1 00:00:08,041 --> 00:00:10,744 Toda decisão de negócio envolve riscos. 2 00:00:10,744 --> 00:00:14,047 Existe a possibilidade das coisas darem certo ou não 3 00:00:14,047 --> 00:00:17,917 darem certo em função de algumas variáveis 4 00:00:17,984 --> 00:00:22,922 que às vezes são até incontroláveis por parte da empresa e podem acabar 5 00:00:22,989 --> 00:00:28,461 impulsionando uma iniciativa para um caminho que não era esperado. 6 00:00:28,561 --> 00:00:30,396 Para tratar essas situações 7 00:00:30,396 --> 00:00:33,266 surge a gestão de riscos, 8 00:00:33,266 --> 00:00:34,234 a gestão de riscos. 9 00:00:34,234 --> 00:00:38,004 Ela trata da identificação de fatores que podem acabar 10 00:00:38,004 --> 00:00:44,010 influenciando uma iniciativa para um caminho que não se deseja. 11 00:00:44,110 --> 00:00:47,080 Então a gente chama isso de identificação de riscos. 12 00:00:47,147 --> 00:00:51,684 Numa segunda etapa, eu tenho as análises dos riscos e o entendimento. 13 00:00:51,784 --> 00:00:54,621 Efetivamente, aquele risco, aquele fator de risco, 14 00:00:54,621 --> 00:00:57,924 aquela variável, até onde ela pode influenciar 15 00:00:58,024 --> 00:01:03,296 na nossa iniciativa, nos nossos resultados previstos. 16 00:01:03,396 --> 00:01:07,433 Em seguida, eu tenho a priorização desse risco. 17 00:01:07,600 --> 00:01:11,404 Ou seja, dentre vários riscos que eu tenho 18 00:01:11,471 --> 00:01:14,140 para um projeto que eu estou fazendo, por exemplo, 19 00:01:14,140 --> 00:01:18,978 quais riscos eu preciso tratar primeiro, segundo e terceiro lugar, 20 00:01:19,078 --> 00:01:19,712 porque eu não tenho 21 00:01:19,712 --> 00:01:22,982 fôlego para resolver de repente todos os riscos de uma vez só. 22 00:01:23,049 --> 00:01:26,052 Então eu tenho que priorizar. 23 00:01:26,286 --> 00:01:27,820 E como o quarto e último passo, 24 00:01:27,820 --> 00:01:33,426 vem a estratégia de resolução do risco de mitigação, de minimização 25 00:01:33,493 --> 00:01:37,163 da possibilidade de ele acontecer e virar um problema 26 00:01:37,263 --> 00:01:40,266 e do impacto que esse risco pode causar. 27 00:01:40,299 --> 00:01:44,103 Então eu posso atuar reduzindo tanto a chance de acontecer 28 00:01:44,170 --> 00:01:50,677 quanto também caso aconteça, reduzir o impacto desse risco para a companhia. 29 00:01:50,743 --> 00:01:53,079 Contando uma história para você. 30 00:01:53,079 --> 00:01:56,949 Certa vez eu trabalhava numa indústria farmacêutica. 31 00:01:57,016 --> 00:02:00,019 A indústria estava dobrando, fazendo um projeto. 32 00:02:00,219 --> 00:02:03,790 Já tinha iniciado inclusive obras para dobrar a capacidade 33 00:02:03,790 --> 00:02:07,894 fabril dela, dobrar a capacidade de produção. 34 00:02:07,960 --> 00:02:13,666 E no terreno que ela tinha, então ela estava duplicando a área de fábrica dela. 35 00:02:13,733 --> 00:02:14,367 Dentro dessa 36 00:02:14,367 --> 00:02:19,172 nova fábrica, na parte industrial, foi pensado uma série de detalhes 37 00:02:19,238 --> 00:02:22,308 relacionados a garantir altíssima disponibilidade 38 00:02:22,308 --> 00:02:26,212 dessa fábrica para que ela rode 20 e 04h07 dias por semana. 39 00:02:26,312 --> 00:02:31,317 Então, todos os robôs sistemas de supervisão da fábrica 40 00:02:31,417 --> 00:02:35,288 que foram decididos e adquiridos pela área de gestão industrial, 41 00:02:35,354 --> 00:02:40,026 todos esses sistemas e equipamentos eles tinham contingenciamento. 