Toda decisão de negócio envolve riscos. Existe a possibilidade das coisas darem certo ou não darem certo em função de algumas variáveis que às vezes são até incontroláveis por parte da empresa e podem acabar impulsionando uma iniciativa para um caminho que não era esperado. Para tratar essas situações surge a gestão de riscos, a gestão de riscos. Ela trata da identificação de fatores que podem acabar influenciando uma iniciativa para um caminho que não se deseja. Então a gente chama isso de identificação de riscos. Numa segunda etapa, eu tenho as análises dos riscos e o entendimento. Efetivamente, aquele risco, aquele fator de risco, aquela variável, até onde ela pode influenciar na nossa iniciativa, nos nossos resultados previstos. Em seguida, eu tenho a priorização desse risco. Ou seja, dentre vários riscos que eu tenho para um projeto que eu estou fazendo, por exemplo, quais riscos eu preciso tratar primeiro, segundo e terceiro lugar, porque eu não tenho fôlego para resolver de repente todos os riscos de uma vez só. Então eu tenho que priorizar. E como o quarto e último passo, vem a estratégia de resolução do risco de mitigação, de minimização da possibilidade de ele acontecer e virar um problema e do impacto que esse risco pode causar. Então eu posso atuar reduzindo tanto a chance de acontecer quanto também caso aconteça, reduzir o impacto desse risco para a companhia. Contando uma história para você. Certa vez eu trabalhava numa indústria farmacêutica. A indústria estava dobrando, fazendo um projeto. Já tinha iniciado inclusive obras para dobrar a capacidade fabril dela, dobrar a capacidade de produção. E no terreno que ela tinha, então ela estava duplicando a área de fábrica dela. Dentro dessa nova fábrica, na parte industrial, foi pensado uma série de detalhes relacionados a garantir altíssima disponibilidade dessa fábrica para que ela rode 20 e 04h07 dias por semana. Então, todos os robôs sistemas de supervisão da fábrica que foram decididos e adquiridos pela área de gestão industrial, todos esses sistemas e equipamentos eles tinham contingenciamento. Dualização. Então seria improvável, para não dizer impossível, que a fábrica tivesse uma parada por alguma falha de algum equipamento específico ou sistema. Porém, na área de informática geral da empresa, eu notei como gestor de TI, que a gente tinha um problema na parte de rede. As redes de comunicação de dados da empresa, não as externas que ligam a empresa para o seu exterior, essas estavam todas do alisadas. Na verdade, a gente tinha cinco canais de comunicação com operadoras diferentes. Enfim, um da um tinha uma parada na comunicação externa. Não aconteceria tanto nos equipamentos internos de comunicação quanto nos links de comunicação. Não aconteceria. Porém, na parte de redes internas da empresa, eu tinha um único caminho de fibra ótica para chegar até a fábrica. Então, na época, foi feito todo um desenho de uma dualização do anel ótico da empresa, passando por partes diferentes do terreno da indústria, de maneira a minimizar o impacto caso houvesse o rompimento de uma fibra ótica ou uma falha em algum equipamento de fibra. Ao longo do uso do dia a dia da fábrica e dos seus equipamentos e sistemas. Interessante contar uma coisa agora eu estava em férias no litoral. Ligou para mim o meu coordenar da área de redes. Nessa época, a FAB. A construção da fábrica de medicamentos estava acontecendo. Aí ele ligou pra mim e falou assim Renato, eu tenho uma coisa pra te contar. Eu falei que e já tava até dando risada no telefone, eu imaginei e falou assim Você lembra que certa vez, quando você estava defendendo a ideia do projeto de dualização de fibras, você falou para o dono da empresa que existia a chance de, de repente uma broca de perfuração para colocar lá o alicerce da fábrica, acabar perfurando em lugar errado e pegando as fibras da empresa e destruindo a rede local. Você lembra que você falou isso? Eu falei lembra? E falou Pois bem, Renato, aconteceu hoje. Levantou, levantaram a broca e todas as fibras