coletanea-abseg

1Coletnea ABSEG de Segurana Empresarial

Coletnea ABSEG de Segurana Empresarial

Antonio Esdras de Ges Almeida Carlos Alberto de Souza

Dagoberto LorenzettiEdison Fontes

Fernando S e Silva HUGO TISAKA

Isaac de Oliveira e Souza Jos Luiz Cardoso Zamith

Mauro de LuccaNino Ricardo de Menezes Meireles

Tcito LeiteVinicius Domingues Cavalcante

Volume I


CRDITOS:

Realizao: ABSEG Associao Brasileira de Profissionais de Segurana

Projeto Grfico e Capa: Ferracini Assessoria de Comunicao Ltda.

Organizao: CN Editorial e Servios Ltda.

Impresso e Montagem: Copbem Editora e Grfica Ltda.

Maio/2009

DIREITOS RESERVADOSCopyright 2009, ABSEG - Associao Brasileira de Profissionais de Segurana

Os textos, informaes e opinies contidas nesta coletnea so de exclusiva responsabilidade de seus au-tores e no representam, necessariamente, o ponto de vista das organizaes e/ou empresas citadas, nem da ABSEG Associao Brasileira de Profissionais de Segurana. Os autores no se responsabilizam por qual-quer conseqncia resultante do uso das informaes contidas nesta coletnea.

Somente permitido o uso e a reproduo total ou parcial dos artigos e outros materiais disponveis nesta coletnea, com prvia autorizao do autor e expressa citao da fonte.


APRESENTAOA ABSEG - Associao Brasileira de Profissionais de Segurana foi constituda em 2005 com o objetivo de promover o

reconhecimento, a capacitao, o aperfeioamento e o desenvolvimento profissional de todos os que atuam no segmento de segurana e proteo, em suas mais diversas modalidades.

Por intermdio de um permanente programa de eventos e cursos, busca promover o intercmbio entre profissionais, as-sociaes, instituies de ensino, alm de entidades nacionais e internacionais de segurana, propiciando vasto conhecimento sobre esse importante segmento da nossa sociedade e contribuindo para a sua evoluo.

Esse intercmbio permite, ainda, a informao, em tempo real, aos associados, sobre tudo o que est ocorrendo no merca-do e, o mais importante, tendo na prpria rede de contatos da associao, a soluo de dvidas e o apoio aos mais diversos problemas encontrados no dia a dia do profissional de segurana.

A gerao de conhecimento na rea de segurana em nosso pas intensa, em todos os aspectos, da segurana fsica segurana digital, passando pela pblica, do trabalho, pessoal, de informaes e outras, e preciso tornar esse conhecimento disponvel para os profissionais que atuam na rea, independentemente de sua localizao geogrfica ou rea de atuao.

Por todos estes motivos, a ABSEG lana o primeiro volume da Coletnea ABSEG de Segurana Empresarial.

Constituda de textos elaborados por renomados profissionais de segurana de nosso pas, a Coletnea ABSEG de Seguran-a Empresarial, alm de levar conhecimento a nosso mercado, uma forma de prestigiar os profissionais que tanto contribuem para nosso segmento, dando-lhes a oportunidade de ter seus ensinamentos, estudos e experincias publicadas em um livro.

Todo profissional de segurana atualizado sabe da importncia de seu trabalho para a manuteno e para a continuidade dos negcios das empresas a que, direta ou indiretamente, presta servios. Quanto mais preparadas estiverem as equipes e mais integrados todos os sistemas de segurana, menores sero as perdas dessas empresas, em suas diversas reas, melhoran-do consideravelmente seu potencial competitivo.

fundamental que o profissional de segurana esteja preparado para enfrentar o desafio de vender bem seu trabalho, convencendo os empresrios - alguns ainda cticos - da importncia da gesto de segurana nas corporaes, e atuando com tica e competncia para garantir seu espao e consolidar sua profisso.

A ABSEG espera estar contribuindo para que isso acontea!

Tatiana DinizPresidente da ABSEG


CONTROLE DE ACESSO E SEGURANA Antonio Esdras de Ges Almeida

A CONTRA-INTELIGNCIA NO COTIDIANO EMPRESARIALCarlos Alberto de Souza

ENGENHARIA DE PROCESSOS E GESTO DA SEGURANA EMPRESARIALDagoberto Lorenzetti e Fernando S e Silva

SEGURANA DA INFORMAOEdison Fontes, CISM, CISA

OUTSOURCING DE GESTO EM SEGURANAHugo Tisaka

GESTO ESTRATGICA DA SEGURANAIsaac de Oliveira e Souza

TCNICAS DE NEGOCIAES COMPLEXAS APLICADAS A SITUAES QUE ENVOLVAM REFNSJos Luiz Cardoso Zamith

O MERCADO DE SEGURANA ELETRNICA NAS EMPRESAS BRASILEIRAS Mauro de Lucca

CONSULTORIA EMPRESARIAL APLICADA SEGURANANino Ricardo de Menezes Meirelles

SEGURANA DA INFORMAO E DO CONHECIMENTOTcito Augusto Silva Leite

UMA NOVA ACEPO DO TERMO INTELIGNCIA APLICADA AO AMBIENTE EMPRESARIALVincius Domingues Cavalcante

14

28

31

7

45

53

22

12

78

56

70

SUMRIO


Controle de Acesso e SeguranaAntonio Esdras de Ges Almeida

incontestvel que o controle de acesso uma das mais importantes ferramentas de apoio segurana de instalaes, pessoas e patrimnio. Ele pode ser obtido atravs de:

design do ambiente,

barreiras de canalizao do fluxo para pontos controlados,

mecanismos de identificao (credenciais com foto ou com cdigo de barras e leitoras integradas a algum sistema),

sinalizao e avisos,

equipamentos de ao mecnica (portes, portas, fechaduras...),

dispositivos eletrnicos (com ou sem bloqueio fsico),

fiscalizao humana, que tambm precisa estar combinada com todas as outras opes.

Na maioria dos casos em que as instalaes requerem um nvel elevado de segurana, a soluo mais indicada a combina-o de vrias das opes citadas acima. Quanto maior o fluxo de pessoas e /ou veculos, maior ser a necessidade de controle de acesso eletrnico para garantir restries automticas, monitoramento e controle.

Neste artigo, focaremos os aspectos relacionados ao controle de acesso eletrnico, que o mais indicado quando prevale-cem as demandas de segurana, quando grande o nmero de pessoas a serem controladas ou quando existem possibilidades de burla dos mecanismos de controle convencionais. Procuraremos evitar uso de terminologia tcnica e expor as questes usando uma linguagem que facilite a compreenso de usurios.

O controle de acesso eletrnico obtido atravs de placas eletrnicas (semelhantes s CPU de microcomputadores) que so programadas via software para controlar e monitorar diferentes tipos de bloqueio fsico (catracas, torniquetes, por-tas com fechaduras eletrnicas, cancelas etc.), restringindo o acesso de pessoas previamente cadastradas e negando acesso a pessoas no cadastradas ou no autorizadas.

Particularmente, eu defendo a teoria de que no existe uma referncia nica ou uma receita de bolo que se aplique a todos os tipos de instalaes, pois variam muito as necessidades de segurana, os fluxos nos horrios de pico, os tempos de resposta dos equipamentos e tecnologias de comunicao e leitura / validao utilizadas.

Procure usar a tecnologia a seu favor para:

aumentar a eficincia da segurana;

gerar informaes;

automatizar aes;

gerar dados para investigaes;

permitir gesto remota;

prevenir e inibir ocorrncia de sinistros.

Catracas Virtuais

Existem equipamentos que fazem o controle de acesso sem o bloqueio fsico, que normalmente usam sensores infraverme-lhos ativos para detectar e sinalizam, atravs de dispositivos visuais e sonoros, a passagem de pessoas no autorizadas ou que passaram sem apresentar a sua credencial na leitora. A desvantagem no uso deste tipo de equipamento, que a sinalizao do acesso no autorizado ocorre durante ou aps a passagem pelo equipamento, sendo necessrio contar com o recuo espon-tneo do intruso ou com uma ao humana, para retirar a pessoa no autorizada da referida rea. Assim sendo, esse tipo de equipamento no impede os acessos no autorizados, ele apenas intimida e inibe a tentativa de intruses.

CFTV

Normalmente as catracas e portas convencionais com fechadura eletrnica no impedem a passagem do carona, ou no


caso das catracas convencionais, a burla, passando por cima ou por baixo da haste de bloqueio.

Outro tipo de burla que ocorre no controle de acesso eletrnico a utilizao de crachs de terceiros para liberao do bloqueio. Dessa forma, para reduzirmos esses tipos de vulnerabilidades e inibir efetivamente as burlas, faz-se necessrio com-binar os dispositivos de controle de acesso com a fiscalizao humana e a instalao de fiscalizao eletrnica com Circuito Fechado de Televiso. Atualmente j existem sistemas de CFTV que fazem o reconhecimento de face e de placas e que podem at realizar aes, ao reconhecerem um registro existente na base de dados, como liberar a abertura de uma cancela, catraca ou fechadura eletrnica. Trata-se de uma tecnologia relativamente nova e que requer o atendimento de alguns requisitos, como o correto posicionamento das cmeras. Ainda neste artigo trataremos das tecnologias de identificao / validao biomtrica e passaremos informao sobre o seu desempenho.

Tendncia Futura de Automao do Processo de Identificao

Pelo que podemos perceber neste momento, bem provvel que, no futuro, as nossas informaes pessoais e comple-mentares (como foto e impresso digital), sejam armazenadas em um nico smart card. Assim sendo, terminais de auto-atendi-mento em portarias poderiam extrair alguns dados bsicos e validar que se trata de uma identificao oficial e que o visitante da instalao realmente o dono do referido documento. Atravs desse mesmo terminal de auto-atendimento poder-se- contatar o visitado que, ao autorizar a visita por um telefone ou micro, estar registrando no sistema de controle de acesso e / ou no prprio smart card a permisso temporria de acesso para aquela visita, indicando por quais bloqueios fsicos com controle eletrnico o visitante poder passar e at que horrio.

Ao Humana

Por mais tecnologia que seja empregada no controle de acesso, a ao humana na interao com os sistemas, seja para carregar dados, fazer autorizaes, monitorar tentativas de burla ou extrair informaes, indispensvel.

A presena fsica da segurana tambm essencial para fiscalizar, orientar o pblico e inibir burlas no controle de acesso.

Equilbrio entre necessidades de Segurana e de Operao

Para garantir o sucesso da implantao do controle de acesso eletrnico faz-se necessrio considerar, tambm, as demandas da operao, para que a organizao tenha o incremento desejado de segurana, sem causar srios transtornos operao.

