< Return to Video

vimeo.com/.../933844803

  • 0:08 - 0:11
    Toda decisão de negócio envolve riscos.
  • 0:11 - 0:14
    Existe a possibilidade das coisas
    darem certo ou não
  • 0:14 - 0:18
    darem certo em função de algumas variáveis
  • 0:18 - 0:23
    que às vezes são até incontroláveis
    por parte da empresa e podem acabar
  • 0:23 - 0:28
    impulsionando uma iniciativa
    para um caminho que não era esperado.
  • 0:29 - 0:30
    Para tratar essas situações
  • 0:30 - 0:33
    surge a gestão de riscos,
  • 0:33 - 0:34
    a gestão de riscos.
  • 0:34 - 0:38
    Ela trata da identificação de fatores
    que podem acabar
  • 0:38 - 0:44
    influenciando uma iniciativa
    para um caminho que não se deseja.
  • 0:44 - 0:47
    Então a gente chama isso
    de identificação de riscos.
  • 0:47 - 0:52
    Numa segunda etapa, eu tenho as análises
    dos riscos e o entendimento.
  • 0:52 - 0:55
    Efetivamente, aquele risco,
    aquele fator de risco,
  • 0:55 - 0:58
    aquela variável,
    até onde ela pode influenciar
  • 0:58 - 1:03
    na nossa iniciativa, nos nossos resultados
    previstos.
  • 1:03 - 1:07
    Em seguida,
    eu tenho a priorização desse risco.
  • 1:08 - 1:11
    Ou seja, dentre vários riscos que eu tenho
  • 1:11 - 1:14
    para um projeto que eu estou fazendo,
    por exemplo,
  • 1:14 - 1:19
    quais riscos eu preciso tratar
    primeiro, segundo e terceiro lugar,
  • 1:19 - 1:20
    porque eu não tenho
  • 1:20 - 1:23
    fôlego para resolver
    de repente todos os riscos de uma vez só.
  • 1:23 - 1:26
    Então eu tenho que priorizar.
  • 1:26 - 1:28
    E como o quarto e último passo,
  • 1:28 - 1:33
    vem a estratégia de resolução
    do risco de mitigação, de minimização
  • 1:33 - 1:37
    da possibilidade de ele acontecer
    e virar um problema
  • 1:37 - 1:40
    e do impacto que esse risco pode causar.
  • 1:40 - 1:44
    Então eu posso atuar
    reduzindo tanto a chance de acontecer
  • 1:44 - 1:51
    quanto também caso aconteça, reduzir
    o impacto desse risco para a companhia.
  • 1:51 - 1:53
    Contando uma história para você.
  • 1:53 - 1:57
    Certa vez
    eu trabalhava numa indústria farmacêutica.
  • 1:57 - 2:00
    A indústria estava dobrando,
    fazendo um projeto.
  • 2:00 - 2:04
    Já tinha iniciado
    inclusive obras para dobrar a capacidade
  • 2:04 - 2:08
    fabril dela,
    dobrar a capacidade de produção.
  • 2:08 - 2:14
    E no terreno que ela tinha, então ela
    estava duplicando a área de fábrica dela.
  • 2:14 - 2:14
    Dentro dessa
  • 2:14 - 2:19
    nova fábrica, na parte industrial,
    foi pensado uma série de detalhes
  • 2:19 - 2:22
    relacionados a garantir
    altíssima disponibilidade
  • 2:22 - 2:26
    dessa fábrica para que ela rode 20 e 04h07
    dias por semana.
  • 2:26 - 2:31
    Então, todos os robôs
    sistemas de supervisão da fábrica
  • 2:31 - 2:35
    que foram decididos e adquiridos
    pela área de gestão industrial,
  • 2:35 - 2:40
    todos esses sistemas e equipamentos
    eles tinham contingenciamento.
  • 2:40 - 2:42
    Dualização.
  • 2:42 - 2:45
    Então seria improvável,
    para não dizer impossível, que a fábrica
  • 2:45 - 2:51
    tivesse uma parada por alguma falha de
    algum equipamento específico ou sistema.
  • 2:52 - 2:53
    Porém,
  • 2:53 - 2:56
    na área de informática geral da empresa,
  • 2:57 - 3:03
    eu notei como gestor de TI, que a gente
    tinha um problema na parte de rede.
  • 3:03 - 3:06
    As redes de comunicação de dados
    da empresa,
  • 3:06 - 3:09
    não as externas que ligam a empresa
  • 3:09 - 3:12
    para o seu exterior,
    essas estavam todas do alisadas.
