domingo, 16 de outubro de 2011

Monitoramento Contínuo na pauta do dia: Novíssima norma NIST 800-137

Após uma semana de muito trabalho e viagens, voltamos ao blog.


Como temos falado, o tema monitoramento contínuo está entrando rapidamente na pauta dos assuntos corporativos devido ao aumento da complexidade dos negócios, à maior exigência de controles e à rápida evolução da tecnologia.


Os textos e normas sobre monitoramento contínuo estão sempre acompanhados da palavra "awareness" (consciência, conscientização), o que nos parece bastante coerente.


No mês passado o NIST - National Institute of Standards and Technology publicou o normativo NIST 800-137 - Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, que mesmo sendo um padrão para organizações do Governo Americano, e focado em segurança da informação, serve como ótima referência para todos os segmentos.


Vale atentar para a definição: "Information security continuous monitoring (ISCM) is defined as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions".


Da mesma forma que outros normativos, o NIST 800-137 posiciona o monitoramento contínuo como uma ação hierárquica (seja na corporação ou em um departamento) em três níveis: Organização, Processos e Sistemas; veja na pirâmide abaixo.




Seguindo a nova geração de frameworks, o NIST 800-137 implementa um modelo cíclico (veja abaixo). Os modelos cíclicos começaram com o PDCA - que foi consagrado e virou consenso com a ISO 9000 -, e hoje tem sido adotado pelos frameworks pois permitem aprendizado contínuo e a rápida apresentação de resultados.




Este novo framework mostra uma forma madura de se tratar a segurança da informação e tem um ótimo glossário. Acho que o NIST deveria se alinhar com as normas ISO 27000 e ISO 31000, que sequer são citadas (para o NIST ISO significa "Information System Owner" :-), mas como se trata de uma norma do governo americano, não existe nenhuma obrigação de fazer este alinhamento. De qualquer maneira recomendo ao leitor usar esta norma como melhor prática e as normas da ISO como referências normativas.


O monitoramento contínuo tem ganho espaço, vale acompanhar as novidades.


Aquele abraço,


FNery.




Information security continuous monitoring (ISCM) is defined as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions.

quarta-feira, 5 de outubro de 2011

Jobs deixa a inspiração...

Um pouco sobre Steve Jobs. Parece que perdemos alguém da família, nos últimos anos ele foi onipresente.


Sempre o admirei, ele sabia fazer as pessoas amar a tecnologia, e a palavra amor estava sempre em suas apresentações.

Assim que entrei na faculdade estava curioso com um tal de Apple II, um computador bonito, com monitor colorido, que era fácil de abrir e ver o que tinha dentro; aprendi o seu Assembly 6502, que permitia coisas incríveis, como acelerar e frear o disquete, era divertido e inspirador.

Ele sempre nos surpreendeu: Apple II, Mouse, Macintosh, Pixar, iPod, iTunes, iPhone, iPad, ...

Tenho em meu computador todos os vídeos de suas palestras após o retorno à Apple. Foi o melhor dos palestrantes. Mesmo com sua grande capacidade, ele se preparava por 90 horas antes de cada palestra e ainda tinha umas anotações no bolso, após ver o vídeo pela terceira vez, é possível notar este tipo de coisa. Lição de humildade: se o Jobs se prepara, porque eu iria a uma palestra sem me preparar?

Leonardo da Vinci disse que "a simplicidade é a sofisticação suprema" e ele conseguiu colocar isso em prática. Fez o iPhone, que tem 200 patentes, simples e que vem na caixa sem manual.

Ele foi nossos olhos, ouvidos e sentimentos, soube ler nossas mentes e decifrar nossos desejos tecnológicos, fez uma grande revolução: quando o mundo estava lotado de tocadores de mp3 "made in china", lançou o iPod que todos diziam não fazer sentido pois o mercado de tocadores de mp3. Transformou o iPod em iPhone e o iPhone em iPad, nos deixou tendo levando sua empresa ao topo, a maior do mundo. Esta evolução tinha limite? Jobs aumentou a velocidade do desenvolvimento tecnológico, lançou novidades em frequência recorde, e nos fez querer cada vez mais. Ele viabilizou a democratização da tecnologia a partir do momento que popularizou os smartphones e trouxe na sua cola as redes sociais. Até onde ele nos levaria?

Eu sempre disse que o comprador da Apple é na verdade um vendedor, pois ele quer mostrar o produto aos outros e discutir que é o melhor.

Era o chairman e o CEO da Apple; quem no mercado e no mundo das melhores práticas de Governança Corporativa ia dizer que isso não dá certo? Pode não dar certo em 99,9999% do mercado, mas na Apple deu. Gostava de talentos, tinha no seu conselho de administração o Al Gore e a Andrea Jung, presidente mundial da Avon.

Chamá-lo de genial é promover o gênio, ele era discreto, tímido, budista, vegetariano e foi derrubado pelo câncer. É o mistério da vida.

Nos inspirou em muitas coisas: trabalhar duro, foco, visão do cliente, amar o produto, atenção aos detalhes, insatisfação constante, perfeição até o limite da viabilidade, acreditar nos seus propósitos, rir de si mesmo, ...

Vou terminar por aqui, poderia ficar o dia todo falando dele. A wired fez um excelente "post mortem" dele, com direito a um vídeo com um resumo de seus espetáculos. Vale também ver e mostrar aos filhos a palestra dele em Stanford, que emociona cada vez que vejo, ali ele fala da inspiração suprema: "ligar os pontos", se existe lição de vida, esta é uma delas.

Vai Jobs, fica a inspiração.