42 00:02:40,259 --> 00:02:41,761 Dualização. 43 00:02:41,761 --> 00:02:45,198 Então seria improvável, para não dizer impossível, que a fábrica 44 00:02:45,198 --> 00:02:51,437 tivesse uma parada por alguma falha de algum equipamento específico ou sistema. 45 00:02:51,504 --> 00:02:52,838 Porém, 46 00:02:52,838 --> 00:02:56,475 na área de informática geral da empresa, 47 00:02:56,542 --> 00:03:02,582 eu notei como gestor de TI, que a gente tinha um problema na parte de rede. 48 00:03:02,648 --> 00:03:06,085 As redes de comunicação de dados da empresa, 49 00:03:06,185 --> 00:03:08,721 não as externas que ligam a empresa 50 00:03:08,721 --> 00:03:11,791 para o seu exterior, essas estavam todas do alisadas. 51 00:03:11,824 --> 00:03:15,595 Na verdade, a gente tinha cinco canais de comunicação com operadoras diferentes. 52 00:03:15,595 --> 00:03:19,298 Enfim, um da um tinha uma parada na comunicação externa. 53 00:03:19,298 --> 00:03:21,000 Não aconteceria 54 00:03:21,100 --> 00:03:23,302 tanto nos equipamentos internos de comunicação 55 00:03:23,302 --> 00:03:24,670 quanto nos links de comunicação. 56 00:03:24,670 --> 00:03:27,573 Não aconteceria. 57 00:03:27,573 --> 00:03:28,507 Porém, 58 00:03:28,507 --> 00:03:31,410 na parte de redes internas da empresa, 59 00:03:31,410 --> 00:03:38,751 eu tinha um único caminho de fibra ótica para chegar até a fábrica. 60 00:03:38,851 --> 00:03:41,354 Então, na época, foi feito todo 61 00:03:41,354 --> 00:03:45,591 um desenho de uma dualização do anel ótico da empresa, 62 00:03:45,691 --> 00:03:50,663 passando por partes diferentes do terreno da indústria, 63 00:03:50,763 --> 00:03:54,200 de maneira a minimizar o impacto caso 64 00:03:54,266 --> 00:03:57,803 houvesse o rompimento de uma fibra ótica 65 00:03:57,903 --> 00:04:01,107 ou uma falha em algum equipamento de fibra. 66 00:04:01,207 --> 00:04:03,943 Ao longo do uso 67 00:04:03,943 --> 00:04:07,446 do dia a dia da fábrica e dos seus equipamentos e sistemas. 68 00:04:07,513 --> 00:04:10,883 Interessante contar uma coisa agora 69 00:04:10,983 --> 00:04:13,119 eu estava em férias 70 00:04:13,119 --> 00:04:14,620 no litoral. 71 00:04:14,620 --> 00:04:19,325 Ligou para mim o meu coordenar da área de redes. 72 00:04:19,391 --> 00:04:20,793 Nessa época, a FAB. 73 00:04:20,793 --> 00:04:25,231 A construção da fábrica de medicamentos estava acontecendo. Aí 74 00:04:25,297 --> 00:04:28,100 ele ligou pra mim e falou assim Renato, 75 00:04:28,100 --> 00:04:31,637 eu tenho uma coisa pra te contar. 76 00:04:31,704 --> 00:04:35,207 Eu falei que e já tava até dando risada no telefone, eu imaginei 77 00:04:35,307 --> 00:04:37,610 e falou assim Você lembra que certa vez, 78 00:04:37,610 --> 00:04:41,747 quando você estava defendendo a ideia do projeto de dualização de fibras, 79 00:04:41,814 --> 00:04:46,919 você falou para o dono da empresa que existia a chance 80 00:04:47,019 --> 00:04:52,124 de, de repente uma broca de perfuração para colocar lá o alicerce da fábrica, 81 00:04:52,191 --> 00:04:55,761 acabar perfurando em lugar errado e pegando as fibras da empresa 82 00:04:55,861 --> 00:04:57,630 e destruindo a rede local. 83 00:04:57,630 --> 00:04:58,831 Você lembra que você falou isso? 84 00:04:58,831 --> 00:05:01,233 Eu falei lembra? 