-
Toda decisão de negócio
envolve riscos.
-
Existe a possibilidade
das coisas darem certo
-
ou não darem certo
em função de algumas variáveis
-
que às vezes são até incontroláveis
por parte da empresa
-
e podem acabar
impulsionando uma iniciativa
-
para um caminho
que não era esperado.
-
Para tratar essas situações
surge a gestão de riscos.
-
A gestão de riscos trata
da identificação de fatores
-
que podem acabar
influenciando uma iniciativa
-
para um caminho
que não se deseja.
-
Então a gente chama isso
de identificação de riscos.
-
Numa segunda etapa,
eu tenho as análises dos riscos.
-
É o entendimento,
efetivamente, aquele risco,
-
aquele fator de risco,
aquela variável,
-
até onde ela pode
influenciar na nossa iniciativa,
-
nos nossos
resultados previstos?
-
Em seguida, eu tenho
a priorização desse risco,
-
ou seja, dentre vários
riscos que eu tenho
-
para um projeto que
eu estou fazendo, por exemplo,
-
quais riscos eu preciso tratar
-
em primeiro, em segundo
e em terceiro lugar?
-
Porque eu não tenho
fôlego para resolver,
-
de repente, todos os riscos
de uma vez só.
-
Então eu tenho que priorizar.
-
E como quarto
e último passo,
-
vem a estratégia
de resolução do risco,
-
de mitigação, de minimização
da possibilidade de ele acontecer
-
e virar um problema.
-
E do impacto que
esse risco pode causar.
-
Então eu posso atuar reduzindo
tanto a chance de acontecer
-
quanto também,
caso aconteça,
-
reduzir o impacto desse
risco para a companhia.
-
Contando uma história
para você,
-
certa vez, eu trabalhando
numa indústria farmacêutica,
-
a indústria estava dobrando,
fazendo um projeto,
-
já tinha iniciado
inclusive obras
-
para dobrar
a capacidade fabril dela,
-
dobrar a capacidade
de produção.
-
E no terreno
que ela tinha, então,
-
ela estava duplicando
a área de fábrica dela.
-
Dentro dessa nova fábrica,
na parte industrial,
-
foi pensada uma série de detalhes
relacionados a garantir
-
altíssima disponibilidade
dessa fábrica
-
para que ela rode 24 horas,
7 dias por semana.
-
Então, todos os robôs,
sistemas de supervisão da fábrica,
-
que foram decididos e adquiridos
pela área de gestão industrial,
-
todos esses sistemas
e equipamentos
-
tinham contingenciamento,
dualização.
-
Então seria improvável,
para não dizer impossível,
-
que a fábrica
tivesse uma parada
-
por alguma falha de algum
equipamento específico ou sistema.
-
Porém, na área de informática
geral da empresa,
-
eu notei como gestor de TI,
-
que a gente tinha um problema
na parte de rede.
-
As redes de comunicação
de dados da empresa,
-
não as externas,
-
que ligam a empresa
para o seu exterior,
-
essas estavam
todas dualizadas,
-
na verdade, a gente tinha
5 canais de comunicação,
-
com operadoras diferentes,
enfim, um downtime,
-
uma parada na comunicação
externa não aconteceria.
-
Tanto nos equipamentos
internos de comunicação
-
quanto nos links
de comunicação.
-
Não aconteceria.
-
Porém, na parte
de redes internas da empresa,
-
eu tinha um único
caminho de fibra ótica
-
para chegar até a fábrica.
-
Então, na época,
foi feito todo um desenho
-
de uma dualização
do anel óptico da empresa,
-
passando por partes diferentes
do terreno da indústria,
-
de maneira
a minimizar o impacto,
-
caso houvesse o rompimento
de uma fibra óptica
-
ou uma falha em algum
equipamento de fibra,
-
a longo do uso
do dia a dia da fábrica
-
e dos seus equipamentos
e sistemas.
-
Interessante contar
uma coisa agora.
-
Eu estava em férias no litoral.
-
Ligou para mim o meu
coordenar da área de redes.
-
Nessa época, a construção
da fábrica de medicamentos
-
estava acontecendo.
-
Ele ligou para mim
e falou assim:
-
"Renato, eu tenho
uma coisa pra te contar".
-
Eu falei: O que é?
-
Eu já até estava dando
risada no telefone.
-
Eu imaginei.
-
Ele falou assim:
"Você lembra que certa vez,
-
quando você estava
defendendo a ideia
-
do projeto
de dualização de fibras,
-
você falou para
o dono da empresa
-
que existia a chance de,
de repente, uma broca de perfuração
-
para colocar lá
o alicerce da fábrica,
-
acabar perfurando em lugar errado
e pegando as fibras da empresa
-
e destruindo a rede local?
-
Você lembra
que você falou isso?"
-
Eu falei: Lembro.
-
Ele falou: "Pois bem,
Renato, aconteceu, hoje.
