Com visibilidade internacional que trazem a organização da Copa do Mundo de 2014, dos Jogos Olímpicos de 2016 e o desenvolvimento das reservas de óleo e gás na camada pré-sal, o Brasil busca a imagem de uma nação capaz de enfrentar os desafios e entrar no grupo das economias mais desenvolvidas. Mas será que estamos realmente preparados?
A preocupação é grande pois nem mesmo o fornecimento dos serviços essenciais, que deveriam ter 100% de disponibilidade, é realmente confiável e recentemente tivemos exemplo disso, pois houve em novembro de 2009 uma queda de energia no Brasil e Paraguai, afetando cerca de 40% do território brasileiro e 90% do Paraguai. O ministro de Minas e Energia do Brasil, Edison Lobão, afirmou que o incidente, que afetou 18 estados brasileiros, aconteceu por causa de raios, ventos e chuvas e que teria provocado um curto circuito nas linhas de transmissão que vem da Usina Hidrelétrica de Itaipu. Inicialmente apontada como responsável, a usina de Itaipu demonstrou que não ocorreu nenhuma falha no sistema de geração de energia, mas que a falha correu no sistema de transmissão, especificamente nas linhas de Furnas. A Associação Brasileira das Grandes Empresas de Transmissão de Energia Elétrica (Abrate) descartou as hipóteses de queda de linhas de transmissão e de sobrecarga devido a tempestade de raios ocorridas simultaneamente em diversas linhas de transmissão, já que isso ocorre rotineiramente. A Abrate manteve a explicação de que uma falha inicial em um disjuntor ou subestação teria desencadeado um efeito dominó que desligou preventivamente outras linhas, sem definir exatamente como isto teve início. Especialistas, como o professor de eletrotécnica e energia da USP Ildo Sauer, alegam ser raríssimo um conjunto de fenômenos climáticos causar uma pane dessa magnitude. Para Sauer, o mais provável foi falta de gestão no sistema de transmissão. Para o pesquisador do INPE Osmar Pinto, não houve tempestades de grandes proporções próximo da região supostamente afetada. Todavia, o próprio INPE desmentiu o pesquisador, divulgando uma nota no dia 12 de novembro onde afirma que houve uma tempestade na área citada e que o caso ainda está sob estudo. A rede americana CBS difundiu a hipótese de que este episódio, assim como blecautes anteriores provocados no Brasil em 2005 e 2007, foram provocados por ataques de hackers mal intencionados (crackers) contra o sistema de computadores que controla a rede elétrica.
Sendo a causa do apagão pane em linhas de energia por raios, falta de gestão no sistema de gestão ou ataque de hackers, a adoção de metodologia de análise, avaliação e tratamento de riscos poderia ter sido uma ótima ferramenta para previsão de tais problemas e minimização das consequências. Ou melhor, uma boa gestão de riscos, porque se já tinha uma ou um plano de continuidade, obviamente não funcionaram.
Tradicionalmente, alia-se o conceito de gestão de riscos a ativos financeiros, como empréstimos, seguros, créditos, etc mas com um mercado cada vez mais dependente de recursos de tecnologia, passou-se recentemente a avaliar riscos operacionais, geralmente associados à TI, envolvendo aspectos de segurança (confidencialidade, integridade e disponibilidade), performance e conformidade.
A NBR ISO/IEC 27001 (Sistemas de Gestão de Segurança da Informação - requisitos) informa que existem diferentes metodologias para análise/ avaliação de riscos, mas institui alguns tópicos obrigatórios para sua abordagem, que são apresentados aqui resumidamente:
- identificação dos ativos, ameaças e vulnerabilidades, assim como os impactos pelas perdas de confidencialidade, integridade e disponibilidade.
- avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança
- avaliar probabilidade real da ocorrência de falhas de segurança à luz das vulnerabilidades, ameaças e impactos.
- estimar níveis de riscos
- determinar se os riscos são aceitáveis ou ações para tratamento dos riscos (aceitar, evitar, transferir ou mitigar).
Tanto o mercado internacional está preocupado com o assunto que no final de 2009 a ISO lançou a norma ISO 31000 Risk Management – Principles and guidelines e o ISO Guide 73 Risk Management – Vocabulary, ambas ainda sem tradução para o português.
Não apenas uma gestão de riscos poderia ser empregada neste caso, mas a adoção de um Sistema de Gestão de Segurança da Informação - SGSI, baseado na NBR ISO/IEC 27001, que prevê controles referentes a política de SI, infra-estrutura de SI, partes externas, gestão de ativos, segurança em recursos humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, controle de acessos, gestão de incidentes, gestão da continuidade dos negócios e conformidade.
Essa norma também segue o modelo de gestão da ISO 9001 e a lógica do PDCA:
PLAN – Estabelecimento de políticas, objetivos, processos e procedimentos para a gestão do risco e melhoria da SI, alinhado à estratégia da organização;
DO – Implementação e operação das políticas do SGSI, controles, processos e procedimentos;
CHECK – Mensuração da eficácia e eficiência dos objetivos, controles e processos e auditorias;
ACT – Tomada de ações corretivas e preventivas
Muitos pensam que segurança da informação resume-se a aquisição de firewall e antivirus quando, se os controles acima citados não forem implementados com base em uma correta avaliação de riscos orientada ao negócio, mesmo os softwares mais caros e complexos não chegarão nem perto de proteger a organização pois não serão usados com o foco correto.
De acordo com o site http://www.iso27001certificates.com acessado em 12 de janeiro de 2010, no Brasil apenas 23 empresas foram certificadas na ISO 27001 enquanto no Japão são 3378 certificados, na India são 483 e nos Estados Unidos são 95.
Na era da informação que estamos vivendo a segurança da informação é vital para todos os tipos de organização e atividade. Os grandes eventos mundiais que colocarão o Brasil no “holoforte do mundo” estão chegando e se as empresas que estarão envolvidas direta e indiretamente não estiverem bem preparadas, no mínimo quanto à sua segurança, o país ainda estará longe do padrão de “desenvolvido”.
(Cristina Martins - Consultora e Gestora da Keyassociados).
(Cristina Martins - Consultora e Gestora da Keyassociados).
