quinta-feira, 18 de setembro de 2008

Os Cisnes Negros


Provocativo.
Esta é a palavra que vem a mente ao ler o livro “A Lógica do Cisne Negro – O Impacto do Altamente Imprevisível” de Nassim Taleb. Taleb é o decano do departamento de Ciência das Incertezas da Universidade de Massachusetts, o que é no mínimo interessante. Em seu livro Taleb nos alerta que mais importante do que sabemos é o que não sabemos. O desafio está nos livros que nos cercam, mas que ainda não foram lidos.
Em nossa tendência a interpretar e entender o mundo através de modelos e simplificações reside um grande perigo, pois podemos estar justamente escondendo ou ignorando os Cisnes Negros. Um Cisne Negro é um evento inesperado com forte efeito sobre o seu entorno. Este efeito pode ser positivo ou negativo e a arte está em saber identificar onde estão os Cisnes Negros. Nossa educação e cultura nos levam a interpretar os acontecimentos com base em alguns dados pinçados. A seleção destes dados é viciada e nos leva a julgamentos parciais e precipitados o que nos faz ignorar os Cisnes Negros. Não estamos educados para conviver com os “pontos fora da curva” e ao ignorá-los estamos criando nossos animais de estimação.
A leitura de “A Lógica do Cisne Negro” é instigante e provocadora. Você não largará este livro indiferente. Para aqueles que sabem que pouco sabem este livro é um achado, pois se por um lado ele nos mostra que pouco sabemos, ele também nos mostra que nosso saber impede que nossas observações sejam isentas e assim sendo elas já vêm impregnadas de valores arraigados e viciados, e por decorrência sujeitos a erros.
Qual é o caminho, saber ou não saber?

terça-feira, 24 de junho de 2008

Segurança Em Eventos de Grande Porte – Venda de Ingressos


Um evento de grande porte tem início no momento em que o público começa a se mobilizar até a total evacuação do local, incluindo suas imediações.
Por decorrência a segurança deste evento deve acompanhá-lo durante toda a sua duração, a começar pela venda de seus ingressos. No fim de semana de 20 de junho de 2008, quando da venda de ingressos para o jogo final da Taça Libertadores da América, tivemos um exemplo de erro no processo de segurança que é um excelente caso para análise.
Um evento de grande porte implica em grande público e a lei da oferta e procura impera. Se a procura é muita superior a oferta é dever da organização do evento estruturar um processo de venda que permita uma compra de ingressos de forma segura e legal. A forma de tratamento deste risco é simples e passa por duas alternativas: redução da demanda e descentralização dos pontos de venda, ou seja, redução da demanda de pessoas interessadas e aumento da oferta dos pontos de venda.
A redução da demanda tem como principal mecanismo o aumento do preço dos ingressos. A descentralização dos pontos de venda pode ser feita utilizando-se agências bancárias, rede de lojas, internet ou telefone.
O aumento do preço foi até praticado, mas não foi acompanhado pela descentralização necessária. Cinco pontos de venda para um evento de cinqüenta mil pessoas é pouco, ainda mais se considerarmos que alguns deles iriam concentrar um público maior do que os demais, como foi o caso dos pontos de venda do Fluminense e do Maracanã.
Cabe ressaltar que estamos aqui focando apenas a segurança do público na compra dos ingressos. Não estamos entrando mérito da segurança e controle da distribuição dos ingressos e do processo de venda. Muito menos da segurança do público no acesso e nas instalações do evento. Isto é assunto para outros artigos!!
(Foto de F. Vitorino)

