WEBVTT

00:00:08.041 --> 00:00:10.744
Toda decisão de negócio envolve riscos.

00:00:10.744 --> 00:00:14.047
Existe a possibilidade das coisas
darem certo ou não

00:00:14.047 --> 00:00:17.917
darem certo em função de algumas variáveis

00:00:17.984 --> 00:00:22.922
que às vezes são até incontroláveis
por parte da empresa e podem acabar

00:00:22.989 --> 00:00:28.461
impulsionando uma iniciativa
para um caminho que não era esperado.

00:00:28.561 --> 00:00:30.396
Para tratar essas situações

00:00:30.396 --> 00:00:33.266
surge a gestão de riscos,

00:00:33.266 --> 00:00:34.234
a gestão de riscos.

00:00:34.234 --> 00:00:38.004
Ela trata da identificação de fatores
que podem acabar

00:00:38.004 --> 00:00:44.010
influenciando uma iniciativa
para um caminho que não se deseja.

00:00:44.110 --> 00:00:47.080
Então a gente chama isso
de identificação de riscos.

00:00:47.147 --> 00:00:51.684
Numa segunda etapa, eu tenho as análises
dos riscos e o entendimento.

00:00:51.784 --> 00:00:54.621
Efetivamente, aquele risco,
aquele fator de risco,

00:00:54.621 --> 00:00:57.924
aquela variável,
até onde ela pode influenciar

00:00:58.024 --> 00:01:03.296
na nossa iniciativa, nos nossos resultados
previstos.

00:01:03.396 --> 00:01:07.433
Em seguida,
eu tenho a priorização desse risco.

00:01:07.600 --> 00:01:11.404
Ou seja, dentre vários riscos que eu tenho

00:01:11.471 --> 00:01:14.140
para um projeto que eu estou fazendo,
por exemplo,

00:01:14.140 --> 00:01:18.978
quais riscos eu preciso tratar
primeiro, segundo e terceiro lugar,

00:01:19.078 --> 00:01:19.712
porque eu não tenho

00:01:19.712 --> 00:01:22.982
fôlego para resolver
de repente todos os riscos de uma vez só.

00:01:23.049 --> 00:01:26.052
Então eu tenho que priorizar.

00:01:26.286 --> 00:01:27.820
E como o quarto e último passo,

00:01:27.820 --> 00:01:33.426
vem a estratégia de resolução
do risco de mitigação, de minimização

00:01:33.493 --> 00:01:37.163
da possibilidade de ele acontecer
e virar um problema

00:01:37.263 --> 00:01:40.266
e do impacto que esse risco pode causar.

00:01:40.299 --> 00:01:44.103
Então eu posso atuar
reduzindo tanto a chance de acontecer

00:01:44.170 --> 00:01:50.677
quanto também caso aconteça, reduzir
o impacto desse risco para a companhia.

00:01:50.743 --> 00:01:53.079
Contando uma história para você.

00:01:53.079 --> 00:01:56.949
Certa vez
eu trabalhava numa indústria farmacêutica.

00:01:57.016 --> 00:02:00.019
A indústria estava dobrando,
fazendo um projeto.

00:02:00.219 --> 00:02:03.790
Já tinha iniciado
inclusive obras para dobrar a capacidade

00:02:03.790 --> 00:02:07.894
fabril dela,
dobrar a capacidade de produção.

00:02:07.960 --> 00:02:13.666
E no terreno que ela tinha, então ela
estava duplicando a área de fábrica dela.

00:02:13.733 --> 00:02:14.367
Dentro dessa

00:02:14.367 --> 00:02:19.172
nova fábrica, na parte industrial,
foi pensado uma série de detalhes

00:02:19.238 --> 00:02:22.308
relacionados a garantir
altíssima disponibilidade

00:02:22.308 --> 00:02:26.212
dessa fábrica para que ela rode 20 e 04h07
dias por semana.

00:02:26.312 --> 00:02:31.317
Então, todos os robôs
sistemas de supervisão da fábrica

00:02:31.417 --> 00:02:35.288
que foram decididos e adquiridos
pela área de gestão industrial,

00:02:35.354 --> 00:02:40.026
todos esses sistemas e equipamentos
eles tinham contingenciamento.

