você está aqui: Home → Colunistas → Legaltech
Por José Antonio Milagre
Data de Publicação: 08 de Setembro de 2010
"Estamos todos bem no refúgio, os 33". Relato dos mineiros após duas semanas do incidente, quando foram encontrados.
A perplexidade envolvendo soterramento dos 33 mineiros chilenos, em agosto de 2010, presos a 700 metros de profundidade, em uma câmera de segurança (com 50 metros quadrados) da mina de São José não se limita pela tragédia propriamente dita. Mais do que preocupação pela vida destas pessoas, fato que nos faz refletir é o exemplo e aprendizado que o episódio nos apresenta, os quais podemos aplicar com precisão em muitos projetos profissionais e corporativos, principalmente em tecnologia da informação. Diversos institutos fundamentais ao êxito de estratégia, projetos, segurança da informação e operações são aclarados quando refletimos sobre como estas pessoas estão lidando com o imprevisto, os quais apresentamos:
Assim como na mina, mas como em qualquer negócio, sobretudo na área de tecnologia da informação, é indispensável que os envolvidos conheçam bem as carcterísticas do negócio em que atuam. Todo gestor deve ter um mapa de cada processo, sobretudo para que este processo atenda as necessidades do negócio, como cultura, políticas, condições sociais, políticas, geográficas e outras características do negócio. Auto-conhecimento também permite que em operações cada recurso empregado nas atividades corporativas tenham um conjunto de habilidades necessárias. No caso dos mineiros, todos eram cientes dos detalhes mais íntimos desta atividade, bem como conheciam claramente as habilidades de cada um dos integrantes do grupo, consequentemente, concebendo um mapeamento prévio dos recursos í disposição e principalmente, como e quando utilizá-los, em caso de um incidente como o que experimentaram.
Justamente por conhecerem absolutamente o negócio que operam os mineiros puderam criar uma análise de risco, onde puderam compreender, as vulnerabilidades existentes na operação, as ameaças que atuam sobre estas vulnerabilidades, e principalmente a probabilidade de incidentes ocorrerem. Conhecendo tais fatores, os mineiros conseguiram avaliar o impacto dos riscos e consequentemente, a urgência e prioridade em tratá-los. Com isso, sabendo das condições climáticas do terreno e dos constantes deslocamentos de terras, desenvolveram uma "câmera de segurança", prevendo a hipótese de um incidente desta natureza. Só estão vivos graças a esta análise, que lhe deram informações para decidirem implementar medidas de contingência e abrigo. No ITIL, a análise de risco está no âmbito do gerenciamento da continuidade.
Se os chilenos soterrados não tivessem capacitação para responderem a incidentes desta natureza, com certeza já estariam mortos. Isto fez toda a diferença para eles, e isto faz toda a diferença no seu negócio. Infelizmente, empresas que atuam de forma reativa e não pró-ativa, tendem a perder as rédeas quando um incidente acontece, onde excepcionalmente o resultado é catastrófico. No caso dos mineiros, cada integrante investiu-se da qualidade de um recurso para uma atividade de um processo, cujo objetivo imediato é devolvê-los ao convívio de seus familiares, logicamente, com a preservação da vida. Logo, se arrumaram com uma "solução de contorno", onde buscaram estabelecer uma convivência que primasse pela estabilidade mental, saúde, organização. Não bastasse, realizaram um excelente atendimento ao incidente em primeiro nível, onde muniram de informações as equipes de resgate que estão na superfície, informações estas que foram importantes para definir a melhor alimentação, ventilação, apoio psicológico e principalmente, serviu de insumo para que as equipes de resgate criassem a melhor estratégia para recuperação, com o objetivo de salvar todas as vidas e impedir a desestabilização mental, com consequente depressão. No caso apresentado, se a equipe de segundo nível do incidente, que são os resgatadores que estão na superfície, não tiverem condições para o regaste, deveriam recorrer ao outsourcing ou a terceiros. E assim foi feito eis que a NASA foi chamada para auxiliar í resolução do problema.
Se eu armazeno históricos de incidentes eu consigo ter "base de situações passadas ou erros conhecidos" e consequentemente me preparar para ao futuro, prevendo ações corretivas e sabendo como agir caso a história se repita. Posso saber que no verão, o risco de deslocamentos de terra é maior, razão pela qual precisarei de estratégias assertivas para que este evento futuro e incerto seja repudiado ou no mínimo tratado. Crio então um plano de contingência, onde defino como deverá ser a comunicação, apoio e operação durante um incidente. Na mina uma fenda com 7 centímetros de diâmetro foi aberta e por ela é que todo o suporte aos mineiros está sendo realizada. Uma decisão acertada e tomada no tempo adequado, certamente fruto do estudo de casos passados semelhantes. Os mineiros foram muito perspicazes em definirem os critérios para ativação do plano de contingência, onde rapidamente desenvolveram os arranjos recíprocos, planos de fortificação (como o pôster da mulher pelada e o jogo de dominó), bem como os responsáveis por colocar em prática cada atividade do plano, com vistas ao objetivo maior: A manutenção da vida, seja a alimentação, a abordagem psicológica, a ventilação, etc. Plano de recuperação de desastres também envolve plano "B", em caso do impedimento dos planos prioritários, como no caso da mina, onde o duto de ventilação poderá ser alargado para servir de resgate.
