Na prática, gestão de riscos é mãos na massa: o pessoal de TI tem de fazer política para obter apoio e informações, tem de ajudar a empresa a rever processos (pois todo risco é um risco de processo), tem de ajudar o RH a treinar funcionários e a gerir conhecimentos e atitudes, tem de instalar tecnologia para vigiar e medir aspectos relevantes da estrutura de TI, tem de imaginar esquemas para que a empresa não pare em caso de acidentes, tem de passar horas em salas de reunião para dar e ouvir explicações. Mas, quando a gestão de riscos funciona bem, os gastos com segurança caem bastante, e a segurança aumenta. O segredo está nas prioridades, como explicaram os profissionais nesta mesa-redonda.
O debate foi coordenado por Wilson Moherdaui, diretor editorial, e por Márcio Simões, editor executivo. Participaram: Agostinho H. Teixeira Gouveia, superintendente executivo de TI do Banco Real ABN Amro; Dorival Dourado Jr, diretor de operações e serviços da Serasa; Edison Raul Barretti, gerente de estratégias de TI da Sabeso; Jacob Batista de Castro Jr, gerente de segurança operacional da Caixa Econômica Federal; Marcello Pinsdorf, gerente de TI da TMais.

IH — Como é uma boa gestão de riscos?

Dourado — Gestão de riscos já é componente importante no modelo de governança. O primeiro passo é classificar cada risco: natural, tecnológico, cultural, social, comercial. O segundo é entender como cada risco afeta a empresa. O terceiro é entender em que grau a empresa está madura para fazer a gestão dos riscos. Na Serasa, há riscos em todas as etapas do negócio, inclusive o risco de apostar numa tecnologia que não vai se desenvolver. Como nossa empresa também vende segurança e confidencialidade, a gestão de riscos está na pauta de todos os diretores e do presidente.

IH — Essa gestão limita sua vida?

Dourado — As conseqüências do risco ficam claras, caso ele não seja tratado com prioridade — prioridade de agenda, de ação e de investimento. Nas nossas reuniões de diretoria, o risco está na pauta. Uma parcela significativa do investimento vai para gestão de riscos. Damos a nossos funcionários um manual específico sobre gestão de riscos e de segurança — conscientização é importante, e todo mundo tem a incumbência de contribuir. Recebemos sugestões pela intranet, temos comitês de risco e grupos de risco com fornecedores e clientes. E monitoramos tudo isso. Temos um mapa dos riscos corporativos, com indicadores. Como nosso ambiente computacional é de alta disponibilidade, temos ferramentas e procedimentos para monitorar a segurança, temos trilhas de auditoria, etc. Gestão de riscos é um processo, nunca termina, e então o desafio é manter esse processo sempre ativo, ou não é possível estar sempre um passo à frente. Vejo muita gente fazendo projetos pontuais — atende um projeto, faz um investimento, compra uma ferramenta, e depois esquece o assunto, não trata dos riscos como parte de um modelo de excelência na gestão.

IH — Dizem que a gestão de risco racionaliza investimento em segurança.
É verdade?

Dourado — Quando não existe um programa ou um processo, a gente age por espasmos, corre atrás do problema do momento. Se é um problema de acesso indevido ao sistema, a gente vai lá e resolve aquele problema.

Marcello — Fazer a gestão do risco é mais barato que agir por espasmos, porque a gestão dos riscos reduz a vulnerabilidade, o que reduz o consumo de recursos.

Dourado — Com a ISO 27000, quando olhamos o problema como um todo, os gastos ficam mais consistentes. Mas, em geral, as pessoas não se sentem sujeitas àquele risco, e aí só tratam do problema quando surge. E as empresas não gostam de destinar uma parcela do orçamento da TI à gestão de riscos no atacado. Mas gestão de riscos é como apólice de seguro: é importante fazer seguro e renovar a apólice todo ano.

Jacob — Para mitigar riscos, é interessante fazer um plano eficiente de continuidade dos negócios. É importante saber o quanto vou perder, o quanto estou disposto a perder em determinado processo, e então decidir até quanto vou investir em tecnologia para sustentar aquele processo em caso de sinistro. Na Caixa, nós temos tratado disso como um programa contínuo, e os gastos começam a cair, porque não gastamos velas boas com defunto ruim. Por que eu vou gastar X milhões com um processo, se ele pode ficar fora do ar por um ou dois dias sem me trazer prejuízo de X milhões?

