A bola da vez é GRC, Segurança da Informação e Continuidade de Negócios. Empresas de Tecnologia se esfolam para vender o que o mercado quer comprar, e elas geralmente não sabem vender. Caixas, caixas…vamos vender caixas!!!. Estamos correndo contra o tempo, e prá que? Por que este pânico generalizado? As auditorias acordaram agora? O que aconteceu? Saímos da hibernação? Bom, vamos colocar em pratos limpos alguns pontos e principalmente evitar “enganos” recorrentes dos executivos e/ou empresários:
1- NÃO MAPEAR E MODELAR OS PROCESSOS DA EMPRESA. Não fazer isso, é um erro grave!
Para que isso? Porque durante anos formamos ótimos compradores e péssimos gestores em TI, por exemplo. Cursos como o de Analista de Sistema, que deveria ser a evolução natural dos antigos O&M (Organizações e Métodos), foram transformados em programadores. Primeiro ponto, isso não é TI. Isso é gestão. Se não sabe quais são e como são os processos da empresa, quer controlar, calcular o risco e monitorar o que? Balanced Scoredcard do que? Estamos vivendo uma época de grande valor para o Brasil, portanto, para não perder a crista da onda, como muitos executivos e empresários vêem este momento, comece detalhando os processos de sua empresa, classifique-os, analise os riscos e garanta qualidade e segurança para eles. Isso refletirá positivamente para clientes, acionistas e em lucros.
2- GRC – GOVERNANÇA, RISCOS E CONFORMIDADE. O que é isso afinal?
Mais que um software de gestão de riscos metido a ERP (Enterprise Resource Planning), o conceito de Governança, Riscos e Conformidade, significa “TER REALMENTE O CONTROLE DE SUA EMPRESA E SER TRANSPARENTE NA GESTÃO”. Primeiro, você precisa entender o que é a Governança e como ela fará parte natural da gestão da empresa. Governar é olhar para frente. É pensar em metas em longo prazo e ter foco. Para isto, é preciso COMPROMETIMENTO da Alta Administração para VIABILIZAR RECURSOS, para que a governança seja efetiva. Comece dando exemplo! Uma equipe responsável, com senioridade e experiência no negócio é imprescindível. Um bom exemplo de governança: Jack Welch (GE), Henry Ford (Ford Co.), Carlos Gohsn (Nissan-Renault), Jorge Gerdau (Gerdau).
Depois, vamos entender o que é a Gestão de Riscos e como ela contribui. Parece óbvio, mas, muita empresa não sabe realmente usar este recurso de gestão espetacular. Gerir riscos começa com a identificação destes, classificação, contabilização e, por fim, o tratamento. Tratar riscos significa MUDANÇA. É diferente de Feeling! Feeling é uma mistura de sorte, percepção e premonição que alguns executivos tem para algumas coisas somente, para as outras, é a técnica e a metodologia que conta. Leiam Prof. Vicente Falconi no livro “Verdadeiro Poder”. Mudar a forma de ver alguns processos. Acrescentar controles que não engessem e que minimizem perdas. Pode ser uma porta, uma biometria, uma lista de verificação, um critério ou regra para mudança entre outras. Muita coisa está ficando na intenção, ou só no papel, e ai pára. Perde-se tempo e dinheiro, e não se MUDA nada. Uma atitude é muito mais efetiva do que mil palavras na gestão dos riscos. Não se faz gestão de riscos em um dia, um mês ou apenas um ano. É parte de um sistema de gestão contínuo. (Ver. ISO 31000).
Você já fez uma análise de impactos no negócio? É a famosa BIA (Business Impact Analysis). Você já pediu uma análise de vulnerabilidades de TI? Ou já fez uma contratação de análise de riscos em fornecedores? Será que um terceiro contrata mão de obra infantil? Será que está com uma boa saúde financeira? Ou ainda, será que está guardando seu backup da forma que lhe vendeu? Ou ainda, será que seus funcionários estão copiando o que não devem dos locais de rede onde tem acesso? Quais as implicações civis ou criminais de determinados cenários que poderiam se concretizar na empresa?
E ai chegamos na Conformidade/Compliance. Tem empresa que está totalmente perdida. Estão colocando a área de Compliance para ser um publicador de normas na intranet. Ou ainda, colocando assuntos que não entendem na mão de gente despreparada, como por exemplo, uma empresa de tecnologia bancária que colocou a área de Compliance para tocar Plano de Continuidade de Negócios, Mapeamento de Processos e Controles Internos, porém, com três pessoas sem experiência e capacitação necessária. Está brincando né! Isso é que é ter fé! Ou é um belo enganation para seus funcionários, clientes e acionistas. Conformidade/Controles Internos/Compliance, talvez hoje seja uma das áreas mais importantes e parte essencial para que exista o GRC na empresa. Não está no final por acaso, é com o monitoramento e controle rígido e cíclico dos controles implementados que manteremos os níveis de riscos dentro do aceitável.
