Em artigo anterior já demonstrei minha preocupação e o despreparo do governo em relação a isso. Será que a Presidenta Dilma vai mudar esta história?

Bom, Minas Gerais já virou piada. São sempre os mesmos impactos ocasionados por chuvas nesta época. Será que as autoridades sofrem de inércia ou será despreparo? Não sei, mas, o governo federal e o de Minas correm como tartarugas mancas.

Uma força nacional foi criada, porém, isso não quer dizer nada se não forem bem preparados e articulados.

A Defesa Civil ainda é um braço dos bombeiros e acho que isto precisa mudar urgente. O cartão de repasse de verba criado pelo Banco do Brasil em parceria do Ministério da integração no ano passado não está andando, e a velha e sucateada Defesa Civil sofre com heróis anônimos e doações. Isto é lamentável!

O Brasil é imenso e temos questões sazonais que precisam há muitos anos serem resolvidas, e é pura falta de interesse político e vaidade de setores do governo.

Em Santa Catarina, Blumenau, a Defesa Civil tornou-se uma Secretaria de Defesa Civil, o que é muito recomendável e um bom exemplo a ser seguido.

Cadê a Política nacional de Defesa Civil? Cadê o Plano Diretor de Governança de Riscos de Desastres? Cadê o escritório nacional de prevenção e combate a Desastres Naturais?

Está tudo separado e cada um cuida do seu quadrado: Aeronautica, Bombeiros, Forças armadas, Defesa Civil etc. Isto não resolve?

O Ministério da Integração, deveria fazer jus ao nome e começar a entender que Gestão de Riscos se faz integrando disciplinas de riscos muito próximas.

O Rio de Janeiro tem um programa público muito bom, mas, veremos os resultados daqui a alguns anos.

Solução:

1-  Governança de Riscos e Prevenção a Desastres Naturais diretamente ligados a Presidência

2- Criação de Secretarias de Defesa Civil

3- Profissionalização e mais preparo das Defesas Civis

4- Aplicação de tecnologias regionais capazes de monitorar e prevenir desastres.

5- Educação contínua e obrigatória nas escolas sobre prevenção a acidentes, monitoramento de situações de desastres e proteção a vida.

Infelizmente, pouca coisa mudou. Mesmo iniciativas isoladas de algumas secretarias de segurança, ministério da integração e governos não são suficientes para dizer que o Brasil está preparado. A falta de governança de riscos, principalmente os tecnológicos e naturais no governo brasileiro é assustador.

Percebo que o negócio é remediar e não prevenir. Remediar custa mais caro e os controles anti-fraudes são menos rígidos, portanto, fraudes e corrupção imperam neste cenário. Que deveria ter mais atenção de nossa Presidenta e sua equipe!

O Governo FHC pensou muito e agiu pouco, o governo Lula ficou no mesmo e Dilma? O que está pensando sobre isso?  A quantas décadas vemos regiões serem afetadas por chuvas, deslizamentos (coisa que já é um dos cartões postais de BH, por exemplo), desabrigados, doenças decorrentes disso, problemas de infraestrutura no atendimento as vitimas, mortes sem sentido, hospitais públicos DESPREPARADOS e outros? Deixe-me ver…1, …2 …3 décadas?

Não sabemos o que fazer? Ou não queremos parar para pensar e resolver? Ou não há int$r$ss$ político?

Vejo profissionais, acadêmicos e militares do mais alto nível no governo, independente de quem é o Executivo Chefe a muitos anos, para ser mais sincero desde o governo FHC. Mesmo assim, ainda temos problemas de infraestrutura de telecomunicações, elétrica, transporte público, saúde e principalmente Defesa Civil. Que deveria se chamar “Organização de jovens heróis do Brasil sem recursos”, e não Defesa Civil. Forças públicas de segurança e emergência como Policia e Bombeiros deveriam receber cada um uma medalha no final de cada ano e um bônus salarial, pois, pelo que fazem seria o mínimo.

O verão é uma época linda no Brasil, economicamente ótima e também muito perigosa devido as chuvas ao calor e outras ameaças naturais e físicas. O que ainda não sabemos? Não temos tecnologia para medir? Para identificar? Não temos tecnologia para isso? Inventasse imposto para tudo no Brasil, e pagamos caro, mas, cadê o retorno.

É lamentável ver um país como o BRASIL ainda não ter capacidade centralizada de identificar, mitigar e responder a graves incidentes, crises ou desastres de uma forma estruturada. E ainda não ter muitas leis que exijam planos de continuidade de negócios, planos de gestão de crises e auditoria forte sobre estes pontos.

Vamos apostar: Quantos incidentes graves, desastres, desabamentos, deslizamentos, enchentes, mortes e interrupções de serviços elétricos e de infraestrutura teremos até Fevereiro de 2012? Quem arrisca um palpite? Santa Catarina, Minas Gerais, São Paulo, Nordeste?