Os mineiros podem nem saber a teoria, mas governança (de tecnologia) nada mais é do que o desafio como aplicar liderança, estrutura e processos para que a ti atinja os objetivos de negócios (governança corporativa). Onde temos muitas pessoas envolvidas, sobretudo no tratamento de um incidente catastrófico, é preciso que tenhamos uma matriz de responsabilidades clara e definida, em Governança chamada de matriz RACI (Responsible, Accountable, Consult and Inform), também muito utilizada em projetos. Igualmente, não existe operação ou projeto sem liderança, que pode envolver uma ação, uma mudança ou mesmo a comunicação. Na mina, acertadamente, surgiram as figuras dos lideres, como o religioso e o de comunicação com imprensa. O papel do líder, aqui, é coordenar as atividades e transmitir as necessidades dos mineiros. Na TI não é diferente, onde o líder deve estar em sintonia com a área de negócios e principalmente sensibilizá-la sobre a necessidade de novos processos visando um melhor alinhamento da TI ao negócio. O Líder é o que abraça a causa e define a estratégia de engajamento, cria o "report" e faz com que todos os recursos sejam conjugados para um objetivo comum. Tal ponto foi fundamental para a sobrevida dos mineiros soterrados no Chile.
Tal episódio demonstra claramente que só teoria não é suficiente para que operações, projetos e resposta a incidentes sejam efetivas. A despeito dos catedráticos e amantes da doutrina, o exemplo vem de mineiros, que absolutamente preparados de fato, estão lidando com um incidente grave com absoluta governança e controle, com excelente relacionamento com todos os envolvidos no projeto de resgate. Efetivamente que nada é fácil e o resgate lida com premissas e fatores desconhecidos. Apesar disso, deve-se destacar que a postura destas pessoas tem cooperado contundentemente para ampliar suas chances de sobrevivência. Evidentemente que lições serão tiradas deste fato, e deverão, servir de base para a melhoria contínua de tais serviços, assim como na Governança, onde o alinhamento da ti com o negócio pressupõe o aperfeiçoamento dos serviços (Ciclo de Demming, PDCA), sobretudo, convergindo para que incidentes não mais ocorram, e caso ocorram, sejam rapidamente contingenciados e solucionados em nível temporal aceitável, impedindo o advento do dano, em uma dinâmica constante de "aprender com o erro".
José Antonio Milagre possui MBA em Gestão de Tecnologia da Informação pela Universidade Anhanguera. É Analista de Segurança e Programador PHP e C, Perito Computacional em São Paulo e Ribeirão Preto, Advogado Especializado em Direito da Tecnologia da Informação pelo IPEC-SP, graduado pela ITE-Bauru, Pós-Graduado em Direito Penal e Processual Penal pela Faculdade Fênix-SP, com defesa de tese e área de concentração Crimes Eletrônicos, Valor Probatório e o Papel da Computer Forensics, Extensão em Processo Eletrônico pela Universidade Católica de Petrópolis-RJ, Treinamento Oficial Microsoft MCP, Certificação Mobile-Forensics UCLAN-USA/2005, Professor Universitário nos cursos de TI e Direito da Anhanguera Educacional e de Direito e Perícia Eletrônica na Legal Tech em Ribeirão Preto-SP , Professor da Pós-Graduação em Direito Eletrônico pela UNIGRAN, Dourados/MS (Perícia Computacional), Professor da Pós-Graduação em Segurança da Informação do Senac-Sorocaba, Professor da Pós-Graduação em Computação Forense da Universidade Presbiteriana Mackenzie. Vice-Presidente da Associação Brasileira de Forense Computacional e Presidente da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21 a . Subsecção, membro do Comitê de Comércio Eletrônico da FECOMERCIO-SP, membro do GU LegislaNet e TI Verde da SUCESU-SP e palestrante convidado SUCESU-ES. Professor Convidado LegalTech, UENP-Jacarezinho, UNESP, FACOL, ITE, FGP, nas áreas de Segurança da Informação, Direito Digital e Repressão a crimes eletrônicos. Co-Autor do Livro "Internet: O Encontro de dois mundos, pela Editora Brasport, ISBN 9788574523705, 2008.