Gestão de Riscos: Encontros com cobras e lagartos (anfíbios na verdade!)

GERENCIAR RISCOS É UMA DISCIPLINA QUE REQUER UMA VISÃO REALMENTE HOLÍSTICA. Se você não consegue visualizar o todo, é bem provável que seu trabalho vá por água abaixo, pois dificilmente você vai identificar o relacionamento real entre as possíveis fontes de ameaças, vulnerabilidades, o nível de exposição e apetite de riscos. Sem isso, não é viável projetar controles efetivos e garantir a proteção necessária.

Em meu tempo como consultor, realizar análises de risco sempre foi um trabalho muito divertido que francamente me atraia bastante. Afinal, como um carinha da TI raiz, costumeiramente a maior parte das minhas atividades era sentando em frente a um monitor (ou vários), em um local climatizado. A mudança de ares mais que despertava minha curiosidade.

Nesse ponto, me sinto muito afortunado. Tive a oportunidade que tive de conhecer os mais diversos tipos de negócios e ambientes fabris durante análises de risco: indústria alimentícia, naval, têxtil, metal-mecânica, bancos, hospitais, universidades, grupos varejistas, grandes provedores de serviço de TI, são alguns dos exemplos que me vem a mente.

Durante essas análises, a metodologia mais comum é avaliamos os riscos humanos, naturais, físicos e tecnológicos. Basicamente você entra em contato com todo tipo de situação que seria engraçada se não fosse trágica. Já encontrei uma garrafa de Black Label escondida dentro de um Datacenter (a equipe tinha recebido de um fornecedor e não queria ter que sortear), em outro caso uma empresa resolveu construir uma pista de pouso particular diretamente alinhada com o Datacenter, que ficava a poucas centenas de metros da cabeceira. Reza a lenda que o site de backup ficava na outra ponta da pista, mas ai já seria demais. Em outro local havia um grande depósito de combustível ao lado do.. Dacatencer. É, nessas horas parece que não há exatamente muito amor pela proteção dos dados corporativos.

Uma das situações mais engraçadas foi quando estava realizando um trabalho para uma indústria de geração de energia eólica. A empresa possuía vários sites para seus aerogeradores, que obviamente contavam com infra de TI, em meio a locais razoavelmente inóspitos. Na maioria dos casos a estrutura ficava em meio a dunas, muito calor, compensando por uma bela visão do mar.

Em uma visitas nesses locais, quando fui inspecionar um rack de telecom, um funcionário gritou: PARE! NÃO MEXE NESSE RACK! Eu meio que tomei um susto, estava acompanhado por uma pessoa da empresa e devidamente autorizado a realizar a inspeção. Esse não era o problema. Me explicaram que nas ultimas semanas haviam encontrado vários ofídios no local.

Bem, como profissional de segurança, eu consigo ver o valor de proteção para um ambiente de TI que usa cobras passando em meio aos cabos de rede, mas realmente não acho que seja algo muito prático no momento de manutenções. O engraçado é que em outro site do cliente descobrimos uma infestação de rãs. Sim! Os pequenos sapinhos haviam tomado conta do sistema de ar condicionado local, estavam presentes em todos os racks e ameaçavam causar danos sérios aos equipamentos de TI. Duvida? Segue ai uma pequena evidência do causo:

Sim, são rãs infestando o ar-condicionado e o rack

Enfim, a época, não encontramos exatamente uma solução que fosse além sugerir entrar em contato com o IBAMA e fechar qualquer fresta que desse acesso a tubulação. Ambos locais ficavam em uma área de proteção ambiental e não existia qualquer possibilidade de remover a fauna local ou de usar as cobras para solucionar os problemas com as rãs.

Fica ai a dica, em se tratando de gestão de riscos, TI pode ser o menor dos seus problemas, muitas vezes é preciso um olhar que está fora, muito fora da caixa.

[WEBEX] ISO 27001:2013 – Video disponível no Youtube

Caros colegas,

Para quem não teve a oportunidade de acompanhar ao vivo, segue link do youtube para o WEBEX que apresentei em parceria com a EXIN com o tema: ISO 27001:2013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação?

A idéia central da apresentação, é entender a ATUALIZAÇÃO DA NORMA – ISO 27001:2013, como essas mudanças podem beneficiar a Gestão de Riscos na sua empresa, além de discutir o que você precisa fazer para agregar esse valor ao negócio.

Para quem tiver interesse, o arquivo em PDF também está disponível aqui: Daryus_27001_2013_R1.

 

 

ATUALIZADO – EXIN Promove Palestras Gratuitas em Junho

Prezados colegas,

No dia 12/06 as 14:00 estarei participando das palestras gratuitas do EXIN com uma apresentação via WEBEX discutindo o tema Segurança da Informação: Gerenciando Riscos.

Desde já sintam-se todos convidados. As inscrições já estão abertas através DESTE LINK

UPDATE: Estou disponibilizando AQUI o material apresentado durante o WEBEX.

UPDATE 2: A gravação do WEBEX você pode ver AQUI.

EXIN Promove Palestras Gratuitas em Junho
EXIN Promove Palestras Gratuitas em Junho

Segurança da Informação: Gerenciando Riscos – Palestra gratuita RJ 07/05/2012

Prezados colegas,

No dia 07/05 estarei no Rio de Janeiro para ministrar o treinamento oficial preparatório para o exame Certified Information Systems Auditor (CISA®) da ISACA®. Vou aproveitar esta oportunidade para apresentar uma palestra gratuita com o tema Segurança da Informação: Gerenciando Riscos.

Desde já sintam-se todos convidados. Maiores informações e inscrições disponíveis diretamente no site do DARYUS EDUCATION CENTER.

Palestra gratuita - Segurança da Informação: Gerenciando Riscos.
Palestra gratuita - Segurança da Informação: Gerenciando Riscos.