Estamos agora leiloando desesperadamente nossos aeroportos que não estarão preparados para a COPA e Olimpíada a tempo. E cada a governança de riscos e de crises? Acham que um aeroporto no Brasil está preparado para responder a um desastre grande? Um problema regional?

É lamentável termos a oportunidade econômica de resolver 70% destes problemas,  dar exemplo e gerar renda com estas práticas e não ter ESTRATÉGIA DE GOVERNANÇA PARA ISTO. Infelizmente teremos que continuar vendo a reprise do que vimos nos últimos 10 anos de novo, até Fevereiro de 2012.

Governo é responsável. Governo não é o único responsável. Governança do Brasil deve ser mais que qualquer governo para os próximos 100 anos.

Que Deus nos abençoe e continue sendo brasileiro!

Há seis anos atrás, nós da equipe DARYUS perguntamos o que poderíamos fazer para prestar uma homenagem as famílias afetadas e aos heróis. A resposta foi criar um evento e além de homenagear propor uma ampla discussão sobre gestão de riscos corporativos, sociais e econômicos. Nascia o GRM – Global Risk Meeting numa mesa almoçando no aeroporto de congonhas em SP com a Nadia Guimarães e o Fabio Ramos (AXUR).

Manter um evento todo dia 11 de Setembro ao lado do WTC em SP não é fácil. Muitas pessoas achavam que éramos apenas marketeiros querendo aproveitar a data. Porém, somos empreendedores e entusiastas de Riscos e Segurança da Informação querendo abrir os olhos do mundo e principalmente das empresas por mais investimento, preparação, condicionamento, governança e uma gestão de riscos holística na prática.

Hoje, 6 anos depois do primeiro evento, o GRM está maduro, consolidado, aprovado pelo mercado e tivemos uma outra idéia: Levar para o Nordeste. Onde foi escolhida a cidade de Fortaleza.

O 11 de Setembro é o evento mais marcante da história recente dos EUA, e um evento que mudou a forma com que se estuda a gestão de riscos.

Esperamos que um evento que mudou a forma de se pensar em Gestão de Riscos e Segurança possa de alguma forma ajudar pessoas nos seus desafios profissionais a criar empresas mais seguras e preparadas e a entender que a VIDA é o maior ativo de todos.

A Gestão moderna mudou e mudará ainda mais com o advento da tecnologia inserida no dia a dia das pessoas de uma forma cada vez mais pervasiva, porém, ainda não virtualizamos a vida e não há second-life na vida real.

Empresas sejam dos EUA ou do Brasil lutam para sobreviver num mercado global que possui poucos compradores com potencial, crises esconomicas seguidas e muita, muita gente que ganha com o ilicito.

O que mudou para os americanos? Tudo! Nada!  Mas, para as futuras gerações de americanos o valor da VIDA, será sempre maior que o da MORTE. Guerras não serão tão bom negócio. E o terror se vence primeiro dentro de casa.

Muitos gestores de TIC simplesmente recebem informações de uma BIA – Business Impacta Analysis e sequer dão a atenção devida. Note que uma BIA traz informações muito importantes para o TIC, como o RPO, RTO dos processos de negócios. É no processo de realização do BIA que podemos identificar claramente o que o TIC suporta e quais as dependencias tecnológicas significativas.

O BIA é focado em negócio e o correto é ser feito do negócio para TIC. Sendo assim, temos uma informação sólida e consistente do que realmente importa para o negócio, e o quanto é a dependencia de TIC.

Todo ativo de TIC que suporta um processo mais IMPACTANTE, ou seja, os que são apresentados no BIA como sendo os mais críticos do ponto de vista de impacto, torna-se um ativo de TIC crítico, e por isso deve ser analisado.

Como analisar? O primeiro ponto é ter todas as informações deste ativo de TIC. Suas interdependências com outros ativos de TIC. Seus tempos necessários para recuperação. Sua contingência, se existir, e o tempo para ativá-la.

Depois, cruze o tempo de recuperação do ativo de TIC (TRA) com o tempo de RTO dos processos que este suporta. Verifique se o tempo de TRA atende o tempo de RTO. Note que um ativo de TIC suporta muitas vezes vários processos de negócios, portanto sua estratégia deve ser orientada pelo RTO do processo mais crítico que ele suporta.

Com este tipo de análise podemos identificar se um ativo preciso de contingencia, ou de ajuste em sua contingencia atual, e o quanto precisamos investir. Podemos identificar se um ativo precisa de uma contingencia que tenha um tempo satisfatorio para atender a necessidade do negócio, ou seja o tempo de ativação da contingência (TAC).

Exemplo: Um processo X tem RTO=6 horas. O ativo principal que suporta este processo é o XPTO que tem TRA=36 horas, portanto totalmente não conforme com a necessidade. Este ativo de TIC então representa alto risco ao processo do ponto de vista da continuidade. Porém, ele tem uma contingência de TI que é ativada, TAC = 4 horas. OU seja, a contingência está em conformidade com a necessidade de tempo requerida pelo processo de negócio e não há necessidade de investimentos adicionais.

