riscos, crises e confianÇa - apresentação banca (risks, crisis, and confidence - presentation...

RISCOS, CRISES E CONFIANÇARISCOS, CRISES E CONFIANÇARISCOS, CRISES E CONFIANÇARISCOS, CRISES E CONFIANÇAUma análise do gerenciamento de riscos sobre segurança da informação em uma empresa brasileira de grande porte

(Apresentação de dissertação para a banca)(Apresentação de dissertação para a banca)(Apresentação de dissertação para a banca)(Apresentação de dissertação para a banca)

MestrandoMestrandoMestrandoMestrando:::: Gilberto AlvesOrientadorOrientadorOrientadorOrientador:::: Profa. Dra. Deborah Moraes ZouainCoCoCoCo----orientadororientadororientadororientador:::: Prof. MSc. Gerson Borges

BancaBancaBancaBanca::::Prof. Dr. Rogério SobreiraProf. Dra. Valderez FragaProfa. Dra. Deborah Moraes Zouain

GILBERTO ALVESAPRESENTAÇÃO DA DISSERTAÇÃO DE MESTRADO

INTRODUÇÃO

RISCORISCORISCORISCO

CRISECRISECRISECRISE

CONFIANÇACONFIANÇACONFIANÇACONFIANÇA

GERAGERAGERAGERA

AFETAAFETAAFETAAFETA

GESTÃO DEGESTÃO DEGESTÃO DEGESTÃO DERISCOSRISCOSRISCOSRISCOS

GESTÃO DEGESTÃO DEGESTÃO DEGESTÃO DECRISESCRISESCRISESCRISES

EVITAEVITAEVITAEVITA

RESGATARESGATARESGATARESGATA

É o efeito da incerteza nos objetivos.É o efeito da incerteza nos objetivos.É o efeito da incerteza nos objetivos.É o efeito da incerteza nos objetivos.

Os riscos podem ser: especulativos ou dinâmicos; puros ou estáticos. Também pode ser definido como a combinação da probabilidade de um acontecimento e das suas conseqüências.

(ISO GUIDE 73:2009, item 1.1, p.1)

“... é uma mudança – gradual ou repentina – que resulta em um problema urgente que deve ser abordado imediatamente. Para uma empresa, uma crise representa qualquer coisa com potencial para causar danos súbitos e graves a seus funcionários, a sua reputação ou a seu resultado financeiro.” (LUECKE, 2007:12)

Atividades coordenadas para

dirigir e controlar uma organização

no que se refere a riscos.

(ISO GUIDE 73:2009, item .2.1,p.1)

... exige ação de contenção, formado por

quatro regras: usar a ação rápida e decisiva;

colocar as pessoas em primeiro lugar; estar

fisicamente presente; e comunicar amplamente.

Estas são ações para que se evite o

agravamento da crise.(Luecke, 2007, p.87:114)

Esperança firme em alguém, em alguma coisa: ter confiança no futuro. Sentimento de segurança, de certeza, tranquilidade, sossego daquele que confia na probidade de alguém: perder a confiança do chefe. (DICIONÁRIO DO AURÉLIO). Coragem proveniente da convicção no próprio valor. Fé que se deposita em alguém. esperança firme. Atrevimento. Insolência. Familiaridade. (DICIONÁRIO PRIBERAM DA LÍNGUA PORTUGUESA).


PROBLEMA

1. Como as organizações estão preparadas para gerir seus riscos, controlar suas perdas, evitar e reduzir crises e gerar relacionamentos confiáveis?

2. Quais são as práticas utilizadas pelas organizações para a preparação e gerenciamento desses aspectos?

3. Como determinar o grau de exposição ao risco de uma organização?

4. Os modelos de gestão adotados, tais como certificações, Gestão pela Qualidade Total (GQT), submissões a avaliações de critérios de excelência regionais e nacionais, dentre outros, têm sido suficientes para o controle de riscos?

Principais questões:Principais questões:Principais questões:Principais questões:


OBJETIVOS

... verificar se as práticas adotadas por uma organização estão sendo suficientes para a gestão dos seus riscos, comparadas às de um modelo de referência reconhecido e validado.

... identificar, analisar e catalogar essas práticas para que sirvam de referência e para aplicação por outras empresas e de objeto de estudo para futuras pesquisas.