Convm lembrar, ainda, de no bloquear tanto os acessos e sadas de emergncia, de modo que impeam a desocupao rpida das edificaes em casos de incndio e emergncias.

Outro aspecto relevante que deve ser considerado no projeto de controle de acesso so os acessos para deficientes fsi-cos, que devem ser projetados (principalmente nas portarias de prdios), considerando a utilizao de portas auxiliares, que serviro tambm para outras finalidades, como passagem de carga e apoio evaso do prdio, no caso de necessidade de evases em funo de emergncias.

Normas e Procedimentos

Para comunicar adequadamente aos membros da organizao e evitar questionamentos ou conflitos durante a operao, convm avaliar previamente todo o processo e documentar normas e procedimentos de controle de acesso, que devem ser validadas e aprovadas pela alta gesto, para garantir a aceitao por todos os nveis hierrquicos da organizao.

Dependendo do porte da organizao e complexidade do procedimento e restries pode ser indicada a criao de um comit de segurana, para deliberar sobre as ocorrncias do perodo e propor melhorias nas normas e procedimentos.

Tecnologias de Comunicao

Atualmente, no controle de acesso, a comunicao entre os equipamentos e a unidade centralizadora se faz atravs de protocolo de comunicao TCP/IP (padro de redes ethernet de microcomputadores) ou RS 485 que usa pares de fios e


protocolo proprietrio do fabricante.

A comunicao TCP/IP tem a vantagem de poder operar em grandes distncias, em redes sem fio e at em redes remotas conectadas por links de dados, mas fica mais vulnervel a interferncias e problemas de performance, por causa da concorrn-cia e trfego de outras informaes na mesma rede.

Leitoras e Crachs de Identificao

Entre as tecnologias de crachs e de leitoras disponveis no mercado, vm prevalecendo o uso de cdigo de barras em funo do menor investimento, bem como as tecnologias de leitura sem contato (proximidade, smart card, RFID), por serem mais seguras e funcionais (principalmente no caso de identificao de motoristas embarcados, ao se identificarem para ter acesso atravs de cancelas).

Por ter a possibilidade de incorporar outras aplicaes (convnios, benefcios...), pela segurana que pode oferecer contra cpias e pela possibilidade de gravar informaes adicionais no carto, como permisso de acesso, validade do carto, etc., as leitoras e crachs smart card, sem contato, vm aumentando significativamente a sua participao no mercado nos ltimos anos e sendo a preferida pelos profissionais que lidam com tecnologia.

Uso de Biometria

O uso de dispositivos de identificao biomtrica, associada a equipamentos de controle de acesso eletrnico, est cada vez mais frequente, at em locais onde o seu uso no indispensvel.

O que se deve considerar na opo pelo uso da biometria que ela um eficiente recurso de identificao ou de validao do usurio do crach, recomendado para reas de acesso restrito, onde os requisitos de segurana so elevados.

Para evitar transtornos para a operao, o uso de leitoras biomtricas deve ser evitado em catracas de visitantes localiza-das em portarias com grande fluxo de pedestres, ou em controladores de cancelas, principalmente se o fluxo de veculos for intenso, pois o processo de identificao e de cadastro mais lento, em funo dos requisitos de segurana exigidos.

Outras recomendaes bsicas so: fazer um piloto para testes de desempenho dos equipamentos e sistema (normalmente com um grupo reduzido de pessoas; pode ser a equipe de TI), adotar o tipo de biometria adequado para o uso proposto, criar condies adequadas para a identificao (iluminao, rudo, apoio...), definir procedimentos para tratar falhas no processo de identificao (bloqueio indevido), treinar e acompanhar a operao dos usurios.

Quadro comparativo do desempenho das diferentes tecnologias de identificao biomtrica usadas no controle de acesso eletrnico:

Digital Mo Face ris Retina Voz

Pode Mudar? *** ** ** *** ** * nico? *** ** * *** *** *No Intrusiva? *** *** *** ** * ***Dificuldade de Copiar ** ** ** *** *** * Precisa? ** ** * *** *** * Aceito? *** *** ** * * ***Interferncia do Ambiente ** *** ** ** ** *

* Baixo Desempenho ** Mdio Desempenho *** Alto Desempenho

Neste quadro, no inclumos o item de comparao valor do investimento, em funo das variaes existentes de quali-dade, tecnologia de leitura, fabricante, garantia, etc. De qualquer modo, a relao entre desempenho e investimento das leitoras de impresso digital que tem garantido a sua preferncia no uso em sistemas de controle de acesso eletrnico.

Benefcios

So benefcios esperados com a implantao de um bom sistema de controle de acesso eletrnico:

10


maior disponibilidade das informaes;

maior segurana na identificao dos usurios;

identificao da burla em tempo real (monitoramento);

criao de imagem diferenciada da organizao no tratamento da segurana;

maior poder de intimidao do possvel infrator;

maior segurana (redundncia do controle e fiscalizao humano e eletrnico);

processos automticos e eliminao de retrabalhos.

Planejamento

Devemos considerar em nosso planejamento de implantao de um sistema de controle de acesso:

viabilidade econmica da soluo em relao ao oramento de segurana;

adequao e proporo - adotar tecnologia adequada aplicao desejada e na medida certa, que atenda aos fluxos e requisitos de segurana;

possibilidade tcnica de se atingir os objetivos almejados com a soluo escolhida;

transtornos para a operao o sistema no deve impedir ou criar grandes transtornos para operao;

aplicao poltica as restries definidas pelo procedimento para a soluo de controle de acesso devem considerar e evitar problemas no bloqueio de autoridades ou tratamento diferenciado, que possa caracterizar discriminao;

princpios do Planejamento de Segurana (Dispositivo, Segredo, Informao);

importncia da Preveno procurar inibir a intruso para reduzir a demanda de reao;

Anlise dos Riscos atravs dela poderemos priorizar os recursos em funo da vulnerabilidade, probabilidade e perda possvel;

reviso do layout e adequao da estrutura das portarias de pedestre e de veculos, para suportar uma operao adequa-da, otimizar o desempenho dos equipamentos e evitar desconfortos, filas exageradas ou retenes indesejadas;

suporte local tecnologia escolhida evitar pioneirismos e buscar garantias de que a assistncia tcnica local tem estru-tura adequada e agilidade para o atendimento de problemas tcnicos.

As principais dificuldades na contratao de uma soluo de controle de acesso eletrnico normalmente so:

1. Falta de conhecimento do mercado, dos fornecedores e dos produtos pelo contratante, uma vez que os equipamentos tm vida til relativamente longa e as aquisies de equipamentos no acontecem com muita frequncia;

2. relativamente grande o nmero de fornecedores no mercado, com belos discursos tcnicos, destacando as vantagens de suas tecnologias;

3. Nem sempre a assistncia tcnica local dispe de recursos adequados para atendimento gil, em campo ou laboratrio prprio;

4. Pouco compromisso de longo prazo de alguns fornecedores - muitas vezes o proponente se foca na venda dos equipa-mentos e no nas necessidades atuais e futuras do cliente;

5. Nem todos os sistemas oferecem facilidade de integrao com outras aplicaes ou cadastro (gerando algum retrabalho na sua operao);

6. Muitas vezes, aspectos relevantes na escolha da soluo so omitidos pelo proponente;7. Os investimentos e os riscos de insucesso so relativamente altos.

Aes para viabilizar o Sucesso na Implantao:

1. Fazer o planejamento interno e contratar um projeto de um especialista;

2. Definir uma equipe interna de projeto e de operao e alocar a sua disponibilidade, para garantir a implantao e uso adequado do sistema;

3. Definir os recursos a serem utilizados (pessoal, equipamentos, sistemas...);

4. Avaliar criteriosamente os fornecedores e clientes j atendidos pelos proponentes;

11


5. Definir e divulgar os procedimentos a serem implementados junto com o sistema;

6. Fazer o endomarketing, divulgando os benefcios e resultados esperados com a implantao;

7. Desenvolver sinalizao de apoio adequada (ordenar o fluxo, indicar reas de acesso restrito, indicar procedimentos para os visitantes...);

8. Preparar uma boa infraestrutura de hardware, software, comunicao e alimentao eltrica;

9. Implementar o projeto que foi elaborado;

10. Gerenciar o processo de mudana;

11. Evitar pioneirismos na tecnologia a ser utilizada;

12. Atentar para a qualidade da assistncia tcnica local;

13. Assegurar a manuteno e o uso da soluo;

14. Revisar e atualizar o sistema e os procedimentos.

Como pudemos observar, so muitas as variveis, os riscos e os fatores crticos de sucesso envolvidos; por isso, faz-se necessrio um planejamento adequado e considerar as recomendaes descritas neste artigo.

No chegamos a tratar do assunto proposto em sua plenitude e nem entramos em maiores detalhes tcnicos, porque acabaramos estendendo demais o contedo, mas esperamos que a nossa abordagem resumida tenha sido esclarecedora e proveitosa para os interessados no assunto.

Antonio Esdras de Ges Almeida, CPP

Administrador de Empresa, com diversos cursos de extenso, Especialista em Direccin y Gestin de Seguridad en Em-presas pela Universidad Pontifcia Comillas de Madrid e curso avanado de Desenvolvimento de Dirigentes pela Fundao Dom Cabral.

CPP Certified Protection Professional pela American Society for Industrial Security(ASIS) desde 2003. Oficial R/2 1 Ten Comandante de Pelotes e de Companhia, possui vasta experincia como Consultor, Coord. Projetos, Diretor Co-mercial, Diretor Tcnico, Diretor Operaes em reas de segurana. Habilidades Especialista em Sistemas de Controle de Acesso e Segurana Eletrnica, Sistemas Administrativos e de Gesto Empresarial.

Palestrante de diversos temas relacionados Segurana e Gesto.

12


A Contra-Inteligncia no Cotidiano EmpresarialCarlos Alberto de Souza

Certo dia um amigo me contou uma histria muito interessante a respeito de uma consultoria de segurana por ele re-alizada em uma importante empresa de Campinas/SP. Ao ser questionado pelo Diretor de T.I., responsvel pela Segurana da Informao do grupo e avesso consultorias externas, sobre o histrico de resultados obtidos pelo consultor, meu amigo respondeu que no estava autorizado a divulgar tais dados, por questes bvias (preservar as empresas auditadas). Entretanto, meu amigo lanou um desafio ao diretor contrariado:

Em dois dias de trabalho lhe apresentarei um relatrio, no qual transcorrerei sobre as oportunidades de melhorias de sua empresa. Com base nos dados fornecidos, o senhor decidir a respeito da contratao dos meus prstimos.