Com base em relatórios de BIA e relatórios de Análise de Sustentabilidade de TIC, um CIO e sua equipe pode ter subsidios muito consistentes para apoiá-lo no desenvolvimento de um plano de investimentos de TIC ou até mesmo um Plano Diretor, priorizando o que realmente é necessário para o negócio e tendo investimentos racionais.

Por isso um Plano de Continuidade alinhado as melhores práticas como BS 25.999 e BS 25.777 representa grande valor a médio prazo para a TI. E pode facilmente subsidiar os investimentos em estratégias efetivas,  alinhando o necessário para que os serviços de TI (ITIL e ISO 20.000) sejam efetivos, tornando Gestão de Riscos e Gestão de Serviços de TI alinhados.

Disponibilidade – é necessária principalmente para quem tem serviço de missão crítica. É importante para quem tem muita dependência de TI. É mortal para quem tem serviços via WEB como comércio eletrônico e SaaS.

Continuidade – é necessária principalmente para quem tem dependência de TI.  É importante para quem tem serviços via Web. É mortal para quem tem serviço de missão crítica.

Muito próximas, porém com diferenças primordiais, a Disponibilidade e a Continuidade se confundem. Alguns acham que um RAID5 é continuidade, no entanto é disponibilidade. Já ter dois servidores em racks um ao lado do outro, idem. Agora ter um local alternativo de TI com 80% da infraestrutura de TI e capaz de ser acionado imediatamente, isto é continuidade.

Aliás, continuidade é mais que colocar o TI para funcionar novamente em outro local. É alinhar processos, pessoas e tecnologias para que garantam 80% do negócio com 20% da capacidade operacional. É estratégia, planejamento, decisões, cortes, opções, condicionamento TOP DOWN.

Disponibilidade é processo, monitoramento, prevenção e muito, muito controle em TI. De preferencia seguindo o ITIL e ISO 20.000.

Gestão de serviço de TI adequada esta alinhada permanentemente com a Gestão de Riscos Estratégico. Comunicação, processos, indicadores e comitês.

Fazer acontecer para que tenha o valor perceptível necessita de apoio e patrocínio da Alta Administração, empenho e perseverança dos gestores responsáveis por estes processos e muita paciência e adaptabilidade das equipes.

No fim, todos ganham! É valor na certa.

Lembro-me do meu primeiro XT, do primeiro kit multimídia (comprado na FENASOFT na Bienal de SP) e do primeiro HD de 40MB (que custou meu salário de férias). Legal era trazer para casa isto no ônibus!

Naquela época, sonhávamos acordados querendo que tudo fosse como no filme Guerra nas Estrelas. Depois caiamos na real, programando em BASIC num Apple 8 bits sem HD. Onde o jogo com mais recursos gráficos era o Karateka e o Tetris. Era uma época que quando falávamos em fazer um colégio técnico, os pais criticavam e mostravam-se desapontados, pois achavam que não queríamos ir à faculdade e não teríamos sucesso. Meus pais sempre pensaram o contrário, e devo muito a eles.

De lá pra cá, vejo grande parte dos sonhos realizados e muita coisa melhor. Hoje, interagimos com a tecnologia de uma forma singular e muito particular. E ela se tornou parte de nós literalmente. Parte de nossas famílias. O que me preocupa é que o Brasil também cresceu e evoluiu em vários aspectos sócio-econômicos, mas deixou de lado a “educação sócio tecnológica”.

Aprender a usar os editores de texto, planilhas eletrônicas e o mouse passaram a ser uma credencial para se viver nesta nova terra chamada Informática, que atracou ao lado do Brasil nos anos 90. Empresas que exigiam datilografia passaram rapidamente a exigir digitação (e tinha que saber usar o teclado numérico!).

E na educação, qual o verdadeiro impacto positivo e negativo?

A tecnologia potencializa tudo, o que é bom e o que é ruim. A sociedade se transformou e agora é menos social e mais digital. O comportamento passou a ser agressivo e anônimo, dando espaço ao covarde.

A informação tornou-se a fonte de tudo, mesmo muitas vezes não dizendo nada. Ter informação é diferente de ter educação ou conhecimento. A informação só, não é nada, é vazia.

Interessantemente algumas pessoas no 3o. grau e até pós-graduandos tornaram-se analfabetos funcionais. A pressa com que a nova terra impôs à educação, faz com que cérebros e olhos não consigam se sincronizar, e a capacidade de discernimento diminui a cada dia.

Nasce um novo ser. O ser da geração Y. Rebelde por natureza. Discorda de tudo e todos, parece a revolução em pessoa, e parece ter o poder na ponta dos dedos. Dedos que fazem barulho silencioso, mas, mortal.  Este ser navega 3 mundos: O Brasil, A Informática e A Internet.

