, 03 Apr 2012 16:05:52 +0000 admin http://www.daddario.com.br/?p=392 A bola da vez é GRC, Segurança da Informação e Continuidade de Negócios. Empresas de Tecnologia se esfolam para vender o que o mercado quer comprar, e elas geralmente não sabem vender. Caixas, caixas…vamos vender caixas!!!. Estamos correndo contra o tempo, e prá que? Por que este pânico generalizado? As auditorias acordaram agora? O que aconteceu? Saímos da hibernação?

Bom, vamos colocar em pratos limpos alguns pontos e principalmente evitar “enganos” recorrentes dos executivos e/ou empresários:

1- NÃO MAPEAR E MODELAR OS PROCESSOS DA EMPRESA. Não fazer isso, é um erro grave!
Para que isso? Porque durante anos formamos ótimos compradores e péssimos gestores em TI por exemplo. Cursos como o de Analista de Sistema que  deveria ser a evolução natural dos antigos O&M (Organizações e Métodos) foram transformados em Programadores.

Primeiro ponto, isso não é TI. Isso é gestão. Se não sabe quais são e como são os processos da empresa, quer controlar o que? Calcular o risco do que? Monitorar o que? Balanced Scoredcard do que?

Estamos vivendo uma época de grande valor para o Brasil, portanto, para não perder a crista da onda, como muitos executivos e empresários vêem este momento, comece detalhando os processos de sua empresa, classifique-os, analise os riscos e garanta qualidade e segurança para eles. Isso refletirá positivamente para clientes, acionistas e em lucros.

2- GRC – GOVERNANÇA, RISCOS E CONFORMIDADE. O que é isso afinal?
Mais que um software de gestão de riscos metido a ERP (Enterprise Resource Planning), o conceito de Governança, Riscos e Conformidade, significa “TER REALMENTE O CONTROLE DE SUA EMPRESA E SER TRANSPARENTE NA GESTÃO”.

Primeiro, precisa entender o que é a Governança e como ela fará parte natural da gestão da empresa. Governar é olhar para a frente. É pensar em metas a longo prazo e ter foco. Para isto, é preciso COMPROMETIMENTO da Alta Administração para VIABILIZAR RECURSOS para que a Governança seja efetiva. Comece dando exemplo! Uma equipe responsável, com senioridade e experiência no negócio é imprescindível. Um bom exemplo de Governança: Jack Welch (GE), Henry Ford (Ford Co.), Carlos Gohsn (Nissan-Renault), Jorge Gerdau (Gerdau).

Depois, vamos entender o que é a Gestão de Riscos e como ela contribui. Parece óbvio, mas, muita empresa não sabe realmente usar este recurso de gestão espetacular. Gerir riscos começa com a identificação destes, classificação, contabilização e por fim o tratamento. Tratar riscos significa MUDANÇA. É diferente de Feeling! Feeling é uma mistura de sorte, percepção e premonição que alguns executivos tem para algumas coisas somente, para as outras, é a técnica e a metodologia que conta. Leiam Prof. Vicente Falconi no livro “Verdadeiro Poder”. Mudar a forma de ver alguns processos. Acrescentar controles que não engessem e que minimizem perdas. Pode ser uma porta, uma biometria, uma lista de verificação, um critério ou regra para mudança entre outras. Muita coisa está ficando na intenção, ou só no papel, e ai pára. Perde-se tempo e dinheiro, e não se MUDA nada. Uma atitude é muito mais efetiva do que mil palavras na gestão dos riscos. Não se faz gestão de riscos em um dia, um mês ou apenas um ano. É parte de um sistema de gestão contínuo. (Ver. ISO 31000)

Você já fez uma análise de impactos no negócio? É a famosa BIA (Business Impact Analysis). Você já pediu uma análise de vulnerabilidades de TI? Ou já fez uma contratação de análise de riscos em fornecedores? Será que um terceiro contrata mal de obra infantil? Será que está com uma boa saúde financeira? Ou ainda, será que está guardando seu backup da forma que lhe vendeu? Ou ainda, será que seus funcionários estão copiando o que não deve dos locais de rede onde tem acesso? Quais as implicações civis ou criminais de determinados cenários que poderiam se concretizar na empresa?

