Toda decisão de negócio envolve riscos.
Existe a possibilidade das coisas
darem certo ou não
darem certo em função de algumas variáveis
que às vezes são até incontroláveis
por parte da empresa e podem acabar
impulsionando uma iniciativa
para um caminho que não era esperado.
Para tratar essas situações
surge a gestão de riscos,
a gestão de riscos.
Ela trata da identificação de fatores
que podem acabar
influenciando uma iniciativa
para um caminho que não se deseja.
Então a gente chama isso
de identificação de riscos.
Numa segunda etapa, eu tenho as análises
dos riscos e o entendimento.
Efetivamente, aquele risco,
aquele fator de risco,
aquela variável,
até onde ela pode influenciar
na nossa iniciativa, nos nossos resultados
previstos.
Em seguida,
eu tenho a priorização desse risco.
Ou seja, dentre vários riscos que eu tenho
para um projeto que eu estou fazendo,
por exemplo,
quais riscos eu preciso tratar
primeiro, segundo e terceiro lugar,
porque eu não tenho
fôlego para resolver
de repente todos os riscos de uma vez só.
Então eu tenho que priorizar.
E como o quarto e último passo,
vem a estratégia de resolução
do risco de mitigação, de minimização
da possibilidade de ele acontecer
e virar um problema
e do impacto que esse risco pode causar.
Então eu posso atuar
reduzindo tanto a chance de acontecer
quanto também caso aconteça, reduzir
o impacto desse risco para a companhia.
Contando uma história para você.
Certa vez
eu trabalhava numa indústria farmacêutica.
A indústria estava dobrando,
fazendo um projeto.
Já tinha iniciado
inclusive obras para dobrar a capacidade
fabril dela,
dobrar a capacidade de produção.
E no terreno que ela tinha, então ela
estava duplicando a área de fábrica dela.
Dentro dessa
nova fábrica, na parte industrial,
foi pensado uma série de detalhes
relacionados a garantir
altíssima disponibilidade
dessa fábrica para que ela rode 20 e 04h07
dias por semana.
Então, todos os robôs
sistemas de supervisão da fábrica
que foram decididos e adquiridos
pela área de gestão industrial,
todos esses sistemas e equipamentos
eles tinham contingenciamento.
Dualização.
Então seria improvável,
para não dizer impossível, que a fábrica
tivesse uma parada por alguma falha de
algum equipamento específico ou sistema.
Porém,
na área de informática geral da empresa,
eu notei como gestor de TI, que a gente
tinha um problema na parte de rede.
As redes de comunicação de dados
da empresa,
não as externas que ligam a empresa
para o seu exterior,
essas estavam todas do alisadas.
Na verdade, a gente tinha cinco canais
de comunicação com operadoras diferentes.
Enfim, um da um tinha uma parada
na comunicação externa.
Não aconteceria
tanto
nos equipamentos internos de comunicação
quanto nos links de comunicação.
Não aconteceria.
Porém,
na parte de redes internas da empresa,
eu tinha um único caminho de fibra ótica
para chegar até a fábrica.
Então, na época, foi feito todo
um desenho de uma dualização
do anel ótico da empresa,
passando por partes diferentes
do terreno da indústria,
de maneira a minimizar o impacto caso
houvesse o rompimento de uma fibra ótica
ou uma falha
em algum equipamento de fibra.
Ao longo do uso
do dia a dia da fábrica
e dos seus equipamentos e sistemas.
Interessante contar uma coisa agora
eu estava em férias
no litoral.
Ligou para mim
o meu coordenar da área de redes.
Nessa época, a FAB.
A construção da fábrica de medicamentos
estava acontecendo. Aí
ele ligou pra mim e falou assim Renato,
eu tenho uma coisa pra te contar.
Eu falei que e já tava
até dando risada no telefone, eu imaginei
e falou assim Você lembra que certa vez,
quando você estava defendendo a ideia
do projeto de dualização de fibras,
você falou para o dono da empresa
que existia a chance
de, de repente uma broca de perfuração
para colocar lá o alicerce da fábrica,
acabar perfurando em lugar errado
e pegando as fibras da empresa
e destruindo a rede local.
Você lembra que você falou isso?
Eu falei lembra?
E falou Pois bem, Renato, aconteceu
hoje.
Levantou, levantaram a broca
e todas as fibras óticas da empresa ali
subiram junto com a broca.
