GRC+DRIDay 2016: Impressões do evento!

GRC+DRIDay 2016: Impressões do evento!

FALAR DE UM EVENTO ORGANIZADO PELA DARYUS, que é uma empresa onde trabalhei como consultor por 3 anos, pode até parecer parcial, já que é uma oportunidade de encontrar colegas e amigos que não vejo com tanta frequência. Pondo isso de lado, acredito que consigo reportar com total imparcialidade e concluir que o GRC+DRIDay continua um dos mais relevantes encontros para tratar – no nível estratégico – de Governança, Riscos, Conformidade, Segurança da Informação e Continuidade de Negócios.

Bem, vamos a minhas impressões sobre o evento!

5grc4driday-logo-com-data

DIA 1: O primeiro dia do evento é focado em GRC – Governança, Riscos e Conformidade e logo após a abertura oficial, começaram com apresentações bem interessantes.

Flávio Rímoli – Camargo Corrêa – Governança Corporativa

A primeira apresentação foi do Flávio Rímoli, Vice Presidente de Governança e Compliance na Camargo Corrêa, falando sobre o “Reposicionamento de Compliance na Estrutura Empresarial.”. Obviamente essa foi uma apresentação bem ousada, dado o cenário atual que passa a Camargo Corrêa no meio da operação Lava Jato.

grcdri01

Um dos pontos que mais me chamou a atenção foi Rímoli ter começado falando sobre Cultura Corporativa e o foco no “Tone from the top!”, algo que venho debatendo fortemente como a única maneira de se mudar a realidade e maturidade das empresas no Brasil.

A apresentação em si foi bastante pragmática e não deixa dúvidas que – se o que foi exposto for seguido de maneira séria e transparente – a Camargo Corrêa vai viver uma nova realidade que – talvez – em alguns anos possa conseguir recuperar parte do prestigio anterior.

Victor Oliveira – Grupo 3 Corações – Conformidade

O Grupo 3 Corações é uma empresa que vem crescendo na última década tanto em mercado quanto em maturidade corporativa. Não é a toa que a apresentação do CFO Victor Oliveira, demonstrou claramente a importância de se estar conforme com legislações e boas práticas.

grcdri02

Novamente, fiquei feliz em ouvir o termo Cultura Corporativa logo no começo da apresentação, e na visão bem pragmática do Victor que “Compliance se faz com pessoas, regras – são sim importantes – mas não podem ser seguidas de maneira cega e sem análise crítica”.

PAINEL: A Importância de GRC para a transparência e sustentabilidade das organizações no Brasil

A seguir tivemos o primeiro painel do evento, contando com Rony Vainzof da Opice Blum como moderador e os painelistas: Jeferson D’Addario (DARYUS), Carlos Campagnoli (SANOFI), Fay Diederichs Ivanovich e Mercedes Stinco (IBGC).

grcdri03

A discussão começou em torno do posicionamento reativo das empresas e novamente, da necessidade de se mudar a cultura das organizações para um modelo mais maduro e proativo. Essa é a única forma de se tratar incidentes de maneira adequada e reduzir o impacto para o negócio.

Camilla Do Vale Jimene – Opice Blum – GRC

Infelizmente, devido a um incidente envolvendo um copo de expresso da 3 Corações e meu terno, não pude acompanhar por inteiro a palestra da Dra. Camila.

grcdri04

Um dos pontos que me chamou a atenção – antes da minha retirada estratégica – foi a menção de pesquisas recentes que indicam que até 20% dos empregados não tem escrúpulos em violar regras de segurança, ou mesmo cometer crimes como vazamento /roubo de informações. Certamente esses números são bem assustadores para organizações de todos os portes.

Hélio Cordeiro – Grupo DARYUS – Inovação Disruptiva

Gosto muito do tema Inovação Disruptivaé uma mudança de paradigma que as organizações não podem fingir que não existe. O impacto de novas tecnologias e comportamentos é certo e só tende a crescer nos próximos anos. Hélio falou muito bem sobre a “Uberização” dos segmentos tradicionais de negócios, algo que deve ser cada vez mais comum e que – até certo ponto – cria o risco de reduzir a relevância de empresas tradicionais que não se adaptarem nos próximos anos.

grcdri05

Um dos pontos mais interessantes foi o conceito de “Supply Chain de Dados”, que se apropria de uma metodologia já bem estabelecida, portando-a a era digital. Olhando com a visão de cibersegurança, é interessante pensar em como proteger a informação em todo seu ciclo de vida, especialmente quando ela está fora do controle corporativo, mas ainda pode causar impactos.

