Reveillon em Copacabana

A festa é bonita, não há dúvida, mas as condições são de risco.
Sob a ótica da gestão de risco, mais especificamente da gestão de multidões (crowd management), a festa de Copacabana tem pontos falhos que merecem ser corrigidos e que servem de exemplo para qualquer evento público de grande porte.
Para sermos objetivos vamos nos concentrar num ponto específico: o acesso e a evacuação do público.
Em Copacabana o um grande ponto falho está na obstrução das vias de acesso. Carros são estacionados em locais proibidos, dificultando o trânsito de outros veículos e dos pedestres, e uma série de obstáculos, mesas, cadeiras, quiosques, jardineiras, são colocados nas calçadas obstruindo a passagem. Acrescente-se o atrito entre pedestres e veículos que ocorre nos cruzamentos das ruas transversais com a Nossa Senhora de Copacabana, em especial no fim da queima de fogos. Estes cruzamentos ficam sobrecarregados e tem que ser administrados com rigor. O controle destes cruzamentos é fundamental para que o trânsito de pedestres e veículos flua com maior velocidade. Sem este controle, e com os carros estacionados obstruindo a passagem, estes cruzamentos viram pontos de estrangulamento e tem reflexos em engarrafamentos que atingem não apenas o bairro de Copacabana, mas também os bairros de Ipanema, Leme, Botafogo e Urca.
Para agravar caos temos festa realizada no Posto 9, em Ipanema, que está dentro do campo de impacto dos transtornos causados pela festa de Copacabana. A festa de Ipanema dificulta ainda mais o acesso a Copacabana, assim como prejudica a evacuação. Esta festa deveria ser transferida pelo menos para o Posto 10 e no seu entorno deve ser também implantado rigoroso esquema de controle de tráfego de forma a minimizar o impacto desta sobre o trânsito.
A facilidade de acesso e evacuação é uma questão da maior importância quando se trata de administrar uma multidão. Todo e qualquer evento tem que ter suas rotas de acesso dimensionadas de uma forma tal que os gargalos sejam minimizados e os pontos de atrito sejam eliminados. Caso isto não ocorra pontos de risco estarão sendo criados.
Em Copacabana as vias de acesso não podem ser ampliadas especificamente para este evento, mas elas podem ser desimpedidas através de efetivas ações preventivas que retirem todos os obstáculos e administre a ocupação das ruas e calçadas, ações de monitoração que acompanhem o fluxo de pessoas e ações reativas que removam obstáculos, incluindo veículos e controlem os usuários.

ALARP

O termo ALARP é pouco conhecido no Brasil, mas o seu conhecimento é de extrema utilidade quando o assunto é gestão de risco.
ALARP é a combinação das inicias de As Low As Reasonably Practicable (tão baixo quanto possível) e ele deve ser entendido como uma diretriz na adoção de controles de redução de risco.
Um risco elevado não pode de nenhuma forma ser admitido por uma organização. Já um risco médio pode ser aceito caso não haja condições práticas de reduzi-lo. Ou seja, um risco deve ser reduzido até que se esgotem as condições razoáveis disponíveis de forma que o ganho a ser obtido com sua redução adicional não justifique o investimento no controle em questão.
Não existe um patamar de risco que deva ser considerado a priori como sendo aceitável. Um risco deve ser reduzido sempre que tal redução seja factível e razoável, mesmo que este risco já seja baixo. Riscos medianos cuja redução não seja factível devem ser considerados como sendo inerentes ao negócio em questão e devem ser permanentemente monitorados de forma a que os mesmos não venham a aumentar. Isto é ALARP.
Mas nunca é demais lembrar que com o tempo os riscos mudam de patamar, por alteração no meio-ambiente interno ou externo, e por isto sua avaliação deve ser periódica e freqüente.