E ai chegamos na Conformidade/Compliance. Tem empresa que está totalmente perdida. Estão colocando a área de Compliance para ser um publicador de normas na intranet. Ou ainda, colocando assuntos que não entendem na mão de gente despreparada, como por exemplo, uma empresa de tecnologia bancária que colocou a área de compliance para tocar Plano de Continuidade de Negócios, Mapeamento de Processos e Controles Internos, porém, com tres pessoas sem experiência e capacitação necessária. Tá brincando né! Isso é que é ter fé! Ou é um belo enganation para seus funcionários, clientes e acionistas.

Conformidade/Controles Internos/Compliance, talvez hoje seja uma das áreas mais importantes e parte essencial para que exista o GRC na empresa. Não está no final por acaso, é com o monitoramento e controle rígido e cíclico dos controles implementados que manteremos os níveis de riscos dentro do aceitável.

3- DEFINA OU REDEFINA ALGUNS PROCESSOS. É melhor se adaptar!
Vamos direto ao ponto. Estabeleça uma VICE-PRESIDENCIA ou DIRETORIA DE GRC na empresa. Isso vai encurtar o caminho. O que eles devem fazer? Manter isto tudo em funcionamento. Por que uma VP ou Diretoria? Para se ter poder e capacidade operacional. O que precisa estar embaixo dela? Gestores para: Continuidade de Negócios, Segurança da Informação, Riscos Operacionais, Riscos de Mercado, Segurança-Saúde e Meio Ambiente, Responsabilidade Social Corporativa e Leis e Regulamentos (tudo isso holisticamente. Visão global/ Top-Down).

Todos são assuntos CROSS, que precisam ser implementados aos poucos em todos os processos da empresa. Estes irão MUDAR A CULTURA ORGANIZACIONAL para uma conduta de Risco Mínimo, portanto maximizando a prevenção a perdas.

Segurança e confiança, estão muito próximas. Não conheço segurança sem confiança ou confiança sem segurança. Andam juntas e motivam juntas.

4- QUANDO O MERCADO COBRAR EU FAÇO. É melhor acordar!
Se os governos até hoje ainda não resolveram a questão das drogas, você acha mesmo que eles irão resolver rapidamente a falta de controles e minimizar a especulação nas bolsas de valores e mercado financeiro? E com o advento da Internet? Geração Y? Vai esperar que o Governo te socorre? Ele pode ser um ótimo cliente desorganizado, mas, não consegue colocar controles prevenindo perdas nem para eles?

Ou você quer, ou não quer. isto é mais sincero!

Mudanças radicais assustam qualquer executivo ou empresário. Principalmente se ele estiver na zona de conforto. Porém, lembra daquela historia “Mate a vaquinha!” ? É por ai.

Estamos com praticamente 90% das empresas dependendo de Tecnologia da Informação e principalmente Internet. Temos 70% das transações bancárias on line. Mais de 50% das pessoas compram por cartão de crédito e muitas compras são feitas via internet. E você ainda não pensou em ter um Security Office?

Existem pessoas trabalhando nas redes sociais. Profissionais especializando-se em marketing de rede social, internet, nuvem. Há lei para controlar tudo isso? Quais as punições?

Já há lei para um bêbado que mata mãe e filha saindo de um shopping na calçada? Ops! Esqueci que temos a LEI SECA. Funciona?

5- O FILHO NÃO É MEU MESMO. Então que se exploda  (para ser politicamente correto!)

Uma mudança é necessária. Práticas de GRC precisam ser implementadas neste momento nas empresas. Comprar tecnologia sem investimento em capacitação dos recursos humanos não é o caminho. E capacitação não significa treinar as pessoas para operar o sistema. Capacitação precisa existir continuamente e ser medida. Tem empresa que não dá oportunidade de absorver o conhecimento coletado na mente de seus funcionários em cursos ou pós-graduações.

E pra que correr? Podemos esperar. Esperar até que tenhamos outra oportunidade tão brilhante e ocasional como as que estamos vivendo neste momento no Brasil.

A empresa do futuro próximo, 2025, é a empresa que conseguir unir o mundo real e o virtual (Internet). Que consiga passam confiança através de cotroles de GRC, e que consiga se adaptar rapidamente aos novos tempos.

Tudo começa e termina na Gestão, ou na falta dela.