O Diretor concordou e o consultor partiu para a ao. Conversou com alguns funcionrios e logo ficou sabendo que seria realizada uma confraternizao em um clube da cidade para comemorar as metas atingidas pela empresa. Por ter conhecimen-to de algumas tcnicas operacionais de Inteligncia, meu amigo acessou com certa facilidade o evento, no qual identificou as pessoas influentes da empresa, seus familiares, veculos, endereos, telefones, dentre outros dados sensveis, que no recebiam a devida proteo por parte de seus detentores. Alm disso, com as informaes obtidas na festa, levantou os itinerrios e locais da escola das crianas, fotografou a rotina das famlias e gravou algumas conversas interessantes de funcionrios das residncias dos empresrios.

Aps 48 horas de trabalhos intensos, retornou empresa e apresentou o material ao Diretor de T.I., que ficou estupefa-to...

Tal relato nos leva a refletir sobre o nvel de segurana que desejamos estabelecer em nossas empresas, para que possamos avaliar os investimentos necessrios e as reas a serem protegidas, em ordem de prioridade, conforme o grau de criticidade obtido a partir de uma detalhada anlise de riscos.

A Contra-Inteligncia insere-se neste contexto no que tange anlise dos dados levantados pela Inteligncia Operacional. Ela uma cincia que mensura e reage s ameaas, vulnerabilidades, riscos, impactos e medidas necessrias a mitigar e at eliminar o efeito dos perigos que possam afetar os processos de determinada organizao. O investimento necessrio ser es-tabelecido na fase do Planejamento Estratgico, a partir da elaborao dos Planos de Ao que detalharo o COMO FAZER.

A Segurana Estratgica de uma organizao, que a Contra-Inteligncia preconiza como Segurana Orgnica, deve abranger todos os processos organizacionais que so operacionalizados, a partir dos Procedimentos Operacionais Padro (POP).

Fica bastante evidente a necessidade da participao e o comprometimento de todas as pessoas que participam, direta ou indiretamente, dos processos organizacionais que garantem a continuidade do negcio.

O Empresrio proativo consegue antever a necessidade de implementar medidas de Contra-Inteligncia capazes de, com oportunidade, alertar os responsveis pela Segurana Operacional quanto a iminncia de riscos de qualquer natureza, que possam afetar e at mesmo inviabilizar os negcios do empreendimento.

A anlise de situao de Contra-Inteligncia deve ser parte integrante do Planejamento Estratgico, pois ela orientar, por exemplo, quanto ao melhor posicionamento de cmeras de vigilncia, que tipo de equipamento de controle de acesso condiz com a realidade da empresa, aos dados referentes a intempries, ao melhor posicionamento geogrfico de instalaes etc, tudo com o objetivo de otimizar os investimentos relativos Segurana Orgnica do empreendimento.

Uma rea extremamente sensvel e que merece destaque a Segurana da Informao dos Meios de Tecnologia da Infor-mao. A anlise de Contra-Inteligncia abrange, neste caso, at mesmo a seleo das pessoas da empresa que tero acesso s informaes sensveis, que possam, em caso de vazamento, impactar na produtividade e nos lucros do grupo.

Uma demonstrao em um seminrio promovido pela Comunidade de Inteligncia Policial e Anlise Evidencial (CIPAE) em 2008 gerou polmica entre os presentes:

Com apenas um celular nas mos, o presidente da Companhia SecurStar, Wilfried Hafner, foi capaz de grampear conversas telefnicas, acessar dados de outros aparelhos e usar os celulares grampeados como microfones para escutas ambientais.

Usando um vrus enviado por meio de mensagem de texto, Hafner pode grampear qualquer telefone celular basta possuir

13


o nmero do aparelho. O programa espio chamado RexSpy foi desenvolvido por sua empresa para mostrar a vulnerabilidade do sistema de telefonia celular. De acordo com ele, verses similares do vrus circulam pela internet em comunidades de ha-ckers, principalmente na China e Coria do Sul.

Sua empresa, que trabalha no ramo de segurana de dados e produz software para criptografar ligaes, tornando-as segu-ras, identificou ataques de vrus similares ao RexSpy no Brasil. A primeira incidncia se deu em agosto de 2008.

Ao receber o vrus, o telefone infectado sequer alerta para a chegada da mensagem. A partir de ento, o espio passa a ter acesso a todos os dados do aparelho, como a agenda telefnica, mensagens de texto, fotos e vdeos. Alm disso, o telefone que enviou o vrus recebe uma mensagem cada vez que o aparelho grampeado usado, permitindo ouvir ou gravar as conversas realizadas.

Tambm sem deixar pistas, possvel que o espio use o celular infectado como microfone, ouvindo conversas de reu-nies privadas, bastando que o aparelho infectado esteja no recinto. Todas as modalidades de grampo foram apresentadas durante o evento.

Temos identificado o uso de vrus semelhantes ao RexSpy para espionagem industrial. A primeira vez que descobrimos uma tentativa de invaso foi em abril de 2008, na Frana. No Brasil, percebemos a tentativa em agosto de 2008, disse.

A Contra-Inteligncia precisa ser entendida como uma ferramenta eficaz de assessoria, pois ela funciona como verdadeira guardi de todo e qualquer sistema. No exemplo acima, o papel da Contra-Inteligncia inicia com a preveno, alertando os usurios dos sistemas sobre os riscos inerentes a cada processo desenvolvido, e termina com a anlise conclusiva sobre os meios disponveis para a completa extino dos perigos.

TC EB Carlos Alberto de Souza

BACHAREL EM CINCIAS MILITARES PELA ACADEMIA MILITAR DAS AGULHAS NEGRAS

MESTRE EM APLICAES MILITARES PELO EXRCITO BRASILEIRO

ESPECIALISTA EM INTELIGNCIA MILITAR PELA ESCOLA DE INTELIGNCIA DO EXRCITO

ESPECIALISTA EM ATUALIZAO PEDAGGICA PELA UFRJ

MBS EM SEGURANA EMPRESARIAL PELO BRASILIANO E FECAP

PROFESSOR DO CURSO DE PS-GRADUAO EM INTELIGNCIA E CONTRA-INTELIGNCIA DO PITGO-RAS DE BELO HORIZONTE/MG

PROFESSOR DO CURSO DE GESTO EM SEGURANA EMPRESARIAL DA UNICID

14


Engenharia de Processos e Gesto da Segurana Empresarial

Dagoberto Lorenzetti e Fernando S e Silva

Embora estejam alardeando que o mercado de segurana patrimonial est se beneficiando com a insegurana crescente no Brasil, muito provavelmente por consequncia do modelo econmico vigente no pas, as grandes oportunidades neste merca-do esto concentradas em poucas empresas. Para a maioria das empresas do setor, a situao de competio anloga ao que se pode definir como maturidade de mercado, aliada ao fato de praticamente no existirem barreiras para novos entrantes (novas empresas), o que acirra ainda mais a competio. Para esse grupo de empresas prestadoras de servios de segurana patrimonial, dificilmente criam-se grandes oportunidades; o mercado j esta posto, com as boas oportunidades que aparecem para a captura de novos clientes sendo advindas do processo competitivo acirrado. Algumas vezes, pela sada de um concor-rente, por m administrao de seus servios e/ou por insatisfao do cliente com o servio ofertado. Outras vezes, podendo ser resultado da bancarrota de um concorrente, como se v de tempos em tempos, ou pela oferta de um concorrente com os preos um pouco mais baratos, etc.

Na situao de pouco crescimento, com o mercado na fase anloga maturidade, as participaes de mercado chegam a uma certa rigidez e a concorrncia chega a uma situao de impasse. Os preos so basicamente os mesmos, os benefcios pro-metidos so parecidos, sendo as expectativas e ideias dos clientes, a respeito dos servios, de certa forma, tambm enrijecidas, no conseguindo esses enxergarem onde a grande quantidade de empresas que lhes oferta propostas de servios se diferencia. Neste ponto, o ambiente est propcio para o desarranjo da competio, com os chamados mergulhos (redues drsticas de preos), praticados por empresas desestruturadas gerencialmente, com objetivos somente de fazer caixa com a captura de algum cliente e quebra da inrcia vigente. Esta estratgia poder se constituir num fato extremamente negativo para o setor e/ou para um grupo de empresas, pois representa, na maioria das vezes, a oferta de servios que no cobrem os custos. Por outro lado, tais aes podero tambm acelerar o fenmeno conhecido por destruio criativa (expresso cunhada pelo economista clssico Schumpeter, para fases econmicas em que parte do setor sucumbe, para dar surgimento a outro mais vigoroso). Tal situao nos parece estar sendo tambm vivenciada por parte do setor de segurana patrimonial, como j foi, e talvez ainda seja realidade, em vrios outros setores da economia brasileira, consequncias da exausto do modelo econmico vigente, globalizao, da abertura de mercado e mais recentemente, fruto da valorizao do Real frente ao Dlar.

Desta forma, sempre que nos so dadas oportunidades de expressar nossas ideias sobre gesto, destacamos a necessidade de se trazer mais engenharia para o setor de segurana patrimonial, no no sentido do profissional engenheiro, mas no sen-tido das atividades de engenharia. O engenheirar, no sentido da cincia aplicada, no aprender a aprender sobre os sistemas operacionais vigentes, sobre os fundamentos da qualidade em servios, na inovao, na melhoria contnua, no como medir o desempenho, no como competir, etc. No caso deste artigo, mais uma vez trazemos o tema engenharia de processos, pelo qual a organizao pode ter o mapeamento de suas atividades produtivas (seus processos) e a determinao precisa de seus resultados. Este mtodo permite o monitoramento da operao da organizao, atravs de um sistema de indicadores de desempenho, engenheirando, assim, as partes fundamentais de uma estratgia inovadora, indicada para o ambiente de com-petio acirrada.

Na estrutura funcional usada nos modelos de gesto conservadores, como o caso do setor de segurana patrimonial, delimitada, a priori, a funo de cada colaborador, por meio das descries dos cargos, fazendo com que esses se encaixem nos cargos, e as pessoas que pensam e controlam fiquem separadas das que fazem. Na gesto por processos, diferentemente da estrutura funcional, o que importa o colaborador ter a compreenso dos processos e estar apto para exercer, em suas atividades, a transformao dos recursos que so fornecidos, em recursos processados (a entrega do servio). No caso do departamento operacional de uma empresa de servios de segurana patrimonial, um bom exemplo de transformao de recursos, tem-se o caso do recebimento de um pedido de implantao de posto vindo do comercial, para o qual sero especificados os recursos materiais e humanos e os meios administrativos. Como resultado da transformao dos recursos, tem-se a implantao, de acordo com as especificaes do que foi vendido e as expectativas do cliente.