sexta-feira, 16 de maio de 2008

A Maturidade da Continuidade de Negócios


Qual a abrangência e profundidade da sua gestão da continuidade de negócios? Qual o nível de maturidade alcançado pela sua Gestão de Continuidade de Negócios?
A continuidade de negócios é uma prática relativamente recente. Os Planos de Continuidade de Negócios ganharam destaque nos anos 90. Antes havia uma concentração de esforços, quando havia, na recuperação de desastres. Neste início de século ganhou forma e força o que se denominou de Gestão da Continuidade de Negócios.
Esta evolução conceitual foi assimilada e colocada em prática pelas organizações?
Quando tratamos de Gestão da Continuidade de Negócios estamos ampliando o escopo do que era tratado num Plano de Continuidade. A Gestão pressupõe uma integração de forças estratégicas e gerenciais. O termo mais explícito deveria ser Gestão da Continuidade da Empresa. No novo enfoque, a palavra negócio deve ser entendida no seu sentido mais amplo, que significa a Empresa.
Em termos práticos a Gestão da Continuidade é traduzida pela integração de um conjunto de práticas corporativas que, incluem o Plano de Continuidade do século passado extrapolando sua abrangência.
Uma gestão de continuidade no estado da arte deverá apresentar atributos que garantam que a continuidade de negócios é uma estratégia corporativa com a devida relevância, assim como apresentar todos os componentes intrínsecos à garantia da continuidade, tais como gestão de segurança e procedimentos de recuperação de desastres.
Nestes últimos dez anos as empresas do mercado brasileiro passaram a dedicar atenção às questões de continuidade de negócio. O grau de comprometimento e qualidade da Gestão da Continuidade apresenta uma grande variação. Com honrosas exceções nossas empresas estão aquém do patamar satisfatório.
Numa analogia com a capacidade de locomoção de um ser humano, podemos simplificadamente generalisar que na média nossas empresas são capazes de “andar”. Nesta forma de graduação, os níveis de aferição utilizados são, do mais simples para o mais complexo:
• Capacidade de Engatinhar,
• Capacidade de Andar,
• Capacidade de Correr
• Corredor habitual
• Corredor de competição
• Corredor de nível olímpico
Um ser humano que goze de boa saúde está no terceiro nível. Mas todos nós sabemos que sem a prática de exercícios perdemos a capacidade de correr e regredimos ao estágio de “capazes de andar”. É uma luta permanente. Sem dedicação e investimentos regredimos. O mesmo vale para as empresas, elas tem apresentar ao menos a capacidade “correr”, mas para isto elas têm que se esforçar e fazer exercícios e investimentos, o que as levará naturalmente para um estágio acima. A falta de exercício / investimento as fará regredir para o estágio da capaz de andar. O equilíbrio é instável e perverso. A falta de dedicação é punida com uma baixa qualificação.
Em termos práticos, para uma empresa ser considerada como capaz de correr, no que diz respeito a Continuidade de negócios, ela deve apresentar um nível satisfatório de pelo menos alguns atributos, dentre os quais destacamos:
• Liderança da alta administração,
• Orçamento para a Gestão de Continuidade,
• Conteúdo da Gestão de Continuidade propriamente dita (Gestão de incidentes, segurança e recuperação de desastres).
É importante notar que os dois primeiros atributos acima apresentados não são intrínsecos das matérias diretamente relacionadas com a segurança, risco ou continuidade de negócios. Eles são atributos de gestão. A existência de um Plano de Continuidade é apenas uma das peças necessárias neste quebra-cabeça, mas não é suficiente. Para que a Gestão da Continuidade de Negócios seja uma realidade e esteja efetivamente presente numa organização, muitas outras peças devem ser estruturadas e encaixadas. E estas outras peças são em alguns casos peças componentes da engrenagem do dia-a-dia da corporação, faltando apenas integrá-las no contexto da Continuidade de Negócios.

terça-feira, 8 de abril de 2008

A Ética na Segurança da Informação

Integridade, disponibilidade e confidencialidade são os três atributos de uma informação que definem a segurança que ela deva possuir. Todos os profissionais que trabalham com informação sambem disto. A grande dificuldade está na definição de quem tem direito a alterar e acessar a informação.
Este direito pode ser atribuído por razões técnicas, políticas, autoritárias, dentre outras razões mais ou menos subjetivas que levam a segurança da informação da esfera técnica para a esfera ética. Uma informação ao ser considerada confidencial implica na liberação de acesso à mesma a um determinado grupo enquanto que restringe seu acesso a outros. A linha divisória de quem tem direito e de quem não tem é tênue e sutil. Basta lembrarmo-nos da censura à imprensa para termos clareza disto.
O mesmo podemos dizer do direito a proceder a alteração da informação. Uma mentira pode se perpetuar caso a mesma não seja corrigida. Quem tem o poder de corrigi-la? O partido nazista utilizava a técnica de dizer uma mesma mentira várias vezes até torná-la verdade. Quem tinha o poder de alterar a informação que era falsa? E após ela se tornar uma verdade?
Os gestores de segurança da informação têm por obrigação entender o poder que as informações possuem e não podem supor que a tecnologia é a solução definitiva.
A tecnologia é burra, a inteligência está nas pessoas.