85 00:05:01,233 --> 00:05:03,969 E falou Pois bem, Renato, aconteceu 86 00:05:03,969 --> 00:05:05,137 hoje. 87 00:05:05,137 --> 00:05:08,607 Levantou, levantaram a broca e todas as fibras óticas da empresa ali 88 00:05:08,674 --> 00:05:11,110 subiram junto com a broca. Arrebentou tudo. 89 00:05:11,110 --> 00:05:14,546 Eu falei o que aconteceu? Ele falou nada, 90 00:05:14,647 --> 00:05:17,650 porque a gente tinha feito projeto de dualização antes. 91 00:05:17,650 --> 00:05:21,587 Então eles arrebentaram um circuito, só que o outro manteve a fábrica 92 00:05:21,587 --> 00:05:23,889 funcionando. 93 00:05:23,889 --> 00:05:26,892 Olha só a importância disso. 94 00:05:26,959 --> 00:05:29,261 Nós estamos falando de governança. 95 00:05:29,261 --> 00:05:33,298 De atingir os objetivos maiores da organização e dos acionistas. 96 00:05:33,399 --> 00:05:36,068 Você imagina uma paralisação da maior 97 00:05:36,068 --> 00:05:39,638 empresa farmacêutica do Brasil? 98 00:05:39,705 --> 00:05:44,009 Quanto tempo eu ia levar para repassar todas essas fibras óticas? Que 99 00:05:44,009 --> 00:05:48,747 eu fizesse isso num tempo aceleradíssimo e que eu levasse uns dois dias. 100 00:05:48,847 --> 00:05:51,216 Consegue imaginar dois dias de produção 101 00:05:51,216 --> 00:05:55,287 da maior farmacêutica do Brasil parada? 102 00:05:55,387 --> 00:05:56,989 Então, agora eu quero mostrar para você 103 00:05:56,989 --> 00:06:01,760 alguns exemplos de como a gente faz para mitigar os riscos, 104 00:06:01,860 --> 00:06:06,198 para tratar os riscos e reduzir os os impactos de um risco. 105 00:06:06,298 --> 00:06:09,902 Eu preparei um painel para você entender três estratégias 106 00:06:09,902 --> 00:06:15,307 que a gente pode usar frente aos riscos para tratar os riscos. 107 00:06:15,374 --> 00:06:18,811 Uma delas é resolver definitivamente. 108 00:06:18,877 --> 00:06:22,514 A segunda é transferir esse risco para terceiros. 109 00:06:22,581 --> 00:06:26,351 Eu tiro do meu ombro e passo pra outra pessoa cuidar. 110 00:06:26,418 --> 00:06:30,489 E a terceira estratégia é você monitorar a situação 111 00:06:30,489 --> 00:06:34,893 continuamente e, caso vire um problema, você medir. 112 00:06:34,960 --> 00:06:40,399 Você adota uma solução de remediação de correção. 113 00:06:40,499 --> 00:06:42,768 Vamos dá uma olhadinha nos exemplos. 114 00:06:42,768 --> 00:06:47,573 Bom, nesse painel aqui você observa o seguinte temos uma coluna 115 00:06:47,673 --> 00:06:49,875 de fatores de risco, 116 00:06:49,875 --> 00:06:54,079 uma de análise e uma de justificativa do nível de exposição, 117 00:06:54,313 --> 00:06:58,617 que é o quanto o risco está expondo a empresa. 118 00:06:58,717 --> 00:07:00,252 Depois eu tenho uma priorização, 119 00:07:00,252 --> 00:07:04,456 que é a sequência de tratamento que foi sugerida, em seguida, 120 00:07:04,456 --> 00:07:08,660 a estratégia de tratamento e qual é a ação que vai ser tomada. 121 00:07:08,727 --> 00:07:13,498 Eu coloquei aqui supostamente um exemplo hipotético da Ultra News, 122 00:07:13,532 --> 00:07:16,668 um grupo jornalístico que eu inventei aqui e aqui. 123 00:07:16,668 --> 00:07:19,004 Pessoal, nós temos a seguinte situações 124 00:07:19,004 --> 00:07:23,408 e todas essas são reais de um grupo jornalístico onde eu trabalhei. 125 00:07:23,475 --> 00:07:26,078 Só que aqui eu não estou colocando o nome do grupo. 126 00:07:26,078 --> 00:07:27,179 Aqui eu coloquei só riscos 127 00:07:27,179 --> 00:07:29,881 infraestruturais, não coloquei riscos relacionados 128 00:07:29,881 --> 00:07:32,751 a software mais relacionados à infraestrutura. 