Outro ponto importante no setor o emprego da tecnologia da informao (inclusa na segurana eletrnica), que ocupa espao cada vez mais relevante. Sistemas de proteo, com o emprego da TI e outras tecnologias, alm de complementarem a segurana com recursos humanos, podem representar redues considerveis de custos, de forma que, hoje em dia, impen-svel no aplic-los. Nos pases desenvolvidos, o emprego da tecnologia na proteo patrimonial pode variar entre 30% e 100%

15


do total aplicado. Para a obteno de resultados efetivos com o uso da TI, em geral, e como instrumento de aperfeioamento da ao humana, segundo os especialistas, so necessrios os meios organizacionais, outra denominao para os processos, que permitiro a integrao entre a tecnologia e os recursos humanos aplicados. O homem de segurana, operando um sis-tema de segurana eletrnica, deve saber o que fazer ao receber, por exemplo, o disparo de um boto de pnico, vindo por uma conexo GPRS, trafegando via Web, num protocolo TCP/IP, instalado num de seus clientes. Da mesma forma, deve ser instrudo sobre suas atividades, quando recebe a determinao de fazer ronda em seu turno, utilizando o sistema de controle eletrnico de rondas (basto de ronda).

Sob o ponto de vista do cliente que contrata os servios de segurana empresarial, as perspectivas so alvissareiras. A abordagem atual contempla o mapeamento minucioso dos processos de transformao do cliente (seus meios e formas de produo) e posterior auditoria, sob a tica dos riscos e vulnerabilidades. Fica, ento, facultada alta gesto da empresa contratante, decidir a que nveis de riscos e com quais vulnerabilidades estar disposta a operar. Os sistemas de proteo e as especificaes dos servios de segurana patrimonial ofertados por empresas prestadoras desses servios sero, cada vez mais, balizados sob essa perspectiva.

Assim importante, tanto para os profissionais das empresas contratantes, quanto das provedoras de servios de seguran-a empresarial, desenvolver familiaridade com alguns conceitos e abordagens da rea de engenharia de processos aqui apre-sentados. Os mtodos utilizados buscam garantir a qualidade dos servios prestados (seu desempenho) e permitem identificar, quantificar e determinar os custos dos recursos a empregar. Trazem contribuio significativa, tanto por propiciar uma discipli-na de trabalho, quanto por viabilizar o mapeamento de toda a organizao. Os conhecimentos em segurana complementaro, ento, a metodologia de processos, com sua abordagem de riscos, sistemas de proteo e vulnerabilidades.

Qualidade

No mundo da economia globalizada, qualidade essencial. Na rea de segurana empresarial, particularmente aps o episdio de 11 de setembro de 2001 (atentado terrorista ao WTC) em Nova York, a importncia da qualidade nos servios de segurana tornou-se um fator ainda mais evidente e importante. Da qualidade dos servios prestados, amide, dependem vidas humanas. Infelizmente, no caso brasileiro, a qualidade na maioria dos servios de segurana empresarial deixa a desejar. Muitas vezes at por falta da compreenso, por parte dos gestores, do seu significado. Resta lembrar que, no Brasil, esta uma indstria incipiente, de certa forma carente em mtodos de gesto e, principalmente, no est, ainda, submetida concorrncia de empresas globais. O mercado brasileiro de segurana vedado atuao de empresas estrangeiras. Obviamente, h diversas empresas brasileiras de servios de segurana patrimonial bem estruturadas, com padres de excelncia, com servios de altssima qualidade e que no se encaixam nessa classificao. Mas a exceo parece confirmar a regra.

Um perfeito entrosamento entre as reas afetadas diretamente pela segurana empresarial e os demais departamentos e reas das organizaes pode ser obtido com uma competente aplicao dos conceitos da gesto da qualidade. Qualidade co-mea e termina no cliente. Comea e termina com o aprendizado. Por exemplo, a disponibilidade um item de qualidade em servios (JURAN, Gryna; Controle de Qualidade Conceitos, Polticas e Filosofia da Qualidade Makron Books Ed., So Paulo 1991) da mais alta importncia. Disponibilidade pode ser entendida como um conceito da rea de confiabilidade, com vis tcnico, ou como estar disposio. Produtos que no chegam aos clientes por falhas na segurana impactam diretamente as relaes cliente-fornecedor, a imagem da empresa, as receitas e os lucros.

Ainda que possa parecer um conceito suficientemente difundido no meio empresarial, o uso da palavra qualidade, fre-quentemente, contribui para complicar a comunicao. Provedores e clientes podem ter percepes peculiares. Se a pergunta O que qualidade? for feita para n diferentes pessoas, sero dadas, quase certamente, n respostas diferentes. As pessoas conversam sobre qualidade como se estivessem falando da mesma coisa. Na verdade, cada uma est pensando num conceito diferente. comum que at mesmo gerentes e pesquisadores tenham dificuldade para utilizar o conceito. Um profissional pode estar usando o termo no sentido lato e outro pode estar entendendo o vocbulo qualidade num sentido bastante restrito do termo.

Alm da excelncia inerente, indefinvel, mas apreensvel, qualidade deve ser entendida como conformidade com espe-cificaes, adequao aos usos previstos para o produto/servios e at valor ao cliente. Pode ainda significar valor para todas as partes interessadas, ou, conforme definio da de Norma ISO, baseada na definio de Armand Valin Feigenbaun, criador da sigla TQC (Controle de Qualidade Total), a totalidade dos aspectos e caractersticas de um produto ou servio, relacionado sua capacidade de satisfazer as necessidades declaradas ou implcitas de seus consumidores.

Analisando-se o arrazoado de definies acima, podemos identificar diversos conceitos, entre os quais salientamos: adequa-o ao uso ou ao objetivo; relao custo-benefcio; confiabilidade; satisfao do cliente; conformidade aos requisitos etc.

16


Podemos ir ainda mais longe nas questes da qualidade e afirmar que o desenvolvimento de programas de garantia de qua-lidade para os servios de segurana uma necessidade em termos de eficcia (fazer o que o cliente quer) e eficincia (fazer certo o que o cliente quer) e, de certa forma, uma obrigao em termos ticos e morais, principalmente quando se trata de segurana contra os riscos que ameaam a vida humana e o meio ambiente. Ensina-nos Maslow, em sua conhecida escala de ne-cessidades dos seres humanos, que segurana a segunda necessidade bsica, e est logo acima das necessidades fisiolgicas.

A qualidade total, ou seja, o foco no cliente, a adoo da filosofia de aperfeioamento constante das operaes (dos produ-tos e servios) e o respeito s partes interessadas, um caminho que poder diferenciar empresas de servios de segurana, tanto em nosso mercado que, de certa forma, encontra-se em estgio primevo de maturidade, quanto em pases do primeiro mundo. Nas condies vigentes, em muito mercados atuais, os preos pouco diferem, os pacotes de servios ofertados so praticamente os mesmos. A qualidade dos servios prestados , geralmente, o fator de diferenciao entre as organizaes. Buscar a excelncia pode e deve tornar-se parte essencial da filosofia da organizao e parte de sua estratgia competitiva, sendo a aplicao dos conhecimentos da gesto por processos um grande facilitador para a implementao de um programa de qualidade competente.

Processos

Processos esto relacionados com a maneira de agir, um conjunto de atos pelos quais se realiza uma operao. qualquer atividade que recebe uma entrada (input), agrega-lhe valor e gera uma sada (output), para um cliente interno ou externo. Co-nhecer o processo de produo , em ltima anlise, definir o que feito para transformar entradas em sadas, e que a partir do uso de recursos da prpria empresa sero gerados os resultados (VARVAKIS, Gregrio; Gerenciamento de Processos, Grupo de Anlise de Valor UFSC 1999).

FIGURA 1 - REPRESENTAO DE UM FLUXO DE PROCESSO

Ainda, segundo o Prof. Varvakis (1999), uma boa definio para processos, que adequada ao emprego no setor de servios de segurana patrimonial, pode ser o conjunto de recursos e atividades empregados sob determinadas condies e que so submetidos a transformaes, gerando um determinado efeito final, com consequncias desejadas. Exemplos de processos, na operao de servios de segurana, podem ser: a implantao de um posto, a anlise de riscos empreendida num cliente, as atividades de superviso nos postos, a ronda noturna empreendida pelo vigilante, o controle eletrnico da ronda (basto de ronda), as atividades de controle de acesso no posto, as atividades de monitoramento de imagens na sala de segurana, etc.

As organizaes, geralmente, apresentam estruturas organizacionais do tipo funcional, onde so agrupadas, numa mesma unidade administrativa, aquelas atividades pertencentes a uma mesma rea tcnica e/ou de conhecimento (financeiro, opera-cional, comercial, RH etc.). Esta forma de estrutura organizacional acaba criando ilhas de especialidades dentro da organi-zao, que no se comunicam suficientemente entre si, causando distores na forma como visto o fluxo de trabalho, suas consequncias e as interrelaes envolvidas. Isto acaba trazendo srios prejuzos a qualquer atividade de gerenciamento, uma vez que se perde a noo do todo.

A segurana empresarial tambm estruturada dessa forma e sofre suas consequncias, dificultando a sua atuao em permear vrias outras reas e sua interrelao com as mesmas precisa ser conhecida, para uma possvel identificao, avaliao e controle dos riscos.

Uma forma simples e ampla de abordagem a viso processual da organizao, representando-a como um conjunto de processos, passando assim a compreend-la melhor. Ao se orientar pelos processos, a organizao estar trabalhando com todas as dimenses complexas de seu negcio.

A viso processual da organizao permite o entendimento de como o trabalho executado, atravs de processos que se interrelacionam alm das fronteiras funcionais. Dessa forma, o conceito de processo, quando assimilado pelos profissionais de segurana, dever fazer parte de qualquer estrutura de anlise de riscos, valorizao de sistemas e programas de qualida-de conduzidos por esses profissionais, em suas atividades de planejamento.

De acordo com a metodologia, hierarquicamente, os processos sofrem divises que vo desde os macro-processos passan-

17


do pelos processos propriamente ditos, subprocessos, atividades, at o nvel das tarefas. Os macro-processos so aqueles pro-cessos que envolvem mais de uma funo dentro da organizao, cuja operao tem impacto nas demais funes. Os processos propriamente so as atividades que recebem uma entrada, realizam transformaes, agregam-lhes valor, gerando uma sada. Os subprocessos so divises do macro-processo quando os mesmos possuem objetivos especficos, organizados seguindo linhas funcionais, ou seja, os subprocessos recebem entradas e geram suas sadas em um nico departamento. Na sequncia, os subprocessos podem ser divididos nas diversas atividades que os compem e, em um nvel mais detalhado, em tarefas.

FIGURA 2 - HIERARQUIA DO PROCESSO: PROCESSO, SUBPROCESSO, ATIVIDADES, TAREFAS.