IH — Nessa fase de implantação, vocês descobriram algum erro recente?

Jacob — Na primeira fase, a gente sempre acha riscos descobertos, porque nenhuma empresa é essencialmente segura. Fazemos os relatórios e dizemos: para cobrir esse risco, é preciso atuar assim e assado. Isso vai para os conselhos de diretores e para o conselho de administração. Não é fácil gastar uma fortuna com uma coisa que não pretendemos usar nunca, exatamente como no seguro do carro. Precisamos investir na conscientização dos gestores, convencê-los da importância de gastar num programa desses sem ter a possibilidade de retorno.
Dourado — Eu queria frisar: a segurança e a gestão dos riscos ultrapassam as fronteiras da empresa, é preciso envolver toda a comunidade relacionada com o negócio. Conscientização é fundamental. E hoje o plano de continuidade de negócios não inclui só tecnologia — a empresa precisa continuar operando em qualquer circunstância.

IH — Por exemplo: o que é um risco cultural?

Dourado — Gestão de senhas de segurança é uma questão tipicamente cultural, está relacionada com a história de cada pessoa.

Jacob — Posso complementar? O israelense, por exemplo, aprende desde cedo a importância da informação. O brasileiro é mais espontâneo, basta puxar conversa e ele te dá informações de bandeja. Imagine cuidar da segurança de uma empresa com 120 mil pontos conectados à Internet. É difícil impedir que as pessoas conversem no elevador sobre um processo importante. E como convencer o cliente a instalar um firewall pessoal, a não abrir e-mail de pessoas desconhecidas? A gente paga por fraudes em que o computador do cliente foi burlado, mas não o sistema da Caixa. Essa conscientização do cliente é trabalho árduo. Também é difícil convencer o jovem funcionário a não colocar informações da empresa num blog ou no Orkut.

Agostinho — Sobre a racionalização dos investimentos, a palavra é prioridade. Com os riscos mapeados, você racionaliza o investimento porque dá prioridade aos riscos. Sem o mapa de riscos, às vezes gastamos nosso dinheiro num risco menor, e deixamos o risco maior descoberto.

IH — Por exemplo?

Jacob — O que custaria à imagem de um banco o sistema de recursos humanos ficar parado por 15 dias? Nada. Dá tempo de recuperar. Mas se o sistema de atendimento ficar parado uma hora, isso representa prejuízo.

Dourado — Um parêntesis: algumas empresas instalam infra-estrutura de alta disponibilidade, que às vezes o negócio não demanda.

Agostinho — Na área financeira, gestão de riscos é inerente. Principalmente empréstimo, que tem um risco inerente. O setor financeiro está à frente por causa de leis como Basiléia 2, Sarbanes-Oxley. Todo comitê de produto tem gente de riscos e de segurança. Cada produto já tem de nascer robusto, porque é distribuído para milhões de clientes, não podemos descobrir um furo de segurança depois. Cada área é responsável pelos seus processos, segundo uma metodologia de risco operacional. Por exemplo: como fazer para não pagar a mesma fatura duas vezes? Como fazer para não rodar um job duas vezes? Isso entra no risco operacional. Temos o comitê de risco executivo, com o presidente e os vice-presidentes, que distribui o dinheiro e decide o que fazer. Temos comitês intermediários das áreas, temos o comitê de contingência de negócio e um comitê de segurança de TI. A junção desses comitês todos é que faz a nossa gestão de riscos. Todos os 30 mil funcionários do banco fazem cursos online obrigatórios, sobre riscos, compliance, lavagem de dinheiro. Aliás, acabei de fazer o curso de segurança, é obrigatório, e vai para o portfólio do funcionário.

IH — Qual o papel das auditorias?

Agostinho — Temos uma auditoria interna, que trabalha em cima de riscos, e temos auditorias externas. Se a auditoria chega, identifica um risco, e descobre que eu também já identifiquei o mesmo risco e que tenho um plano, o tratamento é outro. Se o risco estiver descoberto, é diferente. No setor financeiro, o cliente precisa acreditar que nossa empresa está bem, está segura.

Jacob — Uma coisa importante é: a informação não é só eletrônica. A página na impressora, a conversa ao telefone, a conversa no elevador, a conversa num barzinho, na happy hour. É um dos nossos ativos, a informação, saindo das fronteiras seguras da empresa, indo para o domínio público.