Cláudio Yamashita – Intralinks – Conformidade

Empresa Compliant é empresa que cresce!“. Apesar de incluir um leve tom comercial, a palestra do Cláudio Yamashita da Intralinks mostrou de forma interessante que nenhuma empresa faz negócio sem colaborar com o “mundo externo”.

grc-intralinks

A tendência é que a importância da informação em tráfego só aumente, “Porém informação em tráfego é informação em risco!”. A melhor frase da apresentação é algo que concordo plenamente: “O conteúdo é o novo perímetro de segurança da informação!“. Essa é a realidade que as equipes de cibersegurança estão enfrentando diariamente.

Ricardo Tavares – DARYUS – CiberSegurança

Conheço o Tavares pessoalmente dos trabalhos que fizemos juntos na DARYUS. Conversar com ele é sempre uma diversão, pois o assunto muda constantemente, incluindo as últimas novidades de seginfo vindas da Defcon/BlackHat, a ufologia e hipnose (Sim! Esses dois últimos foram o ponto alto do almoço e renderam boas risadas na nossa mesa no segundo dia do evento!).

grcdri07

No palanque, o Ricardo falou sobre o amadurecimento do cibercrime e como hoje é fácil consumir o CaaS (Crime as a Service) através da DeepWeb/Darknet (veja os valores na imagem acima!).  Esse fato explica como o cybercrime foi considerada a maior ameaça – superando o terrorismo – no Fórum Mundial de Davos.

Quanto a boas práticas, Tavares falou dos Critical Security Controls da Center for Internet Security, que são uma abordagem interessante para montar uma defesa cibernética efetiva. A metodologia é gratuita e pode ser baixada aqui: https://www.cisecurity.org/critical-controls

PAINEL: GRC 2016 – Compliance frente à nova Era!

O primeiro dia foi encerrado com um excelente painel sobre conformidade. Em um tom razoavelmente descontraído, os especialistas Jeferson D’Addario (DARYUS),  ‎Marcos Assi (MASSI Consultoria), Flávio Rímoli (Camargo Corrêa), Cláudio Yamashita (Intralinks), ‎Ademar Albertin (EXIN) e‎ Pedro Nuno discutiram como as empresas devem encarar o temido Compliance.

grc-painel01

Novamente, o tema essencial é a mudança na cultura corporativa, junto de inovação, melhoria na legislação brasileira e como entender o Compliance como um diferencial competitivo viável para as organizações.

DIA 2 – O segundo dia do evento é denominado “DRIDay” e tem um foco maior em temas como Continuidade, Recuperação de Desastres, Cibersegurança.

Chloe Demrovsky – DRI – Resiliência

O Segundo dia do evento começou com a palestra da Chloe Demrovsky, Diretora Executiva na DRI International, uma instituição sem fins lucrativos que ajuda organizações a se preparar e lidar com desastres. Eles são sem dúvida os lideres globais em educação no ramo de Continuidade de Negócios, com presença em mais de 50 países.

grc-DRI

A apresentação de Chloe discutiu – dentre outros assuntos – um desastre ocorrido em uma fábrica em Bangladesh (veja mais aqui 2013 Savar building collapse) que vitimou tanto adultos e crianças que trabalhavam no local e gerou uma comoção em escala mundial e ampla discussão sobre responsabilidade social corporativa, mesmo através de cadeias de suprimento.

Novamente, cibersegurança também ganhou os holofotes como o tema que atualmente apresenta maior risco as organizações e eventos como, por exemplo, as olimpíadas Rio 2016.