A principal dificuldade na viso processual o problema de identificar a estrutura hierrquica dos processos, dado que eles esto fragmentados pela organizao. difcil determinar o incio e o fim do macro processo.

Uma das prticas correntes, em organizaes competentes, a anlise dos seus processos de trabalho, a qual sendo realizada de forma criteriosa, tem demonstrado poder aumentar a produtividade, atravs da definio e compreenso dos aspectos relativos a problemas e sua consequente soluo. De uma forma geral, pode-se iniciar a anlise a partir de uma viso macro das atividades e seus problemas; em seguida, particularizar detalhes especficos de interesse ao processo produtivo. De qualquer forma que nasa o estudo, sempre existir uma sequncia fixa de passos predeterminados, que devem ser seguidos, ao se empreender uma anlise de processos.

Uma das ferramentas de apoio para o melhor entendimento dos processos produtivos, atravs de uma representao clara e precisa, a representao atravs do fluxo de processo. Onde so mostradas as atividades do processo, bem como a sequncia e a forma como as mesmas so realizadas. A elaborao do fluxograma do processo de trabalho tem como principal objetivo a visualizao do funcionamento de todos os componentes do processo, de forma simples e objetiva, permitindo assim que seus custos ou valores sejam medidos.

Define-se um fluxograma como um mtodo para descrever graficamente um processo existente, ou um novo processo proposto, usando smbolos simples, linhas e palavras, de forma a apresentar graficamente as atividades e a sequncia no pro-cesso. Do ponto de vista do gerenciamento de riscos, o fluxograma poder ser utilizado como base estratgica para o reco-nhecimento de ameaas, a presena de riscos e os pontos crticos.

FIGURA 3 - REPRESENTAO GRFICA DE UM PROCESSO COM SUAS ATIVIDADES CRTICAS

Fonte: ACIA

18


Nos fluxogramas de processos tm-se a representao dos fluxos de atividades e informaes de um determinado pro-cesso, normalmente apresentados na forma de diagramas de blocos. No diagrama de blocos, as etapas de um processo so mostradas de forma grfica. Cada bloco representa a diviso do que se quer analisar. No diagrama de um processo, cada bloco representa um subprocesso, e num diagrama de subprocesso cada bloco representa uma atividade e assim por diante. Na confeco do diagrama devero ser envolvidos os atores dos diferentes nveis hierrquicos da organizao, e que sejam conhecedores da realidade de como os eventos ocorrem, possibilitando uma anlise mais realista da situao a partir de vrios pontos de vista.

Compem as etapas bsicas de um diagrama de blocos:

a) Definio do nvel de detalhamento pretendido;

b) Definio do que se deseja analisar (processo, subprocesso, atividade, tarefa);

c) Definio de quantos, e quais os blocos para a sequncia de eventos; e,

d) Montar o diagrama respeitando a sequncia dos acontecimentos dos eventos.

e) Determinar os recursos empregados em cada atividade e atribuir valor a este

A elaborao de fluxogramas uma ferramenta inestimvel para se entender o funcionamento interno e os relacionamen-tos entre os processos empresariais. Durante a elaborao de um fluxograma de processo tornam-se transparentes e bvias determinadas interrelaes entre diferentes setores de trabalho. Isto pode contribuir para consolidar uma viso sistmica e por processos nos profissionais e setores envolvidos. Quando esta viso de conjunto no for pertinente ou implicar em riscos indesejveis, frmulas que mantenham o necessrio sigilo podem ser concebidas pela equipe de projeto.

No fluxograma a seguir, temos o exemplo do mapeamento dos processos de implantao do sistema de controle eletr-nico de rondas (Basto de Ronda), cedido pela empresa Deggy .

MAPEAMENTO DOS PROCESSOS

Segundo Harrigton (HARRIGTON, James; Aperfeioando Processos Empresariais, Makron Books Editora, So Paulo 1993), quanto mais se entender os processos, mais capazes seremos de aperfeio-los, trazendo a dimenso da qualidade mais uma vez para o foco. Recomenda, ainda, trs etapas bsicas para a melhor organizao dos processos:

1 - Incio Deciso de implantao da Ronda e do Controle Eletrnico;

2 - Definir o percurso ou itinerrio a ser realizada pelos Vigilantes rondantes;

3 - Definir quais os pontos sero os de controle Locais onde sero instalados os buttons;

4 - Definir quais eventos sero controlados, considerados nos processos de segurana, nos percursos de ronda e nos pontos de controle

5 - Cadastrar os buttons no software de gerenciamento do sistema, associando cada but-ton a um local;

6 - Instalar buttons nos locais de controle, de acordo com item 3;

7 - Cadastrar no software os eventos definidos no item 4;

8 - Incio da utilizao do sistema.

19


A eliminao das perdas (aes corretivas);

A eliminao das causas das perdas (aes preventivas);

A otimizao dos processos (consolidao dos resultados).

Caractersticas Bsicas dos Processos

Os processos possuem caractersticas bsicas que suportam a implantao de seu gerenciamento:

1. Fluxo de Valor: transformao de entradas em sadas, com a utilizao de recursos da empresa, com a esperada agregao de valor;

2. Eficcia: grau com que as expectativas do cliente so atendidas. Ser eficaz fazer o que o cliente quer.

3. Eficincia: grau de aproveitamento dos recursos para gerar uma sada. Ser eficiente fazer o que o cliente quer da melhor forma para a empresa (otimizando o processo).

4. Tempo de ciclo: tempo necessrio para transformar uma entrada numa sada. Deseja-se que o tempo de ciclo seja o menor possvel.

5. Custos: recursos despendidos no processo.

O conhecimento dessas caractersticas importante para:

Identificar as reas com oportunidades de melhoria;

Fornecer o conjunto de dados para a tomada de deciso;

Fornecer a base para definir metas de aperfeioamento e avaliar resultados.

No caso da segurana empresarial, sob o ponto de vista dos processos do cliente, teramos que introduzir a dimenso da anlise de riscos, que no mnimo responder as seguintes questes:

A quais riscos o processo est submetido?

Quais as causas da existncia dos riscos?

Qual a probabilidade desses riscos se concretizarem?

Qual o impacto econmico que causar na organizao, caso o risco se concretize?

Qual a situao dos nossos sistemas de proteo?

Qual o nvel de segurana que estamos operando?

Tcnica de Gerenciamento de Processos (GP)

De acordo com a metodologia de Varvakis (1999), o gerenciamento de processos uma metodologia que se destina im-plementao da melhoria contnua em organizaes. Empregada para definir, analisar e gerenciar as melhorias no desempenho dos processos em empresas, com a finalidade de atingir condies timas para os clientes. Resumidamente, o gerenciamento de processos uma tcnica de resoluo de problemas. Falta de segurana a causa de uma boa parte de problemas na so-ciedade brasileira atual, com reflexos diretos nas organizaes.

Ainda segundo Varvakis (1999), as consequncias advindas da implantao do GP esto intimamente relacionadas ao au-mento global da qualidade e da produtividade, uma vez que os mesmos concentram seus esforos na melhoria contnua das atividades que efetivamente agregam valor aos produtos e servios. Normalmente, o GP tem a orientao dos processos e subprocessos, voltados aos requisitos dos clientes, tanto externo quanto interno. Os processos propriamente ditos so orien-tados pelos clientes externos e os subprocessos pelos clientes internos, ou seja, aquele que recebe a sada desse subprocesso. Portanto, o conhecimento necessrio e suficiente dos processos envolvidos e das suas interrelaes essencial para o enten-dimento do GP.

As etapas bsicas da metodologia para o GP e os resultados esperados na sua aplicao esto divididas em quatro pontos de ao:

Etapa 1 - Base para o GP

Informar sobre a metodologia de GP. Identificar e elaborar: misso, produtos/servios finais, processos na viso macro, clientes e fornecedores externos.

20


Etapa 2 - Definio do Processo

Identificar e descrever clientes internos, sadas, entradas e objetivos dos subprocessos. Mapear o fluxo de atividades e informaes, definir indicadores e identificar os recursos utilizados nos diferentes subprocessos.

Etapa 3 - Identificao de Oportunidades de Melhoria

Priorizar oportunidades de melhorias. Gerar e avaliar impacto das ideias. Selecionar ideias.

Etapa 4 - Garantia da Melhoria do Processo

Concretizar as oportunidades de melhoria (desenvolver planos de ao, envolver as pessoas). Acompanhar implantao do plano realizando sua manuteno peridica, assegurando a continuidade do Gerenciamento de processo.

Etapa 5 Anlise de riscos (introduzida na tcnica)

Analisar os processos sob a tica dos riscos a que esto submetidos e sugerir aes que minimizem ou neutralizem tais possibilidades. Avaliar os sistemas de proteo existentes e definir o nvel de segurana.

Concluses

Como j nos posicionamos em outras ocasies, continuamos a ter, para uma boa parte das organizaes empresariais, a ati-vidade de segurana patrimonial como um verdadeiro enigma que fica no subsolo das instalaes, responsvel pelos homens de preto que circulam pelos prdios, com seus rdios HT na mo. Sua forma de atuao, na maioria dos casos, tem conotaes militaristas e/ou policialescas, porque trazem a cultura das foras pblicas, utilizando seus manuais, mais voltados para a ao de polcia, atuando nas consequncias e calcada no homem em ao, muitas vezes intimidador (o Vigo). Um recurso humano com pouca instruo requerida pelo cargo, com dificuldades de entender a viso sistmica dos possveis processos envolvidos em suas tarefas de segurana e muitas vezes sem condies de oferecer solues para os problemas detectados. O mais grave nesta situao que, na prestao de servios de segurana, com emprego da vigilncia humana, quem vai entregar o servio justamente o Vigo, e vai estar o tempo todo em contato com o cliente, sendo o principal responsvel pela qualidade(da segurana) do servio que est sendo entregue.

Outra deficincia do setor, que continuamos a apontar sem grandes mudanas nos ltmos anos, est relacionada ao enfo-que fatalista que encontramos muitas vezes. A preocupao com o todo s motivada por uma ocorrncia grave, tida como fora de cogitao na organizao, implicando, nestes termos, os efeitos sendo mais importantes do que as causas. O enfoque preventivo muitas vezes subestimado, sendo o enfoque corretivo o centro das atenes. Evidentemente que, tambm para esta situao, no podemos deixar de abrir parntesis para a citao e elogios s inmeras excees ao exposto acima, em que as aes dos practionrios da segurana empresarial seguem as mais modernas tcnicas de gesto.

