Com visibilidade internacional que trazem a organização da Copa do Mundo de 2014, dos Jogos Olímpicos de 2016 e o desenvolvimento das reservas de óleo e gás na camada pré-sal, o Brasil busca a imagem de uma nação capaz de enfrentar os desafios e entrar no grupo das economias mais desenvolvidas. Mas será que estamos realmente preparados?
A preocupação é grande pois nem mesmo o fornecimento dos serviços essenciais, que deveriam ter 100% de disponibilidade, é realmente confiável e recentemente tivemos exemplo disso, pois houve em novembro de 2009 uma queda de energia no Brasil e Paraguai, afetando cerca de 40% do território brasileiro e 90% do Paraguai. O ministro de Minas e Energia do Brasil, Edison Lobão, afirmou que o incidente, que afetou 18 estados brasileiros, aconteceu por causa de raios, ventos e chuvas e que teria provocado um curto circuito nas linhas de transmissão que vem da Usina Hidrelétrica de Itaipu. Inicialmente apontada como responsável, a usina de Itaipu demonstrou que não ocorreu nenhuma falha no sistema de geração de energia, mas que a falha correu no sistema de transmissão, especificamente nas linhas de Furnas. A Associação Brasileira das Grandes Empresas de Transmissão de Energia Elétrica (Abrate) descartou as hipóteses de queda de linhas de transmissão e de sobrecarga devido a tempestade de raios ocorridas simultaneamente em diversas linhas de transmissão, já que isso ocorre rotineiramente. A Abrate manteve a explicação de que uma falha inicial em um disjuntor ou subestação teria desencadeado um efeito dominó que desligou preventivamente outras linhas, sem definir exatamente como isto teve início. Especialistas, como o professor de eletrotécnica e energia da USP Ildo Sauer, alegam ser raríssimo um conjunto de fenômenos climáticos causar uma pane dessa magnitude. Para Sauer, o mais provável foi falta de gestão no sistema de transmissão. Para o pesquisador do INPE Osmar Pinto, não houve tempestades de grandes proporções próximo da região supostamente afetada. Todavia, o próprio INPE desmentiu o pesquisador, divulgando uma nota no dia 12 de novembro onde afirma que houve uma tempestade na área citada e que o caso ainda está sob estudo. A rede americana CBS difundiu a hipótese de que este episódio, assim como blecautes anteriores provocados no Brasil em 2005 e 2007, foram provocados por ataques de hackers mal intencionados (crackers) contra o sistema de computadores que controla a rede elétrica.
Sendo a causa do apagão pane em linhas de energia por raios, falta de gestão no sistema de gestão ou ataque de hackers, a adoção de metodologia de análise, avaliação e tratamento de riscos poderia ter sido uma ótima ferramenta para previsão de tais problemas e minimização das consequências. Ou melhor, uma boa gestão de riscos, porque se já tinha uma ou um plano de continuidade, obviamente não funcionaram.
Tradicionalmente, alia-se o conceito de gestão de riscos a ativos financeiros, como empréstimos, seguros, créditos, etc mas com um mercado cada vez mais dependente de recursos de tecnologia, passou-se recentemente a avaliar riscos operacionais, geralmente associados à TI, envolvendo aspectos de segurança (confidencialidade, integridade e disponibilidade), performance e conformidade.
A NBR ISO/IEC 27001 (Sistemas de Gestão de Segurança da Informação - requisitos) informa que existem diferentes metodologias para análise/ avaliação de riscos, mas institui alguns tópicos obrigatórios para sua abordagem, que são apresentados aqui resumidamente:
- identificação dos ativos, ameaças e vulnerabilidades, assim como os impactos pelas perdas de confidencialidade, integridade e disponibilidade.
- avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança
- avaliar probabilidade real da ocorrência de falhas de segurança à luz das vulnerabilidades, ameaças e impactos.
- estimar níveis de riscos
- determinar se os riscos são aceitáveis ou ações para tratamento dos riscos (aceitar, evitar, transferir ou mitigar).
Tanto o mercado internacional está preocupado com o assunto que no final de 2009 a ISO lançou a norma ISO 31000 Risk Management – Principles and guidelines e o ISO Guide 73 Risk Management – Vocabulary, ambas ainda sem tradução para o português.
Não apenas uma gestão de riscos poderia ser empregada neste caso, mas a adoção de um Sistema de Gestão de Segurança da Informação - SGSI, baseado na NBR ISO/IEC 27001, que prevê controles referentes a política de SI, infra-estrutura de SI, partes externas, gestão de ativos, segurança em recursos humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, controle de acessos, gestão de incidentes, gestão da continuidade dos negócios e conformidade.
Essa norma também segue o modelo de gestão da ISO 9001 e a lógica do PDCA:
PLAN – Estabelecimento de políticas, objetivos, processos e procedimentos para a gestão do risco e melhoria da SI, alinhado à estratégia da organização;
DO – Implementação e operação das políticas do SGSI, controles, processos e procedimentos;
CHECK – Mensuração da eficácia e eficiência dos objetivos, controles e processos e auditorias;
ACT – Tomada de ações corretivas e preventivas
Muitos pensam que segurança da informação resume-se a aquisição de firewall e antivirus quando, se os controles acima citados não forem implementados com base em uma correta avaliação de riscos orientada ao negócio, mesmo os softwares mais caros e complexos não chegarão nem perto de proteger a organização pois não serão usados com o foco correto.
De acordo com o site http://www.iso27001certificates.comacessado em 12 de janeiro de 2010, no Brasil apenas 23 empresas foram certificadas na ISO 27001 enquanto no Japão são 3378 certificados, na India são 483 e nos Estados Unidos são 95.
Na era da informação que estamos vivendo a segurança da informação é vital para todos os tipos de organização e atividade. Os grandes eventos mundiais que colocarão o Brasil no “holoforte do mundo” estão chegando e se as empresas que estarão envolvidas direta e indiretamente não estiverem bem preparadas, no mínimo quanto à sua segurança, o país ainda estará longe do padrão de “desenvolvido”.
(Cristina Martins - Consultora e Gestora da Keyassociados).
Esperamos demais para fazer o que precisa ser feito, num mundo que só nos dá um dia de cada vez, sem garantia do amanhã. Enquanto lamentamos que a vida é curta, agimos como se tivéssemos à nossa disposição um estoque inesgotável de tempo.
Esperamos demais para dizer as palavras de perdão que devem ser ditas, para por de lado os rancores que devem ser expulsos, para expressar gratidão, para dar ânimo, para oferecer consolo.
Esperamos demais para sermos generosos, deixando que a demora diminua a alegria de dar espontaneamente.
Esperamos demais para ser pais de nossos filhos pequenos, esquecendo quão curto é o tempo em que eles são pequenos, quão depressa a vida os faz crescer e ir embora.
Esperamos demais para dar carinho aos nossos pais, irmãos e amigos. Quem sabe quão logo será tarde demais?
Esperamos demais para ler os livros, ouvir as músicas, ver os quadros que estão esperando para alargar nossa mente, enriquecer nosso espírito e expandir nossa alma.
Esperamos demais para enunciar as preces que estão esperando para atravessar nossos lábios, para executar as tarefas que estão esperando para serem cumpridas, para demonstrar o amor que talvez não seja necessário amanhã.
Esperamos demais nos bastidores, quando a vida tem um papel para desempenharmos no palco.
Deus também está esperando.
Deus também está esperando.
Esperando pararmos de esperar.
Esperando nós começarmos a fazer AGORA, tudo aquilo para o que este dia de vida nos foi dado.