Agostinho — A gente fala muito de prioridade. Os próprios sistemas do banco são classificados, com a ajuda da área responsável por continuidade dos negócios. Se uma área de negócios só pode ficar sem sistema por até duas horas, a classificação é nível 1, e essa área precisa de um alto grau de contingência nos sistemas de TI. E assim por diante. Resolvemos em comitês todas as prioridades, verificamos se não estamos fazendo o mesmo trabalho ou a mesma função em lugares diferentes. A decisão final é sempre do comitê executivo de risco, formado pelo presidente e pelos vice-presidentes.

IH — Jacob, como vocês tratam do risco político, das ingerências políticas inevitáveis num banco público?

Jacob — Eu assumi a gestão da segurança da Caixa há pouco tempo, mas sempre trabalhei na área de segurança da informação. Temos muita independência, tanto neste governo quanto no governo passado. Temos trabalhado de maneira tranqüila, em conformidade com as práticas de mercado e com a legislação vigente, sem nenhum tipo de ingerência política. Temos a liberdade de colocar empecilhos a determinados programas e de mostrar a fragilidade de determinadas iniciativas. Nossos procedimentos de segurança não podem ser burlados, e assim uma investigação vai sempre levar aos nomes das pessoas envolvidas em qualquer ação.

IH — No caso do caseiro Francenildo Costa [cujo extrato vazou, o que derrubou o ex-ministro Antônio Palocci], o presidente da Caixa tinha acesso às informações do correntista?

Jacob — Não tinha, e não pode ter. Cada funcionário só tem acesso ao que precisa para trabalhar, e por isso ele precisou pedir [o extrato do caseiro] para outros funcionários. Os direitos de acesso são checados pelas nossas auditorias internas. É por isso que o sistema mostrou passo a passo tudo o que aconteceu, tudo certinho. O sistema de segurança foi totalmente eficaz.

IH — Como é a gestão de riscos na Sabesp?

Edison — Com o nome de Sabesp, a empresa tem 23 anos, mas começou mesmo na época do Império. A área de TI sempre teve as preocupações básicas de segurança, como o tal do backup, mas era mais difícil discutir com a alta administração investimentos mais altos. A gente até brincava: para que sala-cofre, se nunca pegou fogo na Sabesp? Para que um CPD de reserva se nunca caiu um avião aqui? Essas brincadeiras mostram como era feita a gestão dos riscos. Com a abertura de capital, com o lançamento de ações na Bovespa, com o lançamento de ações em Nova York, com a submissão à Sarbanes-Oxley, essas coisas mudaram bastante. Hoje a gestão de riscos está muito presente na cabeça de todos. Tanto é que a gestão de riscos começa já no balanced scorecard, no planejamento estratégico. Ficou mais fácil tomar decisões. Um exemplo: vamos reformular o portal e a intranet da Sabesp. Com a análise de riscos, percebemos que não precisamos gastar demais quando o risco é pequeno, e com isso conseguimos economizar nesse projeto algo em torno de 40%. Conseguimos também o nosso site backup. Era difícil, porque o mainframe da Sabesp é da linha Univac, da Unisys, é uma linha antiga, e o próprio fabricante não se dispunha a montar um site backup. Mas nossa gestão de riscos mostrou que isso era muito importante: no caso de um incêndio, levaria uns três meses para importar e instalar uma máquina nova, isso geraria prejuízo da ordem de bilhões. Então, conseguimos convencer a Unisys a trazer uma máquina e montar o site backup. Com nosso passado estatal monopolista, o risco cultural também era grande. Teve uma época em que todas as deliberações da diretoria estavam logo publicadas na intranet. Isso causava constrangimentos, com gente ligando, até de fora da empresa. Hoje cada um só tem acesso às informações necessárias ao seu trabalho, nem mais nem menos. Estamos montando um comitê de informações, para discutir a política de informações, não só as informações armazenadas em sistemas eletrônicos. Sobre novas tecnologias, temos um bordão: novas tecnologias, novos riscos. Fizemos, por exemplo, uma coisa óbvia: proibir o uso de fax-modem nos computadores. A gente faz toda uma análise de mensagens e de anexos que saem da empresa por e-mail, e depois alguém manda um fax sem filtro nenhum. Agora esbarramos numa invenção maravilhosa, que é o pen drive.

Dourado — Existem aplicativos que impedem o usuário de espetar um pen drive na porta USB. Recentemente, visitei a fábrica da Itautec Philco, e lá não tem conversa: não entra celular com câmera fotográfica, não entra Palm, todo mundo passa no detector de metais.