Gestão de Multidão

Na coluna “Programa Furado”, do caderno Rio Show, do O Globo do dia 14 de dezembro de 2007, um leitor se queixa da “desordem para entrar no gramado do Maracanã” no show do The Police no dia 8 de dezembro.
A resposta da organização diz que foram colocadas 15 catracas no acesso ao gramado, com capacidade total de atender 15mil pessoas por hora, e que o problema foi causado pelo público que concentrou sua chegada por volta das 20:00h, "tumultuando a entrada".
A reclamação é procedente e a resposta equivocada. O público chega na hora que ele acha mais conveniente chegar. No processo de gestão da multidão o que pode e deve ser préviamente feito neste caso?
1. Colocar um número de catracas compatível com o fluxo de pessoas esperado, com uma folga de segurança. Este número de catracas necessário deve ser estimado por um estudo de filas a partir de um fluxo esperado de pessoas.
2. Divulgar informações e instruções de forma a induzir o fluxo de pessoas de acordo com o planejado no item anterior.
3. Utilizar eventos preliminares para incentivar a chegada num horário mais cedo e desta forma desconcentrar a chegada.
O que definitivamente não se pode fazer é colocar a culpa no público. Todo evento de grande porte tem que estar preparado para lidar com uma multidão, não havendo espaço para amadorismo.
No que diz respeito a gestão de multidão o controle de acesso é um dos pontos chave da segurança de um evento.
Quando se trata de segurança torça pela melhor hipótese e esteja preparado para o pior cenário.

A continuidade de negócios e a gestão de riscos

A relação existente entre a gestão da continuidade de negócios e a gestão de riscos é freqüentemente mal compreendida. Equívocos sobre esta relação podem ser encontrados em documentos que deveriam esclarecer e não embaralhar estes conceitos.
A melhor forma de entendermos tais processos de gestão é através de uma abordagem simples e objetiva que deve começar pelo singelo entendimento do que é risco e do que é continuidade de negócios.
O risco de uma ocorrência é traduzido pela combinação da probabilidade e conseqüência deste evento. Tanto pode ser uma conseqüência ruim como pode ser uma conseqüência boa. Efetivamente o que ameaça a continuidade de uma organização é o risco de ocorrência de um evento que tenha uma conseqüência negativa.
A gestão da continuidade de negócios por sua vez procura entender as ameaças existentes para a sobrevivência dos negócios e desenvolver estratégias e planos que fortaleçam a organização de forma a torná-la capaz de superar a eventual concretização destas ameaças. Tais ameaças podem determinar a descontinuidade dos negócios implicam em riscos que devem ser evitados.
Ou seja, a gestão da continuidade de negócios pode ser denominada de “Gestão do Risco de Descontinuidade” de uma organização. Não existe uma subordinação definitiva entre risco e continuidade. A gestão de continuidade de negócios utiliza mecanismos e controles semelhantes aos utilizados pela gestão de risco e vice-versa.
Uma forma de clarificar esta conceituação é considerar que um Plano de Continuidade deve ter como objetivo a resposta a uma paralisação crítica, e desta forma deve ser considerado um controle integrante da Gestão de Risco (de descontinuidade) assim como também deve fazer parte da Gestão da Continuidade.
Por isto é importante destacar a diferença entre a Gestão da Continuidade e um Plano de Continuidade. A “gestão”, conforme já definimos acima, é um processo gerencial abrangente que deve considerar mecanismos reativos assim como mecanismos preventivos e mecanismos de robustez. Um Plano de Continuidade deve ser entendido como um controle reativo integrante do conjunto de mecanismos utilizados na Gestão da Continuidade.
Seja numa gestão de risco ou numa gestão da continuidade, a seleção de quais riscos merece ser atenuados por um Plano de Continuidade deve ser feita através de uma análise de risco. Uma vez decidida tal questão resta estruturar os controles pertinentes, sendo que o PCN – Planos de Continuidade de Negócio pode ser um deles.