óticas da empresa ali subiram junto com a broca. Arrebentou tudo. Eu falei o que aconteceu? Ele falou nada, porque a gente tinha feito projeto de dualização antes. Então eles arrebentaram um circuito, só que o outro manteve a fábrica funcionando. Olha só a importância disso. Nós estamos falando de governança. De atingir os objetivos maiores da organização e dos acionistas. Você imagina uma paralisação da maior empresa farmacêutica do Brasil? Quanto tempo eu ia levar para repassar todas essas fibras óticas? Que eu fizesse isso num tempo aceleradíssimo e que eu levasse uns dois dias. Consegue imaginar dois dias de produção da maior farmacêutica do Brasil parada? Então, agora eu quero mostrar para você alguns exemplos de como a gente faz para mitigar os riscos, para tratar os riscos e reduzir os os impactos de um risco. Eu preparei um painel para você entender três estratégias que a gente pode usar frente aos riscos para tratar os riscos. Uma delas é resolver definitivamente. A segunda é transferir esse risco para terceiros. Eu tiro do meu ombro e passo pra outra pessoa cuidar. E a terceira estratégia é você monitorar a situação continuamente e, caso vire um problema, você medir. Você adota uma solução de remediação de correção. Vamos dá uma olhadinha nos exemplos. Bom, nesse painel aqui você observa o seguinte temos uma coluna de fatores de risco, uma de análise e uma de justificativa do nível de exposição, que é o quanto o risco está expondo a empresa. Depois eu tenho uma priorização, que é a sequência de tratamento que foi sugerida, em seguida, a estratégia de tratamento e qual é a ação que vai ser tomada. Eu coloquei aqui supostamente um exemplo hipotético da Ultra News, um grupo jornalístico que eu inventei aqui e aqui. Pessoal, nós temos a seguinte situações e todas essas são reais de um grupo jornalístico onde eu trabalhei. Só que aqui eu não estou colocando o nome do grupo. Aqui eu coloquei só riscos infraestruturais, não coloquei riscos relacionados a software mais relacionados à infraestrutura. Eu tenho aqui um primeiro risco, que é a ocupação de disco rígido com dados nos servidores de imagens do jornal ou do jornal coleta imagens. Essas imagens são guardadas. Isso ocupa muito espaço. Foi identificado que existia uma uma exposição muito alta com relação a isso, ou seja, grande chance de acontecer um colapso em função do excesso de uso de disco, impactando profundamente o jornal. Dado que tudo o que ele publica envolve, de certa forma algum conteúdo em imagem, está aqui a justificativa da exposição Por que a gente considerou alto. A justificativa existe 75% de ocupação atual e uma taxa de crescimento de 2% ao mês no uso de discos, sendo que quando alcançar 80% de espaço ocupado, o computador vai parar. Então nós estamos na iminência de uma parada, uma parada que vai afetar todo o trabalho da redação do jornal. Portanto, probabilidade, impacto, alta priorização. Ele ganhou aqui o segundo lugar. Depois a gente vai olhar os outros. Estratégia o que foi adotado como estratégia de tratamento. Vamos monitorar e remediar. Ou seja, na medida que os discos vão bater em 80%, chegando até lá, eu faço um trabalho de limpeza. Então, batendo 80%, dispararem automaticamente alguns programas, rotinas para limpeza dos bancos de dados e a expectativa é que essa limpeza vai reduzir até mais de 80% dos dados atualmente ocupados, porque a gente tem 100 anos de existência do grupo jornalístico guardados nos discos. Então, se eu rodar, quando rodar essa rotina de limpeza pela primeira vez, eu provavelmente vou derrubar os 80% de ocupação atuais para algo próximo a 20% ou menos. Próximo risco Incêndio no datacenter Principal Nível de exposição médio alto. Por quê? Justificativa O datacenter fica acima do depósito de tintas do jornal, onde ocorreram nove princípios de incêndio no último ano, ou seja, é fato que pode ocorrer um incêndio. Não é uma hipótese, porque já tivemos nove princípios de incêndio e o datacenter está exposto porque ele está num andar superior, o depósito de