Edison — Na Sabesp, antes até encarregado de consertar subadutora dava entrevista à imprensa, falava de investimentos e tudo o mais. É claro que os números não batiam. Esse tipo de coisa agora é também uma questão de risco, e temos cursos de comunicação, para que todo mundo saiba até onde pode ir.

Marcello — A TMais é uma empresa telefonia do Rio Grande do Sul e, recentemente, começou uma operação de voz por IP. Como é nova no mercado, vinha crescendo muito, e nossa preocupação sempre foi crescer rápido, para atingir logo o ponto de equilíbrio. Só que, sem gestão de riscos, fomos aprendendo que o break even ia ficando mais longe do que a gente gostaria. Entendemos que precisávamos ser bons em três pontos. Tínhamos um bom plano de continuidade na operação da telefonia, porque uma falha na telefonia implica imediatamente perda de receita. Depois, recentemente, fizemos um plano de continuidade para o atendimento por telefone ao cliente. Para a imagem da empresa, não atender o cliente é muitíssimo grave. Agora, temos até redundância de pessoas, temos uma operação em Lajeado e outra em São Paulo. Todo dia, uma parte da equipe trabalha no atendimento lá no site backup, para praticar.

Agostinho — Só complementando: plano de contingência não testado tem 99,99% de chance de falhar. É incrível como, naquele plano maravilhoso, esquecem o arquivo, esquecem a tomada.

Marcello — O terceiro ponto é um risco inerente ao nosso negócio: o risco de aquisição de clientes. Esse é um risco para a área de telefonia. Mesmo para a operação de voz por IP, temos de cumprir o ritual da Anatel quando conseguimos um mau cliente. Bloqueamos parcialmente o serviço com 30 dias de atraso, bloqueamos totalmente com 60 dias, cancelamos a linha com 90 dias. Ou seja: ele tem no mínimo 60 dias para falar de graça. Então, a gestão da aquisição do cliente passou a ser uma política. Quando a aquisição do cliente é pela Internet, comparamos a localização do IP com o endereço declarado pelo cliente, por exemplo. Cruzamos as informações do cartão de crédito com outras empresas que também fazem negócio pela Internet. Tem a documentação depois. E tem um sistema que checa todo dia a minutagem do cliente. Se sai do padrão, o pessoal de antifraude entra em contato para saber o que aconteceu. Até o final do ano passado, a gente tratava fraude e inadimplência como uma coisa só, mas isso mascara o problema. Na inadimplência, o cliente não entrou no sistema com o propósito de não pagar.

IH — E como está a tecnologia? Ela está adequada à gestão de riscos?

Jacob — Eu tenho me sentido bem atendido — tem ferramentas antifraude, filtro de conteúdo para a web, filtro de conteúdo para e-mail, administração de logs... Mas, pelo tamanho da Caixa, não é qualquer ferramenta que serve. Estamos falando de tratar os logs de 10 mil servidores, de 120 mil estações de trabalho, de filtro de conteúdo para 100 mil usuários. Mas o mercado tem soluções, desde que você esteja disposto a pagar o preço.

Dourado — Se você faz gestão de riscos seguindo uma metodologia, é mais fácil identificar fornecedores e tecnologias para ir preenchendo suas necessidades, porque existe muita coisa no mercado. Outra coisa importante é que esses produtos consomem bastante do processador e da capacidade de comunicação de dados. Para fazer uma boa análise de custo-benefício, precisa pensar no custo da metodologia, na compra da ferramenta, no treinamento do pessoal, no uso adicional de infra-estrutura. Demora um ano para aprender a usar bem as ferramentas, 20% da banda da rede vai embora, 30% do servidor vai para o espaço. E a solução comprada precisa evoluir, escalar: mudança de rumo custa caro.

Agostinho — Um ponto sério é a arquitetura. Se o pacote não entra na arquitetura, não entortamos a arquitetura por causa do pacote, porque isso aumenta o risco, você começa a perder a visão de futuro.

IH — Na gestão de riscos, existe o caso de tratar melhor o presidente, para reduzir o risco de o presidente reclamar? (risos)

Dourado — Se um cliente é estratégico, se a percepção dele é importante, se ele é formador de opinião, se ele é patrocinador da área de TI, como é o caso do presidente, não tem conversa: ele merece um SLA diferenciado.