Segurança Em Eventos de Grande Porte – Venda de Ingressos

Um evento de grande porte tem início no momento em que o público começa a se mobilizar até a total evacuação do local, incluindo suas imediações.
Por decorrência a segurança deste evento deve acompanhá-lo durante toda a sua duração, a começar pela venda de seus ingressos. No fim de semana de 20 de junho de 2008, quando da venda de ingressos para o jogo final da Taça Libertadores da América, tivemos um exemplo de erro no processo de segurança que é um excelente caso para análise.
Um evento de grande porte implica em grande público e a lei da oferta e procura impera. Se a procura é muita superior a oferta é dever da organização do evento estruturar um processo de venda que permita uma compra de ingressos de forma segura e legal. A forma de tratamento deste risco é simples e passa por duas alternativas: redução da demanda e descentralização dos pontos de venda, ou seja, redução da demanda de pessoas interessadas e aumento da oferta dos pontos de venda.
A redução da demanda tem como principal mecanismo o aumento do preço dos ingressos. A descentralização dos pontos de venda pode ser feita utilizando-se agências bancárias, rede de lojas, internet ou telefone.
O aumento do preço foi até praticado, mas não foi acompanhado pela descentralização necessária. Cinco pontos de venda para um evento de cinqüenta mil pessoas é pouco, ainda mais se considerarmos que alguns deles iriam concentrar um público maior do que os demais, como foi o caso dos pontos de venda do Fluminense e do Maracanã.
Cabe ressaltar que estamos aqui focando apenas a segurança do público na compra dos ingressos. Não estamos entrando mérito da segurança e controle da distribuição dos ingressos e do processo de venda. Muito menos da segurança do público no acesso e nas instalações do evento. Isto é assunto para outros artigos!!
(Foto de F. Vitorino)

A Maturidade da Continuidade de Negócios

Qual a abrangência e profundidade da sua gestão da continuidade de negócios? Qual o nível de maturidade alcançado pela sua Gestão de Continuidade de Negócios?
A continuidade de negócios é uma prática relativamente recente. Os Planos de Continuidade de Negócios ganharam destaque nos anos 90. Antes havia uma concentração de esforços, quando havia, na recuperação de desastres. Neste início de século ganhou forma e força o que se denominou de Gestão da Continuidade de Negócios.
Esta evolução conceitual foi assimilada e colocada em prática pelas organizações?
Quando tratamos de Gestão da Continuidade de Negócios estamos ampliando o escopo do que era tratado num Plano de Continuidade. A Gestão pressupõe uma integração de forças estratégicas e gerenciais. O termo mais explícito deveria ser Gestão da Continuidade da Empresa. No novo enfoque, a palavra negócio deve ser entendida no seu sentido mais amplo, que significa a Empresa.
Em termos práticos a Gestão da Continuidade é traduzida pela integração de um conjunto de práticas corporativas que, incluem o Plano de Continuidade do século passado extrapolando sua abrangência.
Uma gestão de continuidade no estado da arte deverá apresentar atributos que garantam que a continuidade de negócios é uma estratégia corporativa com a devida relevância, assim como apresentar todos os componentes intrínsecos à garantia da continuidade, tais como gestão de segurança e procedimentos de recuperação de desastres.
Nestes últimos dez anos as empresas do mercado brasileiro passaram a dedicar atenção às questões de continuidade de negócio. O grau de comprometimento e qualidade da Gestão da Continuidade apresenta uma grande variação. Com honrosas exceções nossas empresas estão aquém do patamar satisfatório.
Numa analogia com a capacidade de locomoção de um ser humano, podemos simplificadamente generalisar que na média nossas empresas são capazes de “andar”. Nesta forma de graduação, os níveis de aferição utilizados são, do mais simples para o mais complexo:
• Capacidade de Engatinhar,
• Capacidade de Andar,
• Capacidade de Correr
• Corredor habitual
• Corredor de competição
• Corredor de nível olímpico
Um ser humano que goze de boa saúde está no terceiro nível. Mas todos nós sabemos que sem a prática de exercícios perdemos a capacidade de correr e regredimos ao estágio de “capazes de andar”. É uma luta permanente. Sem dedicação e investimentos regredimos. O mesmo vale para as empresas, elas tem apresentar ao menos a capacidade “correr”, mas para isto elas têm que se esforçar e fazer exercícios e investimentos, o que as levará naturalmente para um estágio acima. A falta de exercício / investimento as fará regredir para o estágio da capaz de andar. O equilíbrio é instável e perverso. A falta de dedicação é punida com uma baixa qualificação.
Em termos práticos, para uma empresa ser considerada como capaz de correr, no que diz respeito a Continuidade de negócios, ela deve apresentar um nível satisfatório de pelo menos alguns atributos, dentre os quais destacamos:
• Liderança da alta administração,
• Orçamento para a Gestão de Continuidade,
• Conteúdo da Gestão de Continuidade propriamente dita (Gestão de incidentes, segurança e recuperação de desastres).
É importante notar que os dois primeiros atributos acima apresentados não são intrínsecos das matérias diretamente relacionadas com a segurança, risco ou continuidade de negócios. Eles são atributos de gestão. A existência de um Plano de Continuidade é apenas uma das peças necessárias neste quebra-cabeça, mas não é suficiente. Para que a Gestão da Continuidade de Negócios seja uma realidade e esteja efetivamente presente numa organização, muitas outras peças devem ser estruturadas e encaixadas. E estas outras peças são em alguns casos peças componentes da engrenagem do dia-a-dia da corporação, faltando apenas integrá-las no contexto da Continuidade de Negócios.

