0:00:08.041,0:00:10.744
Toda decisão de negócio envolve riscos.

0:00:10.744,0:00:14.047
Existe a possibilidade das coisas[br]darem certo ou não

0:00:14.047,0:00:17.917
darem certo em função de algumas variáveis

0:00:17.984,0:00:22.922
que às vezes são até incontroláveis[br]por parte da empresa e podem acabar

0:00:22.989,0:00:28.461
impulsionando uma iniciativa[br]para um caminho que não era esperado.

0:00:28.561,0:00:30.396
Para tratar essas situações

0:00:30.396,0:00:33.266
surge a gestão de riscos,

0:00:33.266,0:00:34.234
a gestão de riscos.

0:00:34.234,0:00:38.004
Ela trata da identificação de fatores[br]que podem acabar

0:00:38.004,0:00:44.010
influenciando uma iniciativa[br]para um caminho que não se deseja.

0:00:44.110,0:00:47.080
Então a gente chama isso[br]de identificação de riscos.

0:00:47.147,0:00:51.684
Numa segunda etapa, eu tenho as análises[br]dos riscos e o entendimento.

0:00:51.784,0:00:54.621
Efetivamente, aquele risco,[br]aquele fator de risco,

0:00:54.621,0:00:57.924
aquela variável,[br]até onde ela pode influenciar

0:00:58.024,0:01:03.296
na nossa iniciativa, nos nossos resultados[br]previstos.

0:01:03.396,0:01:07.433
Em seguida,[br]eu tenho a priorização desse risco.

0:01:07.600,0:01:11.404
Ou seja, dentre vários riscos que eu tenho

0:01:11.471,0:01:14.140
para um projeto que eu estou fazendo,[br]por exemplo,

0:01:14.140,0:01:18.978
quais riscos eu preciso tratar[br]primeiro, segundo e terceiro lugar,

0:01:19.078,0:01:19.712
porque eu não tenho

0:01:19.712,0:01:22.982
fôlego para resolver[br]de repente todos os riscos de uma vez só.

0:01:23.049,0:01:26.052
Então eu tenho que priorizar.

0:01:26.286,0:01:27.820
E como o quarto e último passo,

0:01:27.820,0:01:33.426
vem a estratégia de resolução[br]do risco de mitigação, de minimização

0:01:33.493,0:01:37.163
da possibilidade de ele acontecer[br]e virar um problema

0:01:37.263,0:01:40.266
e do impacto que esse risco pode causar.

0:01:40.299,0:01:44.103
Então eu posso atuar[br]reduzindo tanto a chance de acontecer

0:01:44.170,0:01:50.677
quanto também caso aconteça, reduzir[br]o impacto desse risco para a companhia.

0:01:50.743,0:01:53.079
Contando uma história para você.

0:01:53.079,0:01:56.949
Certa vez[br]eu trabalhava numa indústria farmacêutica.

0:01:57.016,0:02:00.019
A indústria estava dobrando,[br]fazendo um projeto.

0:02:00.219,0:02:03.790
Já tinha iniciado[br]inclusive obras para dobrar a capacidade

0:02:03.790,0:02:07.894
fabril dela,[br]dobrar a capacidade de produção.

0:02:07.960,0:02:13.666
E no terreno que ela tinha, então ela[br]estava duplicando a área de fábrica dela.

0:02:13.733,0:02:14.367
Dentro dessa

0:02:14.367,0:02:19.172
nova fábrica, na parte industrial,[br]foi pensado uma série de detalhes

0:02:19.238,0:02:22.308
relacionados a garantir[br]altíssima disponibilidade

0:02:22.308,0:02:26.212
dessa fábrica para que ela rode 20 e 04h07[br]dias por semana.

0:02:26.312,0:02:31.317
Então, todos os robôs[br]sistemas de supervisão da fábrica

0:02:31.417,0:02:35.288
que foram decididos e adquiridos[br]pela área de gestão industrial,

0:02:35.354,0:02:40.026
todos esses sistemas e equipamentos[br]eles tinham contingenciamento.