OBJETIVOS INTERMEDIÁRIOSOBJETIVOS INTERMEDIÁRIOSOBJETIVOS INTERMEDIÁRIOSOBJETIVOS INTERMEDIÁRIOS

OBJETIVOS PRINCIPALOBJETIVOS PRINCIPALOBJETIVOS PRINCIPALOBJETIVOS PRINCIPAL


HIPÓTESES

Os objetivos não são alcançados, podendo inferir sobre a ineficácia das práticas de gestão de riscos e crises.

Os objetivos são alcançados, podendo-se inferir sobre a eficácia das práticas de gestão de riscos e crises.

HHHH1111

HHHH0000


SUPOSIÇÕES

a) Os resultados, quando segregados, evidenciam grau diferenciado de maturidade das práticas, nos segmentos organizacionais.

b) Os objetivos são alcançados, apesar das práticas de gerenciamento de riscos não serem maduras.

c) Os objetivos são alcançados e as práticas de gerenciamento de riscos são maduras.

d) Os objetivos não são alcançados, apesar das práticas de gerenciamento de riscos serem maduras.

e) Os objetivos não são alcançados e as práticas de gerenciamento de risco não são maduras.


METODOLOGIA

A pesquisa foi realizada na área de segurança da informação, na gerência de Segurança Empresarial da Petrobras SA, com uma pequena extensão à Coordenação de Crise da Gerência de Comunicação. Portanto, um estudo de caso tipo um, conforme Yin(2003:61)

1. A pesquisa foi feita de forma descritiva.2. Foi feita um investigação exploratória inicial com

entrevistas a dois executivos principais e mais dois gerentes.

3. Foi feita uma pesquisa de percepção dos empregados(123) e gerentes(95) de toda a companhia, por meio de amostragem, abrangendo 218 pessoas.

4. Foi feita análise documental, indicada nas entrevistas e nas análises preliminares.

Tipos de PesquisaTipos de PesquisaTipos de PesquisaTipos de Pesquisa


REFERENCIALPrincípios, estrutura e processos para o gerenciamento de riscos,conforme a ISO/IEC 31000:2009

Figura 6 – pag. 55


RESULTADOS DA PESQUISA

“Dessa forma, o estudo efetuado se consolida como

um estudo feito em área cuja característica é, área cuja característica é, área cuja característica é, área cuja característica é,

essencialmente, operacionalessencialmente, operacionalessencialmente, operacionalessencialmente, operacional. Não era o esperado. A A A A

correlação com os objetivos estratégicos não se correlação com os objetivos estratégicos não se correlação com os objetivos estratégicos não se correlação com os objetivos estratégicos não se

apresenta bem caracterizadaapresenta bem caracterizadaapresenta bem caracterizadaapresenta bem caracterizada. Quando muito,

equivale a dizer que eles impactam os objetivos

estratégicos, quando evitam que escândalos, grandes

impactos etc. possam atrapalhar o curso natural da

organização na realização de sua estratégia. Dessa

forma, evita perdas, desgastes de imagens, redução

de ativos, etc.”

A análise do alcance dos objetivosA análise do alcance dos objetivosA análise do alcance dos objetivosA análise do alcance dos objetivos

(Alves, dissertação de mestrado, 2010:p.91)


Página 103

RESULTADOS DA PESQUISAAs práticas de gestão de riscos e crisesAs práticas de gestão de riscos e crisesAs práticas de gestão de riscos e crisesAs práticas de gestão de riscos e crises

Página 97Página 95



05.05.05.05. Conheço as políticas, diretrizes, objetivos, indicadores e metas associadas à gestão de risco de segurança da informação da minha companhia.06.06.06.06. Na minha gerência, os riscos associados à segurança da informação são identificados.07.07.07.07. Reconheço que a gerência onde trabalho atua para a minimização dos riscos relativos à segurança da informação.08.08.08.08. Na minha gerência, os riscos relativos à segurança da informação são gerenciados por metodologias bem definidas para identificação, avaliação e tratamento.10.10.10.10. Na companhia, ocorrem muitos eventos associados a riscos relativos à segurança da informação.12.12.12.12. Na companhia, ocorrem muitas crises associadas a riscos relativos à segurança da informação.

Percepção e confiançaPercepção e confiançaPercepção e confiançaPercepção e confiança

Página 105

Página 106



As perguntas 09 e 11, não listadas acima, foram perguntas abertas...As perguntas 09 e 11, não listadas acima, foram perguntas abertas...As perguntas 09 e 11, não listadas acima, foram perguntas abertas...As perguntas 09 e 11, não listadas acima, foram perguntas abertas...

