O que a Segurança da Informação tem a aprender com o desastre de Mariana ?

" Primeiro quero deixar bem claro que este artigo nada tem haver com um julgamento de qualquer dos lados envolvidos na tragédia, minha intenção aqui é trazer um paralelo sobre este evento e tentar, usando informações públicas, montar um aprendizado. "

Temos acompanhado já a mais de 1 mês os desdobramentos do caso do desastre do rompimento da(s) barreira(s) em Mariana, e fora o fato de isso por si só já ser uma catrástrofe, também temos visto, segundo o que é apresentado à imprensa, constantes denúncias de desrespeito da empresa com as pessoas que perderam tudo que foi construido durante uma vida, muitos além de parentes e familiares.

Mas, o que isso tem haver com Segurança da Informação ?

Bom, diretamente nada. Mas, como em tudo, devemos buscar aprendizados e aplicar este aprendizado em nossos trabalhos ou na nossa vida.

Se acompanharmos com mais caltela, veremos que o caso de Mariana pode guardar alguns bons ensinamentos para os profissionais de Segurança da Informação.

Vamos começar com a análise de uma da(s) possíve(l)is causa(s) do desastre. Estamos vendo surgir na imprensa notícias que colocam como a causa do rompimento a junção entre as duas barreiras, formando uma grande barreira. O que, pelas informações, pode ter acontecido é que a estrutura que mantinha o rejeito represado não aguentou a pressão e rompel, despejando tudo na direção da cidade.

Aqui, podemos ver uma prática que é muito comum em empresas que não tem uma maturidade em Segurança da Informação, a constante análise de riscos envolvidos com uma mudança em sua estrutura ou mesmo em seu modelo de negócio.

Empresas diligentes em suas atividades fazem, sempre que há uma mudança em sua estrutura ou mesmo em seus proessos extensa análise de risco, buscando assim analisar quais os possíveis problemas que esta mudança pode trazer à empresa.

Neste caso, podemos acreditar que esta análise não foi feita, e se foi não levou em consideração o pior cenário, que seria o do próprio rompimento. Como podemos dizer isso ? Simples, se tivesse sido levado em consideração, no mínimo teríamos visto um controle de detecção sendo implementado, para em caso de rompimento, houvesse o aviso da população.

Isso nos leva ao segundo ponto que podemos ter como exemplo. 

Para que possamos atuar de forma preventiva, temos que ter alguma forma de mantermos um monitoramento dos padrões que estamos buscando, no caso da barreira, acredito que o mínimo seria o monitoramento de uma possível movimentação da massa.

O que importa é que, tanto no caso de Mariana, quanto no uso diário nas empresas, precisamos ter algum mecanismos que possa nos ajudar no processo de monitoramento dos padrões desenhados e desejados para os nossos controles.

Sendo assim, a empresa deveria ter criado um sistema que informasse qualquer alteração de forma ou mesmo posicionamento de massa na barreira, lembrando que não tenho a menor noção de como fazer isso, é apenas meu pensamento.

Na área de Segurança da Informação, nossos controles de segurança devem ser constantemente monitorados para que possamos atuar de forma preventiva, dando tempo às equipes de resposta a incidentes agirem de forma apropriada.

Mas uma vez, isso é uma das práticas que deveriam ser mais bem implementadas mas, que temos acompanhado uma falta de maturidade muito grande neste proesso.

Outro problema com o monitoramento é que, mesmo a empresa tendo ferramentas de monitoramento, a grande maioria das equipes esta atarefada demais para checar os alertas e avisos emitidos, tornando assim a ferramenta simplesmente ineficiente.

Um último ponto que quero colocar é que, em muitos noticiário tenho visto entrevistas de moradores reclamando que falta a empresa entrar em contato ou mesmo dar algum tipo de explicação sobre a tragédia e o que esta sendo feito para remediar tudo o que aconteceu.

Claro, pode ser uma política da empresa que este contato seja feito diretamente com as famílias, e que não terão contatos com a imprensa mas, de uma forma mais ampla, esta falta de contato com a imprensa pode trazeer mais problemas para a empresa, e consequentemente para os acionistas, pois sem informações sendo divulgadas, a opinião pública não será informada, formando assim uma imagem negativa da empresa.

Aqui, na minha visão temos dois problemas. Primeiro a falta de uma análise de risco sobre o impacto da opinião negativa da população sobre a empresa, o que pode levar a perda de receita.

Um segundo problema que vejo, e indicado na ABNT NBR ISO/IEC 27001:2013 em seu item 7.4 é a falta de um plano de comunicação com entidades externas, para que as informações seja dadas e reveladas pela empresa, não deixando margem para que a imprensa ou mesmo outros concorrentes possam usar tais lacunas na comunicação, como um meio trazer mais problemas para a emrpesa. Em resumo, seja o primeiro a informar o ocorrido e não deixe que outros possam se aproveitar de um evento, já desastroso para trazer mais problemas.

Claro que esta visão colocada neste artigo não pode ser vista como um ponto de verdade, pois aqui faço apenas uma análise de informanções que temos tido acesso por meio de notícias e reportagens, mas que podem sim ser um reflexo de uma má conduta no processo de gestão de crise, fica o aprendizado.