Na última, o tamanho não importa. O relacionamento é o que importa. Os contatos, os links, os seguidores. A força está na Super DES(Informação). Pessoas, empresas, famílias, escolas, governos…não importam mais! São secundários numa era em que a sociedade não tem mais identidade. Onde o homem quer muito, mas, não pode muito e torna-se marionete das hashtags.

Esta “Educação sócio-tecnológica” hoje nos faz falta e o problema ficará ainda maior. A anarquia nunca esteve tão forte como hoje, pois os anárquicos antigos eram cultos, estudiosos, pensadores e sabiam os limites. Os oponentes tinham respeito mútuo. Hoje temos anárquicos informados somente. Não passam de um eco!

Note que crimes e tragédias continuam acontecendo. Ainda temos corrupção, fraude, roubos, falta de saúde e educação pública efetiva no Brasil. Estamos em 2011 e ainda temos analfabetismo e fome. Isto é surreal!

Sei que não há sociedade perfeita, nem país a prova de erros e falhas, porém com o custo do BRASIL hoje seria possível sanar educação e saúde de forma muito mais acertiva. E vc vê alguém querendo mudar isso? Paramos de pensar por si, e passamos a pensar pelos outros anônimos que são nossos relacionamentos. Tão próximos quanto uma geleira na Antártida. A sociedade ecoa pensamentos vagos e sem alvo. Os governos sabem e deixam as marionetes brincando com seus brinquedos enquanto pessoas morrem todos os dias por falta de tecnologia básica.

Quem são os donos desta terra? O governo, os Y, os anônimos, as minorias ou os brasileiros? Deixamos de lado a capacidade de pensar e de realizar no Brasil. Para sermos um eco, apenas um eco! Somos a bola da vez. Lembre-se: toda bola é para ser chutada!

Infelizmente, a edição (que é normal para que possa ser exibido dentro da grade da emissora, ou seja cortes da versão original) prejudica a interpretação do que estava sendo dito e do que eu estava mostrando, e dá a entender que tudo que tenha a extensão .php seria perigoso ou vírus, o que é absurdo e jamais falaria isso. Quem me conhece sabe disso e de minha idoneidade e seriedade profissional.

Sobre a entrevista

A entrevista feita no dia anterior pela manhã e durou cerca de duas horas, foi conduzida pela repórter Natália com muita competência. A matéria abordava a preocupação em alertar as pessoas nos frequentes golpes enviados por e-mails.

Como em qualquer reportagem diversas perguntas foram feitas sobre o tema. A perguntas variaram sobre o que é um hacker, cracker,  alguns tipos de e-mails, fragilidade de alguns sites, sobre SQL injection, redes sociais e sobre a falta de conscientização das pessoas que expõe muito suas vidas pessoais na web. Isto foi ressaltado ao final do JHoje pela âncora, rapidamente. Falei muito sobre os grandes alvos: as crianças e os mais velhos, o que não foi utilizado.

Ao mostrar alguns e-mails falsos, expliquei rapidamente vários detalhes que ajudam as pessoas a identificá-los e classificá-los como FALSOS, ilustrando e enriquecendo a matéria com diversos exemplos simples, uma forma de alertar as pessoas, pois, para um leigo é difícil identificar essas ameaças devido a criatividade dos crackers atualmente. Além de mim, uma outra pessoa foi entrevistada e se disse vítima deste tipo de golpe tendo um prejuízo de cerca de R$ 10 mil.

No momento em que eu explicava sobre os tipos de ameaças mostro um exemplo de um EMAIL FALSO de uma grande empresa de análise de crédito que recebi em meu nome naquele exato momento. Cito características diversas: aponto para o erro no nome, no valor absurdo, no e-mail do remetente falso (geralmente nome de pessoa física ou site que não tem haver com a empresa), no design com falhas e no link, orientando a pessoa a parar o cursor sob o mesmo sem clicar, e olhar a URL. No exemplo mostrado é um link de arquivo .php, que poderia ser .asp, .com, .htm etc). Saliento que aquele link, exclusivamente PARA ESTE TIPO DE E-MAIL FALSO, pode ser uma tentativa de baixar algum tipo de programa malicioso na máquina do usuário (vírus, worms, trojan etc.). Devido aos cortes no final do vídeo fica no ar a questão sobre o .php que aparece na cena.

Em seguida mostro outro e-mail FALSO enviado em nome do Banco Itaú, este com pouca qualidade, que tinha o objetivo de enganar e pegar senha e dados bancários do receptor, com as mesmas características e um link também .php.  Clico no link que leva a uma página falsa do internet banking do banco solicitando dados e senha da conta. Por se tratar de uma reportagem com tempo limitado. Não usaram esta parte da entrevista. Note que: nos exemplos os links eram .php, mas, poderiam ser qualquer outro.