00:02:40.259 --> 00:02:41.761
Dualização.

00:02:41.761 --> 00:02:45.198
Então seria improvável,
para não dizer impossível, que a fábrica

00:02:45.198 --> 00:02:51.437
tivesse uma parada por alguma falha de
algum equipamento específico ou sistema.

00:02:51.504 --> 00:02:52.838
Porém,

00:02:52.838 --> 00:02:56.475
na área de informática geral da empresa,

00:02:56.542 --> 00:03:02.582
eu notei como gestor de TI, que a gente
tinha um problema na parte de rede.

00:03:02.648 --> 00:03:06.085
As redes de comunicação de dados
da empresa,

00:03:06.185 --> 00:03:08.721
não as externas que ligam a empresa

00:03:08.721 --> 00:03:11.791
para o seu exterior,
essas estavam todas do alisadas.

00:03:11.824 --> 00:03:15.595
Na verdade, a gente tinha cinco canais
de comunicação com operadoras diferentes.

00:03:15.595 --> 00:03:19.298
Enfim, um da um tinha uma parada
na comunicação externa.

00:03:19.298 --> 00:03:21.000
Não aconteceria

00:03:21.100 --> 00:03:23.302
tanto
nos equipamentos internos de comunicação

00:03:23.302 --> 00:03:24.670
quanto nos links de comunicação.

00:03:24.670 --> 00:03:27.573
Não aconteceria.

00:03:27.573 --> 00:03:28.507
Porém,

00:03:28.507 --> 00:03:31.410
na parte de redes internas da empresa,

00:03:31.410 --> 00:03:38.751
eu tinha um único caminho de fibra ótica
para chegar até a fábrica.

00:03:38.851 --> 00:03:41.354
Então, na época, foi feito todo

00:03:41.354 --> 00:03:45.591
um desenho de uma dualização
do anel ótico da empresa,

00:03:45.691 --> 00:03:50.663
passando por partes diferentes
do terreno da indústria,

00:03:50.763 --> 00:03:54.200
de maneira a minimizar o impacto caso

00:03:54.266 --> 00:03:57.803
houvesse o rompimento de uma fibra ótica

00:03:57.903 --> 00:04:01.107
ou uma falha
em algum equipamento de fibra.

00:04:01.207 --> 00:04:03.943
Ao longo do uso

00:04:03.943 --> 00:04:07.446
do dia a dia da fábrica
e dos seus equipamentos e sistemas.

00:04:07.513 --> 00:04:10.883
Interessante contar uma coisa agora

00:04:10.983 --> 00:04:13.119
eu estava em férias

00:04:13.119 --> 00:04:14.620
no litoral.

00:04:14.620 --> 00:04:19.325
Ligou para mim
o meu coordenar da área de redes.

00:04:19.391 --> 00:04:20.793
Nessa época, a FAB.

00:04:20.793 --> 00:04:25.231
A construção da fábrica de medicamentos
estava acontecendo. Aí

00:04:25.297 --> 00:04:28.100
ele ligou pra mim e falou assim Renato,

00:04:28.100 --> 00:04:31.637
eu tenho uma coisa pra te contar.

00:04:31.704 --> 00:04:35.207
Eu falei que e já tava
até dando risada no telefone, eu imaginei

00:04:35.307 --> 00:04:37.610
e falou assim Você lembra que certa vez,

00:04:37.610 --> 00:04:41.747
quando você estava defendendo a ideia
do projeto de dualização de fibras,

00:04:41.814 --> 00:04:46.919
você falou para o dono da empresa
que existia a chance

00:04:47.019 --> 00:04:52.124
de, de repente uma broca de perfuração
para colocar lá o alicerce da fábrica,

00:04:52.191 --> 00:04:55.761
acabar perfurando em lugar errado
e pegando as fibras da empresa

00:04:55.861 --> 00:04:57.630
e destruindo a rede local.

00:04:57.630 --> 00:04:58.831
Você lembra que você falou isso?

00:04:58.831 --> 00:05:01.233
Eu falei lembra?