0:02:40.259,0:02:41.761
Dualização.

0:02:41.761,0:02:45.198
Então seria improvável,[br]para não dizer impossível, que a fábrica

0:02:45.198,0:02:51.437
tivesse uma parada por alguma falha de[br]algum equipamento específico ou sistema.

0:02:51.504,0:02:52.838
Porém,

0:02:52.838,0:02:56.475
na área de informática geral da empresa,

0:02:56.542,0:03:02.582
eu notei como gestor de TI, que a gente[br]tinha um problema na parte de rede.

0:03:02.648,0:03:06.085
As redes de comunicação de dados[br]da empresa,

0:03:06.185,0:03:08.721
não as externas que ligam a empresa

0:03:08.721,0:03:11.791
para o seu exterior,[br]essas estavam todas do alisadas.

0:03:11.824,0:03:15.595
Na verdade, a gente tinha cinco canais[br]de comunicação com operadoras diferentes.

0:03:15.595,0:03:19.298
Enfim, um da um tinha uma parada[br]na comunicação externa.

0:03:19.298,0:03:21.000
Não aconteceria

0:03:21.100,0:03:23.302
tanto[br]nos equipamentos internos de comunicação

0:03:23.302,0:03:24.670
quanto nos links de comunicação.

0:03:24.670,0:03:27.573
Não aconteceria.

0:03:27.573,0:03:28.507
Porém,

0:03:28.507,0:03:31.410
na parte de redes internas da empresa,

0:03:31.410,0:03:38.751
eu tinha um único caminho de fibra ótica[br]para chegar até a fábrica.

0:03:38.851,0:03:41.354
Então, na época, foi feito todo

0:03:41.354,0:03:45.591
um desenho de uma dualização[br]do anel ótico da empresa,

0:03:45.691,0:03:50.663
passando por partes diferentes[br]do terreno da indústria,

0:03:50.763,0:03:54.200
de maneira a minimizar o impacto caso

0:03:54.266,0:03:57.803
houvesse o rompimento de uma fibra ótica

0:03:57.903,0:04:01.107
ou uma falha[br]em algum equipamento de fibra.

0:04:01.207,0:04:03.943
Ao longo do uso

0:04:03.943,0:04:07.446
do dia a dia da fábrica[br]e dos seus equipamentos e sistemas.

0:04:07.513,0:04:10.883
Interessante contar uma coisa agora

0:04:10.983,0:04:13.119
eu estava em férias

0:04:13.119,0:04:14.620
no litoral.

0:04:14.620,0:04:19.325
Ligou para mim[br]o meu coordenar da área de redes.

0:04:19.391,0:04:20.793
Nessa época, a FAB.

0:04:20.793,0:04:25.231
A construção da fábrica de medicamentos[br]estava acontecendo. Aí

0:04:25.297,0:04:28.100
ele ligou pra mim e falou assim Renato,

0:04:28.100,0:04:31.637
eu tenho uma coisa pra te contar.

0:04:31.704,0:04:35.207
Eu falei que e já tava[br]até dando risada no telefone, eu imaginei

0:04:35.307,0:04:37.610
e falou assim Você lembra que certa vez,

0:04:37.610,0:04:41.747
quando você estava defendendo a ideia[br]do projeto de dualização de fibras,

0:04:41.814,0:04:46.919
você falou para o dono da empresa[br]que existia a chance

0:04:47.019,0:04:52.124
de, de repente uma broca de perfuração[br]para colocar lá o alicerce da fábrica,

0:04:52.191,0:04:55.761
acabar perfurando em lugar errado[br]e pegando as fibras da empresa

0:04:55.861,0:04:57.630
e destruindo a rede local.

0:04:57.630,0:04:58.831
Você lembra que você falou isso?

0:04:58.831,0:05:01.233
Eu falei lembra?

0:05:01.233,0:05:03.969
E falou Pois bem, Renato, aconteceu

0:05:03.969,0:05:05.137
hoje.