A Ética na Segurança da Informação

Integridade, disponibilidade e confidencialidade são os três atributos de uma informação que definem a segurança que ela deva possuir. Todos os profissionais que trabalham com informação sambem disto. A grande dificuldade está na definição de quem tem direito a alterar e acessar a informação.
Este direito pode ser atribuído por razões técnicas, políticas, autoritárias, dentre outras razões mais ou menos subjetivas que levam a segurança da informação da esfera técnica para a esfera ética. Uma informação ao ser considerada confidencial implica na liberação de acesso à mesma a um determinado grupo enquanto que restringe seu acesso a outros. A linha divisória de quem tem direito e de quem não tem é tênue e sutil. Basta lembrarmo-nos da censura à imprensa para termos clareza disto.
O mesmo podemos dizer do direito a proceder a alteração da informação. Uma mentira pode se perpetuar caso a mesma não seja corrigida. Quem tem o poder de corrigi-la? O partido nazista utilizava a técnica de dizer uma mesma mentira várias vezes até torná-la verdade. Quem tinha o poder de alterar a informação que era falsa? E após ela se tornar uma verdade?
Os gestores de segurança da informação têm por obrigação entender o poder que as informações possuem e não podem supor que a tecnologia é a solução definitiva.
A tecnologia é burra, a inteligência está nas pessoas.