Uma equação sempre difícil de lidar nas organizações é a falta de tempo, dinheiro e pessoal que alguns gestores enfrentam. Elas tornam todo o sistema de gestão moroso, desgastante e consequentemente falho. Obviamente engrenagens lentas oferecem maior risco, perdas e causam prejuízos. Será que está acontecendo isso na sua empresa neste momento?

A Governança corporativa tenta ao máximo minimizar isso, e a governança de riscos complementa-a identificando em domínios específicos[1] qual o risco corporativo existente e como mantê-los em níveis satisfatórios para a organização. Risco sempre existe e existirá, isso faz parte dos negócios e parte do mercado.

Especificamente no domínio de Continuidade de Negócios, temos a importante missão de entender os processos da empresa, identificar suas vulnerabilidades, seus impactos, o quanto é dependente de pessoas ou de tecnologias e também quais suas interdependências ou terceirizações.

Além disso, precisamos entender as tecnologias, informações e outros ativos que suportam os processos de negócios, seus detalhes, riscos e tempos para recuperação.

Cruzando tudo isso temos uma Análise de Impactos no Negócio e uma Análise de Sustentabilidade de Ativos que serão ferramentas importantes para justificar investimentos em equipes, controles e capacidades que permitam correr riscos operacionais menores e estar preparado para situações adversas (crises ou desastres).

Nosso foco nesse artigo é a BIA – Business Impact Analysis (Análise de Impactos no Negócio), que pode ser considerado o CORAÇÃO da Gestão de Continuidade de Negócios (PDCA), ou até mesmo da gestão empresarial.

Três erros comuns ao tentar fazer uma BIA:

1^o. Nunca fizemos uma BIA antes. Agora enviaremos questionários que baixamos da Internet (padrões) e enviaremos por e-mail para Diretores e/ou Gestores para que respondam.

-   Este erro é clássico e demonstra falta de maturidade no processo ou na equipe que está conduzindo o processo. Risco para mim é uma coisa, para você é outra e para seu gestor é outra totalmente diferente. As pessoas tem percepções e experiências diferentes sobre riscos durante a vida, e portanto, as respostas serão muito diferentes. Sem falar dos questionários padronizados que existem. Sempre há uma necessidade de personalização ou ajuste, nunca se esqueça disso!

2^o. Uso um software que não entendo como ele faz o cálculo do resultado da BIA.

-   Principalmente se for a primeira BIA na sua empresa, esqueça um software! Vá para o entendimento cara a cara dos processos. Conheça-os. Questione. Identifique as informações, valide-as e peça aprovação das informações que foram fornecidas.

3^o. Não aprovar os resultados com a Alta Administração.

-   Ops! Não aprovar significa que seu trabalho não serviu para nada. Precisa formalmente apresentar a metodologia usada e os resultados da classificação dos processos. Isso poderá colocar tudo a perder nas próximas fases do projeto de Continuidade de Negócios. Se o BOARD não conhece e reconhece o BIA, para que servirá para justificar investimentos no que é critico?

10 Passos para uma BIA bem feita:

1. Defina um escopo bem objetivo. – Algo relevante e importante para o negócio. Escopos diferentes disso são descredibilizados e já não servem para as auditorias;
2. Crie um Comitê Executivo (Alta Administração) para apoiar e aprovar. – Importante para garantir a validade e importância do BIA;
3. Defina o que é Alto, Médio e Baixo para impactos financeiros (servirá como uma métrica). – Importante para alinhar o que o negócio considera importante e aquilo que os gestores consideram importante;
4. Defina o que é mais importante para a empresa. Perdas financeiras, de Imagem, Legais, Sociais ou Ambientais. – Cada empresa tem um foco e impactos mais sensíveis a outros. Este peso poderá ser usado no calculo para o BIA;
5. Defina uma entrevista padrão que servirá para ser aplicada em todos os processos;
   1. Realize as entrevistas com todos os gestores e/ou grupos dos processos;
   2. Valide as informações;
   3. Identifique os tempos importantes para o negócio: RTO, RPO e MTPD de cada processo;
   4. Identifique os serviços de TIC que são utilizados no processo;
   5. Identifique e contabilize os impactos.
6. Consolide os resultados e classifique os processos em ordem decrescente. – Esta análise reforça os resultados do BIA e diminui as fragilidades;
7. Redija o documento executivo explicando todo a metodologia utilizada. – Algo que qualquer executivo entenda independente da área;
8. Faça uma apresentação executiva dos resultados. – Ora de prestar contas. Enfatize os mais impactantes e ouça as criticas e sugestões da Alta Administração;
9. Peca aprovação da Alta Administração. – Garante o apoio e reconhecimento da metodologia, bem como reforça as atenções das áreas fins;