Percepção e confiançaPercepção e confiançaPercepção e confiançaPercepção e confiança


RESULTADOS DA PESQUISAConfiabilidade e confiançaConfiabilidade e confiançaConfiabilidade e confiançaConfiabilidade e confiança

EVENTOS DE RISCOS GERADORES DAS CRISES (Hipotéticos)

INÍCIO FIMDURAÇÃO(Em dias)

E1

1. Veiculação de práticas de aquisição de produtos não compatíveis com as práticas de mercado – A companhia foi acusada de não promover processo licitatório transparente para a aquisição de sistemas de produção. Essa contratação envolvia a aplicação de US$ 20 bi e teria sido feita com uma empresa xpz coreana, intermediada por um grande financiador norte americano que teria induzido à contratação dessa empresa, na qual tem participação. Outro grande grupo, interessado na licitação, teria acusado a companhia de falta de transparência no processo de licitação e de não cumprimento da legislação brasileira para essa finalidade.

18/1/2010 19/7/2010 181

E22. Veiculação de práticas de aquisição de produtos não compatíveis com as práticas de mercado – Uma empresa de um influente estado na economia nacional denunciou a aquisição de produtos químicos, tratados como compras de caráter emergencial, sem o devido processo de licitação. A alegação da empresa é que esse fato tem sido recorrente, o que pode estar caracterizando um vício no processo de compras.

1/3/2010 28/3/2010 27

E3

3. Furtos que expoõem a companhia - Foi anunciada na mídia local, numa das localidades onde a companhia tem uma de suas unidades, o acesso às suas instalações e o roubo de 12 computadores. O fato foi tratado com uma grande vulnerabilidade pela mídia local, considerando ainda o risco às pessoas e às instalações, que pelo seu alto risco pode causar impacto para a sociedade, sobretudo para os moradores do entorno das instalações. O assunto chegou à câmara de vereadores que convocou o executivo das instalações para uma audiência pública onde foi questionado sobre os riscos existentes. Vários moradores, inclusive aqueles da entorno, promoveram manifestações e barricadas na porta da unidade, solicitando providências.

10/3/2010 28/12/2010 288

E4

4. Vazamentos de informações – Jornais dos sindicatos noticiam reclamações dos empregados de companhias prestadoras de serviço sobre o tratamento diferenciado nas instalações da companhia. Segundo os jornais, há um regime de segregação em que os empregados próprios usam instalações diferenciadas, com muito mais qualidade e que, inclusive, as refeições são diferenciadas, demonstrando "um verdadeiro descaso com os seres humanos em uma mesma instalação".

23/5/2010 25/8/2010 92

E55. Vazamentos de informações – Foi publicado em importante jornal do país, publicado em primeira página, antecipação de informação ao mercado sobre relevantes resultados no seu negócio e que dariam noção sobre prejuízo no último trimestre, fruto de uma crise provocada por relações com outros países onde a companhia mantém parte de suas operações.

18/8/2010 1/9/2010 13

E66. Furtos que expõem a companhia – Foi noticiado na mídia em geral, o extravio de relatório de inspeção de instalações da companhia, com o propósito de negociação de seguros orçado em alguns milhões de dólares. Segundo informado, o relatório teria sido furtado por pessoal terceirizado, sem propósito definido, mas que expõe a fragilidade da guarda de informações relevantes da companhia.

25/9/2010 13/12/2010 78

Tempo Médio Entre as Crises - Fórmula: TMEC=(365-TMTC)/NÚMERO DE EVENTOS 42

Tempo Médio de Tratamento das Crises - Fórmula: TMTC=SOMATÓRIO DOS DIAS DE DURAÇÃO DE CADA EVENTO//número de eventos 113

Taxa de Demanda de Crise - Fórmula: TDC=TMTC/365 31%

Quadro 4 – Simulação de eventos de crise para cálculo de indicadores


ANÁLISES CONCLUSIVAS

... verificar se as práticas adotadas por uma organização estão sendo suficientes para a gestão dos seus riscos, comparadas às de um modelo de referência reconhecido e validado.