00:05:01.233 --> 00:05:03.969
E falou Pois bem, Renato, aconteceu

00:05:03.969 --> 00:05:05.137
hoje.

00:05:05.137 --> 00:05:08.607
Levantou, levantaram a broca
e todas as fibras óticas da empresa ali

00:05:08.674 --> 00:05:11.110
subiram junto com a broca.
Arrebentou tudo.

00:05:11.110 --> 00:05:14.546
Eu falei o que aconteceu? Ele falou nada,

00:05:14.647 --> 00:05:17.650
porque a gente
tinha feito projeto de dualização antes.

00:05:17.650 --> 00:05:21.587
Então eles arrebentaram um circuito,
só que o outro manteve a fábrica

00:05:21.587 --> 00:05:23.889
funcionando.

00:05:23.889 --> 00:05:26.892
Olha só a importância disso.

00:05:26.959 --> 00:05:29.261
Nós estamos falando de governança.

00:05:29.261 --> 00:05:33.298
De atingir os objetivos maiores
da organização e dos acionistas.

00:05:33.399 --> 00:05:36.068
Você imagina uma paralisação da maior

00:05:36.068 --> 00:05:39.638
empresa farmacêutica do Brasil?

00:05:39.705 --> 00:05:44.009
Quanto tempo eu ia levar para repassar
todas essas fibras óticas? Que

00:05:44.009 --> 00:05:48.747
eu fizesse isso num tempo aceleradíssimo
e que eu levasse uns dois dias.

00:05:48.847 --> 00:05:51.216
Consegue imaginar dois dias de produção

00:05:51.216 --> 00:05:55.287
da maior farmacêutica do Brasil parada?

00:05:55.387 --> 00:05:56.989
Então, agora eu quero mostrar para você

00:05:56.989 --> 00:06:01.760
alguns exemplos de como a gente faz
para mitigar os riscos,

00:06:01.860 --> 00:06:06.198
para tratar os riscos
e reduzir os os impactos de um risco.

00:06:06.298 --> 00:06:09.902
Eu preparei um painel para você entender
três estratégias

00:06:09.902 --> 00:06:15.307
que a gente pode usar frente aos
riscos para tratar os riscos.

00:06:15.374 --> 00:06:18.811
Uma delas é resolver definitivamente.

00:06:18.877 --> 00:06:22.514
A segunda é transferir esse risco
para terceiros.

00:06:22.581 --> 00:06:26.351
Eu tiro do meu ombro e passo
pra outra pessoa cuidar.

00:06:26.418 --> 00:06:30.489
E a terceira estratégia
é você monitorar a situação

00:06:30.489 --> 00:06:34.893
continuamente e, caso vire um problema,
você medir.

00:06:34.960 --> 00:06:40.399
Você adota
uma solução de remediação de correção.

00:06:40.499 --> 00:06:42.768
Vamos dá uma olhadinha nos exemplos.

00:06:42.768 --> 00:06:47.573
Bom, nesse painel aqui
você observa o seguinte temos uma coluna

00:06:47.673 --> 00:06:49.875
de fatores de risco,

00:06:49.875 --> 00:06:54.079
uma de análise e uma de justificativa
do nível de exposição,

00:06:54.313 --> 00:06:58.617
que é o quanto o risco está expondo
a empresa.

00:06:58.717 --> 00:07:00.252
Depois eu tenho uma priorização,

00:07:00.252 --> 00:07:04.456
que é a sequência de tratamento
que foi sugerida, em seguida,

00:07:04.456 --> 00:07:08.660
a estratégia de tratamento
e qual é a ação que vai ser tomada.

00:07:08.727 --> 00:07:13.498
Eu coloquei aqui supostamente
um exemplo hipotético da Ultra News,

00:07:13.532 --> 00:07:16.668
um grupo jornalístico que eu inventei aqui
e aqui.

00:07:16.668 --> 00:07:19.004
Pessoal, nós temos a seguinte situações

00:07:19.004 --> 00:07:23.408
e todas essas são reais de um grupo
jornalístico onde eu trabalhei.

00:07:23.475 --> 00:07:26.078
Só que aqui
eu não estou colocando o nome do grupo.