  • 3:12 - 3:16
    Na verdade, a gente tinha cinco canais
    de comunicação com operadoras diferentes.
  • 3:16 - 3:19
    Enfim, um da um tinha uma parada
    na comunicação externa.
  • 3:19 - 3:21
    Não aconteceria
  • 3:21 - 3:23
    tanto
    nos equipamentos internos de comunicação
  • 3:23 - 3:25
    quanto nos links de comunicação.
  • 3:25 - 3:28
    Não aconteceria.
  • 3:28 - 3:29
    Porém,
  • 3:29 - 3:31
    na parte de redes internas da empresa,
  • 3:31 - 3:39
    eu tinha um único caminho de fibra ótica
    para chegar até a fábrica.
  • 3:39 - 3:41
    Então, na época, foi feito todo
  • 3:41 - 3:46
    um desenho de uma dualização
    do anel ótico da empresa,
  • 3:46 - 3:51
    passando por partes diferentes
    do terreno da indústria,
  • 3:51 - 3:54
    de maneira a minimizar o impacto caso
  • 3:54 - 3:58
    houvesse o rompimento de uma fibra ótica
  • 3:58 - 4:01
    ou uma falha
    em algum equipamento de fibra.
  • 4:01 - 4:04
    Ao longo do uso
  • 4:04 - 4:07
    do dia a dia da fábrica
    e dos seus equipamentos e sistemas.
  • 4:08 - 4:11
    Interessante contar uma coisa agora
  • 4:11 - 4:13
    eu estava em férias
  • 4:13 - 4:15
    no litoral.
  • 4:15 - 4:19
    Ligou para mim
    o meu coordenar da área de redes.
  • 4:19 - 4:21
    Nessa época, a FAB.
  • 4:21 - 4:25
    A construção da fábrica de medicamentos
    estava acontecendo. Aí
  • 4:25 - 4:28
    ele ligou pra mim e falou assim Renato,
  • 4:28 - 4:32
    eu tenho uma coisa pra te contar.
  • 4:32 - 4:35
    Eu falei que e já tava
    até dando risada no telefone, eu imaginei
  • 4:35 - 4:38
    e falou assim Você lembra que certa vez,
  • 4:38 - 4:42
    quando você estava defendendo a ideia
    do projeto de dualização de fibras,
  • 4:42 - 4:47
    você falou para o dono da empresa
    que existia a chance
  • 4:47 - 4:52
    de, de repente uma broca de perfuração
    para colocar lá o alicerce da fábrica,
  • 4:52 - 4:56
    acabar perfurando em lugar errado
    e pegando as fibras da empresa
  • 4:56 - 4:58
    e destruindo a rede local.
  • 4:58 - 4:59
    Você lembra que você falou isso?
  • 4:59 - 5:01
    Eu falei lembra?
  • 5:01 - 5:04
    E falou Pois bem, Renato, aconteceu
  • 5:04 - 5:05
    hoje.
  • 5:05 - 5:09
    Levantou, levantaram a broca
    e todas as fibras óticas da empresa ali
  • 5:09 - 5:11
    subiram junto com a broca.
    Arrebentou tudo.
  • 5:11 - 5:15
    Eu falei o que aconteceu? Ele falou nada,
  • 5:15 - 5:18
    porque a gente
    tinha feito projeto de dualização antes.
  • 5:18 - 5:22
    Então eles arrebentaram um circuito,
    só que o outro manteve a fábrica
  • 5:22 - 5:24
    funcionando.
  • 5:24 - 5:27
    Olha só a importância disso.
  • 5:27 - 5:29
    Nós estamos falando de governança.
  • 5:29 - 5:33
    De atingir os objetivos maiores
    da organização e dos acionistas.
  • 5:33 - 5:36
    Você imagina uma paralisação da maior
  • 5:36 - 5:40
    empresa farmacêutica do Brasil?
  • 5:40 - 5:44
    Quanto tempo eu ia levar para repassar
    todas essas fibras óticas? Que
  • 5:44 - 5:49
    eu fizesse isso num tempo aceleradíssimo
    e que eu levasse uns dois dias.
  • 5:49 - 5:51
    Consegue imaginar dois dias de produção
  • 5:51 - 5:55
    da maior farmacêutica do Brasil parada?
  • 5:55 - 5:57
    Então, agora eu quero mostrar para você
  • 5:57 - 6:02
    alguns exemplos de como a gente faz
    para mitigar os riscos,
  • 6:02 - 6:06
    para tratar os riscos
    e reduzir os os impactos de um risco.