Arrebentou tudo.
Eu falei o que aconteceu? Ele falou nada,
porque a gente
tinha feito projeto de dualização antes.
Então eles arrebentaram um circuito,
só que o outro manteve a fábrica
funcionando.
Olha só a importância disso.
Nós estamos falando de governança.
De atingir os objetivos maiores
da organização e dos acionistas.
Você imagina uma paralisação da maior
empresa farmacêutica do Brasil?
Quanto tempo eu ia levar para repassar
todas essas fibras óticas? Que
eu fizesse isso num tempo aceleradíssimo
e que eu levasse uns dois dias.
Consegue imaginar dois dias de produção
da maior farmacêutica do Brasil parada?
Então, agora eu quero mostrar para você
alguns exemplos de como a gente faz
para mitigar os riscos,
para tratar os riscos
e reduzir os os impactos de um risco.
Eu preparei um painel para você entender
três estratégias
que a gente pode usar frente aos
riscos para tratar os riscos.
Uma delas é resolver definitivamente.
A segunda é transferir esse risco
para terceiros.
Eu tiro do meu ombro e passo
pra outra pessoa cuidar.
E a terceira estratégia
é você monitorar a situação
continuamente e, caso vire um problema,
você medir.
Você adota
uma solução de remediação de correção.
Vamos dá uma olhadinha nos exemplos.
Bom, nesse painel aqui
você observa o seguinte temos uma coluna
de fatores de risco,
uma de análise e uma de justificativa
do nível de exposição,
que é o quanto o risco está expondo
a empresa.
Depois eu tenho uma priorização,
que é a sequência de tratamento
que foi sugerida, em seguida,
a estratégia de tratamento
e qual é a ação que vai ser tomada.
Eu coloquei aqui supostamente
um exemplo hipotético da Ultra News,
um grupo jornalístico que eu inventei aqui
e aqui.
Pessoal, nós temos a seguinte situações
e todas essas são reais de um grupo
jornalístico onde eu trabalhei.
Só que aqui
eu não estou colocando o nome do grupo.
Aqui eu coloquei só riscos
infraestruturais,
não coloquei riscos relacionados
a software
mais relacionados à infraestrutura.
Eu tenho aqui um primeiro risco,
que é a ocupação de disco rígido
com dados nos servidores de imagens
do jornal ou do jornal coleta imagens.
Essas imagens são guardadas.
Isso ocupa muito espaço.
Foi identificado que existia uma
uma exposição muito alta
com relação a isso, ou seja, grande chance
de acontecer um colapso em função
do excesso de uso de disco,
impactando profundamente o jornal.
Dado que tudo o que ele publica
envolve,
de certa forma algum conteúdo em imagem,
está aqui a justificativa da exposição
Por que a gente considerou alto.
A justificativa
existe 75% de ocupação atual
e uma taxa de crescimento de 2% ao mês
no uso de discos,
sendo que quando alcançar 80% de espaço
ocupado, o computador vai parar.
Então nós estamos
na iminência de uma parada,
uma parada que vai afetar
todo o trabalho da redação do jornal.
Portanto,
probabilidade, impacto, alta priorização.
Ele ganhou aqui o segundo lugar.
Depois a gente vai olhar os outros.
Estratégia o que foi adotado
como estratégia de tratamento.
Vamos monitorar e remediar.
Ou seja,
na medida que os discos vão bater em 80%,
chegando até lá,
eu faço um trabalho de limpeza.
Então, batendo 80%,
dispararem automaticamente
alguns programas,
rotinas para limpeza dos bancos de dados
e a expectativa é que essa limpeza
vai reduzir
até mais de 80% dos dados
atualmente ocupados,
porque a gente tem 100 anos de existência
do grupo jornalístico
guardados nos discos.
Então, se eu rodar, quando rodar
essa rotina de limpeza pela primeira vez,
eu provavelmente vou derrubar
os 80% de ocupação atuais
para algo próximo a 20% ou menos.
Próximo risco
Incêndio no datacenter Principal
Nível de exposição médio alto.
Por quê?
Justificativa O datacenter fica acima
do depósito de tintas do jornal,
onde ocorreram
nove princípios de incêndio no último ano,
ou seja,
é fato que pode ocorrer um incêndio.
