Na coluna “Programa Furado”, do caderno Rio Show, do O Globo do dia 14 de dezembro de 2007, um leitor se queixa da “desordem para entrar no gramado do Maracanã” no show do The Police no dia 8 de dezembro.
A resposta da organização diz que foram colocadas 15 catracas no acesso ao gramado, com capacidade total de atender 15mil pessoas por hora, e que o problema foi causado pelo público que concentrou sua chegada por volta das 20:00h, "tumultuando a entrada".
A reclamação é procedente e a resposta equivocada. O público chega na hora que ele acha mais conveniente chegar. No processo de gestão da multidão o que pode e deve ser préviamente feito neste caso?
1. Colocar um número de catracas compatível com o fluxo de pessoas esperado, com uma folga de segurança. Este número de catracas necessário deve ser estimado por um estudo de filas a partir de um fluxo esperado de pessoas.
2. Divulgar informações e instruções de forma a induzir o fluxo de pessoas de acordo com o planejado no item anterior.
3. Utilizar eventos preliminares para incentivar a chegada num horário mais cedo e desta forma desconcentrar a chegada.
O que definitivamente não se pode fazer é colocar a culpa no público. Todo evento de grande porte tem que estar preparado para lidar com uma multidão, não havendo espaço para amadorismo.
No que diz respeito a gestão de multidão o controle de acesso é um dos pontos chave da segurança de um evento.
Quando se trata de segurança torça pela melhor hipótese e esteja preparado para o pior cenário.
segunda-feira, 17 de dezembro de 2007
quinta-feira, 13 de dezembro de 2007
A continuidade de negócios e a gestão de riscos
A relação existente entre a gestão da continuidade de negócios e a gestão de riscos é freqüentemente mal compreendida. Equívocos sobre esta relação podem ser encontrados em documentos que deveriam esclarecer e não embaralhar estes conceitos.
A melhor forma de entendermos tais processos de gestão é através de uma abordagem simples e objetiva que deve começar pelo singelo entendimento do que é risco e do que é continuidade de negócios.
O risco de uma ocorrência é traduzido pela combinação da probabilidade e conseqüência deste evento. Tanto pode ser uma conseqüência ruim como pode ser uma conseqüência boa. Efetivamente o que ameaça a continuidade de uma organização é o risco de ocorrência de um evento que tenha uma conseqüência negativa.
A gestão da continuidade de negócios por sua vez procura entender as ameaças existentes para a sobrevivência dos negócios e desenvolver estratégias e planos que fortaleçam a organização de forma a torná-la capaz de superar a eventual concretização destas ameaças. Tais ameaças podem determinar a descontinuidade dos negócios implicam em riscos que devem ser evitados.
Ou seja, a gestão da continuidade de negócios pode ser denominada de “Gestão do Risco de Descontinuidade” de uma organização. Não existe uma subordinação definitiva entre risco e continuidade. A gestão de continuidade de negócios utiliza mecanismos e controles semelhantes aos utilizados pela gestão de risco e vice-versa.
Uma forma de clarificar esta conceituação é considerar que um Plano de Continuidade deve ter como objetivo a resposta a uma paralisação crítica, e desta forma deve ser considerado um controle integrante da Gestão de Risco (de descontinuidade) assim como também deve fazer parte da Gestão da Continuidade.
Por isto é importante destacar a diferença entre a Gestão da Continuidade e um Plano de Continuidade. A “gestão”, conforme já definimos acima, é um processo gerencial abrangente que deve considerar mecanismos reativos assim como mecanismos preventivos e mecanismos de robustez. Um Plano de Continuidade deve ser entendido como um controle reativo integrante do conjunto de mecanismos utilizados na Gestão da Continuidade.
Seja numa gestão de risco ou numa gestão da continuidade, a seleção de quais riscos merece ser atenuados por um Plano de Continuidade deve ser feita através de uma análise de risco. Uma vez decidida tal questão resta estruturar os controles pertinentes, sendo que o PCN – Planos de Continuidade de Negócio pode ser um deles.