10.  Publique o relatório final à Alta Administração e Gerencia da organização.

Uma BIA tem suma importância na justificativa do Plano de Continuidade. Seus resultados serão os balizadores para as demais estratégias de processos, TIC e pessoas. É muito importante que um processo de BIA seja simples e direto.

Perguntas cruciais são:

a) questionar os processos para identificar quais são os cenários factíveis de interrupção do mesmo, e quando acontecem (RTO)? (sempre considere o pior cenário);

b) quais os impactos que decorrerão destes cenários?;

c) qual a última posição de dados que precisaria no caso de continuidade, último backup (RPO)?.

Em média o tempo de cada entrevista será de 2 horas.

Uma BIA deve ser revisada anualmente incluindo novamente passar pela Alta Administração, apos a revisão para ser aprovada.

[1] São domínios de riscos estratégicos: Continuidade de Negócios, Governança Corporativa e de TI, Segurança da Informação, Responsabilidade Social Corporativa, Gestão de Riscos, Segurança-Saúde e Meio Ambiente e Leis e Regulamentos.

Empresa confirma pane em todos os aeroportos e emissão manual de bilhetes em Congonhas (SP), Recife e Galeão (RJ), falha provoca atrasos vôos.

Uma falha no sistema de check-in da TAM provoca transtornos aos passageiros que viajam na manhã desta sexta-feira (2). A companhia confirmou a pane e diz que isso causa filas nos aeroportos em que opera, pois bilhetes e etiquetas têm de ser feitos manualmente.

O problema foi confirmado pela Infraero e, por volta das 8h, ainda afetava passageiros nos aeroportos de Congonhas, na Zona Sul de São Paulo, Galeão (RJ), e em Recipe (PE). Também houve registro de falha nos aeroportos Santos Dumont (RJ),  Viracopos, em Campinas (SP) e de Salvador (BA).

No Aeroporto de Congonhas, a falha permanecia até as 8h e causava longas filas pelo saguão, pois os bilhetes são produzidos manualmente.

O mesmo ocorre em Recife onde, segundo a Infraero, o programa de operações da TAM está fora do ar. Alguns voos estão partindo com atrasos mas, até as 8h, não havia filas.

Já no Santos Dumont (RJ), o setor de controle de voos informou que houve um problema no início das operações do check-in da TAM, mas que não afetou as partidas. Por volta das 7h30, o sistema já estava normalizado.

No Galeão (RJ), a Infraero confirmou que a falha foi constatada e a emissão de bilhetes também está sendo feita manualmente. Não foram registradas filas no aeroporto até as 8h30.

Em Porto Alegre (RS), três dos seis voos que partiram com atraso até as 9h eram da TAM. A Infraero divulgou, porém, que não havia filhas no balcão da companhia. O voo 3050, que tinha como destino Congonhas (SP) e cujo horário para decolagem era as 5h52, partiu com 30 minutos de atraso.  Já o TAN 3554, que seguia para Belém (PA), era para ter partido as 7h28, mas só saiu às 8h07, segundo a Infraero.

Em nota, a TAM diz que há um problema na conexão dos computadores com o sistema de check-in e que a impressão de cartões de embarque e a etiquetagem de bagagens está sendo feita manualmente “em parte dos aeroportos”.

Veja a íntegra da nota da TAM

Filas no aeroporto de Congonhas, em SP, nesta manhã (Foto: Nelson Antoine/Fotoarena/AE)

“A TAM informa que, devido a um problema ocorrido nesta manhã no link de conexão da SITA (empresa de tecnologia que presta serviços) com o sistema de check-in da companhia, a impressão dos cartões de embarque e das etiquetas das bagagens no momento estão sendo feitas manualmente. O preenchimento manual está causando filas nas posições de atendimento em parte dos aeroportos. A TAM está prestando toda a assistência aos clientes e lamenta os inconvenientes causados pela situação

Atrasos nos aeroportos
Balanço divulgado pela Infraero às 8h desta sexta aponta que, dos 577 voos nacionais programados até o horário, 33 (5,7%) sofreram atrasos de mais de 30 minutos e outros 21 (3,6%) estavam atrasdos no momento. Houve 27 partidas canceladas – 4,7% do total previsto.