  • 6:06 - 6:10
    Eu preparei um painel para você entender
    três estratégias
  • 6:10 - 6:15
    que a gente pode usar frente aos
    riscos para tratar os riscos.
  • 6:15 - 6:19
    Uma delas é resolver definitivamente.
  • 6:19 - 6:23
    A segunda é transferir esse risco
    para terceiros.
  • 6:23 - 6:26
    Eu tiro do meu ombro e passo
    pra outra pessoa cuidar.
  • 6:26 - 6:30
    E a terceira estratégia
    é você monitorar a situação
  • 6:30 - 6:35
    continuamente e, caso vire um problema,
    você medir.
  • 6:35 - 6:40
    Você adota
    uma solução de remediação de correção.
  • 6:40 - 6:43
    Vamos dá uma olhadinha nos exemplos.
  • 6:43 - 6:48
    Bom, nesse painel aqui
    você observa o seguinte temos uma coluna
  • 6:48 - 6:50
    de fatores de risco,
  • 6:50 - 6:54
    uma de análise e uma de justificativa
    do nível de exposição,
  • 6:54 - 6:59
    que é o quanto o risco está expondo
    a empresa.
  • 6:59 - 7:00
    Depois eu tenho uma priorização,
  • 7:00 - 7:04
    que é a sequência de tratamento
    que foi sugerida, em seguida,
  • 7:04 - 7:09
    a estratégia de tratamento
    e qual é a ação que vai ser tomada.
  • 7:09 - 7:13
    Eu coloquei aqui supostamente
    um exemplo hipotético da Ultra News,
  • 7:14 - 7:17
    um grupo jornalístico que eu inventei aqui
    e aqui.
  • 7:17 - 7:19
    Pessoal, nós temos a seguinte situações
  • 7:19 - 7:23
    e todas essas são reais de um grupo
    jornalístico onde eu trabalhei.
  • 7:23 - 7:26
    Só que aqui
    eu não estou colocando o nome do grupo.
  • 7:26 - 7:27
    Aqui eu coloquei só riscos
  • 7:27 - 7:30
    infraestruturais,
    não coloquei riscos relacionados
  • 7:30 - 7:33
    a software
    mais relacionados à infraestrutura.
  • 7:33 - 7:37
    Eu tenho aqui um primeiro risco,
    que é a ocupação de disco rígido
  • 7:37 - 7:43
    com dados nos servidores de imagens
    do jornal ou do jornal coleta imagens.
  • 7:43 - 7:45
    Essas imagens são guardadas.
  • 7:45 - 7:46
    Isso ocupa muito espaço.
  • 7:46 - 7:50
    Foi identificado que existia uma
    uma exposição muito alta
  • 7:50 - 7:56
    com relação a isso, ou seja, grande chance
    de acontecer um colapso em função
  • 7:56 - 8:02
    do excesso de uso de disco,
    impactando profundamente o jornal.
  • 8:02 - 8:04
    Dado que tudo o que ele publica
  • 8:04 - 8:07
    envolve,
    de certa forma algum conteúdo em imagem,
  • 8:07 - 8:11
    está aqui a justificativa da exposição
    Por que a gente considerou alto.
  • 8:11 - 8:17
    A justificativa
    existe 75% de ocupação atual
  • 8:17 - 8:21
    e uma taxa de crescimento de 2% ao mês
    no uso de discos,
  • 8:22 - 8:28
    sendo que quando alcançar 80% de espaço
    ocupado, o computador vai parar.
  • 8:28 - 8:31
    Então nós estamos
    na iminência de uma parada,
  • 8:31 - 8:35
    uma parada que vai afetar
    todo o trabalho da redação do jornal.
  • 8:35 - 8:39
    Portanto,
    probabilidade, impacto, alta priorização.
  • 8:39 - 8:41
    Ele ganhou aqui o segundo lugar.
  • 8:41 - 8:43
    Depois a gente vai olhar os outros.
  • 8:43 - 8:47
    Estratégia o que foi adotado
    como estratégia de tratamento.
  • 8:47 - 8:49
    Vamos monitorar e remediar.
  • 8:49 - 8:53
    Ou seja,
    na medida que os discos vão bater em 80%,
  • 8:53 - 8:57
    chegando até lá,
    eu faço um trabalho de limpeza.