00:07:26.078 --> 00:07:27.179
Aqui eu coloquei só riscos

00:07:27.179 --> 00:07:29.881
infraestruturais,
não coloquei riscos relacionados

00:07:29.881 --> 00:07:32.751
a software
mais relacionados à infraestrutura.

00:07:32.751 --> 00:07:36.855
Eu tenho aqui um primeiro risco,
que é a ocupação de disco rígido

00:07:36.855 --> 00:07:43.161
com dados nos servidores de imagens
do jornal ou do jornal coleta imagens.

00:07:43.161 --> 00:07:44.563
Essas imagens são guardadas.

00:07:44.563 --> 00:07:46.298
Isso ocupa muito espaço.

00:07:46.298 --> 00:07:49.935
Foi identificado que existia uma
uma exposição muito alta

00:07:49.935 --> 00:07:55.740
com relação a isso, ou seja, grande chance
de acontecer um colapso em função

00:07:55.740 --> 00:08:01.580
do excesso de uso de disco,
impactando profundamente o jornal.

00:08:01.646 --> 00:08:04.015
Dado que tudo o que ele publica

00:08:04.015 --> 00:08:07.252
envolve,
de certa forma algum conteúdo em imagem,

00:08:07.352 --> 00:08:11.389
está aqui a justificativa da exposição
Por que a gente considerou alto.

00:08:11.490 --> 00:08:16.695
A justificativa
existe 75% de ocupação atual

00:08:16.761 --> 00:08:21.466
e uma taxa de crescimento de 2% ao mês
no uso de discos,

00:08:21.533 --> 00:08:28.340
sendo que quando alcançar 80% de espaço
ocupado, o computador vai parar.

00:08:28.406 --> 00:08:31.409
Então nós estamos
na iminência de uma parada,

00:08:31.443 --> 00:08:34.880
uma parada que vai afetar
todo o trabalho da redação do jornal.

00:08:35.080 --> 00:08:39.384
Portanto,
probabilidade, impacto, alta priorização.

00:08:39.384 --> 00:08:40.919
Ele ganhou aqui o segundo lugar.

00:08:40.919 --> 00:08:42.721
Depois a gente vai olhar os outros.

00:08:42.721 --> 00:08:46.858
Estratégia o que foi adotado
como estratégia de tratamento.

00:08:46.958 --> 00:08:49.427
Vamos monitorar e remediar.

00:08:49.427 --> 00:08:53.365
Ou seja,
na medida que os discos vão bater em 80%,

00:08:53.465 --> 00:08:57.302
chegando até lá,
eu faço um trabalho de limpeza.

00:08:57.369 --> 00:09:02.273
Então, batendo 80%,
dispararem automaticamente

00:09:02.374 --> 00:09:06.845
alguns programas,
rotinas para limpeza dos bancos de dados

00:09:06.911 --> 00:09:11.149
e a expectativa é que essa limpeza
vai reduzir

00:09:11.216 --> 00:09:14.719
até mais de 80% dos dados
atualmente ocupados,

00:09:14.819 --> 00:09:18.256
porque a gente tem 100 anos de existência
do grupo jornalístico

00:09:18.256 --> 00:09:20.525
guardados nos discos.

00:09:20.525 --> 00:09:24.729
Então, se eu rodar, quando rodar
essa rotina de limpeza pela primeira vez,

00:09:24.796 --> 00:09:27.699
eu provavelmente vou derrubar
os 80% de ocupação atuais

00:09:27.699 --> 00:09:30.969
para algo próximo a 20% ou menos.

00:09:31.035 --> 00:09:35.373
Próximo risco
Incêndio no datacenter Principal

00:09:35.440 --> 00:09:37.442
Nível de exposição médio alto.

00:09:37.442 --> 00:09:38.143
Por quê?

00:09:38.143 --> 00:09:44.215
Justificativa O datacenter fica acima
do depósito de tintas do jornal,

00:09:44.315 --> 00:09:48.586
onde ocorreram
nove princípios de incêndio no último ano,

00:09:48.653 --> 00:09:53.358
ou seja,
é fato que pode ocorrer um incêndio.