A melhor forma de entendermos tais processos de gestão é através de uma abordagem simples e objetiva que deve começar pelo singelo entendimento do que é risco e do que é continuidade de negócios.
O risco de uma ocorrência é traduzido pela combinação da probabilidade e conseqüência deste evento. Tanto pode ser uma conseqüência ruim como pode ser uma conseqüência boa. Efetivamente o que ameaça a continuidade de uma organização é o risco de ocorrência de um evento que tenha uma conseqüência negativa.
A gestão da continuidade de negócios por sua vez procura entender as ameaças existentes para a sobrevivência dos negócios e desenvolver estratégias e planos que fortaleçam a organização de forma a torná-la capaz de superar a eventual concretização destas ameaças. Tais ameaças podem determinar a descontinuidade dos negócios implicam em riscos que devem ser evitados.
Ou seja, a gestão da continuidade de negócios pode ser denominada de “Gestão do Risco de Descontinuidade” de uma organização. Não existe uma subordinação definitiva entre risco e continuidade. A gestão de continuidade de negócios utiliza mecanismos e controles semelhantes aos utilizados pela gestão de risco e vice-versa.
Uma forma de clarificar esta conceituação é considerar que um Plano de Continuidade deve ter como objetivo a resposta a uma paralisação crítica, e desta forma deve ser considerado um controle integrante da Gestão de Risco (de descontinuidade) assim como também deve fazer parte da Gestão da Continuidade.
Por isto é importante destacar a diferença entre a Gestão da Continuidade e um Plano de Continuidade. A “gestão”, conforme já definimos acima, é um processo gerencial abrangente que deve considerar mecanismos reativos assim como mecanismos preventivos e mecanismos de robustez. Um Plano de Continuidade deve ser entendido como um controle reativo integrante do conjunto de mecanismos utilizados na Gestão da Continuidade.
Seja numa gestão de risco ou numa gestão da continuidade, a seleção de quais riscos merece ser atenuados por um Plano de Continuidade deve ser feita através de uma análise de risco. Uma vez decidida tal questão resta estruturar os controles pertinentes, sendo que o PCN – Planos de Continuidade de Negócio pode ser um deles.
terça-feira, 4 de dezembro de 2007
BS 25999-2 Especificação da Gestão da Continuidade de Negócios
Ainda em novembro de 2007 foi publicada a parte 2 da Norma BS 25999, Especificação da Gestão da Continuidade de Negócios, pelo BSI - British Standards (vide http://www.bsi-global.com).
Ainda não tive oportunidade de avaliar esta nova publicação. Assim sendo reproduzo abaixo o texto de divulgação da mesma. Em breve estarei publicando minha avaliação, mas posso adiantar que a parte 1 desta norma é um documento de referência interessante. O mesmo não posso dizer das partes “2” que tem sido publicadas acompanhando as normas de Gestão. Estas segundas partes são dedicadas ao processo de implantação e servem de referência para os processos de certificação, e por isto pecam por ser documentos cartoriais onde a construção de “evidências” da existência dos controles supera o ideal de uma correta aplicação dos mesmos.
"A norma BS 25999-2, recentemente publicada especifica os requerimentos para definição, implementação, monitoração, revisão, simulação, manutenção e aperfeiçoamento do processo de Gestão da Continuidade de Negócios de uma organização dentro do contexto da Gestão dos Riscos corporativos.
Os requerimentos especificados são genéricos e visam ser aplicáveis a todos os tipos de organização, ou partes destas, independentemente do tamanho, tipo e natureza da sua atividade. A abrangência da aplicação destes requerimentos irá depender do ambiente operacional e da complexidade da organização.
