GRC+DRIDay 2016: Impressões do evento!

GRC+DRIDay 2016: Impressões do evento!

FALAR DE UM EVENTO ORGANIZADO PELA DARYUS, que é uma empresa onde trabalhei como consultor por 3 anos, pode até parecer parcial, já que é uma oportunidade de encontrar colegas e amigos que não vejo com tanta frequência. Pondo isso de lado, acredito que consigo reportar com total imparcialidade e concluir que o GRC+DRIDay continua um dos mais relevantes encontros para tratar – no nível estratégico – de Governança, Riscos, Conformidade, Segurança da Informação e Continuidade de Negócios.

Bem, vamos a minhas impressões sobre o evento!

5grc4driday-logo-com-data

DIA 1: O primeiro dia do evento é focado em GRC – Governança, Riscos e Conformidade e logo após a abertura oficial, começaram com apresentações bem interessantes.

Flávio Rímoli – Camargo Corrêa – Governança Corporativa

A primeira apresentação foi do Flávio Rímoli, Vice Presidente de Governança e Compliance na Camargo Corrêa, falando sobre o “Reposicionamento de Compliance na Estrutura Empresarial.”. Obviamente essa foi uma apresentação bem ousada, dado o cenário atual que passa a Camargo Corrêa no meio da operação Lava Jato.

grcdri01

Um dos pontos que mais me chamou a atenção foi Rímoli ter começado falando sobre Cultura Corporativa e o foco no “Tone from the top!”, algo que venho debatendo fortemente como a única maneira de se mudar a realidade e maturidade das empresas no Brasil.

A apresentação em si foi bastante pragmática e não deixa dúvidas que – se o que foi exposto for seguido de maneira séria e transparente – a Camargo Corrêa vai viver uma nova realidade que – talvez – em alguns anos possa conseguir recuperar parte do prestigio anterior.

Victor Oliveira – Grupo 3 Corações – Conformidade

O Grupo 3 Corações é uma empresa que vem crescendo na última década tanto em mercado quanto em maturidade corporativa. Não é a toa que a apresentação do CFO Victor Oliveira, demonstrou claramente a importância de se estar conforme com legislações e boas práticas.

grcdri02

Novamente, fiquei feliz em ouvir o termo Cultura Corporativa logo no começo da apresentação, e na visão bem pragmática do Victor que “Compliance se faz com pessoas, regras – são sim importantes – mas não podem ser seguidas de maneira cega e sem análise crítica”.

PAINEL: A Importância de GRC para a transparência e sustentabilidade das organizações no Brasil

A seguir tivemos o primeiro painel do evento, contando com Rony Vainzof da Opice Blum como moderador e os painelistas: Jeferson D’Addario (DARYUS), Carlos Campagnoli (SANOFI), Fay Diederichs Ivanovich e Mercedes Stinco (IBGC).

grcdri03

A discussão começou em torno do posicionamento reativo das empresas e novamente, da necessidade de se mudar a cultura das organizações para um modelo mais maduro e proativo. Essa é a única forma de se tratar incidentes de maneira adequada e reduzir o impacto para o negócio.

Camilla Do Vale Jimene – Opice Blum – GRC

Infelizmente, devido a um incidente envolvendo um copo de expresso da 3 Corações e meu terno, não pude acompanhar por inteiro a palestra da Dra. Camila.

grcdri04

Um dos pontos que me chamou a atenção – antes da minha retirada estratégica – foi a menção de pesquisas recentes que indicam que até 20% dos empregados não tem escrúpulos em violar regras de segurança, ou mesmo cometer crimes como vazamento /roubo de informações. Certamente esses números são bem assustadores para organizações de todos os portes.

Hélio Cordeiro – Grupo DARYUS – Inovação Disruptiva

Gosto muito do tema Inovação Disruptivaé uma mudança de paradigma que as organizações não podem fingir que não existe. O impacto de novas tecnologias e comportamentos é certo e só tende a crescer nos próximos anos. Hélio falou muito bem sobre a “Uberização” dos segmentos tradicionais de negócios, algo que deve ser cada vez mais comum e que – até certo ponto – cria o risco de reduzir a relevância de empresas tradicionais que não se adaptarem nos próximos anos.

grcdri05

Um dos pontos mais interessantes foi o conceito de “Supply Chain de Dados”, que se apropria de uma metodologia já bem estabelecida, portando-a a era digital. Olhando com a visão de cibersegurança, é interessante pensar em como proteger a informação em todo seu ciclo de vida, especialmente quando ela está fora do controle corporativo, mas ainda pode causar impactos.