Robert-Jan Willemsen – EXIN Netherlands – Educação

Infelizmente não tive como assistir toda a palestra do Robert-Jan, pois fui para a reunião dos painelistas. Nos 15 minutos iniciais que eu assisti, a discussão estava muito boa sobre o framework de capacitação da EXIN e como conseguir a pessoa certa, com a habilidade certa e no local certo.

grc-exin

Tive a oportunidade de assistir outra palestra do Robert no GRM Recife em 2014, com um tema bem similar, e acredito que é algo que as empresas precisam. Em especial a área de cibersegurança apresenta uma lacuna enorme quanto a profissionais bem capacitados.

PAINEL: Cyber Security – O desafio corporativo!

Enfim chegou a hora da minha primeira contribuição ao evento! A oportunidade de poder representar o Grupo Edson Queiroz e discutir cibersegurança o lado de nomes de peso como Chloe Demrovsky (DRI), Karol Cordeiro (DRI), Dr. Renato Opice Blum (Opice Blum advogados), Afonso Nassif (Intralinks) e Allan de Aveiro dos Santos (Even) foi um momento impar. O painel foi moderado por Ricardo Tavares (DARYUS), que na reunião prévia, havia prometido colocar fogo nos temas abordados!

grc-painel-dodt01

De minha parte, procurei manter o foco na mudança da Cultura Corporativa, desenvolvimento de equipes e em uma abordagem pragmática a cibersegurança. Agradeço aos membros do recém formado GPSI/CE – Grupo de Profissionais de Segurança da Informação do Estado do Ceará – pela sugestão de temas e desafios próximos a realidade  da nossa região (Skill Gap, Machine Leanrning, Threat Intelligence SIEM, dentre outros).

Dr. Renato fez algumas observações muito interessantes sobre casos recentes como – por exemplo – o whatsapp. Outro ponto de nota foi o entendimento que – mesmo estando compliant e seguindo boas práticas – não existem garantias que incidentes não vão ocorrer. Na verdade uma empresa em conformidade com legislações e normas ISO está apenas mais madura e preparada para tratar esses incidentes e ter um menor impacto.

Rafael Koike – Amazon Web Service – Cibersegurança/Continuidade

grc-aws

Infelizmente também não tive como acompanhar a apresentação do Rafael, pois novamente fui a reunião dos painelistas. Mas pelo que conversamos na hora do almoço, o tema me pareceu bastante interessante.

PAINEL: Como avaliar as ameaças de curto prazo que levam à interrupção dos negócios.

Novamente, subi ao palco junto de profissionais renomados como ‎Ricardo Tavares (DARYUS), ‎Alexandre Guindani (CAIXA), ‎Eduardo Hasegawa (HSBC),  ‎Carlos Campagnoli (SANOFI), ‎Fernando Carbone (Kroll). Dessa vez, o foco era gestão de riscos e continuidade de negócios.

grc-painel-dodt02

O tema central do painel gerou controvérsia desde a reunião feita entre os palestrantes, afinal o que são ameaças de curto prazo? Algo que pode interromper o negócio por um curto período com impacto elevado ou algo que está em eminente ocorrência? Na dúvida, os painelistas procuraram discutir com ambas as visões.

A discussão abordou pontos essenciais para tratar ameaças, dentre os quais ressalto a necessidade de conhecer o negócio, o seu apetite de risco e o contexto em que a organização está envolvida. Sem isso é impossível entender realmente a extensão de ameaças, sejam essas de curto ou longo prazo.

Um item interessante levantado pelo moderador Fernando Carbone, foi uma pesquisa recente que apontava como a “ameaça” mais relevante – no ponto de vista dos gestores – uma “interrupção prolongada dos negócios”, cibersegurança ficava apenas na 4 posição no mesmo ranking.

grc-selfie
Selfie dos painelistas junto a Jeferson D’Addario (CEO Daryus)

Meu argumento foi que, embora conceitualmente incorreto (a interrupção nos negócios é a concretização de uma ameaça e não uma ameaça em si), isso demonstra que gestores não estão especificamente preocupados com a causa da interrupção e sim de como isso afeta suas organizações.

Novamente, meu ponto de vista é que precisamos de uma abordagem pragmática para cruzar o abismo existente entre o negócio e áreas como Cibersegurança/GCN/Recuperação de Desastres.

