Gestão de Riscos: Encontros com cobras e lagartos (anfíbios na verdade!)

GERENCIAR RISCOS É UMA DISCIPLINA QUE REQUER UMA VISÃO REALMENTE HOLÍSTICA. Se você não consegue visualizar o todo, é bem provável que seu trabalho vá por água abaixo, pois dificilmente você vai identificar o relacionamento real entre as possíveis fontes de ameaças, vulnerabilidades, o nível de exposição e apetite de riscos. Sem isso, não é viável projetar controles efetivos e garantir a proteção necessária.

Em meu tempo como consultor, realizar análises de risco sempre foi um trabalho muito divertido que francamente me atraia bastante. Afinal, como um carinha da TI raiz, costumeiramente a maior parte das minhas atividades era sentando em frente a um monitor (ou vários), em um local climatizado. A mudança de ares mais que despertava minha curiosidade.

Nesse ponto, me sinto muito afortunado. Tive a oportunidade que tive de conhecer os mais diversos tipos de negócios e ambientes fabris durante análises de risco: indústria alimentícia, naval, têxtil, metal-mecânica, bancos, hospitais, universidades, grupos varejistas, grandes provedores de serviço de TI, são alguns dos exemplos que me vem a mente.

Durante essas análises, a metodologia mais comum é avaliamos os riscos humanos, naturais, físicos e tecnológicos. Basicamente você entra em contato com todo tipo de situação que seria engraçada se não fosse trágica. Já encontrei uma garrafa de Black Label escondida dentro de um Datacenter (a equipe tinha recebido de um fornecedor e não queria ter que sortear), em outro caso uma empresa resolveu construir uma pista de pouso particular diretamente alinhada com o Datacenter, que ficava a poucas centenas de metros da cabeceira. Reza a lenda que o site de backup ficava na outra ponta da pista, mas ai já seria demais. Em outro local havia um grande depósito de combustível ao lado do.. Dacatencer. É, nessas horas parece que não há exatamente muito amor pela proteção dos dados corporativos.

Uma das situações mais engraçadas foi quando estava realizando um trabalho para uma indústria de geração de energia eólica. A empresa possuía vários sites para seus aerogeradores, que obviamente contavam com infra de TI, em meio a locais razoavelmente inóspitos. Na maioria dos casos a estrutura ficava em meio a dunas, muito calor, compensando por uma bela visão do mar.

Em uma visitas nesses locais, quando fui inspecionar um rack de telecom, um funcionário gritou: PARE! NÃO MEXE NESSE RACK! Eu meio que tomei um susto, estava acompanhado por uma pessoa da empresa e devidamente autorizado a realizar a inspeção. Esse não era o problema. Me explicaram que nas ultimas semanas haviam encontrado vários ofídios no local.

Bem, como profissional de segurança, eu consigo ver o valor de proteção para um ambiente de TI que usa cobras passando em meio aos cabos de rede, mas realmente não acho que seja algo muito prático no momento de manutenções. O engraçado é que em outro site do cliente descobrimos uma infestação de rãs. Sim! Os pequenos sapinhos haviam tomado conta do sistema de ar condicionado local, estavam presentes em todos os racks e ameaçavam causar danos sérios aos equipamentos de TI. Duvida? Segue ai uma pequena evidência do causo:

Sim, são rãs infestando o ar-condicionado e o rack

Enfim, a época, não encontramos exatamente uma solução que fosse além sugerir entrar em contato com o IBAMA e fechar qualquer fresta que desse acesso a tubulação. Ambos locais ficavam em uma área de proteção ambiental e não existia qualquer possibilidade de remover a fauna local ou de usar as cobras para solucionar os problemas com as rãs.

Fica ai a dica, em se tratando de gestão de riscos, TI pode ser o menor dos seus problemas, muitas vezes é preciso um olhar que está fora, muito fora da caixa.

Comentários

Comentários