129 00:07:32,751 --> 00:07:36,855 Eu tenho aqui um primeiro risco, que é a ocupação de disco rígido 130 00:07:36,855 --> 00:07:43,161 com dados nos servidores de imagens do jornal ou do jornal coleta imagens. 131 00:07:43,161 --> 00:07:44,563 Essas imagens são guardadas. 132 00:07:44,563 --> 00:07:46,298 Isso ocupa muito espaço. 133 00:07:46,298 --> 00:07:49,935 Foi identificado que existia uma uma exposição muito alta 134 00:07:49,935 --> 00:07:55,740 com relação a isso, ou seja, grande chance de acontecer um colapso em função 135 00:07:55,740 --> 00:08:01,580 do excesso de uso de disco, impactando profundamente o jornal. 136 00:08:01,646 --> 00:08:04,015 Dado que tudo o que ele publica 137 00:08:04,015 --> 00:08:07,252 envolve, de certa forma algum conteúdo em imagem, 138 00:08:07,352 --> 00:08:11,389 está aqui a justificativa da exposição Por que a gente considerou alto. 139 00:08:11,490 --> 00:08:16,695 A justificativa existe 75% de ocupação atual 140 00:08:16,761 --> 00:08:21,466 e uma taxa de crescimento de 2% ao mês no uso de discos, 141 00:08:21,533 --> 00:08:28,340 sendo que quando alcançar 80% de espaço ocupado, o computador vai parar. 142 00:08:28,406 --> 00:08:31,409 Então nós estamos na iminência de uma parada, 143 00:08:31,443 --> 00:08:34,880 uma parada que vai afetar todo o trabalho da redação do jornal. 144 00:08:35,080 --> 00:08:39,384 Portanto, probabilidade, impacto, alta priorização. 145 00:08:39,384 --> 00:08:40,919 Ele ganhou aqui o segundo lugar. 146 00:08:40,919 --> 00:08:42,721 Depois a gente vai olhar os outros. 147 00:08:42,721 --> 00:08:46,858 Estratégia o que foi adotado como estratégia de tratamento. 148 00:08:46,958 --> 00:08:49,427 Vamos monitorar e remediar. 149 00:08:49,427 --> 00:08:53,365 Ou seja, na medida que os discos vão bater em 80%, 150 00:08:53,465 --> 00:08:57,302 chegando até lá, eu faço um trabalho de limpeza. 151 00:08:57,369 --> 00:09:02,273 Então, batendo 80%, dispararem automaticamente 152 00:09:02,374 --> 00:09:06,845 alguns programas, rotinas para limpeza dos bancos de dados 153 00:09:06,911 --> 00:09:11,149 e a expectativa é que essa limpeza vai reduzir 154 00:09:11,216 --> 00:09:14,719 até mais de 80% dos dados atualmente ocupados, 155 00:09:14,819 --> 00:09:18,256 porque a gente tem 100 anos de existência do grupo jornalístico 156 00:09:18,256 --> 00:09:20,525 guardados nos discos. 157 00:09:20,525 --> 00:09:24,729 Então, se eu rodar, quando rodar essa rotina de limpeza pela primeira vez, 158 00:09:24,796 --> 00:09:27,699 eu provavelmente vou derrubar os 80% de ocupação atuais 159 00:09:27,699 --> 00:09:30,969 para algo próximo a 20% ou menos. 160 00:09:31,035 --> 00:09:35,373 Próximo risco Incêndio no datacenter Principal 161 00:09:35,440 --> 00:09:37,442 Nível de exposição médio alto. 162 00:09:37,442 --> 00:09:38,143 Por quê? 163 00:09:38,143 --> 00:09:44,215 Justificativa O datacenter fica acima do depósito de tintas do jornal, 164 00:09:44,315 --> 00:09:48,586 onde ocorreram nove princípios de incêndio no último ano, 165 00:09:48,653 --> 00:09:53,358 ou seja, é fato que pode ocorrer um incêndio. 166 00:09:53,358 --> 00:09:57,462 Não é uma hipótese, porque já tivemos nove princípios de incêndio 167 00:09:57,529 --> 00:10:00,932 e o datacenter está exposto porque ele está num andar superior, 168 00:10:00,932 --> 00:10:05,336 o depósito de tintas, e todo mundo sabe que o fogo sobe, ele não desce. 