Aquele abraço,

FNery

terça-feira, 4 de outubro de 2011

Monitoramento Contínuo em Grandes Eventos

Amigos,

Nas duas semanas do Rock in Rio, a polêmica sobre a organização do Brasil para a Copa 2014 e as Olimpíadas 2016 ganhou força. Tipicamente a preocupação é "como fazer quando chegar a Copa?", mas poucos atentam que o Rock in Rio, mesmo não tendo o apelo televisivo, a paixão da disputa, os confrontos internacionais e o fluxo de torcedores/turistas estrangeiros, é maior que a Copa para a cidade do Rio de Janeiro.

Fazendo um comparativo simples, a Copa do Mundo da África teve 9 cidades sede (Joanesburgo teve dois estádios), enquanto o Brasil terá 12, assim os jogos serão mais distribuídos entre as cidades. No Rock in Rio foram 100 mil pessoas por dia em sete dias quase seguidos das 14h às 3 da madrugada; por sua vez, na Copa de 2010, os estádios nem sempre foram cheios, e o Soccer City, principal estádio, que fica em uma área aberta e foi quem recebeu mais jogos (10), teve, por exemplo, Uruguai e Gana, que, independente do apelo futebolístico, não levaram grande torcida para a África do Sul.

O Rock in Rio foi realizado em uma área afastada (perto do Riocentro na Barra da Tijuca - veja o mapa abaixo), com poucas vias de acesso, sem presença de metrô ou trem, e foi implementado um modelo especial de ônibus e estacionamento na periferia; mesmo com a precariedade do local (é complicado fazer um evento deste tamanho em área urbana), o evento foi um sucesso, apesar dos problemas, que acontecem em qualquer lugar do mundo. Os estádios brasileiros têm melhorado a olhos vistos, quem frequentou o Maracanã meses antes do fechamento para obras, notou a melhoria da ordem dentro e no entorno do estádio, no que se refere a: conforto, segurança, trânsito, entrada, limpeza, etc, com certeza isso aconteceu em diversos estádios no Brasil. O Maracanã tem diversas vias de acesso por automóveis, é bem servido por ônibus e possui estações de trem e metrô ao lado, além da segurança muito bem organizada pelo GEPE - Grupamento Especial de Policiamento dos Estádios.

Há muito tempo venho frequentando grandes eventos no Brasil, estreei no Rock in Rio de 1985 e inaugurei no Maracanã em um jogo Vasco x Santos em 1974, com Pelé no campo, o que encantaria qualquer menino hoje.

Nos eventos e congressos sobre Copa do Mundo e Olimpíadas no Brasil, tenho sido frequentemente um voz destoante, um dos poucos palestrantes otimista com relação aos grandes eventos no Brasil, mesmo no dia-a-dia enfrentando os aeroportos, o sinal de celular e a velocidade da internet. Diferente das sedes das copas dos últimos anos, o Brasil vai encarar o grande evento em pleno crescimento econômico que, sozinho, exige o fortalecimento de nossa infraestrutura. O desafio de crescer e fazer grandes eventos ao mesmo tempo multiplica a necessidade de infraestrutura. Temos que melhorar nossa auto estima.

Temos trabalhado em alguns grandes eventos, e este fim de semana fizemos um exercício de monitoramento paralelo no Rock in Rio (minhas filhas ajudaram), no jogo São Paulo x Flamengo (com o Renato Tocaxelli, São Paulino de carteirinha, que levou a família ao Morumbi, e assim como eu, não ficou satisfeito com os resultados desta rodada), e o jogo Vasco x Corinthians (que fui com meus filhos).

O objetivo deste post não é falar sobre o futebol e suas polêmicas apaixonadas, mas do monitoramento da organização e da estrutura de grandes eventos. Um grande evento exige monitoramento antes, durante e depois e envolve assuntos diversos como previsão meteorológica, segurança, trânsito, movimento das multidões, alimentação, televisionamento e outros.

O trabalho neste fim de semana foi coletar ocorrências internos e externos nestes três eventos, algumas visões:


  • No Rock in Rio foram coletadas ocorrências desde o ponto de referência do transporte na Alvorada até dentro da área do show, note que as imagens do Google Earth ainda são da área antes da obra;

  • O show adotou um modelo de chegada similar à Copa do Mundo, com perímetros de segurança;

  • No Morumbi, foram levantados ocorrências na chegada, permanência e saída do estádio;

  • O Morumbi tem um modelo eficaz de chegada e entrada na bilheteria, fortalecendo o bom atendimento no estádio, lembro a diferença dos truculentos ´roleteiros´ que tínhamos que enfrentar para entrar em um estádio;

  • São Januário fica no meio de uma área em franco crescimento imobiliário (São Cristóvão), uma região que está recebendo muito investimento (Porto) e uma favela sem UPP (Barreira do Vasco). Foram levantados eventos no entorno do estádio e nas arquibancadas do novo Setor Premium, inaugurado neste domingo;

  • O novo Setor Premium é comparável aos principais estádios do mundo;

  • Um excesso de zelo e por isso o Setor ganha nota 9,5, o pessoal de serviços fica na frente de quem está sentado nas primeiras fileiras. Na minha frente chegaram a ter 5 enfermeiras :-), com certeza é algo que será resolvido na ótima gestão de nosso presidente Roberto Dinamite e sua equipe resolver, basta colocar o serviço ao lado, onde ficam os seguranças;

Grandes eventos são ótimas referências para avaliar modelos monitoramento contínuo em qualquer área, pois trabalham com elementos críticos como multidões, tempestividade, televisionamento, emoção, responsabilidade civil, ordem pública, segurança e acompanhamento da mídia e da sociedade.

Monitorar um grande evento garante melhor gestão, melhoria contínua, gestão dos riscos, aprendizado e respostas rápidas. A intenção deste post foi trazer algumas idéias sobre monitoramento contínuo em grandes eventos, estamos à disposição.

Aquele abraço,

FNery