0:05:05.137,0:05:08.607
Levantou, levantaram a broca[br]e todas as fibras óticas da empresa ali

0:05:08.674,0:05:11.110
subiram junto com a broca.[br]Arrebentou tudo.

0:05:11.110,0:05:14.546
Eu falei o que aconteceu? Ele falou nada,

0:05:14.647,0:05:17.650
porque a gente[br]tinha feito projeto de dualização antes.

0:05:17.650,0:05:21.587
Então eles arrebentaram um circuito,[br]só que o outro manteve a fábrica

0:05:21.587,0:05:23.889
funcionando.

0:05:23.889,0:05:26.892
Olha só a importância disso.

0:05:26.959,0:05:29.261
Nós estamos falando de governança.

0:05:29.261,0:05:33.298
De atingir os objetivos maiores[br]da organização e dos acionistas.

0:05:33.399,0:05:36.068
Você imagina uma paralisação da maior

0:05:36.068,0:05:39.638
empresa farmacêutica do Brasil?

0:05:39.705,0:05:44.009
Quanto tempo eu ia levar para repassar[br]todas essas fibras óticas? Que

0:05:44.009,0:05:48.747
eu fizesse isso num tempo aceleradíssimo[br]e que eu levasse uns dois dias.

0:05:48.847,0:05:51.216
Consegue imaginar dois dias de produção

0:05:51.216,0:05:55.287
da maior farmacêutica do Brasil parada?

0:05:55.387,0:05:56.989
Então, agora eu quero mostrar para você

0:05:56.989,0:06:01.760
alguns exemplos de como a gente faz[br]para mitigar os riscos,

0:06:01.860,0:06:06.198
para tratar os riscos[br]e reduzir os os impactos de um risco.

0:06:06.298,0:06:09.902
Eu preparei um painel para você entender[br]três estratégias

0:06:09.902,0:06:15.307
que a gente pode usar frente aos[br]riscos para tratar os riscos.

0:06:15.374,0:06:18.811
Uma delas é resolver definitivamente.

0:06:18.877,0:06:22.514
A segunda é transferir esse risco[br]para terceiros.

0:06:22.581,0:06:26.351
Eu tiro do meu ombro e passo[br]pra outra pessoa cuidar.

0:06:26.418,0:06:30.489
E a terceira estratégia[br]é você monitorar a situação

0:06:30.489,0:06:34.893
continuamente e, caso vire um problema,[br]você medir.

0:06:34.960,0:06:40.399
Você adota[br]uma solução de remediação de correção.

0:06:40.499,0:06:42.768
Vamos dá uma olhadinha nos exemplos.

0:06:42.768,0:06:47.573
Bom, nesse painel aqui[br]você observa o seguinte temos uma coluna

0:06:47.673,0:06:49.875
de fatores de risco,

0:06:49.875,0:06:54.079
uma de análise e uma de justificativa[br]do nível de exposição,

0:06:54.313,0:06:58.617
que é o quanto o risco está expondo[br]a empresa.

0:06:58.717,0:07:00.252
Depois eu tenho uma priorização,

0:07:00.252,0:07:04.456
que é a sequência de tratamento[br]que foi sugerida, em seguida,

0:07:04.456,0:07:08.660
a estratégia de tratamento[br]e qual é a ação que vai ser tomada.

0:07:08.727,0:07:13.498
Eu coloquei aqui supostamente[br]um exemplo hipotético da Ultra News,

0:07:13.532,0:07:16.668
um grupo jornalístico que eu inventei aqui[br]e aqui.

0:07:16.668,0:07:19.004
Pessoal, nós temos a seguinte situações

0:07:19.004,0:07:23.408
e todas essas são reais de um grupo[br]jornalístico onde eu trabalhei.

0:07:23.475,0:07:26.078
Só que aqui[br]eu não estou colocando o nome do grupo.