Impressões finais

Infelizmente não pude ficar até o final do evento, pois existia uma ameaça de bloqueio do acesso ao aeroporto em Guarulhos por manifestações. De uma forma ou de outra, foi interessante sair da discussão teórica e ser lembrado, de maneira prática, da celeridade das ameaças, que surgem de forma inesperada e afetam não só negócios, mas também nossas vidas. Afinal, esse é o cerne do que estávamos discutimos nos dois dias de evento.

O fato é que organizações não podem mais usar a metodologia do avestruz  para tratar riscos. Meses atrás assistimos abismados ao maior desastre socioambiental da história brasileira, que roubou não apenas vidas, mas a existência de uma cidade inteira! Estamos vivendo um momento político altamente instável e inflamável, as olimpíadas já desapontam em meros meses (e claro, temos obras atrasadas e desastres e perdas de vidas humanas no histórico). Quantos casos poderiam ter sido evitados? Quantas pessoas salvas se levássemos GRC mais a sério? Infelizmente esse é um número depressivamente alto.

Por favor: #Não!
Por favor: #Não!

A meu ver – e prometo que essa é a última vez que menciono nesse artigo – nossa única esperança é mudarmos a cultura corporativa das empresas, fazer com que líderes estejam cientes das decisões e de suas implicações tanto no negócio, quanto em um contexto social. O que me deixou feliz durante o GRC+DRIDay 2016 foi ouvir, não só dos palestrantes, mas também da comunidade presente, que esse tema vem ganhando cada vez mais força nas grandes organizações. Ainda temos esperança!

Cláudio Dodt participa do GRC International + DRIDay 2016!

Cláudio Dodt participa do GRC International + DRIDay 2016!

Prezados colegas,

Nos dias 02 e 03 de Junho, estarei em São Paulo participando do maior evento brasileiro de Governança, Riscos, Conformidade, Continuidade de Negócios e Disaster Recovery, o GRC International + DRIDay 2016. Nesta edição faço parte dos seguintes painéis:

Cyber Security –  O desafio corporativo!
Moderador:

Ricardo Tavares (Sócio-diretor DARYUS)

Painelistas:

Chloe Demrovsky (Executive Director of DRI International)
Dr. Renato Opice Blum (Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados)
Afonso Nassif (Diretor de Vendas Empresariais da Intralinks)
Cláudio Dodt (Líder da equipe de Segurança da Informação – Grupo Edson Queiroz)

Como avaliar as ameças de curto prazo que levam à interrupção dos negócios
Moderador:

à confirmar

Painelistas:

Ricardo Tavares (Sócio-diretor DARYUS)
Alexandre Guindani (Especialista em Continuidade de Negócios – Caixa Econômica Federal)
Cláudio Dodt (Líder da equipe de Segurança da Informação – Grupo Edson Queiroz)

O evento se destaca pelo foco no público de nível estratégico. Na última vez que participei, contei, entre CFOs, CEOs, CIOs, mais de 400 executivos de grandes empresas e servidores públicos de alto escalão. É uma excelente oportunidade para aprender, compartilhar ideias e fazer o velho e bom networking.

Quer participar? Ótimo! Siga esse link ou use o código GRC-EXCLUSIVO-DODT para ter um desconto especial!

inscricao_grc_2016

5grc4driday-logo-com-data

Veja mais detalhes sobre o GRC + DRIDAY 2016:

Tendo como principal objetivo fomentar as melhores práticas internacionais sobre Governança, Riscos, Conformidade, Continuidade de Negócios e Disaster Recovery. O evento é a união do GRC Internacional, criado pela DARYUS em 2010 e o DRIDAY um dos maiores eventos sobre Continuidade de Negócios do mundo, criado pelo DRII (Disaster Recovery Institute International).

Através de parceiros de empresas privadas e públicas reunimos especialistas para discutirem as novas necessidades empresariais, entender os controles internos, avaliar casos de sucesso, entender problemas e disseminar informações do mercado mundial frente as melhoras práticas e a importância da capacitação do profissional.