Em Congonhas (SP), das 32 decolagens, 4 (12,5%) sofreram atrasos e outras 3 estavam atrasadas às 8h, diz a Infraero. Duas foram canceladas.

Fonte: G1, em São Paulo

Em artigo anterior já demonstrei minha preocupação e o despreparo do governo em relação a isso. Será que a Presidenta Dilma vai mudar esta história?

Bom, Minas Gerais já virou piada. São sempre os mesmos impactos ocasionados por chuvas nesta época. Será que as autoridades sofrem de inércia ou será despreparo? Não sei, mas, o governo federal e o de Minas correm como tartarugas mancas.

Uma força nacional foi criada, porém, isso não quer dizer nada se não forem bem preparados e articulados.

A Defesa Civil ainda é um braço dos bombeiros e acho que isto precisa mudar urgente. O cartão de repasse de verba criado pelo Banco do Brasil em parceria do Ministério da integração no ano passado não está andando, e a velha e sucateada Defesa Civil sofre com heróis anônimos e doações. Isto é lamentável!

O Brasil é imenso e temos questões sazonais que precisam há muitos anos serem resolvidas, e é pura falta de interesse político e vaidade de setores do governo.

Em Santa Catarina, Blumenau, a Defesa Civil tornou-se uma Secretaria de Defesa Civil, o que é muito recomendável e um bom exemplo a ser seguido.

Cadê a Política nacional de Defesa Civil? Cadê o Plano Diretor de Governança de Riscos de Desastres? Cadê o escritório nacional de prevenção e combate a Desastres Naturais?

Está tudo separado e cada um cuida do seu quadrado: Aeronautica, Bombeiros, Forças armadas, Defesa Civil etc. Isto não resolve?

O Ministério da Integração, deveria fazer jus ao nome e começar a entender que Gestão de Riscos se faz integrando disciplinas de riscos muito próximas.

O Rio de Janeiro tem um programa público muito bom, mas, veremos os resultados daqui a alguns anos.

Solução:

1-  Governança de Riscos e Prevenção a Desastres Naturais diretamente ligados a Presidência

2- Criação de Secretarias de Defesa Civil

3- Profissionalização e mais preparo das Defesas Civis

4- Aplicação de tecnologias regionais capazes de monitorar e prevenir desastres.

5- Educação contínua e obrigatória nas escolas sobre prevenção a acidentes, monitoramento de situações de desastres e proteção a vida.

Infelizmente, pouca coisa mudou. Mesmo iniciativas isoladas de algumas secretarias de segurança, ministério da integração e governos não são suficientes para dizer que o Brasil está preparado. A falta de governança de riscos, principalmente os tecnológicos e naturais no governo brasileiro é assustador.

Percebo que o negócio é remediar e não prevenir. Remediar custa mais caro e os controles anti-fraudes são menos rígidos, portanto, fraudes e corrupção imperam neste cenário. Que deveria ter mais atenção de nossa Presidenta e sua equipe!

O Governo FHC pensou muito e agiu pouco, o governo Lula ficou no mesmo e Dilma? O que está pensando sobre isso?  A quantas décadas vemos regiões serem afetadas por chuvas, deslizamentos (coisa que já é um dos cartões postais de BH, por exemplo), desabrigados, doenças decorrentes disso, problemas de infraestrutura no atendimento as vitimas, mortes sem sentido, hospitais públicos DESPREPARADOS e outros? Deixe-me ver…1, …2 …3 décadas?

Não sabemos o que fazer? Ou não queremos parar para pensar e resolver? Ou não há int$r$ss$ político?

Vejo profissionais, acadêmicos e militares do mais alto nível no governo, independente de quem é o Executivo Chefe a muitos anos, para ser mais sincero desde o governo FHC. Mesmo assim, ainda temos problemas de infraestrutura de telecomunicações, elétrica, transporte público, saúde e principalmente Defesa Civil. Que deveria se chamar “Organização de jovens heróis do Brasil sem recursos”, e não Defesa Civil. Forças públicas de segurança e emergência como Policia e Bombeiros deveriam receber cada um uma medalha no final de cada ano e um bônus salarial, pois, pelo que fazem seria o mínimo.