Assim o detalhamento e a implementação do processo de Gestão da Continuidade de forma a atender estes requerimentos deverá estar diretamente relacionado com as exigências regulatórias, o mercado, os clientes, o tipo de produto e serviços, o tipo de processos e o tamanho e tipo de estrutura organizacional adotada. O estabelecimento de uma estrutura padrão e uniforme não é o objetivo da norma, e sim auxiliar o projeto de um processo de Gestão de Continuidade de Negócios que atenda a todas as organizações e seus interessados.
A BS 25999-2 pode ser utilizada pelas próprias empresas, por terceiros, incluindo empresas certificadoras, para avaliar a capacidade de uma organização responder às suas necessidades e requisitos de continuidade de negócios, bem como exigências legais e regulatórias."
Ainda não tive oportunidade de avaliar esta nova publicação. Assim sendo reproduzo abaixo o texto de divulgação da mesma. Em breve estarei publicando minha avaliação, mas posso adiantar que a parte 1 desta norma é um documento de referência interessante. O mesmo não posso dizer das partes “2” que tem sido publicadas acompanhando as normas de Gestão. Estas segundas partes são dedicadas ao processo de implantação e servem de referência para os processos de certificação, e por isto pecam por ser documentos cartoriais onde a construção de “evidências” da existência dos controles supera o ideal de uma correta aplicação dos mesmos.
"A norma BS 25999-2, recentemente publicada especifica os requerimentos para definição, implementação, monitoração, revisão, simulação, manutenção e aperfeiçoamento do processo de Gestão da Continuidade de Negócios de uma organização dentro do contexto da Gestão dos Riscos corporativos.
Os requerimentos especificados são genéricos e visam ser aplicáveis a todos os tipos de organização, ou partes destas, independentemente do tamanho, tipo e natureza da sua atividade. A abrangência da aplicação destes requerimentos irá depender do ambiente operacional e da complexidade da organização.
Assim o detalhamento e a implementação do processo de Gestão da Continuidade de forma a atender estes requerimentos deverá estar diretamente relacionado com as exigências regulatórias, o mercado, os clientes, o tipo de produto e serviços, o tipo de processos e o tamanho e tipo de estrutura organizacional adotada. O estabelecimento de uma estrutura padrão e uniforme não é o objetivo da norma, e sim auxiliar o projeto de um processo de Gestão de Continuidade de Negócios que atenda a todas as organizações e seus interessados.
A BS 25999-2 pode ser utilizada pelas próprias empresas, por terceiros, incluindo empresas certificadoras, para avaliar a capacidade de uma organização responder às suas necessidades e requisitos de continuidade de negócios, bem como exigências legais e regulatórias."
quarta-feira, 28 de novembro de 2007
Computer Security Day
Essa eu fui saber hoje, com 19 anos de atraso.....mas nunca é tarde.
O Computer Security Day é um evento anual de abrangência mundial. Ele foi criado em 1988 com a finalidade de ajudar na conscientização da importância das questões relacionadas com segurança. O objetivo é fazer com que as pessoas se lembrem de proteger seus computadores e informações.
A cada ano um tema é selecionado e em 2007 o escolhido foi "Taking action" cuja mensagem é que devemos ser ativos e pró-ativos para que a segurança seja efetiva.
A cada ano um tema é selecionado e em 2007 o escolhido foi "Taking action" cuja mensagem é que devemos ser ativos e pró-ativos para que a segurança seja efetiva.
terça-feira, 27 de novembro de 2007
Norma 25999 X Roteiro de Projeto
Recentemente analisei uma solicitação de proposta para estruturação da Gestão da Continuidade de Negócios de uma empresa de médio - grande porte.
De imediato uma palavra me despertou atenção: Gestão. Aquela era uma solicitação para implantação de um processo de Gestão através de um projeto executado por uma consultoria. Ela não queria o desenvolvimento e detalhamento do Plano de Continuidade, ela queria o processo de Gestão...