0:07:26.078,0:07:27.179
Aqui eu coloquei só riscos

0:07:27.179,0:07:29.881
infraestruturais,[br]não coloquei riscos relacionados

0:07:29.881,0:07:32.751
a software[br]mais relacionados à infraestrutura.

0:07:32.751,0:07:36.855
Eu tenho aqui um primeiro risco,[br]que é a ocupação de disco rígido

0:07:36.855,0:07:43.161
com dados nos servidores de imagens[br]do jornal ou do jornal coleta imagens.

0:07:43.161,0:07:44.563
Essas imagens são guardadas.

0:07:44.563,0:07:46.298
Isso ocupa muito espaço.

0:07:46.298,0:07:49.935
Foi identificado que existia uma[br]uma exposição muito alta

0:07:49.935,0:07:55.740
com relação a isso, ou seja, grande chance[br]de acontecer um colapso em função

0:07:55.740,0:08:01.580
do excesso de uso de disco,[br]impactando profundamente o jornal.

0:08:01.646,0:08:04.015
Dado que tudo o que ele publica

0:08:04.015,0:08:07.252
envolve,[br]de certa forma algum conteúdo em imagem,

0:08:07.352,0:08:11.389
está aqui a justificativa da exposição[br]Por que a gente considerou alto.

0:08:11.490,0:08:16.695
A justificativa[br]existe 75% de ocupação atual

0:08:16.761,0:08:21.466
e uma taxa de crescimento de 2% ao mês[br]no uso de discos,

0:08:21.533,0:08:28.340
sendo que quando alcançar 80% de espaço[br]ocupado, o computador vai parar.

0:08:28.406,0:08:31.409
Então nós estamos[br]na iminência de uma parada,

0:08:31.443,0:08:34.880
uma parada que vai afetar[br]todo o trabalho da redação do jornal.

0:08:35.080,0:08:39.384
Portanto,[br]probabilidade, impacto, alta priorização.

0:08:39.384,0:08:40.919
Ele ganhou aqui o segundo lugar.

0:08:40.919,0:08:42.721
Depois a gente vai olhar os outros.

0:08:42.721,0:08:46.858
Estratégia o que foi adotado[br]como estratégia de tratamento.

0:08:46.958,0:08:49.427
Vamos monitorar e remediar.

0:08:49.427,0:08:53.365
Ou seja,[br]na medida que os discos vão bater em 80%,

0:08:53.465,0:08:57.302
chegando até lá,[br]eu faço um trabalho de limpeza.

0:08:57.369,0:09:02.273
Então, batendo 80%,[br]dispararem automaticamente

0:09:02.374,0:09:06.845
alguns programas,[br]rotinas para limpeza dos bancos de dados

0:09:06.911,0:09:11.149
e a expectativa é que essa limpeza[br]vai reduzir

0:09:11.216,0:09:14.719
até mais de 80% dos dados[br]atualmente ocupados,

0:09:14.819,0:09:18.256
porque a gente tem 100 anos de existência[br]do grupo jornalístico

0:09:18.256,0:09:20.525
guardados nos discos.

0:09:20.525,0:09:24.729
Então, se eu rodar, quando rodar[br]essa rotina de limpeza pela primeira vez,

0:09:24.796,0:09:27.699
eu provavelmente vou derrubar[br]os 80% de ocupação atuais

0:09:27.699,0:09:30.969
para algo próximo a 20% ou menos.

0:09:31.035,0:09:35.373
Próximo risco[br]Incêndio no datacenter Principal

0:09:35.440,0:09:37.442
Nível de exposição médio alto.

0:09:37.442,0:09:38.143
Por quê?

0:09:38.143,0:09:44.215
Justificativa O datacenter fica acima[br]do depósito de tintas do jornal,

0:09:44.315,0:09:48.586
onde ocorreram[br]nove princípios de incêndio no último ano,

0:09:48.653,0:09:53.358
ou seja,[br]é fato que pode ocorrer um incêndio.