Objetivo principalObjetivo principalObjetivo principalObjetivo principal

Não. As práticas não estão sendo suficientes. Conforme demonstrado nos gráficos 4 e 5, slides 10, a favorabilidade quanto a maturidade das práticas, avaliadas pela percepção dos empregados e gerentes, estão abaixo do índice esperado de 70%, agravando pela percepção de ocorrências de riscos e crises.



... identificar, analisar e catalogar essas práticas para que sirvam de referência e para a aplicação por outras empresas e de objeto de estudo para futuras pesquisas.

Objetivos intermediáriosObjetivos intermediáriosObjetivos intermediáriosObjetivos intermediários

Sim. As práticas foram identificadas, analisadas e catalogadas conforme demonstrado nos slides 8 e 9. Ressalta-se a forte aderência das práticas com os referenciais metodológicos adotados, além da percepção dos empregados e gerentes quanto as práticas adotadas, conforme demonstrado nas respostas às perguntas 5, 6 e 7, do gráfico 5. Ainda assim, conforme a resposta à pergunta 8, essas práticas não são devidamente aplicadas nas unidades gerenciais.



H1 Inicial – Os objetivos são alcançados, podendo-se inferir sobre a eficácia das práticas de gestão de risco e crises.H1 Modificada– Os objetivos operacionais são alcançados, podendo-se inferir sobre a eficiência das práticas de gestão de risco e crises.

Redefinição das HipótesesRedefinição das HipótesesRedefinição das HipótesesRedefinição das Hipóteses

H0 inicial– Os objetivos não são alcançados, podendo inferir sobre a ineficácia das práticas de gestão de risco e crises.H0 Modificada– Os objetivos operacionais não são alcançados, podendo inferir sobre a ineficiência das práticas de gestão de riscos e crises.



H0 Modificada– Os objetivos operacionais não são alcançados, podendo inferir sobre a

ineficiência das práticas de gestão de riscos e crises.

Sim. A percepção de ocorrências de riscos e crises, demonstrada pelos

empregados e gerentes, conforme apresentada nas repostas às perguntas

10 e 12, deixa claro que apesar da maturidade das práticas, elas são

ineficazes para a gestão de riscos e crises na organização. Dessa forma, a

H1 não é comprovada, ou seja, as práticas não são eficazes.

Conclusões sobre as HipótesesConclusões sobre as HipótesesConclusões sobre as HipótesesConclusões sobre as Hipóteses



a) Os resultados, quando segregados, evidenciam grau diferenciado de maturidade das práticas, nos segmentos organizacionais.

Suposição incorreta. Quando analisados, os resultados não evidenciam grau diferenciado de maturidade nos diversos segmentos da companhia. Em geral pode ser observado que os resultados da pesquisa são equilibrados nos diversos segmentos da companhia, conforme ilustrado no Apêndice D. Dessa forma pode se concluir que o grau de maturidade é igual em todos os segmentos da organização, não apresentando nenhum diferencial quanto a continuidade e o grau de disseminação.

Conclusões sobre as SuposiçõesConclusões sobre as SuposiçõesConclusões sobre as SuposiçõesConclusões sobre as Suposições



d) Os objetivos não são alcançados, apesar das práticas de

gerenciamento de risco seremmaduras.

Suposição correta. Conforme analisado na hipótese b, aspráticas são muito bem percebidas pelos gerentes eempregados. No entanto, ainda existe uma percepção ruimquanto a ocorrência de riscos e crises.

Conclusões sobre as SuposiçõesConclusões sobre as SuposiçõesConclusões sobre as SuposiçõesConclusões sobre as Suposições


CONSIDERAÇÕES FINAIS

• O trinômio: riscos, crises e confiança;O trinômio: riscos, crises e confiança;O trinômio: riscos, crises e confiança;O trinômio: riscos, crises e confiança;

• Risco estratégico x risco operacional;Risco estratégico x risco operacional;Risco estratégico x risco operacional;Risco estratégico x risco operacional;

• Confiança e gestão de riscos Confiança e gestão de riscos Confiança e gestão de riscos Confiança e gestão de riscos –––– oportunidade;oportunidade;oportunidade;oportunidade;

• Gestão de Riscos x modismos gerenciais.Gestão de Riscos x modismos gerenciais.Gestão de Riscos x modismos gerenciais.Gestão de Riscos x modismos gerenciais.


Tipos de Risco

riscos, crises e confianÇa - apresentação banca (risks, crisis, and confidence - presentation...

Documents