3- DEFINA OU REDEFINA ALGUNS PROCESSOS. É melhor se adaptar!
Vamos direto ao ponto. Estabeleça uma VICE-PRESIDÊNCIA ou DIRETORIA DE GRC na empresa. Isso vai encurtar o caminho. O que eles devem fazer? Manter isto tudo em funcionamento. Por que uma VP ou diretoria? Para se ter poder e capacidade operacional. O que precisa estar embaixo dela? Gestores para: Continuidade de Negócios, Segurança da Informação, Riscos Operacionais, Riscos de Mercado, Segurança-Saúde e Meio Ambiente, Responsabilidade Social Corporativa e Leis e Regulamentos (tudo isso holisticamente – Visão global/ Top-Down). Todos são assuntos CROSS, que precisam ser implementados aos poucos, em todos os processos da empresa. Estes irão MUDAR A CULTURA ORGANIZACIONAL para uma conduta de Risco Mínimo, portanto maximizando a prevenção a perdas. Segurança e confiança estão muito próximas. Não conheço segurança sem confiança, ou confiança sem segurança. Andam juntas e motivam juntas.
4- QUANDO O MERCADO COBRAR EU FAÇO. É melhor acordar!
Se os governos até hoje ainda não resolveram a questão das drogas, você acha mesmo que eles irão resolver rapidamente a falta de controles, e minimizar a especulação nas bolsas de valores e mercado financeiro? E com o advento da Internet? Geração Y? Vai esperar que o governo te socorre? Ele pode ser um ótimo cliente desorganizado, mas, não consegue colocar controles prevenindo perdas nem para eles? Ou você quer, ou não quer. isto é mais sincero! Mudanças radicais assustam qualquer executivo ou empresário. Principalmente se ele estiver na zona de conforto. Porém, lembra daquela historia “Mate a vaquinha!”? É por ai.
Estamos com praticamente 90% das empresas dependendo de Tecnologia da Informação e principalmente da Internet. Temos 70% das transações bancárias online. Mais de 50% das pessoas compram por cartão de crédito e muitas compras são feitas via internet. E você ainda não pensou em ter um Security Office? Existem pessoas trabalhando nas redes sociais. Profissionais especializando-se em marketing de rede social, internet, nuvem. Há lei para controlar tudo isso? Quais as punições? Já há lei para um bêbado que mata mãe e filha saindo de um shopping na calçada? Ops! Esqueci que temos a LEI SECA. Funciona?
5- O FILHO NÃO É MEU MESMO. Então que se exploda (para ser politicamente correto!)
Uma mudança é necessária. Práticas de GRC precisam ser implementadas neste momento nas empresas. Comprar tecnologia sem investimento em capacitação dos recursos humanos não é o caminho. E capacitação não significa treinar as pessoas para operar o sistema. Capacitação precisa existir continuamente e ser medida. Tem empresa que não dá oportunidade de absorver o conhecimento coletado na mente de seus funcionários em cursos ou pós-graduações. E pra que correr? Podemos esperar. Esperar até que tenhamos outra oportunidade tão brilhante e ocasional como as que estamos vivendo neste momento no Brasil. A empresa do futuro próximo, 2025, é a empresa que conseguir unir o mundo real e o virtual (Internet). Que consiga passar confiança através de cotroles de GRC, e que consiga se adaptar rapidamente aos novos tempos. Tudo começa e termina na gestão, ou na falta dela.
Jeferson D’Addario é sócio-Diretor da Daryus Consultoria, consultor sênior há mais de 14 anos em TI, Gestão de Riscos e Continuidade de Negócios. Certificado pelo DRII-USA, BCI-UK, ISO 27001 lead auditor, COBIT, ISFS e ITIL. Formação em Economia e TI, é criador, coordenador e professor da pós-graduação em GTSI – Gestão de Segurança na Faculdade Impacta (SP), ganhador do prêmio SECMASTER 2006, possui mais de 33 projetos de BCP para empresas líderes. Foi o responsável em trazer e conduzir os cursos do DRII no Brasil, e desde 2005 é membro da ISACA, sendo colaborador na tradução do COBIT 4.1, e instrutor do DRII