O fato que muito se fala em segurana empresarial, os esforos tm sido grandes em fazer algo, os gastos tm sido ex-pressivos, mas os resultados parcos, quando se examinam as estatsticas, consequncia da falta de preparo de seus atores e da falta de cincia aplicada. A segurana empresarial carece de mtodos que atuem sobre problemas especficos, que proporcio-nem melhorias sistemticas, mas que estejam tambm sintonizados com a participao efetiva dos outros setores da empresa. Como visto anteriormente, a metodologia de gerenciamento de processos (GP) uma tcnica que promove desdobramentos nos processos, atingindo atividades e tarefas, quando necessrio. O GP permite, entre outras coisas, uma observao profunda desses processos, facilitando o reconhecimento de atividades crticas, que devem ser aproveitadas como agentes de melhoria contnua e da difuso da qualidade. uma metodologia aceita e reconhecida por seus efeitos benficos em organizaes de renome que a utilizam.

Dessa forma, aes e solues conjuntas, em que a nomenclatura e o simbolismo empregados sejam reconhecidos pelos mais diversos setores empresarias da organizao, se fazem necessrias. Portanto, a aplicao de metodologia j testada e aceita pelas reas produtivas e da qualidade, pode vir ao encontro dos anseios de mudanas nas relaes entre o setor de segurana e demais reas das organizaes.

Partindo do pressuposto que gerenciamento de risco a arte, a funo que visa proteo dos recursos humanos, mate-riais e financeiros de uma empresa, quer atravs da eliminao ou reduo de seus riscos, quer atravs do financiamento dos riscos remanescentes, conforme seja o mais economicamente vivel (BRASILIANO, A.; Manual de Planejamento e Gesto de

21


Riscos Corporativos, So Paulo; Ed. Sicurezza, 2003), t-la explicitada nos processos produtivos das organizaes certamente aumentar a competitividade de quem a adota e seria assim estabelecido o vnculo entre as atividades de gesto operacional das organizaes e suas atividades de segurana.

Dessa forma, unir os conceitos de gerenciamento de riscos de Brasiliano (2003) metodologia de gerenciamento de pro-cessos de Varvakis (1999) poder ser o incio de um conhecimento, no qual a segurana empresarial dever ser vista como algo inerente a qualquer processo de produo.

Quanto aplicao desta tcnica na operao das empresas prestadoras de servios de segurana, de acodo com os argu-mentos apresentados ao longo do texto, certamente os benefcios sero muitos, podendo ser o caminho que empresas com-petentes achem, para diferenciar seus servios, consolidar mtodos para a garantia da qualidade de seus servios, aumentar seus clientes, seus faturamentos e seus lucros.

Outra concluso importante est relacionada s dificuldades das atividades de segurana patrimonial em comprovar re-sultados, via relatrios utilizados pela alta gesto, tais quais as anlises econmico-financeiras, aplicando ferramentas como o valor presente lquido, payback, retorno dos investimentos, etc. A gesto por processos, por meio de suas ferramentas, que decompem a organizao em processos/atividades/tarefas, permite facilmente a atribuio de valores para esses, podendo, desse modo, realizar todo o tipo de anlise econmico-financeira, suprindo, assim, a lacuna apontada.

E, como ltimo argumento para o convencimento dos mais cticos, que ainda no se renderam necessidade do entendi-mento dos processos e dos sistemas da qualidade que envolvem as atividades operacionais dos servios de segurana, desta-camos o fato de ser toda organizao uma coleo de processos, um conjunto de tarefas, antes de ser um conjunto de funes. Para melhor administr-la, temos que entend-los na sua essncia.

Dagoberto Helio Lorenzetti

Engenheiro pelo ITA; Ps-Graduado em Engenharia Nuclear pela Escola Politcnica da USP; Ps-Graduado em Anlise de Sistemas pela FAAP; Mestre em Anlise e Gerenciamento de Riscos pela The Johns Hopkins University; Doutor em Ad-ministrao pela FEA/USP. Especialidades: Gesto Sustentvel, Gerenciamento de Perdas e Riscos e Gesto de Operaes (Qualidade e Produtividade em Operaes de Manufatura e Servios, Logstica e Sistemas Integrados). Exerceu funes executivas em empresas nacionais e multinacionais. Consultor e palestrante em organizaes pblicas e em empresas na-cionais e multinacionais Professor da Fundao Getlio Vargas/SP

Fernando S e Silva, MSc

Engenheiro mecnico pela PUCRS, especialista em engenharia de produo pela UFSC (Universidade Federal de San-ta Catarina), MBA em Administrao pela FEA/USP, especialista em Gesto de Segurana pela FECAP/SP, Mestre em Engenharia de Processos pelo Instituto de Pesquisas Tecnolgicas de So Paulo/IPT , treinamentos nos USA e Alemanha. Oficial R2 do Exrcito Brasileiro, com experincia de mais de 10 anos em projetos de gerenciamento de riscos, segurana e engenharia de processos. Autor de livro e de diversos artigos publicados por revistas especializadas, membro de grupo especializado em gesto e anlise de riscos patrimoniais e TRC. Associado a ABSEG desde 2006. Participao em projetos internacionais. Diretor comercial da empresa Deggy do Brasil.

22


Segurana da informaoEdison Fontes, CISM, CISA

1. INTRODUO

O processo de segurana da informao em uma organizao possui vrias dimenses ou aspectos. Normalmente somos leva-dos a nos concentrar no (admirvel) mundo da tecnologia. Principalmente os profissionais que tm formao nessa rea, tm uma tentao mais forte em estudar profundamente questes de proteo da rede dos computadores, invaso ciberntica e constantes atualizaes em termos de produtos de proteo. Tudo isso importantssimo e necessrio, porm no suficiente.

A proteo da informao somente vai acontecer de uma maneira efetiva (eficiente e eficaz ao longo do tempo) se realizarmos uma abordagem completa para a informao. Evidentemente a maior quantidade de informao de uma organizao est no seu ambiente computacional, mas, no apenas l. No momento em que pessoas acessam esse ambiente computacional elas guardam a informao na sua mente, imprimem (e deixam) na impressora, entregam relatrio a outras pessoas, no destroem esse relatrio quando ele jogado no lixo e, finalmente, falam com outras pessoas sobre essas informaes. Neste ltimo ponto, falam porque realmente precisam comunicar aquela informao ou falam (para mostrar status de conhecimento) para pessoas que no deveriam ter acesso informao.

Dessa forma, importante estruturar o processo de segurana da informao. Lembro sempre a todos com quem mantenho contato que esta composio por dimenses uma diviso didtica. Quando o problema acontece, ele vem nico. Por exemplo: uma pessoa estranha aos quadros de usurios da organizao roubou o notebook da mesa do seu presidente! Neste caso podemos identificar rapidamente alguns tipos de problemas:

- Acesso fsico: uma pessoa no autorizada no deveria ter acesso fsico sala do presidente.

- Confidencialidade da informao: os dados armazenados no equipamento deveriam estar criptografados. Como no estavam, quem possuir o computador vai poder acessar essas informaes.

- Conscientizao do usurio: o cabo de proteo do equipamento no foi utilizado ou o equipamento deveria estar guardado em um local trancado, quando no estivesse em utilizao pelo usurio. (pa! Mas o presidente! E agora? Quem vai dizer isso a ele?).

- Treinamento: o presidente no foi treinado adequadamente. Faltou no dia do treinamento. Ele mandou o assistente dele!

- Tecnologia: o projeto que possibilita a realizao de cpia de segurana automtica, quando o usurio est ligado na rede da organizao, est atrasado. Talvez seja adiado para o prximo ano!

Esta anlise deve ser feita para que seja avaliado o que falhou e que medidas especficas devem ser tomadas. Evidentemente que do ponto de vista do usurio, o problema foi: estou sem meu equipamento e sem os meus dados e ainda a organizao est com srios riscos de ter havido vazamento de suas informaes confidenciais.

Estruturar essas dimenses utilizar uma arquitetura de segurana da informao. A arquitetura que descrevo abaixo est baseada na norma NBR ISO/IEC 27002 e est mais detalhada no meu livro Praticando a segurana da informao, Editora Brasport, 2008.

De uma forma simples, uma arquitetura de segurana da informao deve:

* possibilitar que os controles de proteo sejam implementados de forma estruturada,

* ser padronizada para todas as plataformas de tecnologia,

* considerar todos os tipos de usurios,

* atender de forma corporativa aos requisitos legais,

* garantir que o acesso informao utilize autenticao e autorizao semelhantes em todos os ambientes,

* considerar a necessidade da disponibilidade dos recursos de informao para a realizao do negcio corporativo,

* ter flexibilidade para manter a efetividade da proteo, e

* estar visceralmente comprometida com os requisitos do negcio.

Quando se busca uma arquitetura, se deseja que exista uma soluo (ou estrutura de soluo) que seja vlida para a corporao e no apenas para departamentos especficos, que quando considerados juntos, a soluo parece um conjunto de retalhos diferentes, costurados de maneira artesanal.

Os controles de segurana devem ser possveis de serem implementados em todas as plataformas de tecnologia, evidentemente considerando as caractersticas e limitaes de cada uma.

Segue abaixo uma visualizao dos elementos da Arquitetura de Segurana:

23


Arquitetura de Segurana

Reg

ulam

enta

o

Garantir a Resilincia Operacional

Classificar da InformaoGarantir o Acesso Informao

Proteger recursos de tecnologia

DesenvolverAplicaes

Conscientizar e treinarusurios

Enfrentar situaes de contingncia

Tratarincidentes de segurana

Definir rea organizacional de SI

Proteger Ambiente Fsico e de infra-estrutura

Garantir informaes para atividades forense

Evitar fraudespela tecnologia

PROGRAMA CORPORATIVO DE SEGURANA DA INFORMAO(Gesto da Segurana da Informao)

POLTICAS DE SEGURANA DA INFORMAODefinio de controles de segurana da informao para:

Ges

to

de ri

scos

2. DIMENSES DA SEGURANA DA INFORMAO

2.1 Polticas e demais regulamentos de segurana da informaoA poltica, normas e procedimentos definem os controles que devem existir para a devida proteo da informao. A poltica

principal descreve a filosofia e as regras bsicas para o uso do recurso informao.

Esses controles devem existir independentemente do ambiente em que a informao seja utilizada: ambiente convencional ou ambiente de tecnologia. Com a existncia da poltica fica explicitado o que cada pessoa da organizao deve cumprir no que se refere proteo da informao.

Mas, a poltica no pode, ou melhor, no deve surgir do nada. necessrio que a poltica esteja alinhada aos objetivos da organi-zao. A partir dos objetivos de negcio, so definidos os objetivos da segurana da informao, que tem como destaque: possibilitar a realizao do negcio no que depende do uso dos recursos de informao.