00:09:53.358 --> 00:09:57.462
Não é uma hipótese, porque já tivemos nove
princípios de incêndio

00:09:57.529 --> 00:10:00.932
e o datacenter está exposto
porque ele está num andar superior,

00:10:00.932 --> 00:10:05.336
o depósito de tintas, e todo mundo
sabe que o fogo sobe, ele não desce.

00:10:05.436 --> 00:10:08.740
Então nós temos aqui
uma exposição média alta.

00:10:08.773 --> 00:10:10.575
Então estamos na iminência de um incêndio,

00:10:10.575 --> 00:10:14.779
não datacenter,
mas existe uma chance, forte priorização.

00:10:14.779 --> 00:10:16.047
Ele ganhou aqui o quarto lugar.

00:10:16.047 --> 00:10:18.750
Depois nós vamos entender
o porquê da priorização

00:10:18.750 --> 00:10:22.020
e a estratégia foi transferir,
transferir aqui.

00:10:22.020 --> 00:10:22.687
Como?

00:10:22.687 --> 00:10:26.824
Contratando um datacenter externo em nuvem
e migrando

00:10:26.824 --> 00:10:30.528
todos os equipamentos do jornal
para esse datacenter,

00:10:30.628 --> 00:10:35.099
sendo que esse datacenter será escolhido
de forma a garantir um nível de atenção

00:10:35.099 --> 00:10:38.403
de avaliação internacional
de segurança. Ter

00:10:38.469 --> 00:10:39.170
numa camada

00:10:39.170 --> 00:10:42.640
elevada do tier tiro
e uma gradação de segurança.

00:10:42.707 --> 00:10:46.144
Então a gente no caso contratou
um datacenter tier quatro,

00:10:46.377 --> 00:10:49.180
que é o penúltimo
nível de segurança máxima,

00:10:49.180 --> 00:10:53.351
o nível máximo, esse cinco No Brasil
não existe datacenter nível cinco.

00:10:53.418 --> 00:10:57.088
E também contratar links
duplicados de alta velocidade

00:10:57.088 --> 00:11:00.291
de provedores diferentes
para ligar a empresa ao novo datacenter.

00:11:00.291 --> 00:11:04.729
Então veja, tem duas iniciativas aqui
grandes para fazer

00:11:04.829 --> 00:11:08.166
migrar todos equipamentos
do grupo jornalístico por um datacenter,

00:11:08.232 --> 00:11:09.967
fechar o contrato com o datacenter

00:11:09.967 --> 00:11:13.938
e também contratar links de
alta velocidade contingenciados.

00:11:14.038 --> 00:11:16.641
Não é um trabalho simples,
é um trabalho longo,

00:11:16.641 --> 00:11:20.978
por isso ele ficou com priorização número
quatro e ficou um pouquinho mais adiante,

00:11:21.145 --> 00:11:26.918
porque ele envolvia aqui todo um estudo
um pouco mais profundo, até financeiro.

00:11:26.984 --> 00:11:32.857
Então vamos agora para o terceiro item,
então intrusão por parte de internautas,

00:11:32.924 --> 00:11:38.362
pessoas externas a nossa rede de
computadores, análise de exposição alta.

00:11:38.463 --> 00:11:41.466
Como que a gente chegou nessa conclusão
de que a exposição é alta?

00:11:41.499 --> 00:11:43.000
Qual a justificativa?

00:11:43.000 --> 00:11:47.939
Um teste de equipamento
detetor de intrusão apontou 3714

00:11:47.939 --> 00:11:52.977
tentativas de acesso aos computadores
do datacenter do jornal por minuto.

00:11:53.077 --> 00:11:55.746
Bom, a priorização ficou em terceiro
lugar.

00:11:55.746 --> 00:11:58.416
Estratégia Eliminar esse risco.

00:11:58.416 --> 00:11:59.250
Como?

00:11:59.250 --> 00:12:04.488
Instalando definitivamente um ideal
que é um tudo detection system

00:12:04.589 --> 00:12:07.058
e configurar o firewall para bloquear

00:12:07.058 --> 00:12:10.361
pacotes de origem de dados suspeitos.