-
Levantaram a broca e todas
as fibras ópticas da empresa
-
subiram junto com a broca.
Arrebentou tudo".
-
Eu falei: O que aconteceu?
Ele falou: "Nada".
-
Porque a gente tinha feito
o projeto de dualização antes.
-
Então eles arrebentaram
um circuito,
-
só que o outro manteve
a fábrica funcionando.
-
Olhe só a importância disso.
-
Nós estamos falando
de governança.
-
De atingir os objetivos maiores
da organização e dos acionistas.
-
Você imagine
uma paralisação
-
da maior empresa
farmacêutica do Brasil.
-
Quanto tempo eu ia levar para
repassar todas essas fibras ópticas?
-
Que eu fizesse isso
num tempo aceleradíssimo,
-
que eu levasse
uns dois dias.
-
Consegue imaginar
dois dias de produção
-
da maior farmacêutica
do Brasil parada?
-
Então, agora eu quero mostrar
para você alguns exemplos
-
de como a gente faz
para mitigar os riscos,
-
para tratar os riscos
e reduzir os impactos de um risco.
-
Eu preparei um painel para
você entender três estratégias
-
que a gente pode usar frente
aos riscos, para tratar os riscos.
-
Uma delas é resolver,
definitivamente.
-
A segunda é transferir
esse risco para terceiros.
-
Eu tiro do meu ombro
e passo para outra pessoa cuidar.
-
E a terceira estratégia é você
monitorar a situação continuamente
-
e, caso vire um problema,
você remedir.
-
Você adota uma solução
de remediação, de correção.
-
Vamos dá uma
olhadinha nos exemplos.
-
Bom, nesse painel aqui
você observa o seguinte,
-
temos uma coluna
de fatores de risco,
-
uma de análise, uma de justificativa
do nível de exposição,
-
que é o quanto o risco
está expondo a empresa,
-
depois eu tenho
uma priorização,
-
que é a sequência de tratamento
que foi sugerida, em seguida,
-
a estratégia de tratamento
e qual é a ação que vai ser tomada.
-
Eu coloquei aqui supostamente
um exemplo hipotético da Ultra News,
-
um grupo jornalístico
que eu inventei aqui.
-
E aqui, pessoal,
nós temos as seguintes situações,
-
e todas essas são reais,
-
de um grupo jornalístico
onde eu trabalhei.
-
Só que aqui eu não estou
colocando o nome do grupo.
-
Aqui eu coloquei
só riscos infraestruturais,
-
não coloquei riscos
relacionados a software,
-
mais relacionados
à infraestrutura.
-
Eu tenho aqui um primeiro risco,
que é a ocupação de disco rígido
-
com dados nos servidores
de imagens do jornal.
-
Todo jornal coleta imagens,
essas imagens são guardadas.
-
Isso ocupa muito espaço.
-
Foi identificado que existia
uma exposição muito alta
-
com relação a isso,
-
ou seja, grande chance
de acontecer um colapso,
-
em função do excesso
de uso de disco,
-
impactando
profundamente o jornal,
-
dado que tudo o que
ele publica envolve,
-
de certa forma,
algum conteúdo em imagem.
-
Está aqui a justificativa
da exposição.
-
Por que a gente
considerou alto.
-
A justificativa.
-
Existe 75% de ocupação atual
-
e uma taxa de crescimento
de 2% ao mês no uso de discos,
-
sendo que quando alcançar
80% de espaço ocupado,
-
o computador vai parar.
-
Então nós estamos
na iminência de uma parada,
-
uma parada que vai afetar
todo o trabalho da redação do jornal.
-
Portanto,
probabilidade de impacto alta.
-
Em priorização ele ganhou
aqui o segundo lugar.
-
Depois a gente
vai olhar os outros.
-
Estratégia, o que foi adotado
como estratégia de tratamento?
-
Vamos monitorar e remediar.
-
Ou seja, na medida em que
os discos vão bater em 80%,
-
chegando até lá,
eu faço um trabalho de limpeza.
-
Então, batendo 80%,
dispararei automaticamente
-
alguns programas, rotinas,
para limpeza dos bancos de dados,
-
e a expectativa
é que essa limpeza
-
vá reduzir até mais de 80%
dos dados atualmente ocupados,
-
porque a gente tem
100 anos de existência
-
do grupo jornalístico
guardados nos discos.
-
Então, quando rodar essa rotina
de limpeza pela primeira vez,
-
eu provavelmente vou derrubar
dos 80% de ocupação atuais
-
para algo próximo
a 20% ou menos.
-
Próximo risco:
incêndio no datacenter principal.
-
Nível de exposição:
médio-alto, por quê?
-
Justificativa:
o datacenter fica acima
-
do depósito
de tintas do jornal,
-
onde ocorreram 9 princípios
de incêndio no último ano.
-
Ou seja, é fato que pode
ocorrer um incêndio,
-
não é uma hipótese.