0:09:53.358,0:09:57.462
Não é uma hipótese, porque já tivemos nove[br]princípios de incêndio

0:09:57.529,0:10:00.932
e o datacenter está exposto[br]porque ele está num andar superior,

0:10:00.932,0:10:05.336
o depósito de tintas, e todo mundo[br]sabe que o fogo sobe, ele não desce.

0:10:05.436,0:10:08.740
Então nós temos aqui[br]uma exposição média alta.

0:10:08.773,0:10:10.575
Então estamos na iminência de um incêndio,

0:10:10.575,0:10:14.779
não datacenter,[br]mas existe uma chance, forte priorização.

0:10:14.779,0:10:16.047
Ele ganhou aqui o quarto lugar.

0:10:16.047,0:10:18.750
Depois nós vamos entender[br]o porquê da priorização

0:10:18.750,0:10:22.020
e a estratégia foi transferir,[br]transferir aqui.

0:10:22.020,0:10:22.687
Como?

0:10:22.687,0:10:26.824
Contratando um datacenter externo em nuvem[br]e migrando

0:10:26.824,0:10:30.528
todos os equipamentos do jornal[br]para esse datacenter,

0:10:30.628,0:10:35.099
sendo que esse datacenter será escolhido[br]de forma a garantir um nível de atenção

0:10:35.099,0:10:38.403
de avaliação internacional[br]de segurança. Ter

0:10:38.469,0:10:39.170
numa camada

0:10:39.170,0:10:42.640
elevada do tier tiro[br]e uma gradação de segurança.

0:10:42.707,0:10:46.144
Então a gente no caso contratou[br]um datacenter tier quatro,

0:10:46.377,0:10:49.180
que é o penúltimo[br]nível de segurança máxima,

0:10:49.180,0:10:53.351
o nível máximo, esse cinco No Brasil[br]não existe datacenter nível cinco.

0:10:53.418,0:10:57.088
E também contratar links[br]duplicados de alta velocidade

0:10:57.088,0:11:00.291
de provedores diferentes[br]para ligar a empresa ao novo datacenter.

0:11:00.291,0:11:04.729
Então veja, tem duas iniciativas aqui[br]grandes para fazer

0:11:04.829,0:11:08.166
migrar todos equipamentos[br]do grupo jornalístico por um datacenter,

0:11:08.232,0:11:09.967
fechar o contrato com o datacenter

0:11:09.967,0:11:13.938
e também contratar links de[br]alta velocidade contingenciados.

0:11:14.038,0:11:16.641
Não é um trabalho simples,[br]é um trabalho longo,

0:11:16.641,0:11:20.978
por isso ele ficou com priorização número[br]quatro e ficou um pouquinho mais adiante,

0:11:21.145,0:11:26.918
porque ele envolvia aqui todo um estudo[br]um pouco mais profundo, até financeiro.

0:11:26.984,0:11:32.857
Então vamos agora para o terceiro item,[br]então intrusão por parte de internautas,

0:11:32.924,0:11:38.362
pessoas externas a nossa rede de[br]computadores, análise de exposição alta.

0:11:38.463,0:11:41.466
Como que a gente chegou nessa conclusão[br]de que a exposição é alta?

0:11:41.499,0:11:43.000
Qual a justificativa?

0:11:43.000,0:11:47.939
Um teste de equipamento[br]detetor de intrusão apontou 3714

0:11:47.939,0:11:52.977
tentativas de acesso aos computadores[br]do datacenter do jornal por minuto.

0:11:53.077,0:11:55.746
Bom, a priorização ficou em terceiro[br]lugar.

0:11:55.746,0:11:58.416
Estratégia Eliminar esse risco.

0:11:58.416,0:11:59.250
Como?

0:11:59.250,0:12:04.488
Instalando definitivamente um ideal[br]que é um tudo detection system

0:12:04.589,0:12:07.058
e configurar o firewall para bloquear

0:12:07.058,0:12:10.361
pacotes de origem de dados suspeitos.