A poltica e demais regulamentos definem estratgias, regras, padres e procedimentos que direcionaro todas as aes para atingirmos os objetivos de segurana da informao. Essas aes podem ser atividades tcnicas ou atividades de usurios. Sem uma poltica ficamos sem saber para onde queremos ir, sem saber qual a filosofia da organizao sobre o assunto segurana e qual o nvel de proteo desejado para a organizao.

Para se ter uma estrutura adequada, recomendo que deva existir uma poltica principal, descrita em um documento curto e sim-ples, de forma que todos os usurios entendam facilmente como a organizao deseja que a informao seja tratada e quais so as principais responsabilidades dos usurios. Outros documentos, como polticas especficas e normas, podem e devem complementar esses requisitos bsicos.

Para que a poltica e o conjunto dos demais regulamentos tenham uma existncia efetiva (eficincia e eficcia ao longo do tempo) necessrio:

a) Ter o apoio e patrocnio explcito do nvel executivo da organizao

Preferencialmente a poltica principal deve ser assinada pelo presidente da organizao. Desta forma fica explcito que o conjunto dos requisitos de segurana descritos na poltica resultado de uma deciso estratgica da alta direo e no uma simples adoo de melhores prticas de segurana

b) Representar a verdade da organizao

O que for escrito na poltica e nos demais regulamentos deve exprimir a verdade e os valores da cultura (ou do que se quer como cultura) da organizao.

24


c) Ser possvel de implementao e de execuo pelos usurios

No podemos especificar requisitos que no podem ser implementados ou so impossveis de serem cumpridos pelos usurios. As regras devem ser adequadas ao nvel atual de proteo e ao nvel desejado de proteo.

Aps a elaborao, devemos ter algumas aes para que a poltica seja de conhecimento e de aplicao pelos usurios. neces-srio que:

* exista uma divulgao ampla, geral e irrestrita para os usurios;

* o acesso a essa poltica pelos usurios seja fcil; e

* exista um processo que garanta que essa poltica e os demais regulamentos de segurana estejam sempre atualizados.

2.2 - acesso informaoO acesso informao uma das dimenses que mais sofrem com aes de erros e falta de profissionalismo do usurio, bem

como com aes de m f (fraudes). Tambm a questo de vazamento de informao, por pessoas no autorizadas ou por pessoas autorizadas, explorada nesta dimenso.

Esta dimenso se divide em trs grandes blocos de aes:

a) Gesto da identidade do usurio

Trata de como o usurio se apresenta para o ambiente computacional e o ciclo de vida dessa identidade. Este ltimo aspecto trata de como a identidade do usurio criada na organizao, como ela mantida e como ela ser desligada do ambiente compu-tacional, quando o usurio no tiver mais vnculos profissionais com a organizao. Isto vale para funcionrios, como tambm para prestadores de servios e estagirios.

b) Gesto de autenticao do usurio

Verifica a veracidade do usurio (se ele realmente quem diz ser) e da definio das tcnicas de autenticao que sero utilizadas. O usurio pode se autenticar de trs maneiras: por algo que sabe (senha), por algo que possui (carto, token, outro) ou por algo que (caracterstica biomtrica). Cada uma dessas opes possui seu nvel de segurana e custo. Para cada situao deve ser feita uma avaliao de custo x benefcio, considerando as caractersticas da organizao e os riscos associados.

c) Gesto de autorizao para acessar a informao

Verifica se o usurio est autorizado a acessar a informao. Essa autorizao deve considerar o perfil do usurio e ser feita de maneira individual, em grupo, ou baseado em perfil funcional. Para a efetividade dessa ao de autorizao devem existir o gestor da informao e as regras explcitas e de conhecimento de todos para a autorizao de acesso.

2.3 classificao da informao a definio de nveis de sigilo da informao, do gestor da informao e do custodiante da informao.

Para cada nvel de sigilo so indicados os procedimentos que devem ser realizados ou proibidos em relao informao com aquela classificao. Por exemplo: uma informao confidencial no pode ser enviada via uma mensagem de correio eletrnico pela Internet, de maneira aberta e sem criptografia.

Normalmente as informaes so classificadas em trs ou quatro nveis de sigilo. Um exemplo de nveis de sigilo: pblica, interna e confidencial. Algumas organizaes possuem uma classificao mais sofisticada, mas aconselho esta classificao de trs nveis para as organizaes que esto em um nvel inicial de maturidade em segurana da informao.

O Gestor da Informao a pessoa que, dentro da organizao, tem o poder de liberar (ou negar) o acesso informao para qualquer usurio. Ele deve ser o executivo da rea que possui as informaes. Por exemplo: as informaes de recursos humanos, para serem acessadas, devem ser autorizadas pelo executivo da rea de recursos humanos da organizao.

O custodiante a pessoa ou rea que administra o recurso que utiliza a informao. Por exemplo: os recursos computacionais, normalmente, possuem como custodiante a rea de tecnologia da informao.

2.4 enfrentar situaes de contingnciaTem como objetivo a definio da soluo para o tempo suportvel de indisponibilidade dos recursos de informao, antes que o

negcio atinja um nvel de impacto financeiro, operacional ou de imagem que comprometa a continuidade da organizao.

Sem dvida alguma, os recursos de informao so crticos para a realizao do negcio da organizao. Uma indisponibilidade nesses recursos e o impacto (financeiro, de imagem ou operacional) ser sentido de imediato na organizao. Sendo assim, impres-cindvel a existncia de um plano de continuidade de negcio para possibilitar que, de uma forma mnima, o negcio da organizao continue operando durante o perodo necessrio para a recuperao dos recursos de informao originais ou substitutos.

As etapas para a definio de um plano para situaes de contingncia so:

25


a) Definio do escopo e cenrio

Escopo: recursos, ameaas e ambientes que sero considerados.

Cenrio: situao em que acontecer o desastre.

A definio do escopo e cenrio fundamental e deve ser a primeira etapa a ser definida. Cada verso do plano deve ter explcito o seu escopo e em que circunstncias foi considerado que a contingncia acontecer (cenrio).

Um exemplo de limitao considerar a contingncia apenas para um local (escopo) e considerar que no haver perda de pessoas no desastre (cenrio).

Vale lembrar que as limitaes de escopo e cenrio tm por objetivo possibilitar a elaborao de verses de plano compatveis com a maturidade da organizao na questo continuidade de negcio.

b) Avaliao de ameaas e riscos

Esta etapa no obrigatria, porm recomendvel que ela seja executada. Considerando o escopo e cenrio, devero ser ana-lisadas as ameaas consideradas e avaliada como est a situao da organizao em relao s mesmas.

Normalmente existem aes simples que podem ser implementadas de imediato e trazem uma melhoria na proteo da infor-mao.

Essa avaliao pode ser feita considerando valores qualitativos (alto, mdio, baixo), pois valores quantitativos so muito mais difceis de obter. Na utilizao de valores qualitativos, o que vai valer a comparao de um valor com outro valor. O valor isolada-mente significa pouco.

c) Anlise de impacto no negcio

Nesta etapa a rea de negcio precisa responder qual o potencial impacto (financeiro, de imagem e operacional) para organizao, caso um determinado recurso ou conjunto de recursos esteja indisponvel.

A resposta da rea de negcio que permitir a elaborao do produto final dessa etapa: qual o tempo de indisponibilidade que o negcio suporta, considerando o potencial dos impactos financeiro, de imagem e operacional.

d) Identificao de solues

Nesta etapa, baseada nas informaes das etapas anteriores, so avaliadas as diversas opes de processamento alternativo para a informao. A opo que melhor se adequar deve ser implementada.

e) Elaborao do Plano

Esta etapa a construo do conjunto de documentos e manuais que formaro o plano de continuidade do negcio. Esses docu-mentos devero permitir que, em uma situao de contingncia, as pessoas sigam as suas instrues e tenham, consequentemente, uma soluo alternativa para a situao de contingncia.

f) Plano de teste

Deve ser elaborado um plano de teste e treinamento para garantir que as pessoas continuem sabendo executar o plano. Nesses testes tambm podem ser identificadas situaes no previstas no plano e que precisam ser incorporadas.

g) Plano de manuteno

Esse plano define como ser feita a manuteno, com o objetivo de garantir que os documentos estaro sempre atualizados. Chamamos a ateno para o fato de que deve haver uma manuteno peridica e uma manuteno para situaes especficas.

2.5 garantir a resilincia oPeracionalA existncia de gesto de problemas, gesto de mudanas, gesto de recursos, gesto de capacidade possibilita que a organizao

suporte situaes adversas sem que haja ruptura na operao do negcio, no que se refere aos recursos de informao.

Essas quatro vertentes de controle podem ser expandidas caso a organizao possua situaes especficas.

2.6 Proteger o ambiente fsico e de infraestruturaEsta dimenso tem por objetivo buscar a garantia de que o ambiente fsico est controlado e protegido, e que os ele-

mentos de infraestrutura (gua, energia, temperatura, condies do ar) esto adequados para o uso pelos recursos de informao.

Este aspecto permite que se pratique uma maior interao entre a segurana patrimonial/corporativa com a segurana da in-formao. A sincronizao de controles fundamental para a identificao de falhas. Por exemplo: um usurio que obtm de forma fraudulenta a senha de outro usurio poder ser identificado pelo sistema de monitoramento visual. Neste exemplo, o usurio lesado ir negar que fez determinada transao. Pela identificao do terminal e sincronizando com a gravao de imagens do local, poderemos identificar o fraudador.

O plano para situaes de contingncia ser beneficiado com o bom desempenho da dimenso de proteo do ambiente fsico

26


e da infraestrutura. Muitas situaes podero ser evitadas ou caso aconteam sero minimizadas.

2.7 desenvolver aPlicaesDo ponto de vista de segurana da informao, quando do desenvolvimento, manuteno e aquisies de sistemas, devem existir:

uma metodologia, os requisitos de segurana, a proteo do ambiente de desenvolvimento de sistemas e uma documentao para garantia da manuteno do conhecimento.

Descrevemos abaixo alguns requisitos de segurana quando do desenvolvimento de sistemas.

a) Modularidade

Um sistema aplicativo deve conter vrios mdulos/programas estruturados, de forma que cada um execute uma ou apenas algu-mas funes.

b) Documentao adequada

O sistema deve ter uma documentao de funcionalidade e de operacionalidade adequado sua criticidade para o negcio da organizao.