Cláudio Yamashita – Intralinks – Conformidade

Empresa Compliant é empresa que cresce!“. Apesar de incluir um leve tom comercial, a palestra do Cláudio Yamashita da Intralinks mostrou de forma interessante que nenhuma empresa faz negócio sem colaborar com o “mundo externo”.

grc-intralinks

A tendência é que a importância da informação em tráfego só aumente, “Porém informação em tráfego é informação em risco!”. A melhor frase da apresentação é algo que concordo plenamente: “O conteúdo é o novo perímetro de segurança da informação!“. Essa é a realidade que as equipes de cibersegurança estão enfrentando diariamente.

Ricardo Tavares – DARYUS – CiberSegurança

Conheço o Tavares pessoalmente dos trabalhos que fizemos juntos na DARYUS. Conversar com ele é sempre uma diversão, pois o assunto muda constantemente, incluindo as últimas novidades de seginfo vindas da Defcon/BlackHat, a ufologia e hipnose (Sim! Esses dois últimos foram o ponto alto do almoço e renderam boas risadas na nossa mesa no segundo dia do evento!).

grcdri07

No palanque, o Ricardo falou sobre o amadurecimento do cibercrime e como hoje é fácil consumir o CaaS (Crime as a Service) através da DeepWeb/Darknet (veja os valores na imagem acima!).  Esse fato explica como o cybercrime foi considerada a maior ameaça – superando o terrorismo – no Fórum Mundial de Davos.

Quanto a boas práticas, Tavares falou dos Critical Security Controls da Center for Internet Security, que são uma abordagem interessante para montar uma defesa cibernética efetiva. A metodologia é gratuita e pode ser baixada aqui: https://www.cisecurity.org/critical-controls

PAINEL: GRC 2016 – Compliance frente à nova Era!

O primeiro dia foi encerrado com um excelente painel sobre conformidade. Em um tom razoavelmente descontraído, os especialistas Jeferson D’Addario (DARYUS),  ‎Marcos Assi (MASSI Consultoria), Flávio Rímoli (Camargo Corrêa), Cláudio Yamashita (Intralinks), ‎Ademar Albertin (EXIN) e‎ Pedro Nuno discutiram como as empresas devem encarar o temido Compliance.

grc-painel01

Novamente, o tema essencial é a mudança na cultura corporativa, junto de inovação, melhoria na legislação brasileira e como entender o Compliance como um diferencial competitivo viável para as organizações.

DIA 2 – O segundo dia do evento é denominado “DRIDay” e tem um foco maior em temas como Continuidade, Recuperação de Desastres, Cibersegurança.

Chloe Demrovsky – DRI – Resiliência

O Segundo dia do evento começou com a palestra da Chloe Demrovsky, Diretora Executiva na DRI International, uma instituição sem fins lucrativos que ajuda organizações a se preparar e lidar com desastres. Eles são sem dúvida os lideres globais em educação no ramo de Continuidade de Negócios, com presença em mais de 50 países.

grc-DRI

A apresentação de Chloe discutiu – dentre outros assuntos – um desastre ocorrido em uma fábrica em Bangladesh (veja mais aqui 2013 Savar building collapse) que vitimou tanto adultos e crianças que trabalhavam no local e gerou uma comoção em escala mundial e ampla discussão sobre responsabilidade social corporativa, mesmo através de cadeias de suprimento.

Novamente, cibersegurança também ganhou os holofotes como o tema que atualmente apresenta maior risco as organizações e eventos como, por exemplo, as olimpíadas Rio 2016.

Robert-Jan Willemsen – EXIN Netherlands – Educação

Infelizmente não tive como assistir toda a palestra do Robert-Jan, pois fui para a reunião dos painelistas. Nos 15 minutos iniciais que eu assisti, a discussão estava muito boa sobre o framework de capacitação da EXIN e como conseguir a pessoa certa, com a habilidade certa e no local certo.

grc-exin

Tive a oportunidade de assistir outra palestra do Robert no GRM Recife em 2014, com um tema bem similar, e acredito que é algo que as empresas precisam. Em especial a área de cibersegurança apresenta uma lacuna enorme quanto a profissionais bem capacitados.