  • 8:57 - 9:02
    Então, batendo 80%,
    dispararem automaticamente
  • 9:02 - 9:07
    alguns programas,
    rotinas para limpeza dos bancos de dados
  • 9:07 - 9:11
    e a expectativa é que essa limpeza
    vai reduzir
  • 9:11 - 9:15
    até mais de 80% dos dados
    atualmente ocupados,
  • 9:15 - 9:18
    porque a gente tem 100 anos de existência
    do grupo jornalístico
  • 9:18 - 9:21
    guardados nos discos.
  • 9:21 - 9:25
    Então, se eu rodar, quando rodar
    essa rotina de limpeza pela primeira vez,
  • 9:25 - 9:28
    eu provavelmente vou derrubar
    os 80% de ocupação atuais
  • 9:28 - 9:31
    para algo próximo a 20% ou menos.
  • 9:31 - 9:35
    Próximo risco
    Incêndio no datacenter Principal
  • 9:35 - 9:37
    Nível de exposição médio alto.
  • 9:37 - 9:38
    Por quê?
  • 9:38 - 9:44
    Justificativa O datacenter fica acima
    do depósito de tintas do jornal,
  • 9:44 - 9:49
    onde ocorreram
    nove princípios de incêndio no último ano,
  • 9:49 - 9:53
    ou seja,
    é fato que pode ocorrer um incêndio.
  • 9:53 - 9:57
    Não é uma hipótese, porque já tivemos nove
    princípios de incêndio
  • 9:58 - 10:01
    e o datacenter está exposto
    porque ele está num andar superior,
  • 10:01 - 10:05
    o depósito de tintas, e todo mundo
    sabe que o fogo sobe, ele não desce.
  • 10:05 - 10:09
    Então nós temos aqui
    uma exposição média alta.
  • 10:09 - 10:11
    Então estamos na iminência de um incêndio,
  • 10:11 - 10:15
    não datacenter,
    mas existe uma chance, forte priorização.
  • 10:15 - 10:16
    Ele ganhou aqui o quarto lugar.
  • 10:16 - 10:19
    Depois nós vamos entender
    o porquê da priorização
  • 10:19 - 10:22
    e a estratégia foi transferir,
    transferir aqui.
  • 10:22 - 10:23
    Como?
  • 10:23 - 10:27
    Contratando um datacenter externo em nuvem
    e migrando
  • 10:27 - 10:31
    todos os equipamentos do jornal
    para esse datacenter,
  • 10:31 - 10:35
    sendo que esse datacenter será escolhido
    de forma a garantir um nível de atenção
  • 10:35 - 10:38
    de avaliação internacional
    de segurança. Ter
  • 10:38 - 10:39
    numa camada
  • 10:39 - 10:43
    elevada do tier tiro
    e uma gradação de segurança.
  • 10:43 - 10:46
    Então a gente no caso contratou
    um datacenter tier quatro,
  • 10:46 - 10:49
    que é o penúltimo
    nível de segurança máxima,
  • 10:49 - 10:53
    o nível máximo, esse cinco No Brasil
    não existe datacenter nível cinco.
  • 10:53 - 10:57
    E também contratar links
    duplicados de alta velocidade
  • 10:57 - 11:00
    de provedores diferentes
    para ligar a empresa ao novo datacenter.
  • 11:00 - 11:05
    Então veja, tem duas iniciativas aqui
    grandes para fazer
  • 11:05 - 11:08
    migrar todos equipamentos
    do grupo jornalístico por um datacenter,
  • 11:08 - 11:10
    fechar o contrato com o datacenter
  • 11:10 - 11:14
    e também contratar links de
    alta velocidade contingenciados.
  • 11:14 - 11:17
    Não é um trabalho simples,
    é um trabalho longo,
  • 11:17 - 11:21
    por isso ele ficou com priorização número
    quatro e ficou um pouquinho mais adiante,
  • 11:21 - 11:27
    porque ele envolvia aqui todo um estudo
    um pouco mais profundo, até financeiro.
  • 11:27 - 11:33
    Então vamos agora para o terceiro item,
    então intrusão por parte de internautas,
  • 11:33 - 11:38
    pessoas externas a nossa rede de
    computadores, análise de exposição alta.
  • 11:38 - 11:41
    Como que a gente chegou nessa conclusão
    de que a exposição é alta?
  • 11:41 - 11:43
    Qual a justificativa?
  • 11:43 - 11:48
    Um teste de equipamento
    detetor de intrusão apontou 3714
  • 11:48 - 11:53
    tentativas de acesso aos computadores
    do datacenter do jornal por minuto.