Palestrantes confirmados

palestrantes-grcdriday2016

Agenda

agenda_grcdriday_2016

 

Gestão de Continuidade de Negócios x Plano de Recuperação de Desastres: Entenda a diferença!

MESMO HOJE, ALGUNS PROFISSIONAIS AINDA CONFUNDEM CONTINUIDADE DE NEGÓCIOS COM RECUPERAÇÃO DE DESASTRES.

O Plano de Recuperação de Desastres (PRD) visa restaurar, o mais rápido possível e mesmo com desempenho reduzido, a TIC que sustenta processos críticos do negócio. O PRD só é concluído quando tudo já foi completamente recuperado e a empresa pode voltar ao seu “estado de normalidade”.

Mesmo entendendo que a maioria dos processos de negócio são dependentes da TIC, existem outros componentes que são essenciais a uma boa Gestão de Continuidade de Negócios (GCN). Esse é o caso com o Plano de Comunicação em Crise, que define pontos vitais como: A forma como a organização deve se comunicar, o tom da mensagem e quem deve estar a frente da comunicação. Tudo isso de acordo com o nível/tipo de crise.

PRD - Plano de Recuperação de Desastres, PCO - Plano de Contingencia Operacional, PCOM - Plano de Comunicação, PGC - Plano de Gestão de Crises
PRD – Apenas uma parte da Gestão de Continuidade

Ainda ontem um dos meus alunos de uma turma do curso CISA em BSB me perguntou: O que acontece quando a empresa faz um “Plano de Continuidade” somente para TIC?

Bem, a resposta é obvia, sua Gestão de Continuidade de Negócios – reduzida exclusivamente ao PRD – fica míope. Cuidado apenas de um aspecto, mesmo dos mais relevantes, parte significativa dos riscos/impactos a organização não será tratada, e seu resultado para o negócio pode ser catastrófico.

Para fechar o exemplo, perguntei: “O que a TIC pode fazer, no caso de uma crise como a da Ellus, que lançou uma campanha estratégica com o tema “ABAIXO ESTE BRASIL ATRASADO“, e foi imediatamente detonada quando um colunista do Estadão lembrou que – apesar da marca considerar o governo culpado pelo atraso do Brasil – a Ellus é acusada de utilizar mão de obra escrava em sua produção?”

O que a TI pode fazer neste cenário de crise? Praticamente NADA. No máximo se preparar para eventuais ataques de hacktivistas. A campanha segue amplamente difundida em vários sites, associando a marca ao trabalho escravo. Acho que esse não era o objetivo inicial da turma do marketing!

Eis o provável resultado quando se limita a GCN apenas ao Plano de Recuperação de Desastres. Não custa nada lembrar que no mundo corporativo, crises são inevitáveis. O quão preparado você está, incluindo a abrangência em todos os aspectos de Continuidade, é que vai definir o nível de impacto para sua organização, e até a sobrevivência da mesma.

Cybersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?

FALTA POUCO MAIS DE UM MÊS. Depois de inúmeras denuncias, controvérsias e atrasos ,enfim chegamos ao que pode ser considerado um dos maiores eventos que o Brasil já sediou, a Copa do Mundo de 2014. As próximas semanas trarão a resposta a uma pergunta que assombra muitos profissionais que lidam com gestão de riscos: Com os olhos e holofotes do mundo centrados em nossa nação, será que teremos finalmente um momento de merecida glória ou um retumbante fracasso?

risco-copa

Indo além do nobre esporte bretão disputado no tapete esmeralda, quando entramos no campo digital talvez nossa seleção não seja a mais preparada. Somos uma nação virtual com mais de 100 milhões de internautas, onde a cada 17 segundos existe uma tentativa de golpe financeiro com o uso de identidade falsa, temos mais de 2500 denúncias de crimes online por dia e nossos esforços em lidar com ciberataques podem ser considerados – na melhor das hipóteses – precários.