Não é uma hipótese, porque já tivemos nove
princípios de incêndio
e o datacenter está exposto
porque ele está num andar superior,
o depósito de tintas, e todo mundo
sabe que o fogo sobe, ele não desce.
Então nós temos aqui
uma exposição média alta.
Então estamos na iminência de um incêndio,
não datacenter,
mas existe uma chance, forte priorização.
Ele ganhou aqui o quarto lugar.
Depois nós vamos entender
o porquê da priorização
e a estratégia foi transferir,
transferir aqui.
Como?
Contratando um datacenter externo em nuvem
e migrando
todos os equipamentos do jornal
para esse datacenter,
sendo que esse datacenter será escolhido
de forma a garantir um nível de atenção
de avaliação internacional
de segurança. Ter
numa camada
elevada do tier tiro
e uma gradação de segurança.
Então a gente no caso contratou
um datacenter tier quatro,
que é o penúltimo
nível de segurança máxima,
o nível máximo, esse cinco No Brasil
não existe datacenter nível cinco.
E também contratar links
duplicados de alta velocidade
de provedores diferentes
para ligar a empresa ao novo datacenter.
Então veja, tem duas iniciativas aqui
grandes para fazer
migrar todos equipamentos
do grupo jornalístico por um datacenter,
fechar o contrato com o datacenter
e também contratar links de
alta velocidade contingenciados.
Não é um trabalho simples,
é um trabalho longo,
por isso ele ficou com priorização número
quatro e ficou um pouquinho mais adiante,
porque ele envolvia aqui todo um estudo
um pouco mais profundo, até financeiro.
Então vamos agora para o terceiro item,
então intrusão por parte de internautas,
pessoas externas a nossa rede de
computadores, análise de exposição alta.
Como que a gente chegou nessa conclusão
de que a exposição é alta?
Qual a justificativa?
Um teste de equipamento
detetor de intrusão apontou 3714
tentativas de acesso aos computadores
do datacenter do jornal por minuto.
Bom, a priorização ficou em terceiro
lugar.
Estratégia Eliminar esse risco.
Como?
Instalando definitivamente um ideal
que é um tudo detection system
e configurar o firewall para bloquear
pacotes de origem de dados suspeitos.
O último risco acesso físico indevido
ao datacenter
exposição
baixa Justificativa dessa análise
O acesso ao datacenter já conta
com identificação por crachá,
mais biometria da face.
Por raras vezes no ano,
a mola da porta
que fecha o datacenter acaba
não travando após alguém entrar ou sair,
mas isso raras vezes.
Então, o risco de alguém indevidamente
acessar o datacenter é baixo.
A priorização colocada em primeiro lugar,
apesar do risco baixo.
Por quê?
Porque é fácil de solucionar.
Vamos fazer já.
E o que fizemos? Eliminação Como?
Trocando o sistema de mola
por uma mola mais forte.
Veja então a diversidade de tratamentos.
E perceba que é sempre muito importante
quando você identificar
uma variável de risco,
apontar o grau de exposição justificado.
Pense sempre que solucionar os riscos
pode sair de uma solução barata
ou mais cara.
No exemplo que eu dei
por na parte de migração de datacenter,
nós temos ali um custo que com certeza
é altíssimo.
E foi nesse caso
que é você contratar
um datacenter externo, levar todos
seus servidores para esse datacenter
e depois
fazer os contratos de telecomunicações.
Essa conta custou algumas dezenas
de milhões de reais
por ano
para fazer isso aí
funcionando num outro datacenter.
Tudo isso rodar em um outro datacenter
não é uma decisão que eu tomo agora.
É uma decisão que leva tempo.
Envolve área financeira, envolve
com certeza os conselhos, os comitês,
envolve vários profissionais de TI
internos e dos terceiros.
Então, na hora de priorizar,
tem que levar em conta também isso.
Não basta
você olhar só a questão de probabilidade
de impactos da ocorrência do risco,
mas também os investimentos necessários
e o tempo para você solucionar
cada uma das questões ou reduzir
o tamanho do problema
que esse risco pode gerar no futuro.
Utilizando o método que eu
estou te mostrando aqui
na sua empresa, seguindo esses passos,
você vai ter uma chance de sucesso
para avaliação dos seus riscos
e para proposição de soluções
de uma forma muito mais interessante.
Com alta chance de você
conseguir implementar as suas ideias e.