Sou um profissional experiente e professor, inclusive já atuei com software dirigindo equipes e tenho negócios deste tipo até hoje e ótimos amigos desenvolvedores PHP, .net, java etc. Adoto o PHP em praticamente tudo por considerá-lo entre várias qualidades com ótima performance e seguro.

Lamento a má repercussão no mundo PHP, peço desculpas à comunidade e, ressalto que jamais tive a intenção de que o php ou qualquer linguagem séria e de grande aceitação pelo mercado fosse associada a um vírus ou programas maliciosos.

Pelas ótimas características do PHP ele é muito utilizado em todo o mundo e infelizmente os crackers também usam as linguagens bem difundidas para si, infelizmente importunando quem trabalha sério e causando muito prejuízo.

Agradeço aos seguidores e amigos que entenderam e me conhecem de longa data no mercado e tomarei mais cuidado em próximas entrevistas.

Gostaria de expressar o bom profissionalismo que a equipe do Jornal Hoje teve, onde reconhecendo que a interpretação da matéria estava confusa, reeditou o material no mesmo dia, e também se pronunciou e explicou sobre o ocorrido na edição desse sábado do jornal.

Ciclone extratropical Sul-Sudeste

Era o último dia do GRC International e DRI Day América Latina (www.grc-inter.com), evento organizado pela DARYUS aqui em SP, e ficamos o dia todo falando de continuidade de negócios, gestão de riscos e crises, com vários especialistas mundiais e brasileiros, e tive que ouvir a piadinha de um colega ao final do dia: “Legal, são bem realistas, conseguem até ter um ciclone para fechar um evento com este tema.”

Piadas a parte, nós paulistas acostumados a mudanças de clima abruptas geralmente preparados para uma garoa, chuvinha ou friozinho de final de tarde, ficamos surpresos com o que aconteceu no fim do dia 07 de Junho na grande São Paulo. Um ciclone extratropical com chuva e ventos de até 80 km/h causou muitos estragos, trânsito acima do normal, acidentes e falta de energia elétrica em várias regiões. A queda de uma árvore sobre um carro matou o condutor,  o vendaval lançou galhos e placas sobre a rede elétrica, cortando o fornecimento de energia e água em vários bairros, e milhares de moradores ficaram sem luz, no mínimo do dia 7 até o dia 10 de junho, como por exemplo as pessoas da cidade de Sto. André-SP, além de São Caetano-SP, Mauá-SP e Diadema-SP. Ou seja, o ABC sentiu muito este ventinho mais forte!

A AES mobilizou mais de 1.000 eletricistas nas ruas da região e da Capital para tentar restabelecer a luz nos pontos afetados, pois o estrago estava feio e devido ao trânsito o deslocamento ficou lento até os pontos afetados prejudicando ainda mais. Na cidade de SP, trechos de ruas nos bairros de Pinheiros, Butantã, Lapa (Zona Oeste), Vila Mariana, Morumbi e Guarapiranga (Zona Sul), Parque São Domingos e Pirituba (Zona Norte e Noroeste) foram atingidos.

A AES Eletropaulo afirma que vai investir muito em melhorias e proteções, bem como estudar a mudança do cabeamento de energia de aéreo (postes) para subterrâneo, minimizando danos por árvores e ventos. A ANEEL vai aumentar a fiscalização dos serviços prestados após o episódio, que deixou milhares de consumidores sem luz na Grande São Paulo, no interior do Estado e em diversos outros pontos. Criticada até pelo Governador Geraldo Alckmin, que chamou a empresa de “incompetente para a função”, a companhia estuda mudanças e a hipótese de um fonte termelétrica para apoiar na geração, como se isso fosse o suficiente. “Ela (Eletropaulo) tinha 10 anos para agregar 400 megawatts de energia, mas isso venceu em 2007. Nós estamos em 2011 e até agora não agregou nenhum megawatt”, disse o governador ao portal G1.

O Eng. Prof. Reinaldo Lopes, da Engenharia Elétrica da FEI, disse as mídias que “os futuros investimentos da AES Eletropaulo deveriam ser destinados, pelo menos em parte, a cabeamento subterrâneo, pois evitariam a interrupção do abastecimento de energia por causa de tempestades, ventos e queda de árvores. Segundo o professor, “existe uma lei municipal número 14.023/05, que determina que a concessionária enterre a fiação da capital paulista.”, mas que, “Esta lei não vingou. Falta força política e judicial”, acredita.

Gestão de Riscos e Continuidade de Negócios

Estamos em 2011, e desde 1995 sabemos que o mundo mudaria muito, principalmente devido ao BOOM tecnológico e a Internet. Energia, infraestrutura pública, transporte, saúde, saneamento básico (que pra mim é saúde também) e educação são facilmente encontrados em planejamentos da época até os dias atuais. O que falhou tanto? Por que continuamos com os mesmos problemas, e as grandes cidades a beira de um colapso?

