Nossas torres de cada dia
Gostaria muito de não ter esse assunto para falar, mas toda a sociedade e a sua economia foram impactadas por esse acontecimento. As empresas e organizações que tinham instalações no WTC foram direta e imediatamente afetadas. Deixando os aspectos políticos para os especialistas no assunto, precisamos tirar algum aprendizado do ponto de vista da segurança da informação.
Podemos refletir sobre alguns aspectos:
a) O improvável pode acontecer
A probabilidade de um avião se chocar com o WTC era muito pequena. Dois aviões atingirem as torres gêmeas uma probabilidade menor ainda. Mas, infelizmente, isto aconteceu. O que nos relembra que quando tratamos de situações de desastre e contingência, a pergunta correta não é “qual a probabilidade disso acontecer ?” e sim: “e se isso acontecer? Como ficará a organização?” A probabilidade nos ajuda a priorizar as ações preventivas.
b) Itens de verificação não são suficientes
É muito importante a existência e verificação de listas que contêm uma série de itens que devem ser validados e analisados em todas as suas condições. Porém, quando buscamos uma proteção dos recursos que permitem a continuidade de negócio, isto não é suficiente. O fato de ter uma escada de incêndio dentro dos padrões deve ter sido um item verificado e considerado satisfatório. O que não deve ter sido considerado é que em uma situação de desastre, descer cerca de 100 andares leva mais de uma hora. Ou seja, deve ser feita uma análise considerando um conjunto de situações em paralelo.
c) Todos os recursos são críticos
Tecnologia, processos e pessoas são grupos de recursos que são fundamentais para a realização do negócio. No desastre do WTC uma corretora perdeu 700 dos seus mil funcionários no seu único local de trabalho.Além da tristeza pelas vidas perdidas ficou a impossibilidade de funcionamento dessa organização.
d) Alguém pensou: e se um dia as torres desabam?
Felizmente a construção do WTC com todas as sua peculiaridades aconteceu considerando uma pequena possibilidade, o desabamento das torres. Se algum dia, por alguma razão qualquer uma das torres desabasse, sua estrutura foi feita para que elas caíssem como uma implosão. Já imaginaram o desastre ainda maior se as torres caíssem para qualquer um dos lados ?
e) Às vezes recebemos avisos
A explosão de uma bomba na garagem do WTC em 1993 já indicava que aqueles edifícios, como símbolos americanos, eram alvos de atentados terroristas. Estejamos atentos para o que acontece ao nosso redor. É o mesmo caso do executivo que não adota procedimentos de segurança no seu micro portátil mesmo ouvindo notícias de roubo desse equipamento em outras empresas. À propósito, o que aconteceria se você perdesse todos os dados do seu micro pessoal? Tem cópia de segurança? E se os dados fossem parar na empresa concorrente?
f) Cenário
Quando estamos propondo proteger a informação e os recursos dos processos de negócio é necessário definir um cenário para o qual aquela proteção foi estruturada. A informação deve ser levada ao executivo de mais alto escalão para que este tome conhecimento do que está sendo protegido.
Muitas informações foram perdidas, pessoas morreram e recursos ficaram impossibilitados de uso. Somente as empresas que tinham um plano de continuidade de negócio sobreviveram àquela tragédia. Quem não tinha um plano dificilmente continuou no mercado.
Uma nota triste: no início do mês passado, o prédio principal da Escola de Comunicações e Artes da USP sofreu um incêndio e a sociedade brasileira perdeu mais um acervo importante de informações. Desta vez sobre a teledramaturgia. Não existiam cópias de segurança. Nos dois casos, WTC e USP, cada um a seu modo, perdas irrecuperáveis.