PAINEL: Cyber Security – O desafio corporativo!

Enfim chegou a hora da minha primeira contribuição ao evento! A oportunidade de poder representar o Grupo Edson Queiroz e discutir cibersegurança o lado de nomes de peso como Chloe Demrovsky (DRI), Karol Cordeiro (DRI), Dr. Renato Opice Blum (Opice Blum advogados), Afonso Nassif (Intralinks) e Allan de Aveiro dos Santos (Even) foi um momento impar. O painel foi moderado por Ricardo Tavares (DARYUS), que na reunião prévia, havia prometido colocar fogo nos temas abordados!

grc-painel-dodt01

De minha parte, procurei manter o foco na mudança da Cultura Corporativa, desenvolvimento de equipes e em uma abordagem pragmática a cibersegurança. Agradeço aos membros do recém formado GPSI/CE – Grupo de Profissionais de Segurança da Informação do Estado do Ceará – pela sugestão de temas e desafios próximos a realidade  da nossa região (Skill Gap, Machine Leanrning, Threat Intelligence SIEM, dentre outros).

Dr. Renato fez algumas observações muito interessantes sobre casos recentes como – por exemplo – o whatsapp. Outro ponto de nota foi o entendimento que – mesmo estando compliant e seguindo boas práticas – não existem garantias que incidentes não vão ocorrer. Na verdade uma empresa em conformidade com legislações e normas ISO está apenas mais madura e preparada para tratar esses incidentes e ter um menor impacto.

Rafael Koike – Amazon Web Service – Cibersegurança/Continuidade

grc-aws

Infelizmente também não tive como acompanhar a apresentação do Rafael, pois novamente fui a reunião dos painelistas. Mas pelo que conversamos na hora do almoço, o tema me pareceu bastante interessante.

PAINEL: Como avaliar as ameaças de curto prazo que levam à interrupção dos negócios.

Novamente, subi ao palco junto de profissionais renomados como ‎Ricardo Tavares (DARYUS), ‎Alexandre Guindani (CAIXA), ‎Eduardo Hasegawa (HSBC),  ‎Carlos Campagnoli (SANOFI), ‎Fernando Carbone (Kroll). Dessa vez, o foco era gestão de riscos e continuidade de negócios.

grc-painel-dodt02

O tema central do painel gerou controvérsia desde a reunião feita entre os palestrantes, afinal o que são ameaças de curto prazo? Algo que pode interromper o negócio por um curto período com impacto elevado ou algo que está em eminente ocorrência? Na dúvida, os painelistas procuraram discutir com ambas as visões.

A discussão abordou pontos essenciais para tratar ameaças, dentre os quais ressalto a necessidade de conhecer o negócio, o seu apetite de risco e o contexto em que a organização está envolvida. Sem isso é impossível entender realmente a extensão de ameaças, sejam essas de curto ou longo prazo.

Um item interessante levantado pelo moderador Fernando Carbone, foi uma pesquisa recente que apontava como a “ameaça” mais relevante – no ponto de vista dos gestores – uma “interrupção prolongada dos negócios”, cibersegurança ficava apenas na 4 posição no mesmo ranking.

grc-selfie
Selfie dos painelistas junto a Jeferson D’Addario (CEO Daryus)

Meu argumento foi que, embora conceitualmente incorreto (a interrupção nos negócios é a concretização de uma ameaça e não uma ameaça em si), isso demonstra que gestores não estão especificamente preocupados com a causa da interrupção e sim de como isso afeta suas organizações.

Novamente, meu ponto de vista é que precisamos de uma abordagem pragmática para cruzar o abismo existente entre o negócio e áreas como Cibersegurança/GCN/Recuperação de Desastres.

Impressões finais

Infelizmente não pude ficar até o final do evento, pois existia uma ameaça de bloqueio do acesso ao aeroporto em Guarulhos por manifestações. De uma forma ou de outra, foi interessante sair da discussão teórica e ser lembrado, de maneira prática, da celeridade das ameaças, que surgem de forma inesperada e afetam não só negócios, mas também nossas vidas. Afinal, esse é o cerne do que estávamos discutimos nos dois dias de evento.