O verão é uma época linda no Brasil, economicamente ótima e também muito perigosa devido as chuvas ao calor e outras ameaças naturais e físicas. O que ainda não sabemos? Não temos tecnologia para medir? Para identificar? Não temos tecnologia para isso? Inventasse imposto para tudo no Brasil, e pagamos caro, mas, cadê o retorno.

É lamentável ver um país como o BRASIL ainda não ter capacidade centralizada de identificar, mitigar e responder a graves incidentes, crises ou desastres de uma forma estruturada. E ainda não ter muitas leis que exijam planos de continuidade de negócios, planos de gestão de crises e auditoria forte sobre estes pontos.

Vamos apostar: Quantos incidentes graves, desastres, desabamentos, deslizamentos, enchentes, mortes e interrupções de serviços elétricos e de infraestrutura teremos até Fevereiro de 2012? Quem arrisca um palpite? Santa Catarina, Minas Gerais, São Paulo, Nordeste?

Estamos agora leiloando desesperadamente nossos aeroportos que não estarão preparados para a COPA e Olimpíada a tempo. E cada a governança de riscos e de crises? Acham que um aeroporto no Brasil está preparado para responder a um desastre grande? Um problema regional?

É lamentável termos a oportunidade econômica de resolver 70% destes problemas,  dar exemplo e gerar renda com estas práticas e não ter ESTRATÉGIA DE GOVERNANÇA PARA ISTO. Infelizmente teremos que continuar vendo a reprise do que vimos nos últimos 10 anos de novo, até Fevereiro de 2012.

Governo é responsável. Governo não é o único responsável. Governança do Brasil deve ser mais que qualquer governo para os próximos 100 anos.

Que Deus nos abençoe e continue sendo brasileiro!

Há seis anos atrás, nós da equipe DARYUS perguntamos o que poderíamos fazer para prestar uma homenagem as famílias afetadas e aos heróis. A resposta foi criar um evento e além de homenagear propor uma ampla discussão sobre gestão de riscos corporativos, sociais e econômicos. Nascia o GRM – Global Risk Meeting numa mesa almoçando no aeroporto de congonhas em SP com a Nadia Guimarães e o Fabio Ramos (AXUR).

Manter um evento todo dia 11 de Setembro ao lado do WTC em SP não é fácil. Muitas pessoas achavam que éramos apenas marketeiros querendo aproveitar a data. Porém, somos empreendedores e entusiastas de Riscos e Segurança da Informação querendo abrir os olhos do mundo e principalmente das empresas por mais investimento, preparação, condicionamento, governança e uma gestão de riscos holística na prática.

Hoje, 6 anos depois do primeiro evento, o GRM está maduro, consolidado, aprovado pelo mercado e tivemos uma outra idéia: Levar para o Nordeste. Onde foi escolhida a cidade de Fortaleza.

O 11 de Setembro é o evento mais marcante da história recente dos EUA, e um evento que mudou a forma com que se estuda a gestão de riscos.

Esperamos que um evento que mudou a forma de se pensar em Gestão de Riscos e Segurança possa de alguma forma ajudar pessoas nos seus desafios profissionais a criar empresas mais seguras e preparadas e a entender que a VIDA é o maior ativo de todos.

A Gestão moderna mudou e mudará ainda mais com o advento da tecnologia inserida no dia a dia das pessoas de uma forma cada vez mais pervasiva, porém, ainda não virtualizamos a vida e não há second-life na vida real.

Empresas sejam dos EUA ou do Brasil lutam para sobreviver num mercado global que possui poucos compradores com potencial, crises esconomicas seguidas e muita, muita gente que ganha com o ilicito.

O que mudou para os americanos? Tudo! Nada!  Mas, para as futuras gerações de americanos o valor da VIDA, será sempre maior que o da MORTE. Guerras não serão tão bom negócio. E o terror se vence primeiro dentro de casa.