E minha atenção continuou atiçada à medida que a solicitação era detalhada. A questão era o quanto ela era detalhada sem que isto significasse coerência na sua concepção.
Ao fim de minha análise e após uma rápida pesquisa concluí que a fonte do problema foi a utilização da Norma BS 25999 como base da estrutura do projeto detalhado na solicitação.
A norma BS 25999 é uma excelente referência para um processo de Gestão de Continuidade de Negócios, mas ela não é um roteiro nem apresenta um guia para sua implantação.
Um processo de gestão compreende mecanismos de planejamento, programação, controle, auditoria, treinamento, conscientização, etc. Este conjunto não deve ser objeto de um único projeto pois cada um possui o seu tempo. Um projeto pressupõe atividades com início e fim determinados. Um processo de gestão é contínuo.
Utilizar a norma como referência para a estruturação de um projeto é válido e útil.
Utilizá-la como um roteiro de projeto é um equívoco.
De imediato uma palavra me despertou atenção: Gestão. Aquela era uma solicitação para implantação de um processo de Gestão através de um projeto executado por uma consultoria. Ela não queria o desenvolvimento e detalhamento do Plano de Continuidade, ela queria o processo de Gestão...
E minha atenção continuou atiçada à medida que a solicitação era detalhada. A questão era o quanto ela era detalhada sem que isto significasse coerência na sua concepção.
Ao fim de minha análise e após uma rápida pesquisa concluí que a fonte do problema foi a utilização da Norma BS 25999 como base da estrutura do projeto detalhado na solicitação.
A norma BS 25999 é uma excelente referência para um processo de Gestão de Continuidade de Negócios, mas ela não é um roteiro nem apresenta um guia para sua implantação.
Um processo de gestão compreende mecanismos de planejamento, programação, controle, auditoria, treinamento, conscientização, etc. Este conjunto não deve ser objeto de um único projeto pois cada um possui o seu tempo. Um projeto pressupõe atividades com início e fim determinados. Um processo de gestão é contínuo.
Utilizar a norma como referência para a estruturação de um projeto é válido e útil.
Utilizá-la como um roteiro de projeto é um equívoco.
segunda-feira, 26 de novembro de 2007
Muito Seguro
Viajo para o exterior com alguma freqüência e não tenho como hábito levar dinheiro em espécie (meus destinos são grandes cidades). Ao chegar ao local de destino procuro um caixa eletrônico e saco dinheiro utilizando o cartão do meu Banco.
Neste mês de novembro de 2007 fui para Buenos Aires e lá descobri que meu Banco havia criado um novo procedimento, dito de segurança. De acordo com este novo controle eu deveria ter comunicado ao Banco que estava indo para o exterior e que lá iria utilizar meu cartão.
Ledo engano. Este processo é um equívoco disfarçado de processo de segurança.
Resumindo, foi criado um processo de segurança, tão seguro que até eu mesmo, o próprio correntista não consegui sacar dinheiro.
Os especialistas de segurança precisam antes de tudo serem especialistas de negócios.
Os bons profissionais não podem permitir que a incompetência seja acobertada por uma pseudo segurança.
Neste mês de novembro de 2007 fui para Buenos Aires e lá descobri que meu Banco havia criado um novo procedimento, dito de segurança. De acordo com este novo controle eu deveria ter comunicado ao Banco que estava indo para o exterior e que lá iria utilizar meu cartão.
Ledo engano. Este processo é um equívoco disfarçado de processo de segurança.
Resumindo, foi criado um processo de segurança, tão seguro que até eu mesmo, o próprio correntista não consegui sacar dinheiro.
Os especialistas de segurança precisam antes de tudo serem especialistas de negócios.
Os bons profissionais não podem permitir que a incompetência seja acobertada por uma pseudo segurança.
A TRAGÉDIA DA FONTE NOVA
Triste domingo, dia de futebol, dia de desrespeito às boas práticas da segurança do grande público.