A documentao deve ser suficiente para que outro profissional do mesmo nvel tcnico da pessoa que executa a tarefa, lendo a documentao, entenda o programa/mdulo ou similar.

c) Controle de verso

Algumas plataformas computacionais possuem produtos que possibilitam o controle de verso de programas e mdulos; outras no. Independentemente da facilidade existente, um controle de verso deve existir e possibilitar o registro de tudo que foi feito.

d) Ambiente de produo no para desenvolvimento e teste

Devem existir pelo menos dois ambientes: de produo e de desenvolvimento. Uma soluo profissional e adequada a exis-tncia de um terceiro ambiente para homologao e testes do sistema. Se a organizao no puder ter esses ambientes, que no desenvolva seus sistemas.

e) Programas fontes devem ser controlados

O acesso ao ambiente de desenvolvimento deve ser restrito, mesmo aos programadores e analistas. Cada profissional deve ter acesso apenas aos elementos de que necessita para desenvolver o sistema ou sistemas.

f) Registros para a auditoria

Todos os acessos realizados nos dados dos sistemas devem ser registrados para auditorias e investigaes.

g) Avaliao da qualidade do desenvolvimento

Deve existir uma rea de Software Quality Assurance, que testa o que foi desenvolvido com o que foi especificado e acertado em termos de nvel de servio.

2.8 tratar incidentes de seguranaEsta dimenso cuida de registrar incidentes, responder em tempo adequado e encaminhar para a soluo definitiva.

Na medida em que a organizao j possua elementos da Resilincia Operacional, o tratamento de incidentes ser facilitado e, muitas vezes, evitado.

O importante que, quando da ocorrncia de um incidente, as pessoas envolvidas saibam o que devem fazer e quais so as suas responsabilidades.

2.9 garantir informaes Para atividade forenseEsta dimenso possibilita a definio de aes preventivas, treinamento de usurio para tratar situaes desse tipo, infraestrutura

mnima de tecnologia, realizao de anlise forense de situaes de fraude, erro ou recuperao de informao.

2.10 Proteger recursos de tecnologiaTem como objetivo principal a proteo da rede computacional da organizao contra ataques externos e internos, proteo de

cada recurso de tecnologia, definio da autenticao entre recursos de tecnologia, garantia de utilizao de produtos atualizados, bem como as correes desses produtos e do SW bsico.

Esta dimenso est diretamente ligada rea de Tecnologia da Informao.

2.11 conscientizar e treinar os usuriosEsta dimenso trata de definir procedimentos para conscientizao, implementar treinamentos necessrios e implementar, garan-

tir engajamento da direo e garantir o alinhamento com regulamentos internos e externos. A rea de Segurana da Informao

27


deve contar com o total apoio da rea de recursos humanos, pois aqui estamos falando de pessoas.

Deve haver um treinamento contnuo e devem existir eventos especficos que destaquem a segurana da informao. O impor-tante que tudo isso seja feito com o apoio explcito da alta direo.

2.12 definir rea organizacional da segurana da informaoA rea de segurana da informao deve ser formalmente definida. Deve-se ter, de forma explcita, o escopo de atuao, a defini-

o da estrutura de pessoas e recursos, a identificao das reas gestoras de informao, a identificao das reas que utilizam a infor-mao, a identificao dos processos necessrios para a gesto da segurana da informao e a definio da posio organizacional.

2.13 evitar fraudes Pela tecnologia a dimenso dedicada, considerando as possveis fraudes, anlise dos sistemas e processos de negcio, definio/avaliao das

contramedidas, definio de monitoramento constante, definio de medidas preventivas, definio de maneiras de deteco de fraude e existncia de respostas rpidas.

2.14 asPectos legais e conformidade com regulamentosOs aspectos legais e outros requerimentos que a organizao obrigada a cumprir devem ser considerados nesta dimenso,

em uma viso corporativa, possibilitando uma nica implementao. Questes que atinjam reas especficas continuam tendo uma abordagem corporativa; porm, com uma implementao especfica.

2.15 gesto de riscoA gesto de risco deve existir, permeando todas as dimenses citadas anteriormente. Isto significa que em cada dimenso devem

ser feitas as perguntas:

* Quais so as ameaas existentes?

* Quais dessas ameaas devem ser consideradas na prtica?

* Qual o risco (probabilidade) desta ameaa se concretizar?

* Qual ser o impacto (financeiro, de mercado, de imagem ou operacional) que essa ameaa trar, caso se concretize?

* Que contramedidas preventivas, ou corretivas podem-se implementar?

3. CONCLUSO

A proteo da informao tem um grande nmero de elementos, situaes, recursos, sujeitos e formas, que precisam ser consi-derados. Inicialmente voc pode ter a sensao de que no possvel fazer uma boa proteo.

Mas possvel fazer uma boa proteo; porm, existem aes estruturais que facilitam o sucesso. Voc deve:

* Definir o escopo e abrangncia da proteo a ser feita.

* Garantir o apoio da direo executiva.

* Considerar com prioridade: polticas/normas, acesso informao e conscientizao/treinamento de usurio.

* Garantir a existncia de recursos. No s financeiros.

* Conhecer o assunto segurana da informao.

* Conhecer solues de organizaes similares.

* Gostar do tema e ser persistente.

* Pertencer associao de profissionais em que experincias como esta possam existir e fazer com que voc possa acelerar seu conhecimento.

Edison Fontes, CISM, CISA.

Consultor, Professor, Orientador de alunos, Colunista ITWEB e Autor de livros em Segurana e Proteo da Informa-o. Foi Coordenador de Segurana do Banco Banorte, Gerente do Produto Business Continuity Plan da Pricewaterhou-seCoopers, Security Officer da GTECH Brasil, Gerente Executivo da CPM Braxis Brasil e Consultor Independente para vrias organizaes.

28


Outsourcing de Gesto em Segurana Hugo Tisaka

A terceirizao de servios em empresas - ou outsourcing - uma ferramenta administrativa que j se firmou como uma alternativa vivel e bastante flexvel, atendendo s necessidades do competitivo mercado globalizado e tambm da legislao vigente.

De acordo com a autora Giovanna Lima Colombo, a terceirizao a transferncia de atividades para fornecedores es-pecializados, detentores de tecnologia prpria e moderna, que tenham esta atividade terceirizada como sua atividade-fim, libe-rando a tomadora para concentrar seus esforos gerenciais em seu negcio principal, preservando e evoluindo em qualidade e produtividade, reduzindo custos e ganhando competitividade.

No mercado de segurana, a terceirizao de servios foi a forma vivel para que fossem implementadas atividades de vigi-lncia e portaria, escolta de carga, segurana VIP e outras, devido rgida legislao que rege a segurana orgnica, patrimonial, pessoal e mais recentemente, a questo do porte de armas.

Em 2007, segundo a FENAVIST, este setor foi responsvel por 2,02 Milhes de empregos diretos (sendo que 57% deste contingente formado por vigilantes e VSPP) e o total dos gastos das empresas que contrataram este tipo de servio, neste mesmo ano, foi de 12 Bilhes de Reais.

Ainda, se somarmos aos outros custos relacionados atividade de segurana em empresas, estas cifras podem chegar a quase 19 Bilhes de Reais um pouco menos da metade do oramento do Ministrio da Educao para 2009.

Por definio, a atividade do gestor de segurana de uma empresa coordenar a administrao dos recursos financeiros, patrimoniais e humanos dentro de uma organizao, e justamente neste processo que entra o outsourcing em gesto.

Muitas empresas, por vrias razes, no possuem a disponibilidade ou ainda a necessidade de contratar um profissional que realize as atividades de gesto de forma dedicada. Um gerente de segurana pode custar para a empresa mais de R$ 200 mil/ano e a posio de um diretor, algo em torno de R$ 550 mil/ano.

Nestes casos, a gesto terceirizada a soluo mais adequada, j que ela se adapta s necessidades de segurana da empre-sa, j que o mesmo profissional (ou grupo de profissionais) trabalha de forma compartilhada e com outros clientes, reduzindo-se dessa forma o investimento individual de cada contratante.

NEM TUDO SO FLORES

Os benefcios so muitos e em sua maioria conhecidos, como foco no core business, flexibilidade, eliminao de custos com recrutamento e seleo, substituies quando necessrias, reduo de custos internos, etc.

No entanto, uma atividade de gesto terceirizada possui uma srie de consequncias que devem ser contornadas e que

29


costume cham-las de armadilhas do outsourcing de gesto. Essas armadilhas so percebidas somente durante o decorrer das atividades, onde frequente a coliso de interesses e responsabilidades.

Costumo citar alguns exemplos de conflitos:

* Uma manh, durante o feriado, o gestor de segurana terceirizado recebe um telefonema do Diretor Administrativo da empresa, informando que o alarme da planta de Vitria da Conquista foi acionado e, segundo ele, parece haver um princpio de incndio. O que fazer?

* O veculo da empresa, conduzido pela esposa do Diretor Administrativo, colidiu com uma moto a caminho da fbrica e ela liga para o celular do gestor pedindo auxlio. responsabilidade dele atender essa ocorrncia? Quem pagar a conta?

* Um funcionrio foi acusado de extravio de produtos acabados e o advogado da empresa desconfia de um possvel envolvi-mento das autoridades policiais; e diz que conseguiu uma autorizao do presidente da empresa para realizar uma investigao paralela. Est dentro do seu escopo de responsabilidades?

Esses exemplos servem somente para ilustrar o nvel de complexidade que esse servio representa. A melhor forma de resolver tais conflitos combinar antes, atravs de um Acordo de Nvel de Prestao de Servio, tambm conhecido como Service Level Agreement SLA.

O SLA - SERVICE LEVEL AGREEMENT

Esse documento, que normalmente um anexo do contrato de prestao de servio, ir discriminar o escopo do trabalho, as atividades que compem esse escopo, o nvel de prontido, entre outros.

O SLA dever ainda, determinar quais so os indicadores de desempenho para que o trabalho do gestor possa ser men-surado.

Ainda, as decises do gestor de segurana nem sempre agradam determinado setor da empresa; do financeiro ao de ope-raes, sempre haver uma deciso difcil de tomar e essa responsabilidade no pode ser somente desse profissional, mas sim de um colegiado, onde as decises estratgicas sero tomadas em conjunto, de forma a reduzir o estresse desses processos.

Tambm existe um certo preconceito dos funcionrios da empresa com relao aos terceirizados, dificultando ainda mais a aderncia s novas normas e regras. Portanto, imprescindvel a adoo do staff da empresa e o suporte por eles prestado.

Este suporte deve ser abrangente, desde o acesso para as dependncias que esto relacionadas no escopo de trabalho, at o fornecimento de crach, e-mail, vaga de estacionamento (se outros profissionais do mesmo nvel tiverem esse direito), acesso ao restaurante (ou vales-refeio), enfim, tudo para que o gestor de segurana se encaixe no perfil dos funcionrios da empresa.

OS TRS PRINCPIOS BSICOSExistem alguns dilemas corporativos que permeiam a deciso de

coletanea-abseg

Documents