sexta-feira, 7 de março de 2008

A Terceira Onda da Continuidade de Negócios

As organizações, por motivos diversos, estão cada vez mais preocupadas com a Continuidade de Negócios. Nos anos 90 os maiores interessados eram as áreas provedoras de serviços de Tecnologia de Informação, em especial de empresas do setor financeiro.
Nos primeiros anos do século XXI pudemos constatar uma ampliação saudável desse escopo. A demanda continuava concentrada em empresas da área de serviços, com destaque para os financeiros, como um todo, deixando de ser uma preocupação restrita às áreas de Tecnologia de Informação.
Como decorrência desta ampliação de escopo e da publicação de normas e leis que contemplam a Continuidade de Negócios novas organizações estão sendo demandadas a apresentar Planos de Continuidade de forma a assegurar a continuidade de toda a cadeia produtiva. A continuidade de uma organização deixa de ser um assunto restrito a uma organização passando a ser de interesse de todo o mercado.
A esta nova demanda nos referimos como terceira onda. Ela irá exigir uma maturidade dos profissionais de Continuidade de Negócios por apresentar uma característica diferente. Até então o foco estava concentrado em empresas de serviços onde o principal valor são as informações. Nesse momento estamos constatando que existe uma grande demanda de empresas prestadoras de serviços de infra-estrutura tecnológica.
Um provedor de serviços de internet tem como principal ativo sua infra-estrutura, uma empresa de telecomunicações também, o mesmo podemos dizer de empresas de água e esgoto, transmissão de energia e outras mais. Nessas organizações a utilização de um Plano de Continuidade é uma alternativa simplista e por vezes equivocada. Essas organizações precisam ter uma Gestão da Continuidade de Negócios fortemente baseada numa infra-estrutura robusta capaz de responder a incidentes sem que haja degradação significativa dos seus serviços. Planos de Contingência podem e devem fazer parte dos controles utilizados para garantir a Continuidade de Negócios, mas não podem ser o seu principal pilar. Em outras palavras, a existência de “Planos B” é interessante, mas os “Planos A” precisam ser robustos uma vez que soluções paliativas de suas falhas são obrigatoriamente baseadas em infra-estrutura, o que demanda elevado custo e tempo. Por isso a solução de contingência precisa já estar permanentemente disponível e em condições de uso, inserida no “Plano A”, e não como um “Plano B” alternativo. Desta forma a solução deixa de ser uma alternativa de contingência e passa ser uma resposta de continuidade baseada na robustez do “Plano A”.
A lógica a ser utilizada é mesma empregada para tratar uma falha no fornecimento de energia elétrica. Neste exemplo a solução pode ser a utilização de:
• Dupla fonte de alimentação,
• “No-breaks”,
• Geradores,
• Aluguel de geradores numa eventualidade.
Nesse caso as três primeiras soluções estão totalmente inseridas no “Plano A” enquanto que a última é um típico Plano de Contingência (Plano B). O custo de cada solução é diferente assim como o quanto de garantia cada uma apresenta.
O mesmo raciocínio vale para a Gestão da Continuidade. Qual a abordagem mais adequada para sua Organização?