169 00:10:05,436 --> 00:10:08,740 Então nós temos aqui uma exposição média alta. 170 00:10:08,773 --> 00:10:10,575 Então estamos na iminência de um incêndio, 171 00:10:10,575 --> 00:10:14,779 não datacenter, mas existe uma chance, forte priorização. 172 00:10:14,779 --> 00:10:16,047 Ele ganhou aqui o quarto lugar. 173 00:10:16,047 --> 00:10:18,750 Depois nós vamos entender o porquê da priorização 174 00:10:18,750 --> 00:10:22,020 e a estratégia foi transferir, transferir aqui. 175 00:10:22,020 --> 00:10:22,687 Como? 176 00:10:22,687 --> 00:10:26,824 Contratando um datacenter externo em nuvem e migrando 177 00:10:26,824 --> 00:10:30,528 todos os equipamentos do jornal para esse datacenter, 178 00:10:30,628 --> 00:10:35,099 sendo que esse datacenter será escolhido de forma a garantir um nível de atenção 179 00:10:35,099 --> 00:10:38,403 de avaliação internacional de segurança. Ter 180 00:10:38,469 --> 00:10:39,170 numa camada 181 00:10:39,170 --> 00:10:42,640 elevada do tier tiro e uma gradação de segurança. 182 00:10:42,707 --> 00:10:46,144 Então a gente no caso contratou um datacenter tier quatro, 183 00:10:46,377 --> 00:10:49,180 que é o penúltimo nível de segurança máxima, 184 00:10:49,180 --> 00:10:53,351 o nível máximo, esse cinco No Brasil não existe datacenter nível cinco. 185 00:10:53,418 --> 00:10:57,088 E também contratar links duplicados de alta velocidade 186 00:10:57,088 --> 00:11:00,291 de provedores diferentes para ligar a empresa ao novo datacenter. 187 00:11:00,291 --> 00:11:04,729 Então veja, tem duas iniciativas aqui grandes para fazer 188 00:11:04,829 --> 00:11:08,166 migrar todos equipamentos do grupo jornalístico por um datacenter, 189 00:11:08,232 --> 00:11:09,967 fechar o contrato com o datacenter 190 00:11:09,967 --> 00:11:13,938 e também contratar links de alta velocidade contingenciados. 191 00:11:14,038 --> 00:11:16,641 Não é um trabalho simples, é um trabalho longo, 192 00:11:16,641 --> 00:11:20,978 por isso ele ficou com priorização número quatro e ficou um pouquinho mais adiante, 193 00:11:21,145 --> 00:11:26,918 porque ele envolvia aqui todo um estudo um pouco mais profundo, até financeiro. 194 00:11:26,984 --> 00:11:32,857 Então vamos agora para o terceiro item, então intrusão por parte de internautas, 195 00:11:32,924 --> 00:11:38,362 pessoas externas a nossa rede de computadores, análise de exposição alta. 196 00:11:38,463 --> 00:11:41,466 Como que a gente chegou nessa conclusão de que a exposição é alta? 197 00:11:41,499 --> 00:11:43,000 Qual a justificativa? 198 00:11:43,000 --> 00:11:47,939 Um teste de equipamento detetor de intrusão apontou 3714 199 00:11:47,939 --> 00:11:52,977 tentativas de acesso aos computadores do datacenter do jornal por minuto. 200 00:11:53,077 --> 00:11:55,746 Bom, a priorização ficou em terceiro lugar. 201 00:11:55,746 --> 00:11:58,416 Estratégia Eliminar esse risco. 202 00:11:58,416 --> 00:11:59,250 Como? 203 00:11:59,250 --> 00:12:04,488 Instalando definitivamente um ideal que é um tudo detection system 204 00:12:04,589 --> 00:12:07,058 e configurar o firewall para bloquear 205 00:12:07,058 --> 00:12:10,361 pacotes de origem de dados suspeitos. 