Este postagem tem alguns dias de atraso. Era para ter sido escrita na quarta-feira, 22 de novembro de 2007. Neste dia me deparei às 07:00h da manhã com uma grande fila em torno do Clube de Regatas do Flamengo. Alguem teve a idéia de trocar entradas para um jogo de futebol com grande demanda de público por latas de um cereal matinal.
Nenhum problema se tal iniciativa tivesse sido planejada considerando as boas práticas da gestão de multidões. Um evento público de grande escala com venda de ingressos deve inicialmente ter seu processo de venda planejado considerando a segurança e conforto do seu público. Uma venda concentrada em poucos pontos é errado. Ao ver aquela fila, pensei de imediato: isso vai dar problema....E deu.
Eu não escrevi sobre este assunto na quarta-feira. Mas fiquei pensando, temos que evoluir na gestão de eventos de grande porte, em especial no que diz respeito a gestão de multidão.
No domingo este assunto voltou às manchetes, infelizmente com notícias mais tristes. Torcedores morreram no Estádio da Fonte Nova. As notícias ainda não são esclarecedoras, mas é certo que precisamos dedicar mais atenção ao conforto e segurança. Os estádios com assentos foi uma grande evolução, mas deve ser rigidamente coibida a permanência de público nas áreas de escape e circulação. Os tercedores e administradores devem observar que a manutenção destas áreas desimpedidas é cruscial para que em qualquer emergência as medidas mitigadoras possam ser utilizadas a contento. Este é apenas um exemplo, vários outros procedimentos devem ser adotados e divulgados para o público.
Segurança é uma questão cultural, não iremos atingir um patamar razoável se medidas educativas e coercitivas não forem adotadas.
E isto é para o bem de todos.
Este postagem tem alguns dias de atraso. Era para ter sido escrita na quarta-feira, 22 de novembro de 2007. Neste dia me deparei às 07:00h da manhã com uma grande fila em torno do Clube de Regatas do Flamengo. Alguem teve a idéia de trocar entradas para um jogo de futebol com grande demanda de público por latas de um cereal matinal.
Nenhum problema se tal iniciativa tivesse sido planejada considerando as boas práticas da gestão de multidões. Um evento público de grande escala com venda de ingressos deve inicialmente ter seu processo de venda planejado considerando a segurança e conforto do seu público. Uma venda concentrada em poucos pontos é errado. Ao ver aquela fila, pensei de imediato: isso vai dar problema....E deu.
Eu não escrevi sobre este assunto na quarta-feira. Mas fiquei pensando, temos que evoluir na gestão de eventos de grande porte, em especial no que diz respeito a gestão de multidão.
No domingo este assunto voltou às manchetes, infelizmente com notícias mais tristes. Torcedores morreram no Estádio da Fonte Nova. As notícias ainda não são esclarecedoras, mas é certo que precisamos dedicar mais atenção ao conforto e segurança. Os estádios com assentos foi uma grande evolução, mas deve ser rigidamente coibida a permanência de público nas áreas de escape e circulação. Os tercedores e administradores devem observar que a manutenção destas áreas desimpedidas é cruscial para que em qualquer emergência as medidas mitigadoras possam ser utilizadas a contento. Este é apenas um exemplo, vários outros procedimentos devem ser adotados e divulgados para o público.
Segurança é uma questão cultural, não iremos atingir um patamar razoável se medidas educativas e coercitivas não forem adotadas.
E isto é para o bem de todos.
ENEM 2007
ENEM 2007
UM MAU EXEMPLO DE SEGURANÇA DA INFORMAÇÃO
A segurança da informação é caracterizada por três atributos clássicos, e de longa data conhecidos: confidencialidade, integridade e disponibilidade. A edição do ENEM de 2007, quando da divulgação dos resultados, conseguiu derrubar estes três pilares de uma só vez. Strike!!!!