  • 11:53 - 11:56
    Bom, a priorização ficou em terceiro
    lugar.
  • 11:56 - 11:58
    Estratégia Eliminar esse risco.
  • 11:58 - 11:59
    Como?
  • 11:59 - 12:04
    Instalando definitivamente um ideal
    que é um tudo detection system
  • 12:05 - 12:07
    e configurar o firewall para bloquear
  • 12:07 - 12:10
    pacotes de origem de dados suspeitos.
  • 12:10 - 12:15
    O último risco acesso físico indevido
    ao datacenter
  • 12:15 - 12:19
    exposição
    baixa Justificativa dessa análise
  • 12:19 - 12:22
    O acesso ao datacenter já conta
  • 12:22 - 12:25
    com identificação por crachá,
    mais biometria da face.
  • 12:25 - 12:28
    Por raras vezes no ano,
  • 12:28 - 12:33
    a mola da porta
    que fecha o datacenter acaba
  • 12:33 - 12:39
    não travando após alguém entrar ou sair,
    mas isso raras vezes.
  • 12:39 - 12:45
    Então, o risco de alguém indevidamente
    acessar o datacenter é baixo.
  • 12:45 - 12:48
    A priorização colocada em primeiro lugar,
    apesar do risco baixo.
  • 12:48 - 12:49
    Por quê?
  • 12:49 - 12:52
    Porque é fácil de solucionar.
  • 12:52 - 12:54
    Vamos fazer já.
  • 12:54 - 12:57
    E o que fizemos? Eliminação Como?
  • 12:57 - 13:00
    Trocando o sistema de mola
    por uma mola mais forte.
  • 13:00 - 13:03
    Veja então a diversidade de tratamentos.
  • 13:03 - 13:07
    E perceba que é sempre muito importante
    quando você identificar
  • 13:07 - 13:15
    uma variável de risco,
    apontar o grau de exposição justificado.
  • 13:15 - 13:17
    Pense sempre que solucionar os riscos
  • 13:17 - 13:23
    pode sair de uma solução barata
    ou mais cara.
  • 13:23 - 13:27
    No exemplo que eu dei
    por na parte de migração de datacenter,
  • 13:27 - 13:29
    nós temos ali um custo que com certeza
    é altíssimo.
  • 13:29 - 13:32
    E foi nesse caso
  • 13:32 - 13:34
    que é você contratar
    um datacenter externo, levar todos
  • 13:34 - 13:36
    seus servidores para esse datacenter
  • 13:36 - 13:41
    e depois
    fazer os contratos de telecomunicações.
  • 13:41 - 13:44
    Essa conta custou algumas dezenas
  • 13:44 - 13:47
    de milhões de reais
  • 13:47 - 13:49
    por ano
  • 13:49 - 13:52
    para fazer isso aí
    funcionando num outro datacenter.
  • 13:52 - 13:55
    Tudo isso rodar em um outro datacenter
  • 13:55 - 13:58
    não é uma decisão que eu tomo agora.
  • 13:58 - 14:00
    É uma decisão que leva tempo.
  • 14:00 - 14:05
    Envolve área financeira, envolve
    com certeza os conselhos, os comitês,
  • 14:05 - 14:10
    envolve vários profissionais de TI
    internos e dos terceiros.
  • 14:10 - 14:15
    Então, na hora de priorizar,
    tem que levar em conta também isso.
  • 14:15 - 14:17
    Não basta
    você olhar só a questão de probabilidade
  • 14:17 - 14:21
    de impactos da ocorrência do risco,
    mas também os investimentos necessários
  • 14:21 - 14:26
    e o tempo para você solucionar
    cada uma das questões ou reduzir
  • 14:26 - 14:31
    o tamanho do problema
    que esse risco pode gerar no futuro.
  • 14:31 - 14:34
    Utilizando o método que eu
    estou te mostrando aqui
  • 14:34 - 14:38
    na sua empresa, seguindo esses passos,
    você vai ter uma chance de sucesso
  • 14:38 - 14:43
    para avaliação dos seus riscos
    e para proposição de soluções
  • 14:43 - 14:45
    de uma forma muito mais interessante.
  • 14:45 - 14:48
    Com alta chance de você
    conseguir implementar as suas ideias e.
Title:
vimeo.com/.../933844803
Video Language:
Portuguese, Brazilian
Duration:
14:52

Portuguese, Brazilian subtitles

Revisions Compare revisions

Our website uses cookies for analysis purposes.