O fato é que organizações não podem mais usar a metodologia do avestruz  para tratar riscos. Meses atrás assistimos abismados ao maior desastre socioambiental da história brasileira, que roubou não apenas vidas, mas a existência de uma cidade inteira! Estamos vivendo um momento político altamente instável e inflamável, as olimpíadas já desapontam em meros meses (e claro, temos obras atrasadas e desastres e perdas de vidas humanas no histórico). Quantos casos poderiam ter sido evitados? Quantas pessoas salvas se levássemos GRC mais a sério? Infelizmente esse é um número depressivamente alto.

Por favor: #Não!
Por favor: #Não!

A meu ver – e prometo que essa é a última vez que menciono nesse artigo – nossa única esperança é mudarmos a cultura corporativa das empresas, fazer com que líderes estejam cientes das decisões e de suas implicações tanto no negócio, quanto em um contexto social. O que me deixou feliz durante o GRC+DRIDay 2016 foi ouvir, não só dos palestrantes, mas também da comunidade presente, que esse tema vem ganhando cada vez mais força nas grandes organizações. Ainda temos esperança!

DARYUS-UNIFOR: Palestra Cybersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?

Cybersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?
Clique e se inscreva

Em meio a inúmeros atrasos, manifestações e polêmicas, enfim a Copa do Mundo está chegando.

Enquanto a infraestrutura e logística para esse megaevento são os assuntos mais debatidos, não podemos esquecer que o Brasil é um país com mais de 100 milhões de internautas, onde a cada 17 segundos existe uma tentativa de golpe financeiro com o uso de identidade falsa. Temos mais de 2500 denúncias de crimes online por dia e nossos esforços em lidar com cyberataques podem ser considerados – na melhor das hipóteses – precários.

Manifestações, fraudes, ciberativismo, hacktivismo ou mesmo o ciberterrorismo. Vamos discutir como o Brasil preparou suas defesas virtuais. Será que realmente estamos prontos para entrar em campo?

O evento, realizado pela DARYUS em parceria com a UNIFOR, é gratuito, mas as vagas são limitadas.

Inscreva-se AQUI!

[WEBEX EXIN] Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS.

Caros colegas,

No dia 10 de Abril, as 11:00, a EXIN me convidou para apresentar um WEBEX, com o tema: “Segurança da Informação:  Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS.

WEBEX: Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS
WEBEX: Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS

Com a atualização em setembro de 2013, a nova versão da ISO 27001 ficou ainda mais madura, privilegiando uma “gestão de riscos mais efetiva” com controles atualizados e organizados de forma mais intuitiva.

Como isso funciona? Vamos mostrar uma metodologia prática para aplicar esses controles em um ambiente real, demonstrando não só a teoria, mas também a aplicação hands-on da norma.

Convido todos a participar, para se inscrever é só seguir o link: http://dary.us/1lhOpGr

Malaysia Airlines: Comunicação em crise – COMO NÃO FAZER!

Começar um artigo com um tema sensível, o desaparecimento do voo MH370 da Malaysia Airlines, com uma piada (de mau gosto) do Joãozinho talvez não seja a coisa mais sensata. Entretanto, garanto que a realidade consegue ter um humor ainda mais ácido.

malaysia-airlines-boeing-777

A tal Piada do Joãozinho

“Conta-se que ambos os pais do Joãozinho morreram subitamente em um acidente de carro. Como estava no horário de aula, coube a Professora dar a infeliz notícia.

Sem saber como proceder, falou a todos os alunos:

– Quem tiver os pais vivos, por favor, fique de pé

Ao que prontamente seguiu:

– Não Joãozinho, você pode ficar sentado.”

Uma boa Comunicação é talvez uma das mais importantes disciplinas dentro da Gestão de Crises, e a forma escolhida pela Malaysia Airlines me faz pensar que talvez a Professora do Joãozinho tenha passado alguns anos ministrando cursos no exterior.

Comunicação em Crise

Desde o dia 8 de março, quem acompanha a ampla cobertura midiática teve oportunidade de ver a angustia dos parentes de passageiros e tripulantes do MH370. Sem informações conclusivas, famílias ficavam presas entre um fio de esperança e o amargor do fatalismo.

Apesar das inúmeras teorias conspiratórias (Sequestro, Terrorismo, NSA, Illuminati, Aliens, LOST, dentre outras), após amplas investigações os fatos apontam – além de qualquer dúvida razoável – que o Boeing 777 caiu ao sul do Oceano Índico, sem chances de sobreviventes dentre as 239 pessoas a bordo.