Confidencialidade
Foi divulgado (G1 no dia 21/11, as 16:58h) que no dia 21 de novembro hackers conseguiram acesso a bases de dados com os resultados de 2007. A assessoria de imprensa do INEP divulgou que o acesso havia sido feito a uma base de testes. Fica uma dúvida e uma certeza. A certeza é que o acesso indevido foi efetivamente feito. A dúvida é se a base de dados era realmente uma base de testes e sendo de testes, quais dados eram reais e quais eram fictícios?
Integridade
Neste acesso indevido houve alguma perda de integridade? Para os candidatos sempre haverá uma ponta de dúvida.
Disponibilidade
No dia 23 de novembro, data da divulgação das notas, o site do ENEM ficou praticamente indisponível o dia inteiro. Não bastasse isto para acesso sua nota o candidato tinha que informar seu CPF. Mas, o CPF não era uma informação obrigatória para a inscrição de um candidato. Ou seja, quem se inscreveu e não tinha, ou não informou, o CPF não tinha como ter acesso à sua nota.
A Central de Atendimente, disponível por um "0800" divulgado no site do ENEM, informava prontamente que funcionava 24 horas, 7 dias por semana, mas na verdade não funcionava, pois a opção "falar com o atendente" só funciona de segunda a sexta. Ou seja o resultado foi divulgado numa sexta-feira, através de um site que ficou fora do ar, que ao ficar disponível exige uma informação que não era obrigatória, tendo como suporte uma central de atendimento que somente viria a funcionar 48 horas mais tarde.
UM MAU EXEMPLO DE SEGURANÇA DA INFORMAÇÃO
A segurança da informação é caracterizada por três atributos clássicos, e de longa data conhecidos: confidencialidade, integridade e disponibilidade. A edição do ENEM de 2007, quando da divulgação dos resultados, conseguiu derrubar estes três pilares de uma só vez. Strike!!!!
Confidencialidade
Foi divulgado (G1 no dia 21/11, as 16:58h) que no dia 21 de novembro hackers conseguiram acesso a bases de dados com os resultados de 2007. A assessoria de imprensa do INEP divulgou que o acesso havia sido feito a uma base de testes. Fica uma dúvida e uma certeza. A certeza é que o acesso indevido foi efetivamente feito. A dúvida é se a base de dados era realmente uma base de testes e sendo de testes, quais dados eram reais e quais eram fictícios?
Integridade
Neste acesso indevido houve alguma perda de integridade? Para os candidatos sempre haverá uma ponta de dúvida.
Disponibilidade
No dia 23 de novembro, data da divulgação das notas, o site do ENEM ficou praticamente indisponível o dia inteiro. Não bastasse isto para acesso sua nota o candidato tinha que informar seu CPF. Mas, o CPF não era uma informação obrigatória para a inscrição de um candidato. Ou seja, quem se inscreveu e não tinha, ou não informou, o CPF não tinha como ter acesso à sua nota.
A Central de Atendimente, disponível por um "0800" divulgado no site do ENEM, informava prontamente que funcionava 24 horas, 7 dias por semana, mas na verdade não funcionava, pois a opção "falar com o atendente" só funciona de segunda a sexta. Ou seja o resultado foi divulgado numa sexta-feira, através de um site que ficou fora do ar, que ao ficar disponível exige uma informação que não era obrigatória, tendo como suporte uma central de atendimento que somente viria a funcionar 48 horas mais tarde.
sábado, 17 de novembro de 2007
Bow Tie
O método BowTie é uma poderosa ferramenta para a análise e gestão de riscos complexos. Este método foi adaptado pela Shell nos anos 90 e hoje é largamente utilizado por empresas da área de energia e transporte dentre outras. O esquema acima sintetisa os principais elementos deste método.
Mensagem de Início
Este blog tem como finalidade ser um ponto de encontro e reflexão sobre assuntos relacionados com a segurança de negócios.
Assinar:
Postagens (Atom)