Em Gestão de Riscos Estratégicos, fundamentamos que a somatória de capacitação, planejamento, preparação e condicionamento em Continuidade de Negócios, Segurança da Informação, Riscos ambientais e outras disciplinas podem levar facilmente uma organização pública ou privada a estar melhor preparada para lidar com situações como a que passamos no dia 07 de junho.

Não é “balelez” não! É a realidade. Nua e crua. Infelizmente ganhar votos é mais importante que Planejamento e Preparação para os líderes públicos. Gostam de falar em investimentos e fazer pouco. Quem paga? O cidadão. Fazendo uma analogia com o setor privado, muitos empresários também falam muito e fazem pouco. Gostam de valorizar suas empresas para os acionistas e mercado, mas, quando uma crise acontece, são desculpas e mais desculpas. Quem paga? O cliente, o funcionário e os acionistas.

Infelizmente, estamos indo para um cenário de futuro que em torno de 5 a 7 anos teremos contas de água, luz, Word, Excell, serviços na nuvem entre outros. Cada vez mais conectado, o cidadão comum será muito dependente de energia, infraestrutura de telecomunicações, transporte e saúde. Temos dois grandes eventos no país que receberão muitos turistas e investidores, e será a Copa e Olimpíadas das redes sociais, da nuvem e de mais serviços integrados a nova realidade sócio-cultural.

Creio que com a mentalidade política de 1950, equipes públicas dirigidas por políticos e não engenheiros substituindo doutores, mestres e especialistas capacitados e experientes para por em prática planos audaciosos de reforma global de infraestrutura de serviços públicos essenciais (segurança, saúde, energia, saneamento, alimentos, transporte e telecomunicações), ficaremos em crises bem piores do que esta do dia 07/06, sempre que um ventinho ou chuvinha mais forte acontecer em um grande centro urbano.

E olhe o absurdo, ainda ouvi um político dizendo na TV: “A população não ajuda, por isso acontecem os problemas nas grandes cidades.”, Concordo em partes com ele, pois, se votaram nele é por que desejam que ele e outros pensem nisso por eles. E se as regras não são seguidas, é porque não estão claras e sendo monitoradas adequadamente.

Quando há interesse da alta administração, seja pública ou privada, as coisas acontecem e a população as segue, veja os radares e a política anti-tabagismo.

O Absurdo do descaso.

Algumas coisas são curiosas, como por exemplo há quanto tempo falamos da falta de planejamento urbano e ambiental nas zonas urbanas de grande volume no Brasil. 10, 20, 30 anos? Creio que sim. E o que se fez? Nada. Ou o insuficiente. É um jogando a culpa no outro e ponto. O que me assusta, é que estamos todos no mesmo barco!

Há quanto tempo falamos sobre árvores mortas causando problemas em SP? De chuvas detonando a cidade? De problemas com a rede elétrica? Isso tanto faz em SP, RJ e outros grandes centros.

Me questionam se SP, RJ e outros grandes centros estão preparados para situações de crises, desastres e outros frequentemente, e a resposta é NÃO!

Entenda o problema.

Bombeiros, Defesa Civil, Polícia Militar e algumas outras forças públicas merecem todo o nosso respeito, e digo mais, fazem literalmente milagres e possuem 99.9% dos seus homens praticantes de um ideal nacionalista e humano que é de se invejar. Primeiro, por causa dos baixos salários, segundo, pelos investimentos equivocados e muitas vezes errados, terceiro por politizar muitas vezes assuntos meramente técnicos, e mesmo assim fazem a diferença. São heróis! E é por isso que corrigem, até certo ponto, muitos dos erros dos políticos que não estão ligando para nada que apontamos aqui. O problema é que remediamos demais!

Gerenciar riscos é muito mais do que remediar, é estar preparado mesmo! Mapear riscos em uma cidade, como em uma empresa significa estudar mais rapidamente situações de risco, contabilizá-las, tratá-las e principalmente aplicar controles de mitigação antes que aconteçam determinados problemas.

Árvores e vento não podem ser desculpas para falhas de planejamento em gestão de riscos naturais em uma grande cidade. Falta de investimentos, podem atrapalhar, porém, não devem ser o maior obstáculo.

A gestão de continuidade de negócios é uma disciplina que pode auxiliar desde o cidadão, o pequeno empresário ou até mesmo a grande empresa a se preparar para situações adversas como esta, para manter suas funções essenciais. Isto inclui o setor público também.

Regiões que oferecem problemas de energia, poderiam ter incentivo do governo para pagar menos impostos ou impostos zero para compra de geradores ou aquecedores a gás para água de chuveiros, por exemplo.

Colocar cabeamento subterrâneo? Só se forem aprova d’água. Lembram-se das chuvas de março? SP e RJ? Pareciam piscinas, Ops! Quem não sabe disso ainda?