O crime não tira férias e nem assiste aos jogos da Copa

Quando olhamos individualmente para organizações, as estatísticas apontam que datas comemorativas e grandes eventos representam um número maior de ataques cibernéticos. Esse movimento é natural, visto que boa parte das empresas acaba contando com equipes menores, trabalhando em regime de plantão. Imagine que, se já não é fácil monitorar o ambiente corporativo com uma equipe completa, um quadro reduzido amplia a possibilidade de não se detectar ou tratar um incidente a tempo. Enquanto estamos de olho nos telões, torcendo pela seleção canarinho,  vazamento de informações, infecções por malwares, golpes de phishing e similares aumentam tanto quanto a quantidade de faltas cavadas por certos jogadores, frente a uma marcação mais cerrada.

Acredito que seja evidente a todos que – gostando ou não – vai ter Copa sim, e a esmagadora maioria dos brasileiros aplaudirá o evento. Esse fato não diminui as oportunidades que movimentos como o “Não Vai Ter Copa” terão para divulgar sua mensagem. Um ponto importante é entendermos a tênue diferença entre o ciberativismo – a versão repaginada do sofativismo, que usa primariamente redes sociais para divulgar idéias – e o hacktivismo ou mesmo o ciberterrorismo. Esses dois últimos fazem uso da tecnologia aliada ao medo e caos, juntando uma massa cega e inconsequente de internautas, que não tem uma real percepção do prejuízo que um ataque pode causar a uma empresa ou órgão público.

Falou o corretor sobre o apartamento de 50m²
Falou o corretor sobre um apartamento de 50m²

Muito além de empresas privadas como a própria FIFA e seus patrocinadores, alvos de hacktivistas incluem serviços críticos como polícia, bombeiros e até mesmo as forças armadas. Isso ficou claro 2013, durante a chamada “Operação 7 de Setembro”, quando crackers atacaram mais de 50 sites nacionais, dos quais 75% eram órgãos do governo. Os ataques – geralmente de negação de serviço – chegaram a derrubar páginas como das Polícias Militares do Rio de Janeiro e Distrito Federal. Sinceramente não é difícil imaginar um cenário onde ataques similares poderiam visar a desestabilização da infraestrutura crítica desses órgãos, podendo chegar a comprometer operações de proteção a vida.

A administração pública já vem tomando algumas medidas para garantir a segurança da informação em grandes eventos, como a implementação dos Centros de Comando e Controle  e a forte mobilização de agentes da segurança pública durante a Copa do Mundo. Entretanto, nas próprias palavras do Delegado José Mariano – da Polícia Civil de São Paulo – “Só agimos reativamente. Falta integração e articulação para deixarmos de ser o país com pior índice de segurança da informação na América Latina”. Essa escassez de ações proativas é a lacuna que permite ao Brasil ser um dos países mais afetados pelo cibercrime, com um prejuízo anual estimado em mais de R$ 18,3 bilhões de acordo com o Norton Cybercrime Report 2013.

 Norton Cybercrime Report 2013: R$ 18,3 bilhões de prejuízo com cibercrime
Norton Cybercrime Report 2013: R$ 18,3 bilhões de prejuízo com cibercrime

Como resolver esses problemas? Acredito que apesar de empecilhos como o escasso investimento nas iniciativas pública e privada, o pequeno número de profissionais experientes no mercado, nosso maior problema é a falta de uma cultura em Segurança da Informação. É “fácil” investir em uma das muitas tecnologias de proteção disponíveis no mercado, mas enquanto não tivermos bons profissionais a frente das mesmas, e um apoio executivo na Alta Direção das empresas, vamos continuar levando gol contra.

CARTO_vermelho

 

[WEBEX EXIN] Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS. – DOWNLOAD DOS SLIDES

Prezados amigos,

Como mencionado previamente aqui no blog,  no dia 10/04 tive o prazer participar mais uma vez do circuito de palestras da EXIN apresentando um WEBEX com o tema “Segurança da Informação:  Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS”.

WEBEX: Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS
WEBEX: Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS

A palestra virtual contou com uma média de mais de 100 participantes, e fiquei bastante feliz com a qualidade das dúvidas/perguntas ao final da apresentação.

Como sempre, estou disponibilizando o <<DOWNLOAD DA APRESENTAÇÃO EM PDF>>.

EXIN_GR

Para acompanhar futuros eventos e notícias sobre Gestão de Riscos e Segurança da Informação, não deixe de se inscrever na comunidade do facebook.