0:12:10.428,0:12:14.832
O último risco acesso físico indevido[br]ao datacenter

0:12:14.899,0:12:18.803
exposição[br]baixa Justificativa dessa análise

0:12:18.903,0:12:21.672
O acesso ao datacenter já conta

0:12:21.672,0:12:25.209
com identificação por crachá,[br]mais biometria da face.

0:12:25.276,0:12:27.845
Por raras vezes no ano,

0:12:27.845,0:12:32.650
a mola da porta[br]que fecha o datacenter acaba

0:12:32.650,0:12:38.990
não travando após alguém entrar ou sair,[br]mas isso raras vezes.

0:12:39.056,0:12:44.662
Então, o risco de alguém indevidamente[br]acessar o datacenter é baixo.

0:12:44.762,0:12:48.366
A priorização colocada em primeiro lugar,[br]apesar do risco baixo.

0:12:48.399,0:12:49.467
Por quê?

0:12:49.467,0:12:51.969
Porque é fácil de solucionar.

0:12:51.969,0:12:53.671
Vamos fazer já.

0:12:53.671,0:12:56.674
E o que fizemos? Eliminação Como?

0:12:56.674,0:13:00.077
Trocando o sistema de mola[br]por uma mola mais forte.

0:13:00.177,0:13:03.180
Veja então a diversidade de tratamentos.

0:13:03.381,0:13:07.485
E perceba que é sempre muito importante[br]quando você identificar

0:13:07.485,0:13:14.959
uma variável de risco,[br]apontar o grau de exposição justificado.

0:13:15.025,0:13:17.228
Pense sempre que solucionar os riscos

0:13:17.228,0:13:22.733
pode sair de uma solução barata[br]ou mais cara.

0:13:22.833,0:13:26.537
No exemplo que eu dei[br]por na parte de migração de datacenter,

0:13:26.537,0:13:29.406
nós temos ali um custo que com certeza[br]é altíssimo.

0:13:29.406,0:13:31.809
E foi nesse caso

0:13:31.809,0:13:34.178
que é você contratar[br]um datacenter externo, levar todos

0:13:34.178,0:13:36.147
seus servidores para esse datacenter

0:13:36.147,0:13:40.818
e depois[br]fazer os contratos de telecomunicações.

0:13:40.918,0:13:43.888
Essa conta custou algumas dezenas

0:13:43.888,0:13:47.124
de milhões de reais

0:13:47.224,0:13:49.059
por ano

0:13:49.059,0:13:52.396
para fazer isso aí[br]funcionando num outro datacenter.

0:13:52.463,0:13:55.466
Tudo isso rodar em um outro datacenter

0:13:55.499,0:13:57.968
não é uma decisão que eu tomo agora.

0:13:57.968,0:13:59.737
É uma decisão que leva tempo.

0:13:59.737,0:14:04.909
Envolve área financeira, envolve[br]com certeza os conselhos, os comitês,

0:14:04.975,0:14:09.980
envolve vários profissionais de TI[br]internos e dos terceiros.

0:14:10.080,0:14:14.652
Então, na hora de priorizar,[br]tem que levar em conta também isso.

0:14:14.718,0:14:17.254
Não basta[br]você olhar só a questão de probabilidade

0:14:17.254,0:14:20.958
de impactos da ocorrência do risco,[br]mas também os investimentos necessários

0:14:20.958,0:14:25.763
e o tempo para você solucionar[br]cada uma das questões ou reduzir

0:14:25.863,0:14:30.901
o tamanho do problema[br]que esse risco pode gerar no futuro.

0:14:30.968,0:14:33.971
Utilizando o método que eu[br]estou te mostrando aqui

0:14:34.171,0:14:38.242
na sua empresa, seguindo esses passos,[br]você vai ter uma chance de sucesso

0:14:38.342,0:14:42.946
para avaliação dos seus riscos[br]e para proposição de soluções

0:14:43.180,0:14:45.049
de uma forma muito mais interessante.

0:14:45.049,0:14:48.452
Com alta chance de você[br]conseguir implementar as suas ideias e.