Bom, a iniciativa privada tem o dever de investir para minimizar os impactos, e exigir menos impostos devido a estes investimentos em Gestão de Riscos e Continuidade de Negócios, bem como prêmios de seguros menores. Porém, não exclui empresas de serviços essenciais como as de Telecomunicações e Energia a investirem muito no mesmo assunto e a praticarem mais do que falam. Poderiam investir a metade do valor da multa que receberam da Aneel que estariam muito mais preparadas.

Uma ação conjunta. Um risco menor.

Falamos sempre para as empresas que Riscos, Continuidade e Segurança são  responsabilidade de todos na organização. Esta mesma dica cabe para os serviços públicos essenciais e para a população que precisa exigir com mais fervor que o Governo, Prefeitura e empresas envolvidas atuem conjuntamente no planejamento de Gestão de Riscos Estratégicos e Continuidade de Negócios, minimizando crises e atuando mais organizadamente em situações como estas. Criar uma Secretaria de Defesa Civil também é uma ótima iniciativa!

Note, árvores mantidas pela Prefeitura não podem cair com ventos de 80 km/h em cima de cabeamento de luz e telecomunicações, que não deveriam estar ali.

O pior é que vidas são perdidas, por falta de luz, água e principalmente de atenção sobre Gestão de Riscos Estratégicos.

Ainda me surpreende a confusão de algumas administrações, mesmo depois de tanto se falar no tema  Governança, Riscos e Conformidade. Esta confusão vem criando transtorno ao invés de soluções, e    principalmente custos e burocratização desnecessária.

Primeiramente, vamos alinhar os conceitos para:

Governança: Segundo o IBGC (www.ibgc.org.br),  “Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre  proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de  governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a  finalidade de preservar e otimizar o valor  da organização, facilitando seu acesso ao capital e  contribuindo para a sua longevidade.”

Gestão de Riscos: Segundo a ABNT NBR ISO/IEC 27001:2006, “atividades coordenadas para direcionar e  controlar uma organização no que se refere a riscos. Nota: A gestão de riscos geralmente  inclui a  análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de    riscos.  [ABNT ISO/IEC guia 73:2005]“

Conformidade: Segundo a CNI (Confederação Nacional da Indústria), qualquer atividade com o objetivo de determinar, direta ou indiretamente, que os requisitos aplicáveis são atendidos. Estes requisitos podem estar estabelecidos numa norma ou em outro documento equivalente, como um regulamento técnico ou uma especificação. Assim sendo, avaliar e testar que um produto, serviço, sistema ou pessoal atende aos requisitos de uma norma é um instrumento poderoso para o desenvolvimento empresarial e para a proteção do consumidor. As organizações que adotam a avaliação da conformidade beneficiam-se pelo aumento de sua competitividade.

Tenho visto muitas empresas passando dificuldades em relação a GRC, e principalmente profissionais assumindo processos que jamais serão capazes tocar ou apresentar bons resultados.

Um exemplo:

Lecionando nestas últimas semanas, tive em sala de aula uma Gerente de Compliance, fazendo curso de Gestão de Continuidade de Negócios. Quando a questionei: Por que estava fazendo o curso? Ela respondeu: – Estou fazendo, pois, preciso atualizar e manter o PCN da empresa que trabalho.

Ops! Questionei novamente: – De qual área você é, e quais suas atribuições? Ela respondeu com mais detalhes: – Sou gerente de compliance e sob minha responsabilidade estão o PCN, processos, risco operacional, segurança da informação e política e normas.

Ops2! Então indaguei: – Ué! Por que tudo isso? Ela respondeu: Sei lá, acho que tudo que tem nome diferente ou a Diretoria não entende direito mandam pra minha área. E o pior é que não querem investir nem em capacitação. E a equipe é somente duas pessoas seniores e uma estagiária.

Entenda a problemática:

Trata-se de uma instituição média do setor financeiro. Ela possui muitos regulamentos e leis a seguir, e um amplo campo para fraudes e interrupções de serviços.

Gestão de Riscos, Segurança da Informação e Continuidade de Negócios, são assuntos (domínios) de riscos estratégicos, e o ideal é que sejam mantidos por equipes diferentes. Porém, sabemos que devido a equipes reduzidas e custos, muitas vezes quem assume isto tudo é o CSO – Chief Security Officer ou o CISO – Chief Information and Security Officer. Na falta destes, o mais lógico seria colocar isto sob responsabilidade de um executivo ou estabelecer um cargo de Risk and Security Officer. Deixar nas mãos de TI, sem capacitação e foco, poderia apresentar muitos problemas também.

Governança, Riscos e Conformidade, deveriam ser encarados pelas instituições como 3 grandes fases da gestão, e endereçadas nas 3 camadas da Gestão Corporativa, entenda a seguir:

Governança – trata-se de assunto estratégico, e resumindo é definir para onde se vai, definir as marcas e prestar contas sobre a evolução.