sexta-feira, 29 de fevereiro de 2008

Saci-pererê e a Segurança da Informação


Nos últimos dias temos sido informados sobre o extravio de ativos de informação da Petrobras. Muito cuidado deve ser dedicado por qualquer um que se atreva a discutir este caso uma vez que as informações que foram divulgadas pela imprensa são incoerentes. Parte por imperícia de quem está reportando o assunto e parte, ou melhor, a maior parte devido ao interesse dos detentores das informações em não esclarecer o assunto.
Neste caso devemos questionar porque haveria interesse em turvar as informações divulgadas. A princípio, de acordo com as boas práticas, apenas informações que não venham agravar o caso devem ser fornecidas pelos proprietários e se isto fosse verdadeiro, não se estaria dizendo aos quatro ventos que nos equipamentos havia informações valiosas. Esta simples divulgação seria uma instrução para os ladrões, considerando-se que poderia ter sido um roubo comum, de que mais valioso do que o hardware eram as informações nele armazenadas. O que se viu foi o contrário, houve um forte interesse em se divulgar que as informações eram preciosas. Isto é no mínimo curioso.
Para tornar o caso mais estranho cabe ressaltar que o incidente diz respeito à Petrobras, que é uma empresa séria, competente, profissional, seguidora de normas e padrões internacionais e das melhores práticas de gestão. Sendo assim, fica uma grande certeza: Não é razoável que haja um processo interno na Petrobras onde informações vitais são mantidas num notebook, que deverá permanecer por mais de dez dias em trânsito debaixo do sol, sob a guarda de terceiros. Definitivamente tal procedimento é irresponsável e amador. Portanto é inconcebível que o mesmo seja uma prática adotada pela Petrobras. Isto é muito curioso.
A partir desta constatação podemos imaginar que estes computadores não tinham tais informações críticas, e o furto, se verdadeiro, foi apenas furto. Mas aqui fica a maior indagação: Houve furto, ou houve uma tramóia para se fazer divulgar que informações críticas haviam sido furtadas?
Acreditar na história oficial está difícil. Prefiro acreditar no Saci-Pererê.

quinta-feira, 21 de fevereiro de 2008

Boas práticas para o uso de notebooks (as de sempre...)

1. Entenda os riscos. Na medida em que as organizações adotam o uso da computação móvel elas estão abrindo suas fronteiras e se expondo a riscos de segurança maiores do que aqueles existentes no ambiente interno exclusivamente.

2. Seja pro-ativo. Se você não conhecer as fraquezas do seu ambiente de informática, outros acharão para você. Se eduque e conheça as técnicas de proteçào e acompanhe sua evolução. A segurança da informação é um alvo móvel que requer uma permanente atenção.

3. Use cabos de proteção nos notebooks. Verdade seja dita, estes cabos podem ser facilmente rompidos, mas ainda assim eles são uma barreira contra furtos.

4. Evite deixar notebooks em locais sem nenhuma vigilância. Deixe os notebooks guardados em armários, presos a cabos de segurança ou sob alguma forma de proteção. Se eles tiverem que ser deixados num veículo providencie para que eles não fiquem visíveis ou que fiquem na mala do carro.

5. Não chame atenção. Notebooks devem carregados em malas que sejam discretas, tais como mochilas. Evite as malas tradicionais de notebooks. Evite utilizar o notebook em praças de alimentação e shoppings. Você poderá ser seguido e roubado.

6. Utilize anti-vírus e firewall. Proteja informações confidenciais com criptografia. Mantenha os softwares de proteção e os softwares de acesso à internet atualizados.

7. Faça cópia dos dados valiosos. A cópia de dados deve ser feita com freqüência para reduzir o risco decorrente de uma perda de dados. Faça sempre uma cópia sempre que for viajar.

8. Crie um Plano de Contingência. Identifique os impactos de uma perda e planeje como suas atividades terão continuidade caso um incidente de maior monta venha a ocorrer.

9. Use software de rastreamento de ativos. Existem alguns softwares de rastreamento de ativos no mercado brasileiro.

10. Use software de proteção de dados. Existem ferramentas para a criptografia ou deleção de dados em equipamentos extraviados ou roubados que venham a ser conectados na internet. Verifique a disponibilidade destas ferramentas e da viabilidade de seu uso.