BS 25999-2 Especificação da Gestão da Continuidade de Negócios

Ainda em novembro de 2007 foi publicada a parte 2 da Norma BS 25999, Especificação da Gestão da Continuidade de Negócios, pelo BSI - British Standards (vide http://www.bsi-global.com).
Ainda não tive oportunidade de avaliar esta nova publicação. Assim sendo reproduzo abaixo o texto de divulgação da mesma. Em breve estarei publicando minha avaliação, mas posso adiantar que a parte 1 desta norma é um documento de referência interessante. O mesmo não posso dizer das partes “2” que tem sido publicadas acompanhando as normas de Gestão. Estas segundas partes são dedicadas ao processo de implantação e servem de referência para os processos de certificação, e por isto pecam por ser documentos cartoriais onde a construção de “evidências” da existência dos controles supera o ideal de uma correta aplicação dos mesmos.

"A norma BS 25999-2, recentemente publicada especifica os requerimentos para definição, implementação, monitoração, revisão, simulação, manutenção e aperfeiçoamento do processo de Gestão da Continuidade de Negócios de uma organização dentro do contexto da Gestão dos Riscos corporativos.
Os requerimentos especificados são genéricos e visam ser aplicáveis a todos os tipos de organização, ou partes destas, independentemente do tamanho, tipo e natureza da sua atividade. A abrangência da aplicação destes requerimentos irá depender do ambiente operacional e da complexidade da organização.
Assim o detalhamento e a implementação do processo de Gestão da Continuidade de forma a atender estes requerimentos deverá estar diretamente relacionado com as exigências regulatórias, o mercado, os clientes, o tipo de produto e serviços, o tipo de processos e o tamanho e tipo de estrutura organizacional adotada. O estabelecimento de uma estrutura padrão e uniforme não é o objetivo da norma, e sim auxiliar o projeto de um processo de Gestão de Continuidade de Negócios que atenda a todas as organizações e seus interessados.
A BS 25999-2 pode ser utilizada pelas próprias empresas, por terceiros, incluindo empresas certificadoras, para avaliar a capacidade de uma organização responder às suas necessidades e requisitos de continuidade de negócios, bem como exigências legais e regulatórias."

Computer Security Day

Essa eu fui saber hoje, com 19 anos de atraso.....mas nunca é tarde.

O Computer Security Day é um evento anual de abrangência mundial. Ele foi criado em 1988 com a finalidade de ajudar na conscientização da importância das questões relacionadas com segurança. O objetivo é fazer com que as pessoas se lembrem de proteger seus computadores e informações.
A cada ano um tema é selecionado e em 2007 o escolhido foi "Taking action" cuja mensagem é que devemos ser ativos e pró-ativos para que a segurança seja efetiva.

Fonte: http://www.computersecurityday.org/
Dica: Paulo Rivéro

Norma 25999 X Roteiro de Projeto

Recentemente analisei uma solicitação de proposta para estruturação da Gestão da Continuidade de Negócios de uma empresa de médio - grande porte.
De imediato uma palavra me despertou atenção: Gestão. Aquela era uma solicitação para implantação de um processo de Gestão através de um projeto executado por uma consultoria. Ela não queria o desenvolvimento e detalhamento do Plano de Continuidade, ela queria o processo de Gestão...
E minha atenção continuou atiçada à medida que a solicitação era detalhada. A questão era o quanto ela era detalhada sem que isto significasse coerência na sua concepção.
Ao fim de minha análise e após uma rápida pesquisa concluí que a fonte do problema foi a utilização da Norma BS 25999 como base da estrutura do projeto detalhado na solicitação.
A norma BS 25999 é uma excelente referência para um processo de Gestão de Continuidade de Negócios, mas ela não é um roteiro nem apresenta um guia para sua implantação.
Um processo de gestão compreende mecanismos de planejamento, programação, controle, auditoria, treinamento, conscientização, etc. Este conjunto não deve ser objeto de um único projeto pois cada um possui o seu tempo. Um projeto pressupõe atividades com início e fim determinados. Um processo de gestão é contínuo.
Utilizar a norma como referência para a estruturação de um projeto é válido e útil.
Utilizá-la como um roteiro de projeto é um equívoco.