Riscos – trata-se de um conjunto de assuntos/domínios, entre eles segurança e continuidade que identificarão, contabilizarão e tratarão os riscos de forma preventiva e corretiva, definindo controles que precisarão ser monitorados e acompanhados.

Conformidade – trata-se do GRANDE PARCEIRO, que deve ajudar os dois acima a definirem bem seus controles, a traduzir as metas estratégicas em documentos formais das intenções da Alta Administração (políticas e normas) para que sejam introduzidos no dia-a-dia da organização, e como ferramenta verificar se os controles definidos pelos acima estão fazendo a coisa certa, no lugar certo e a CULTURA ORGANIZACIONAL está se adaptando. Ele poderá ajudar muito nas definições das métricas e indicadores.

Note que, se a 1a. FASE de GOVERNANÇA não entende bem as outras duas, provavelmente teremos estes equívocos da gestão, usando um nome menos agressivo. Se a 2a. FASE de RISCOS não entende o NEGÓCIO e SEUS OBJETIVOS ESTRATÉGICOS (definidos pela 1a. FASE) creio que não saberá exatamente o que proteger e por que proteger (estamos falando de proteção de alto nível). Se a 3a. FASE de CONFORMIDADE não entende o que a GOVERNANÇA quer e o que está sendo implementado por RISCOS, e não há um TRIANGULO DE GRC estabelecido em parceria, acho que tudo está comprometido, e talvez sua empresa goste mesmo de PERDER TEMPO E DINHEIRO!

Para aquele empresário do tempo das cavernas que acha que estas áreas só são necessárias por causa das regulamentações existentes e para aguentar os chatos dos auditores, acho que é melhor ir pensando na aposentadoria! Você já é ultrapassado e gosta de gastar dinheiro. Espero que seus sócios e acionistas não saibam destas barbeiragens.

Dicas:

1. Crie uma área de Gestão de Riscos, preferencialmente alinhada à Diretoria Geral.

2. Atribua responsabilidades para a Alta Administração e tenha seu apoio formalizado

3. Crie um Comitê de Gestão de Riscos multidisciplinar (10 pessoas no máximo)

4. Defina profissionais e capacite-os para Governança Corporativa, Riscos e Conformidade. Um Diretor para alinhar com a Alta Administração e traduzir as diretrizes e objetivos estratégicos para os outros dois, que são: Um Gerente de Riscos (que pode ter em sua equipe um Security Officer (em empresas menores, poderá ficar com segurança de TI, segurança da informação e continuidade de negócios. Já nas maiores, recomendo cada assunto ter um profissional cuidando)), e por último o Gerente de Conformidade, que poderá, além de verificar os controles estabelecidos e implantados por Riscos, cuidar e validar as políticas e normas.

5. Existe ainda um 4o. e muito importante parceiro, a área de Processos (mapeamento e modelagem), que é muito importante e deveria ser independente, porém, parceira subsidiando Riscos e Conformidade com uma documentação rica em detalhes de cada processo até o nível das atividades realizadas, e juntos apresentariam ótimos resultados.

Parece o melhor dos mundos? Acredite é o mais fácil e correto caminho.

Amazon Web Services, fornece hospedagem para sites populares, como Reddit, Quora, Hootsuite e serviços semelhantes aos bancos de dados relacionais (RDS) e Elastic Compute (EC2) começou a sofrer paralisação na quinta-feira da semana passada. Na segunda-feira, a Amazon disse que a maioria dos serviços que dependem de sua plataforma de cloud computing estavam de volta ao normal.

A Amazon afirmou que um pequeno número de volumes foram perdidos durante a falha do servidor, e está se comunicando com os clientes sobre a questão. Enquanto isso, no rescaldo do acidente, a Amazon também prometeu uma análise completa sobre o incidente e declarou: “Estamos cavando profundamente as causas desse evento e vão postar um “post mortem detalhada”.

Enquanto Cloud Computing, é conhecido em grande parte, pela sua confiabilidade e custos baixos, alguns analistas perguntam o que o incidente reflete para a viabilidade e o futuro da computação em nuvem em geral. O que acham?

Quando algo não falha muito, ao apresentar falhas estas tendem a ser muito severas e impactantes.

Outros analistas também observam que o incidente mostra que a fé cega não deve ser colocado em Cloud, pois, ainda está no inicio e tem muito relativo a resiliencia e segurança a ser discutido. Cloud tem recentemente uma onda de popularidade, especialmente dentro de agências do governo e empresas médias  que estão trabalhando para implementar a plataforma em suas atividades diárias.

Amazon.com tem um dos mais sofisticados ambientes de computação em nuvem hoje (juntamente com a Microsoft). Isso permite a empresa a reduzir suas necessidades de recursos como e quando eles precisam.

Isto resultou em uma perda de 7,8% no preço da ação da empresa. Cálculos aproximados estimam  51.400 dólares perdidos por minuto, ou cerca de US $ 10 milhões de dólares para cada período de 3 horas.