A Terceira Onda da Continuidade de Negócios

As organizações, por motivos diversos, estão cada vez mais preocupadas com a Continuidade de Negócios. Nos anos 90 os maiores interessados eram as áreas provedoras de serviços de Tecnologia de Informação, em especial de empresas do setor financeiro.
Nos primeiros anos do século XXI pudemos constatar uma ampliação saudável desse escopo. A demanda continuava concentrada em empresas da área de serviços, com destaque para os financeiros, como um todo, deixando de ser uma preocupação restrita às áreas de Tecnologia de Informação.
Como decorrência desta ampliação de escopo e da publicação de normas e leis que contemplam a Continuidade de Negócios novas organizações estão sendo demandadas a apresentar Planos de Continuidade de forma a assegurar a continuidade de toda a cadeia produtiva. A continuidade de uma organização deixa de ser um assunto restrito a uma organização passando a ser de interesse de todo o mercado.
A esta nova demanda nos referimos como terceira onda. Ela irá exigir uma maturidade dos profissionais de Continuidade de Negócios por apresentar uma característica diferente. Até então o foco estava concentrado em empresas de serviços onde o principal valor são as informações. Nesse momento estamos constatando que existe uma grande demanda de empresas prestadoras de serviços de infra-estrutura tecnológica.
Um provedor de serviços de internet tem como principal ativo sua infra-estrutura, uma empresa de telecomunicações também, o mesmo podemos dizer de empresas de água e esgoto, transmissão de energia e outras mais. Nessas organizações a utilização de um Plano de Continuidade é uma alternativa simplista e por vezes equivocada. Essas organizações precisam ter uma Gestão da Continuidade de Negócios fortemente baseada numa infra-estrutura robusta capaz de responder a incidentes sem que haja degradação significativa dos seus serviços. Planos de Contingência podem e devem fazer parte dos controles utilizados para garantir a Continuidade de Negócios, mas não podem ser o seu principal pilar. Em outras palavras, a existência de “Planos B” é interessante, mas os “Planos A” precisam ser robustos uma vez que soluções paliativas de suas falhas são obrigatoriamente baseadas em infra-estrutura, o que demanda elevado custo e tempo. Por isso a solução de contingência precisa já estar permanentemente disponível e em condições de uso, inserida no “Plano A”, e não como um “Plano B” alternativo. Desta forma a solução deixa de ser uma alternativa de contingência e passa ser uma resposta de continuidade baseada na robustez do “Plano A”.
A lógica a ser utilizada é mesma empregada para tratar uma falha no fornecimento de energia elétrica. Neste exemplo a solução pode ser a utilização de:
• Dupla fonte de alimentação,
• “No-breaks”,
• Geradores,
• Aluguel de geradores numa eventualidade.
Nesse caso as três primeiras soluções estão totalmente inseridas no “Plano A” enquanto que a última é um típico Plano de Contingência (Plano B). O custo de cada solução é diferente assim como o quanto de garantia cada uma apresenta.
O mesmo raciocínio vale para a Gestão da Continuidade. Qual a abordagem mais adequada para sua Organização?

Saci-pererê e a Segurança da Informação

Nos últimos dias temos sido informados sobre o extravio de ativos de informação da Petrobras. Muito cuidado deve ser dedicado por qualquer um que se atreva a discutir este caso uma vez que as informações que foram divulgadas pela imprensa são incoerentes. Parte por imperícia de quem está reportando o assunto e parte, ou melhor, a maior parte devido ao interesse dos detentores das informações em não esclarecer o assunto.
Neste caso devemos questionar porque haveria interesse em turvar as informações divulgadas. A princípio, de acordo com as boas práticas, apenas informações que não venham agravar o caso devem ser fornecidas pelos proprietários e se isto fosse verdadeiro, não se estaria dizendo aos quatro ventos que nos equipamentos havia informações valiosas. Esta simples divulgação seria uma instrução para os ladrões, considerando-se que poderia ter sido um roubo comum, de que mais valioso do que o hardware eram as informações nele armazenadas. O que se viu foi o contrário, houve um forte interesse em se divulgar que as informações eram preciosas. Isto é no mínimo curioso.
Para tornar o caso mais estranho cabe ressaltar que o incidente diz respeito à Petrobras, que é uma empresa séria, competente, profissional, seguidora de normas e padrões internacionais e das melhores práticas de gestão. Sendo assim, fica uma grande certeza: Não é razoável que haja um processo interno na Petrobras onde informações vitais são mantidas num notebook, que deverá permanecer por mais de dez dias em trânsito debaixo do sol, sob a guarda de terceiros. Definitivamente tal procedimento é irresponsável e amador. Portanto é inconcebível que o mesmo seja uma prática adotada pela Petrobras. Isto é muito curioso.
A partir desta constatação podemos imaginar que estes computadores não tinham tais informações críticas, e o furto, se verdadeiro, foi apenas furto. Mas aqui fica a maior indagação: Houve furto, ou houve uma tramóia para se fazer divulgar que informações críticas haviam sido furtadas?
Acreditar na história oficial está difícil. Prefiro acreditar no Saci-Pererê.

Boas práticas para o uso de notebooks (as de sempre...)

1. Entenda os riscos. Na medida em que as organizações adotam o uso da computação móvel elas estão abrindo suas fronteiras e se expondo a riscos de segurança maiores do que aqueles existentes no ambiente interno exclusivamente.