00:12:10.428 --> 00:12:14.832
O último risco acesso físico indevido
ao datacenter

00:12:14.899 --> 00:12:18.803
exposição
baixa Justificativa dessa análise

00:12:18.903 --> 00:12:21.672
O acesso ao datacenter já conta

00:12:21.672 --> 00:12:25.209
com identificação por crachá,
mais biometria da face.

00:12:25.276 --> 00:12:27.845
Por raras vezes no ano,

00:12:27.845 --> 00:12:32.650
a mola da porta
que fecha o datacenter acaba

00:12:32.650 --> 00:12:38.990
não travando após alguém entrar ou sair,
mas isso raras vezes.

00:12:39.056 --> 00:12:44.662
Então, o risco de alguém indevidamente
acessar o datacenter é baixo.

00:12:44.762 --> 00:12:48.366
A priorização colocada em primeiro lugar,
apesar do risco baixo.

00:12:48.399 --> 00:12:49.467
Por quê?

00:12:49.467 --> 00:12:51.969
Porque é fácil de solucionar.

00:12:51.969 --> 00:12:53.671
Vamos fazer já.

00:12:53.671 --> 00:12:56.674
E o que fizemos? Eliminação Como?

00:12:56.674 --> 00:13:00.077
Trocando o sistema de mola
por uma mola mais forte.

00:13:00.177 --> 00:13:03.180
Veja então a diversidade de tratamentos.

00:13:03.381 --> 00:13:07.485
E perceba que é sempre muito importante
quando você identificar

00:13:07.485 --> 00:13:14.959
uma variável de risco,
apontar o grau de exposição justificado.

00:13:15.025 --> 00:13:17.228
Pense sempre que solucionar os riscos

00:13:17.228 --> 00:13:22.733
pode sair de uma solução barata
ou mais cara.

00:13:22.833 --> 00:13:26.537
No exemplo que eu dei
por na parte de migração de datacenter,

00:13:26.537 --> 00:13:29.406
nós temos ali um custo que com certeza
é altíssimo.

00:13:29.406 --> 00:13:31.809
E foi nesse caso

00:13:31.809 --> 00:13:34.178
que é você contratar
um datacenter externo, levar todos

00:13:34.178 --> 00:13:36.147
seus servidores para esse datacenter

00:13:36.147 --> 00:13:40.818
e depois
fazer os contratos de telecomunicações.

00:13:40.918 --> 00:13:43.888
Essa conta custou algumas dezenas

00:13:43.888 --> 00:13:47.124
de milhões de reais

00:13:47.224 --> 00:13:49.059
por ano

00:13:49.059 --> 00:13:52.396
para fazer isso aí
funcionando num outro datacenter.

00:13:52.463 --> 00:13:55.466
Tudo isso rodar em um outro datacenter

00:13:55.499 --> 00:13:57.968
não é uma decisão que eu tomo agora.

00:13:57.968 --> 00:13:59.737
É uma decisão que leva tempo.

00:13:59.737 --> 00:14:04.909
Envolve área financeira, envolve
com certeza os conselhos, os comitês,

00:14:04.975 --> 00:14:09.980
envolve vários profissionais de TI
internos e dos terceiros.

00:14:10.080 --> 00:14:14.652
Então, na hora de priorizar,
tem que levar em conta também isso.

00:14:14.718 --> 00:14:17.254
Não basta
você olhar só a questão de probabilidade

00:14:17.254 --> 00:14:20.958
de impactos da ocorrência do risco,
mas também os investimentos necessários

00:14:20.958 --> 00:14:25.763
e o tempo para você solucionar
cada uma das questões ou reduzir

00:14:25.863 --> 00:14:30.901
o tamanho do problema
que esse risco pode gerar no futuro.

00:14:30.968 --> 00:14:33.971
Utilizando o método que eu
estou te mostrando aqui

00:14:34.171 --> 00:14:38.242
na sua empresa, seguindo esses passos,
você vai ter uma chance de sucesso

00:14:38.342 --> 00:14:42.946
para avaliação dos seus riscos
e para proposição de soluções

00:14:43.180 --> 00:14:45.049
de uma forma muito mais interessante.

00:14:45.049 --> 00:14:48.452
Com alta chance de você
conseguir implementar as suas ideias e.