-
Porque já tivemos
9 princípios de incêndio,
-
e o datacenter está exposto
porque ele está
-
em um andar superior
ao depósito de tintas,
-
e todo mundo sabe que
o fogo sobe, ele não desce.
-
Então nós temos aqui
uma exposição média-alta.
-
Não estamos na iminência
de um incêndio no datacenter,
-
mas existe uma chance forte.
-
Em priorização ele ganhou
aqui o quarto lugar.
-
Depois nós vamos entender
o porquê da priorização.
-
E a estratégia foi transferir.
Transferir aqui, como?
-
Contratando um datacenter
externo em nuvem
-
e migrando todos os equipamentos
do jornal para esse datacenter,
-
sendo que esse datacenter
será escolhido de forma a garantir
-
um nível de avaliação internacional
de segurança TIER,
-
numa camada elevada do TIER.
-
TIER é uma gradação
de segurança.
-
Então a gente, no caso,
contratou um datacenter TIER 4,
-
que é o penúltimo
nível de segurança máxima.
-
O nível máximo é 5.
-
No Brasil não existe
datacenter nível 5.
-
E também contratar links
duplicados de alta velocidade
-
de provedores diferentes
-
para ligar a empresa
ao novo datacenter.
-
Então, veja, tem duas iniciativas
aqui grandes para fazer.
-
Migrar todos equipamentos do grupo
jornalístico para um datacenter,
-
fechar contrato
com o datacenter
-
e também contratar links
de alta velocidade contingenciados.
-
Não é um trabalho simples,
é um trabalho longo,
-
por isso ele ficou
com priorização número 4,
-
e ficou um pouquinho
mais adiante,
-
porque ele envolvia
aqui todo um estudo
-
um pouco mais profundo,
até financeiro.
-
Vamos agora para
o terceiro item, então.
-
Intrusão por parte
de internautas,
-
pessoas externas à nossa
rede de computadores.
-
Análise de exposição: alta.
-
Como que a gente
chegou nessa conclusão
-
de que a exposição é alta?
-
Qual a justificativa?
-
Um teste de equipamento
detector de intrusão
-
apontou 3.714 tentativas de acessos
-
aos computadores do datacenter
do jornal por minuto.
-
Bom, a priorização ficou
em terceiro lugar.
-
Estratégia:
eliminar esse risco, como?
-
Instalando definitivamente um IDS,
que é um Intruder Detection System,
-
e configurar
o firewall para bloquear
-
pacotes de origem
de dados suspeitos.
-
O último risco: acesso físico
indevido ao datacenter.
-
Exposição: baixa.
-
Justificativa dessa análise.
-
Acesso ao datacenter já conta
com identificação por crachá
-
mais biometria da face.
-
Por raras vezes no ano,
-
a mola da porta
que fecha o datacenter
-
acaba não travando
após alguém entrar ou sair,
-
mas isso, raras vezes.
-
Então, o risco de alguém
-
indevidamente acessar
o datacenter é baixo.
-
A priorização é colocada
em primeiro lugar,
-
apesar do risco baixo, por quê?
-
Porque é fácil de solucionar.
-
Vamos fazer já.
-
E o que fizemos?
Eliminação. Como?
-
Trocando o sistema de mola
por uma mola mais forte.
-
Veja então a diversidade
de tratamentos
-
e perceba que é sempre
muito importante
-
quando você identificar
uma variável de risco,
-
apontar o grau
de exposição justificado.
-
Pense sempre
que solucionar os riscos
-
pode sair de uma solução
barata ou mais cara.
-
No exemplo que eu dei,
na parte de migração de datacenter,
-
nós temos ali um custo que,
com certeza, é altíssimo.
-
E foi, nesse caso.
-
Que é você contratar
um datacenter externo,
-
levar todos seus servidores
para esse datacenter
-
e depois fazer os contratos
de telecomunicações.
-
Essa conta custou algumas dezenas
de milhões de reais por ano,
-
para fazer isso aí funcionar
num outro datacenter.
-
Tudo isso rodar
em um outro datacenter.
-
Não é uma decisão
que eu tomo agora.
-
É uma decisão
que leva tempo.
-
Envolve área financeira,
-
envolve com certeza
os conselhos, os comitês,
-
envolve vários profissionais de TI
internos e dos terceiros.
-
Então, na hora de priorizar,
tem que levar em conta também isso.
-
Não basta você olhar
só a questão de probabilidade
-
de impactos
da ocorrência do risco,
-
mas também
os investimentos necessários
-
e o tempo para você solucionar
cada uma das questões
-
ou reduzir o tamanho
do problema
-
que esse risco
pode gerar no futuro.
-
Utilizando o método
que eu estou te mostrando aqui
-
na sua empresa,
seguindo esses passos,
-
você vai ter uma chance de sucesso
para avaliação dos seus riscos
-
e para proposição
de soluções
-
de uma forma
muito mais interessante,
-
com alta chance de você
conseguir implementar as suas ideias.