Muitos gestores de TIC simplesmente recebem informações de uma BIA – Business Impacta Analysis e sequer dão a atenção devida. Note que uma BIA traz informações muito importantes para o TIC, como o RPO, RTO dos processos de negócios. É no processo de realização do BIA que podemos identificar claramente o que o TIC suporta e quais as dependencias tecnológicas significativas.

O BIA é focado em negócio e o correto é ser feito do negócio para TIC. Sendo assim, temos uma informação sólida e consistente do que realmente importa para o negócio, e o quanto é a dependencia de TIC.

Todo ativo de TIC que suporta um processo mais IMPACTANTE, ou seja, os que são apresentados no BIA como sendo os mais críticos do ponto de vista de impacto, torna-se um ativo de TIC crítico, e por isso deve ser analisado.

Como analisar? O primeiro ponto é ter todas as informações deste ativo de TIC. Suas interdependências com outros ativos de TIC. Seus tempos necessários para recuperação. Sua contingência, se existir, e o tempo para ativá-la.

Depois, cruze o tempo de recuperação do ativo de TIC (TRA) com o tempo de RTO dos processos que este suporta. Verifique se o tempo de TRA atende o tempo de RTO. Note que um ativo de TIC suporta muitas vezes vários processos de negócios, portanto sua estratégia deve ser orientada pelo RTO do processo mais crítico que ele suporta.

Com este tipo de análise podemos identificar se um ativo preciso de contingencia, ou de ajuste em sua contingencia atual, e o quanto precisamos investir. Podemos identificar se um ativo precisa de uma contingencia que tenha um tempo satisfatorio para atender a necessidade do negócio, ou seja o tempo de ativação da contingência (TAC).

Exemplo: Um processo X tem RTO=6 horas. O ativo principal que suporta este processo é o XPTO que tem TRA=36 horas, portanto totalmente não conforme com a necessidade. Este ativo de TIC então representa alto risco ao processo do ponto de vista da continuidade. Porém, ele tem uma contingência de TI que é ativada, TAC = 4 horas. OU seja, a contingência está em conformidade com a necessidade de tempo requerida pelo processo de negócio e não há necessidade de investimentos adicionais.

Com base em relatórios de BIA e relatórios de Análise de Sustentabilidade de TIC, um CIO e sua equipe pode ter subsidios muito consistentes para apoiá-lo no desenvolvimento de um plano de investimentos de TIC ou até mesmo um Plano Diretor, priorizando o que realmente é necessário para o negócio e tendo investimentos racionais.

Por isso um Plano de Continuidade alinhado as melhores práticas como BS 25.999 e BS 25.777 representa grande valor a médio prazo para a TI. E pode facilmente subsidiar os investimentos em estratégias efetivas,  alinhando o necessário para que os serviços de TI (ITIL e ISO 20.000) sejam efetivos, tornando Gestão de Riscos e Gestão de Serviços de TI alinhados.

Disponibilidade – é necessária principalmente para quem tem serviço de missão crítica. É importante para quem tem muita dependência de TI. É mortal para quem tem serviços via WEB como comércio eletrônico e SaaS.

Continuidade – é necessária principalmente para quem tem dependência de TI.  É importante para quem tem serviços via Web. É mortal para quem tem serviço de missão crítica.

Muito próximas, porém com diferenças primordiais, a Disponibilidade e a Continuidade se confundem. Alguns acham que um RAID5 é continuidade, no entanto é disponibilidade. Já ter dois servidores em racks um ao lado do outro, idem. Agora ter um local alternativo de TI com 80% da infraestrutura de TI e capaz de ser acionado imediatamente, isto é continuidade.

Aliás, continuidade é mais que colocar o TI para funcionar novamente em outro local. É alinhar processos, pessoas e tecnologias para que garantam 80% do negócio com 20% da capacidade operacional. É estratégia, planejamento, decisões, cortes, opções, condicionamento TOP DOWN.

Disponibilidade é processo, monitoramento, prevenção e muito, muito controle em TI. De preferencia seguindo o ITIL e ISO 20.000.

Gestão de serviço de TI adequada esta alinhada permanentemente com a Gestão de Riscos Estratégico. Comunicação, processos, indicadores e comitês.

Fazer acontecer para que tenha o valor perceptível necessita de apoio e patrocínio da Alta Administração, empenho e perseverança dos gestores responsáveis por estes processos e muita paciência e adaptabilidade das equipes.

No fim, todos ganham! É valor na certa.