2. Seja pro-ativo. Se você não conhecer as fraquezas do seu ambiente de informática, outros acharão para você. Se eduque e conheça as técnicas de proteçào e acompanhe sua evolução. A segurança da informação é um alvo móvel que requer uma permanente atenção.

3. Use cabos de proteção nos notebooks. Verdade seja dita, estes cabos podem ser facilmente rompidos, mas ainda assim eles são uma barreira contra furtos.

4. Evite deixar notebooks em locais sem nenhuma vigilância. Deixe os notebooks guardados em armários, presos a cabos de segurança ou sob alguma forma de proteção. Se eles tiverem que ser deixados num veículo providencie para que eles não fiquem visíveis ou que fiquem na mala do carro.

5. Não chame atenção. Notebooks devem carregados em malas que sejam discretas, tais como mochilas. Evite as malas tradicionais de notebooks. Evite utilizar o notebook em praças de alimentação e shoppings. Você poderá ser seguido e roubado.

6. Utilize anti-vírus e firewall. Proteja informações confidenciais com criptografia. Mantenha os softwares de proteção e os softwares de acesso à internet atualizados.

7. Faça cópia dos dados valiosos. A cópia de dados deve ser feita com freqüência para reduzir o risco decorrente de uma perda de dados. Faça sempre uma cópia sempre que for viajar.

8. Crie um Plano de Contingência. Identifique os impactos de uma perda e planeje como suas atividades terão continuidade caso um incidente de maior monta venha a ocorrer.

9. Use software de rastreamento de ativos. Existem alguns softwares de rastreamento de ativos no mercado brasileiro.

10. Use software de proteção de dados. Existem ferramentas para a criptografia ou deleção de dados em equipamentos extraviados ou roubados que venham a ser conectados na internet. Verifique a disponibilidade destas ferramentas e da viabilidade de seu uso.

Análise de Incidentes de Segurança

Consideremos o incidente de segurança amplamente divulgado pela imprensa do extravio de informações importantes, armazenadas num notebook da Petrobras, durante o seu transporte interurbano, realizado pela um terceiro.
Como referência para esta análise iremos utilizar o TRIPOD que preconiza que incidentes de segurança são devidos na sua essência à existência de pelo menos um dos dez fatores básicos de risco.
Fatores Básicos de Risco (BRF – Basic Risk Factors):
• Design
• Hardware
• Manutenção
• Conservação
• Condições de erro
• Procedimentos
• Treinamento
• Comunicação
• Metas incompatíveis
• Organização
No caso em questão, com as informações apresentadas podemos concluir que é certo que o BRF “Procedimentos” contribuiu para a ocorrência do incidente. Outros dois, “Treinamento” e “Comunicação” podem ter contribuído, mas por ora não dispomos de dados que permitam tal conclusão.
Assim podemos considerar que procedimentos inadequados contribuíram diretamente para a ocorrência do evento e dentre eles destacamos que:
• O procedimento de guarda de informações importantes num computador de uso pessoal é inseguro.
• O transporte interurbano de computadores com informações relevantes é inseguro.
• O transporte por terceiros de informações importantes é inseguro.
A utilização de controles tais como senhas, criptografia, cadeados, são algumas formas de se mitigar o evento, mas pouco contribuirão para evitar que o incidente ocorra. Por outro lado se os três pontos, relativos ao BRF - Procedimentos forem tratados e eliminados a ocorrência de um incidente de segurança conforme acima descrito dificilmente irá ocorrer.
É necessário contudo observar que esta análise está feita tendo como base apenas os dados do enunciado acima. Como já foi observado, outros fatores básicos podem ter contribuído, tais como inobservância dos procedimentos de segurança (BRF-Treinamento e BRF-Organização), incompetência técnica (BRF-Treinamento e BRF-Processo), falha no treinamento de funcionários (BRF-Treinamento e BRF-Processo), falha na contratação de funcionários (BRF-Processo), falha na contratação e supervisão de terceiros (BRF-Treinamento e BRF-Processo).