206 00:12:10,428 --> 00:12:14,832 O último risco acesso físico indevido ao datacenter 207 00:12:14,899 --> 00:12:18,803 exposição baixa Justificativa dessa análise 208 00:12:18,903 --> 00:12:21,672 O acesso ao datacenter já conta 209 00:12:21,672 --> 00:12:25,209 com identificação por crachá, mais biometria da face. 210 00:12:25,276 --> 00:12:27,845 Por raras vezes no ano, 211 00:12:27,845 --> 00:12:32,650 a mola da porta que fecha o datacenter acaba 212 00:12:32,650 --> 00:12:38,990 não travando após alguém entrar ou sair, mas isso raras vezes. 213 00:12:39,056 --> 00:12:44,662 Então, o risco de alguém indevidamente acessar o datacenter é baixo. 214 00:12:44,762 --> 00:12:48,366 A priorização colocada em primeiro lugar, apesar do risco baixo. 215 00:12:48,399 --> 00:12:49,467 Por quê? 216 00:12:49,467 --> 00:12:51,969 Porque é fácil de solucionar. 217 00:12:51,969 --> 00:12:53,671 Vamos fazer já. 218 00:12:53,671 --> 00:12:56,674 E o que fizemos? Eliminação Como? 219 00:12:56,674 --> 00:13:00,077 Trocando o sistema de mola por uma mola mais forte. 220 00:13:00,177 --> 00:13:03,180 Veja então a diversidade de tratamentos. 221 00:13:03,381 --> 00:13:07,485 E perceba que é sempre muito importante quando você identificar 222 00:13:07,485 --> 00:13:14,959 uma variável de risco, apontar o grau de exposição justificado. 223 00:13:15,025 --> 00:13:17,228 Pense sempre que solucionar os riscos 224 00:13:17,228 --> 00:13:22,733 pode sair de uma solução barata ou mais cara. 225 00:13:22,833 --> 00:13:26,537 No exemplo que eu dei por na parte de migração de datacenter, 226 00:13:26,537 --> 00:13:29,406 nós temos ali um custo que com certeza é altíssimo. 227 00:13:29,406 --> 00:13:31,809 E foi nesse caso 228 00:13:31,809 --> 00:13:34,178 que é você contratar um datacenter externo, levar todos 229 00:13:34,178 --> 00:13:36,147 seus servidores para esse datacenter 230 00:13:36,147 --> 00:13:40,818 e depois fazer os contratos de telecomunicações. 231 00:13:40,918 --> 00:13:43,888 Essa conta custou algumas dezenas 232 00:13:43,888 --> 00:13:47,124 de milhões de reais 233 00:13:47,224 --> 00:13:49,059 por ano 234 00:13:49,059 --> 00:13:52,396 para fazer isso aí funcionando num outro datacenter. 235 00:13:52,463 --> 00:13:55,466 Tudo isso rodar em um outro datacenter 236 00:13:55,499 --> 00:13:57,968 não é uma decisão que eu tomo agora. 237 00:13:57,968 --> 00:13:59,737 É uma decisão que leva tempo. 238 00:13:59,737 --> 00:14:04,909 Envolve área financeira, envolve com certeza os conselhos, os comitês, 239 00:14:04,975 --> 00:14:09,980 envolve vários profissionais de TI internos e dos terceiros. 240 00:14:10,080 --> 00:14:14,652 Então, na hora de priorizar, tem que levar em conta também isso. 241 00:14:14,718 --> 00:14:17,254 Não basta você olhar só a questão de probabilidade 242 00:14:17,254 --> 00:14:20,958 de impactos da ocorrência do risco, mas também os investimentos necessários 243 00:14:20,958 --> 00:14:25,763 e o tempo para você solucionar cada uma das questões ou reduzir 244 00:14:25,863 --> 00:14:30,901 o tamanho do problema que esse risco pode gerar no futuro. 245 00:14:30,968 --> 00:14:33,971 Utilizando o método que eu estou te mostrando aqui 246 00:14:34,171 --> 00:14:38,242 na sua empresa, seguindo esses passos, você vai ter uma chance de sucesso 247 00:14:38,342 --> 00:14:42,946 para avaliação dos seus riscos e para proposição de soluções 248 00:14:43,180 --> 00:14:45,049 de uma forma muito mais interessante. 249 00:14:45,049 --> 00:14:48,452 Com alta chance de você conseguir implementar as suas ideias e.