segunda-feira, 18 de fevereiro de 2008

Análise de Incidentes de Segurança

Consideremos o incidente de segurança amplamente divulgado pela imprensa do extravio de informações importantes, armazenadas num notebook da Petrobras, durante o seu transporte interurbano, realizado pela um terceiro.
Como referência para esta análise iremos utilizar o TRIPOD que preconiza que incidentes de segurança são devidos na sua essência à existência de pelo menos um dos dez fatores básicos de risco.
Fatores Básicos de Risco (BRF – Basic Risk Factors):
• Design
• Hardware
• Manutenção
• Conservação
• Condições de erro
• Procedimentos
• Treinamento
• Comunicação
• Metas incompatíveis
• Organização
No caso em questão, com as informações apresentadas podemos concluir que é certo que o BRF “Procedimentos” contribuiu para a ocorrência do incidente. Outros dois, “Treinamento” e “Comunicação” podem ter contribuído, mas por ora não dispomos de dados que permitam tal conclusão.
Assim podemos considerar que procedimentos inadequados contribuíram diretamente para a ocorrência do evento e dentre eles destacamos que:
• O procedimento de guarda de informações importantes num computador de uso pessoal é inseguro.
• O transporte interurbano de computadores com informações relevantes é inseguro.
• O transporte por terceiros de informações importantes é inseguro.
A utilização de controles tais como senhas, criptografia, cadeados, são algumas formas de se mitigar o evento, mas pouco contribuirão para evitar que o incidente ocorra. Por outro lado se os três pontos, relativos ao BRF - Procedimentos forem tratados e eliminados a ocorrência de um incidente de segurança conforme acima descrito dificilmente irá ocorrer.
É necessário contudo observar que esta análise está feita tendo como base apenas os dados do enunciado acima. Como já foi observado, outros fatores básicos podem ter contribuído, tais como inobservância dos procedimentos de segurança (BRF-Treinamento e BRF-Organização), incompetência técnica (BRF-Treinamento e BRF-Processo), falha no treinamento de funcionários (BRF-Treinamento e BRF-Processo), falha na contratação de funcionários (BRF-Processo), falha na contratação e supervisão de terceiros (BRF-Treinamento e BRF-Processo).

segunda-feira, 11 de fevereiro de 2008

Vamos abrir um Botequim!!!!

Existe uma abordagem da análise de acidentes que tem como base o controle do que é controlável. O principal autor desta linha é o holandês Jop Groeneweg autor do Livro “Controlling the controllable. The management of safety”. Nesta mesma linha existe uma abordagem chamada “Tripod” que identifica um conjunto de “Fatores Básicos de Risco”. Segundo o Tripod a probabilidade da ocorrência de acidentes pode ser fortemente reduzida caso os BRFs (Basic Risk Factors = Fatores Básicos de Risco) sejam reduzidos. Em outras palavras, para termos segurança devemos controlar o que é controlável, fazer o é possível ser feito tratando dos BRFs, que ao todo são onze.
Neste fim de semana observei um caso público onde os conceitos do Tripod foram ignorados, criando situações de risco, que poderiam estar sob controle, e que serve para ilustrarmos esta abordagem da Gestão de Risco.
O Shopping Center da Gávea, no dia 09 de fevereiro estava aberto para o público com uma parte significativa (mais de 50%) de sua circulação interna obstruída. As escadas rolantes entre o andar térreo e o primeiro piso e entre este e o segundo piso estavam inoperantes e bloqueadas. Dentre os três elevadores, um estava inoperante e as saídas estavam sinalizadas por cartazes, do tamanho de um papel A4, afixados nas paredes, sem iluminação de emergência.
Nestas condições a circulação entre um andar e outro era limitada e deficiente o que é inaceitável para um Shopping Center com quatro salas de cinema, outras tantas de teatro e mais uma dezena de bares e restaurantes.
A operação de um centro comercial tem que feita com conforto e acima de tudo com um nível de risco que permita que o mesmo seja evacuado com rapidez e segurança numa eventual emergência. Quando a manutenção do Shopping aberto para negócios é mais importante do que a segurança dos seus usuários temos configurado neste conflito o fator básico de risco (BRF) denominado “Metas Incompatíveis”. E, relembrando o Tripod, a segurança é atingida quando eliminamos ou reduzimos os BRFs. Considerando apenas este BRF, a segurança para os usuários seriam aumentada caso a meta incompatível com a segurança fosse eliminada. Ou seja, a abertura do Shopping não poderia ser uma meta que sobrepusesse à meta de segurança.
Controlar o controlável é possível caso os fatores básicos de risco sejam eliminados, caso contrário, a gestão dos riscos será sempre um trabalho pontual de eficácia limitada.
Uma falha clássica na gestão da segurança é o tratamento dos sintomas do risco ao invés da eliminação da sua causa e, quando trabalhamos nas causas corremos o risco de abrir nosso “botequim” sem que o mesmo esteja nas condições mais adequadas (veja o artigo sobre ALARP neste Blog).