Lembro-me do meu primeiro XT, do primeiro kit multimídia (comprado na FENASOFT na Bienal de SP) e do primeiro HD de 40MB (que custou meu salário de férias). Legal era trazer para casa isto no ônibus!

Naquela época, sonhávamos acordados querendo que tudo fosse como no filme Guerra nas Estrelas. Depois caiamos na real, programando em BASIC num Apple 8 bits sem HD. Onde o jogo com mais recursos gráficos era o Karateka e o Tetris. Era uma época que quando falávamos em fazer um colégio técnico, os pais criticavam e mostravam-se desapontados, pois achavam que não queríamos ir à faculdade e não teríamos sucesso. Meus pais sempre pensaram o contrário, e devo muito a eles.

De lá pra cá, vejo grande parte dos sonhos realizados e muita coisa melhor. Hoje, interagimos com a tecnologia de uma forma singular e muito particular. E ela se tornou parte de nós literalmente. Parte de nossas famílias. O que me preocupa é que o Brasil também cresceu e evoluiu em vários aspectos sócio-econômicos, mas deixou de lado a “educação sócio tecnológica”.

Aprender a usar os editores de texto, planilhas eletrônicas e o mouse passaram a ser uma credencial para se viver nesta nova terra chamada Informática, que atracou ao lado do Brasil nos anos 90. Empresas que exigiam datilografia passaram rapidamente a exigir digitação (e tinha que saber usar o teclado numérico!).

E na educação, qual o verdadeiro impacto positivo e negativo?

A tecnologia potencializa tudo, o que é bom e o que é ruim. A sociedade se transformou e agora é menos social e mais digital. O comportamento passou a ser agressivo e anônimo, dando espaço ao covarde.

A informação tornou-se a fonte de tudo, mesmo muitas vezes não dizendo nada. Ter informação é diferente de ter educação ou conhecimento. A informação só, não é nada, é vazia.

Interessantemente algumas pessoas no 3o. grau e até pós-graduandos tornaram-se analfabetos funcionais. A pressa com que a nova terra impôs à educação, faz com que cérebros e olhos não consigam se sincronizar, e a capacidade de discernimento diminui a cada dia.

Nasce um novo ser. O ser da geração Y. Rebelde por natureza. Discorda de tudo e todos, parece a revolução em pessoa, e parece ter o poder na ponta dos dedos. Dedos que fazem barulho silencioso, mas, mortal.  Este ser navega 3 mundos: O Brasil, A Informática e A Internet.

Na última, o tamanho não importa. O relacionamento é o que importa. Os contatos, os links, os seguidores. A força está na Super DES(Informação). Pessoas, empresas, famílias, escolas, governos…não importam mais! São secundários numa era em que a sociedade não tem mais identidade. Onde o homem quer muito, mas, não pode muito e torna-se marionete das hashtags.

Esta “Educação sócio-tecnológica” hoje nos faz falta e o problema ficará ainda maior. A anarquia nunca esteve tão forte como hoje, pois os anárquicos antigos eram cultos, estudiosos, pensadores e sabiam os limites. Os oponentes tinham respeito mútuo. Hoje temos anárquicos informados somente. Não passam de um eco!

Note que crimes e tragédias continuam acontecendo. Ainda temos corrupção, fraude, roubos, falta de saúde e educação pública efetiva no Brasil. Estamos em 2011 e ainda temos analfabetismo e fome. Isto é surreal!

Sei que não há sociedade perfeita, nem país a prova de erros e falhas, porém com o custo do BRASIL hoje seria possível sanar educação e saúde de forma muito mais acertiva. E vc vê alguém querendo mudar isso? Paramos de pensar por si, e passamos a pensar pelos outros anônimos que são nossos relacionamentos. Tão próximos quanto uma geleira na Antártida. A sociedade ecoa pensamentos vagos e sem alvo. Os governos sabem e deixam as marionetes brincando com seus brinquedos enquanto pessoas morrem todos os dias por falta de tecnologia básica.

Quem são os donos desta terra? O governo, os Y, os anônimos, as minorias ou os brasileiros? Deixamos de lado a capacidade de pensar e de realizar no Brasil. Para sermos um eco, apenas um eco! Somos a bola da vez. Lembre-se: toda bola é para ser chutada!