Rio de Janeiro, outubro de 2011

De 25 a 27 de outubro, acontece em São Paulo o Gartner Symposium ITExpo 2011, evento que reunirá CIO’s da área de Tecnologia da Informação em mais de 100 sessões, workshops, mesas redondas e outras atividades, para discutir estratégias de tecnologia transformadoras para os negócios. A Módulo, empresa brasileira de soluções em Governança, Riscos e Compliance, lança no evento uma nova solução para gestão e monitoramento de riscos e vulnerabilidades em TI. A partir do uso do já renomado software Módulo Risk Manager, a nova solução permite o monitoramento de ativos heterogêneos como pessoas, equipamentos, sistemas, banco de dados, unidades distribuídas, processo, projetos, entre outros.

Nos dias atuais, o Monitoramento Contínuo é um diferencial de mercado para as organizações modernas. O crescimento do uso das redes sociais e de equipamentos portáteis, principalmente nos últimos dois anos, revolucionou este segmento. Utilizando painéis de controle, smartphones, tablets e mapas é possível monitorar as ocorrências, integrar as informações, gerenciar os riscos, dar respostas rápidas, tomar decisões bem embasadas, controlar o atendimento às políticas organizacionais e melhorar a governança das organizações.  “Qualquer que seja a área, o resultado do processo costuma ser surpreendente. Coletar informações automaticamente e gerar indicadores de forma dinâmica incentiva e inspira outras áreas e aplicações”, afirma Fernando Nery, sócio-fundador da Módulo.

A empresa começou a investir em Continuous Monitoring e realizou uma série de projetos de sucesso. Um dos de maior destaque foi o da Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP). Para obter os dados de produção dos campos de petróleo nas diversas bacias brasileiras, cada companhia produtora enviava dados mensais de produção de seu campo à ANP, por meio de arquivos independentes, tais como planilhas. Para intensificar os controles sobre a produção e obter dados mais fidedignos, a ANP contratou a Módulo para automatizar o processo de envio de dados. A empresa forneceu à Agência o software Módulo Risk Manager, que concentra todos os controles sobre o tráfego de informações, inclusive emitindo alertas de diferentes níveis ao identificar discrepâncias na produção de cada campo. Assim, todos os dados registrados nos medidores dos campos de petróleo passaram a seguir direto para um arquivo protegido, tal qual uma ‘cápsula’, que não pode ser corrompido até chegar à ANP, aumentando a segurança dos dados e anulando a possibilidade de modificação nos arquivos.

Outro trabalho interessante de monitoramento contínuo foi encomendado pela Agência Nacional de Vigilância Sanitária. O software Módulo Risk Manager, aliado ao uso de smartphones, possibilitou a agência obter informações em tempo real sobre as inspeções realizadas em portos, aeroportos e fronteiras do país. A ferramenta se tornou estratégica em casos de emergência em saúde pública, possibilitando o envio imediato de relatórios com diagnósticos sobre a situação em cada ponto de entrada do país, colaborando assim na prevenção de epidemias como a da gripe H1N1.

De modo geral, o sócio-fundador da Módulo aponta alguns itens que podem ser importantes para auxiliar as empresas a organizar as ações de monitoramento contínuo nos desafios corporativos:

1. Pense grande, comece pequeno e cresça rapidamente

Pensar em monitorar tudo desde o início pode ser uma armadilha. Começar pequeno é importante, mas deve ser feito de maneira que permita o ganho de escala. Uma representação interessante deste modelo é a Sequência de Fibonacci, uma sucessão matemática na qual cada elemento é a soma dos dois anteriores (0, 1, 1, 2, 3, 5, 8, 13, 21, 34, ...); ela é encontrada em alguns fenômenos da natureza e utilizada em aplicações de negócios como no mercado de capitais e em otimização de geração de energia. Uma forma de representá-la graficamente é na espiral de Fibonacci, na qual os elementos da sequência são o raio de cada quarto de círculo.

2. Adote uma metodologia cíclica e de fácil aplicação e comunicação

Na Módulo, adotamos o Módulo GRC Metaframework, um modelo derivado do PDCA e da ISO 31000, implementado através do ciclo Inventariar, Analisar, Avaliar e Tratar. Preferimos um modelo cíclico a um modelo linear, pois ele é mais dinâmico e adequado a processos inovadores e com crescimento rápido.

3. Organize a coleta de informações

 Para a organização da coleta de informações, o Framework Caesars (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring) organiza a coleta de informações, seja de forma manual ou automática, em pessoas (questionários, pesquisas etc), processos (avaliação baseada em padrões), tecnologia (coletores automáticos) e ambientes (sensores).