ALIENS

No que pode ser considerado um dos piores momentos na Comunicação em Crise, a Malaysia Airlines resolveu divulgar a confirmação da morte de todos os passageiros do vôo MH370 aos seus familiares através de uma mensagem de texto (SMS):

“A Malaysia Airlines lamenta profundamente admitir que, acima de qualquer dúvida razoável, o voo MH370 foi perdido e nenhum dos que estava a bordo sobreviveram. Conforme você ouvirá daqui à uma hora do Primeiro-Ministro da Malásia, devemos agora aceitar que todas as evidências confirmam de que o avião caiu ao sul do Oceano Índico.”

Comunicação fria e sem tato. Imagine ser um familiar e receber esse SMS.
Comunicação fria e sem tato. Imagine ser um familiar e receber esse SMS.

Mesmo considerando uma ampla diferença cultural, a frieza e completa falta de tato demonstra o total despreparo da equipe responsável. A provável urgência e ansiedade em notificar os principais afetados pelo desastre, não são justificativas plausíveis para agir de um modo que beira o descaso.

Espero sinceramente que a professora do Joãozinho não faça escola, e que Gestores de Crise e Comunicação entendam melhor o impacto negativo que uma mensagem pode ter tanto para sua organização, quanto na vida das pessoas afetadas.

O vôo 370 seguia de Kuala Lumpur para Beijing com 239 pessoas a bordo e desapareceu no dia 8 de março. Embora existam fortes indícios de uma tentativa de sequestro, a causa do desvio da rota e do acidente ainda não foi completamente esclarecida. As últimas notícias apontam o avistamento de 122 objetos que seriam vestígios do avião. As operações de busca continuam.

Voo JJ 8065 – Turbulência fantasma e 12 passageiros feridos por não seguir regras de segurança

Como passageiro frequente, já cheguei a um nível onde que posso recitar de memória a instrução repassada pelas comissárias de bordo no início dos voos, o que obviamente inclui a frase “Respeite o aviso luminoso de atar os cintos, mantenha-os atados durante todo o voo“.

Avisos de Segurança: Por que é tão difícil de respeitar?
Avisos de Segurança: Por que é tão difícil de respeitar?

Igualmente a maioria das medidas de segurança, cintos são chatos e incômodos, especialmente se você possui excesso de carga na região abdominal. Entretanto, igualmente a maioria das outras medidas de segurança, cintos estão lá por um motivo básico: Proteger os usuários.

Essa lição foi aprendida da maneira mais difícil por 12 dos 188 passageiros e tripulantes do voo JJ8065 da TAM, que ontem (01/09/2013) fazia a rota Madrid – São Paulo e após ser atingido por uma forte turbulência, se viu obrigado a fazer um pouso de emergência as 1h43, no Aeroporto Internacional de Fortaleza.

Turbulência - Nem sempre é fácil de ver
Turbulência – Nem sempre é fácil de ver

Felizmente não houve vitimas fatais, mas devido ao horário da turbulência (aproximadamente 0:15 – hora de Brasília), várias pessoas estavam dormindo sem o cinto de segurança, e se machucaram ao bater a cabeça no teto do avião.

A turbulência que atingiu o JJ8065 foi do tipo “ar claro”, que é conhecida tanto por ser mais de difícil detecção como pelos ventos fortes. O uso do cinto de segurança não evitaria completamente o problema, mas certamente diminuiria o número de feridos.

Infelizmente ainda vivemos em uma cultura onde – seja nas nossas vidas pessoais ou no ambiente corporativo – tentamos burlar regras de segurança que nos parecem incomodas. Lembrar de senhas complexas, utilizar técnicas de criptografia para proteger arquivos sensíveis, sempre parece algo desnecessário até o momento em que ocorre o incidente. Nunca a frase “A comodidade leva a vulnerabilidade” foi tão verdadeira.

Turbulências sempre vão existir, e quer seja durante um voo ou em seu ambiente corporativo, a regra de ouro é sempre respeitar controles de segurança – mesmo aqueles que não compreendemos e que nos incomodam. A outra opção é normalmente bem mais dolorosa.

Marilda Torres - vítima de turbulênia em outro voo - maio 2009
Marilda Torres – vítima de turbulênia em outro voo – maio 2009