quarta-feira, 9 de janeiro de 2008

Reveillon em Copacabana

A festa é bonita, não há dúvida, mas as condições são de risco.
Sob a ótica da gestão de risco, mais especificamente da gestão de multidões (crowd management), a festa de Copacabana tem pontos falhos que merecem ser corrigidos e que servem de exemplo para qualquer evento público de grande porte.
Para sermos objetivos vamos nos concentrar num ponto específico: o acesso e a evacuação do público.
Em Copacabana o um grande ponto falho está na obstrução das vias de acesso. Carros são estacionados em locais proibidos, dificultando o trânsito de outros veículos e dos pedestres, e uma série de obstáculos, mesas, cadeiras, quiosques, jardineiras, são colocados nas calçadas obstruindo a passagem. Acrescente-se o atrito entre pedestres e veículos que ocorre nos cruzamentos das ruas transversais com a Nossa Senhora de Copacabana, em especial no fim da queima de fogos. Estes cruzamentos ficam sobrecarregados e tem que ser administrados com rigor. O controle destes cruzamentos é fundamental para que o trânsito de pedestres e veículos flua com maior velocidade. Sem este controle, e com os carros estacionados obstruindo a passagem, estes cruzamentos viram pontos de estrangulamento e tem reflexos em engarrafamentos que atingem não apenas o bairro de Copacabana, mas também os bairros de Ipanema, Leme, Botafogo e Urca.
Para agravar caos temos festa realizada no Posto 9, em Ipanema, que está dentro do campo de impacto dos transtornos causados pela festa de Copacabana. A festa de Ipanema dificulta ainda mais o acesso a Copacabana, assim como prejudica a evacuação. Esta festa deveria ser transferida pelo menos para o Posto 10 e no seu entorno deve ser também implantado rigoroso esquema de controle de tráfego de forma a minimizar o impacto desta sobre o trânsito.
A facilidade de acesso e evacuação é uma questão da maior importância quando se trata de administrar uma multidão. Todo e qualquer evento tem que ter suas rotas de acesso dimensionadas de uma forma tal que os gargalos sejam minimizados e os pontos de atrito sejam eliminados. Caso isto não ocorra pontos de risco estarão sendo criados.
Em Copacabana as vias de acesso não podem ser ampliadas especificamente para este evento, mas elas podem ser desimpedidas através de efetivas ações preventivas que retirem todos os obstáculos e administre a ocupação das ruas e calçadas, ações de monitoração que acompanhem o fluxo de pessoas e ações reativas que removam obstáculos, incluindo veículos e controlem os usuários.

segunda-feira, 7 de janeiro de 2008

ALARP

O termo ALARP é pouco conhecido no Brasil, mas o seu conhecimento é de extrema utilidade quando o assunto é gestão de risco.
ALARP é a combinação das inicias de As Low As Reasonably Practicable (tão baixo quanto possível) e ele deve ser entendido como uma diretriz na adoção de controles de redução de risco.
Um risco elevado não pode de nenhuma forma ser admitido por uma organização. Já um risco médio pode ser aceito caso não haja condições práticas de reduzi-lo. Ou seja, um risco deve ser reduzido até que se esgotem as condições razoáveis disponíveis de forma que o ganho a ser obtido com sua redução adicional não justifique o investimento no controle em questão.
Não existe um patamar de risco que deva ser considerado a priori como sendo aceitável. Um risco deve ser reduzido sempre que tal redução seja factível e razoável, mesmo que este risco já seja baixo. Riscos medianos cuja redução não seja factível devem ser considerados como sendo inerentes ao negócio em questão e devem ser permanentemente monitorados de forma a que os mesmos não venham a aumentar. Isto é ALARP.
Mas nunca é demais lembrar que com o tempo os riscos mudam de patamar, por alteração no meio-ambiente interno ou externo, e por isto sua avaliação deve ser periódica e freqüente.