tintas, e todo mundo sabe que o fogo sobe, ele não desce. Então nós temos aqui uma exposição média alta. Então estamos na iminência de um incêndio, não datacenter, mas existe uma chance, forte priorização. Ele ganhou aqui o quarto lugar. Depois nós vamos entender o porquê da priorização e a estratégia foi transferir, transferir aqui. Como? Contratando um datacenter externo em nuvem e migrando todos os equipamentos do jornal para esse datacenter, sendo que esse datacenter será escolhido de forma a garantir um nível de atenção de avaliação internacional de segurança. Ter numa camada elevada do tier tiro e uma gradação de segurança. Então a gente no caso contratou um datacenter tier quatro, que é o penúltimo nível de segurança máxima, o nível máximo, esse cinco No Brasil não existe datacenter nível cinco. E também contratar links duplicados de alta velocidade de provedores diferentes para ligar a empresa ao novo datacenter. Então veja, tem duas iniciativas aqui grandes para fazer migrar todos equipamentos do grupo jornalístico por um datacenter, fechar o contrato com o datacenter e também contratar links de alta velocidade contingenciados. Não é um trabalho simples, é um trabalho longo, por isso ele ficou com priorização número quatro e ficou um pouquinho mais adiante, porque ele envolvia aqui todo um estudo um pouco mais profundo, até financeiro. Então vamos agora para o terceiro item, então intrusão por parte de internautas, pessoas externas a nossa rede de computadores, análise de exposição alta. Como que a gente chegou nessa conclusão de que a exposição é alta? Qual a justificativa? Um teste de equipamento detetor de intrusão apontou 3714 tentativas de acesso aos computadores do datacenter do jornal por minuto. Bom, a priorização ficou em terceiro lugar. Estratégia Eliminar esse risco. Como? Instalando definitivamente um ideal que é um tudo detection system e configurar o firewall para bloquear pacotes de origem de dados suspeitos. O último risco acesso físico indevido ao datacenter exposição baixa Justificativa dessa análise O acesso ao datacenter já conta com identificação por crachá, mais biometria da face. Por raras vezes no ano, a mola da porta que fecha o datacenter acaba não travando após alguém entrar ou sair, mas isso raras vezes. Então, o risco de alguém indevidamente acessar o datacenter é baixo. A priorização colocada em primeiro lugar, apesar do risco baixo. Por quê? Porque é fácil de solucionar. Vamos fazer já. E o que fizemos? Eliminação Como? Trocando o sistema de mola por uma mola mais forte. Veja então a diversidade de tratamentos. E perceba que é sempre muito importante quando você identificar uma variável de risco, apontar o grau de exposição justificado. Pense sempre que solucionar os riscos pode sair de uma solução barata ou mais cara. No exemplo que eu dei por na parte de migração de datacenter, nós temos ali um custo que com certeza é altíssimo. E foi nesse caso que é você contratar um datacenter externo, levar todos seus servidores para esse datacenter e depois fazer os contratos de telecomunicações. Essa conta custou algumas dezenas de milhões de reais por ano para fazer isso aí funcionando num outro datacenter. Tudo isso rodar em um outro datacenter não é uma decisão que eu tomo agora. É uma decisão que leva tempo. Envolve área financeira, envolve com certeza os conselhos, os comitês, envolve vários profissionais de TI internos e dos terceiros. Então, na hora de priorizar, tem que levar em conta também isso. Não basta você olhar só a questão de probabilidade de impactos da ocorrência do risco, mas também os investimentos necessários e o tempo para você solucionar cada uma das questões ou reduzir o tamanho do problema que esse risco pode gerar no futuro. Utilizando o método que eu estou te mostrando aqui na sua empresa, seguindo esses passos, você vai ter uma chance de sucesso para avaliação dos seus riscos e para proposição de soluções de uma forma muito mais interessante. Com alta chance de você conseguir implementar as suas ideias e.