Por Neil Thacker *

Com um olho no risco e outro no compliance, o maior perigo hoje não é causado por uma informação que sai da rede corporativa, até porque muitas vezes ela já reside inteiramente fora da empresa. A ameaça é muito mais ampla. Dentro de um mundo de cloud, é fundamental reconhecer que DLP e a Proteção de Dados (DP) não são sinônimos – são abordagens muito diferentes, pois o foco precisa estar na proteção e atender a complexidade do ambiente atual.

A nuvem trouxe mudanças transformadoras para a TI corporativa, e a segurança precisa de uma abordagem completamente nova. Muitos executivos estão tentando resolver problemas neste ambiente com dispositivos projetados para um mundo muito diferente quando, na verdade, é preciso pensar de forma diferente sobre o problema. Não é possível obter a visibilidade e o controle dos dados na nuvem com abordagens tradicionais, eles precisam ser protegidos pela segurança na nuvem.

Muitos CISOs (Chief Information Security Officer), inclusive, admitem não estar preparados para inspecionar os dados adequadamente e avaliar os riscos nos serviços de SaaS, PaaS e IaaS. Como já se sabe, existe uma regulamentação a ser cumprida, que entrará em vigor em 2020 com a Lei Geral de Proteção de Dados (LGPD), então a mudança na abordagem de segurança na nuvem deve ser uma estratégia prioritária agora. Até porque, a mitigação de risco é responsabilidade da empresa e não do provedor de nuvem – inclusive, o Gartner deixou bem claro em um de seus recentes relatórios que “até 2022, pelo menos 95% das falhas de segurança na nuvem serão culpa do usuário final”.

Ainda assim, os CISOs estão se saindo bem em relação à visibilidade dos dados, embora ainda exista uma batalha constante com a Shadow IT. As empresas podem não estar adotando completamente a nuvem, mas a realidade é que os usuários finais, principalmente as equipes de Marketing e de RH, já utilizam esses serviços para executar projetos, independentemente do aval da TI. Ou seja, é inegável que os dados confidenciais estão sendo movidos para fora do perímetro permitido, impulsionados pela necessidade de serviços que suportam as cargas de determinadas áreas.

Em outubro de 2018, uma pesquisa revelou que as empresas usavam uma média de 1.246 serviços na nuvem, e a maior parte deles não era autorizada pela TI. E, ainda, 92,7% desses serviços não atingem pontuações ‘prontas para a empresa’. O alarmante é que essa prática acelera os riscos, de forma muito mais rápida do que as equipes de segurança são capazes de agir para bloquear as ameaças, mesmo que consigam identificar o que está acontecendo.

Hoje, independentemente de uma organização ter aderido com entusiasmo na nuvem ou estar sendo arrastada contra suas próprias políticas, estamos todos na nuvem – e vamos nos envolver ainda mais. Falar sobre prevenção de perda de dados parece não incluir o fato que, em primeiro lugar, hoje não estamos mais mantendo os dados.

Eles estão em constante movimento entre vários serviços, hospedados em diferentes geografias, sendo utilizados e analisados por várias partes, tanto dentro da organização como entre parceiros, e potencialmente até mesmo em sistemas de machine learning de terceiros.

Então, se quisermos parar de nos concentrar em evitar perdas, procurando buracos nas paredes e, em vez disso, nos concentrarmos em proteger os dados, o que precisamos saber?

Mantenha-se atualizado

O processo de permissão individual de aplicações na nuvem não é tão automático como parece e, em muitos casos, leva-se dias investigando protocolos e compatibilidade com o compliance que, inclusive, podem alterar a qualquer momento. As novas tecnologias de proteção de dados precisam estar emparelhadas com as informações sobre ameaças – como as divulgadas pelo CTA – e as parcerias entre equipes internas e provedores de serviços especializados se tornarão cada vez mais necessárias.

Políticas personalizadas

Determinar se um serviço de nuvem está apto para o corporativo não é suficiente para liberar o uso indiscriminado em toda a empresa. Por exemplo, não dá para garantir que os funcionários não estejam usando contas pessoais de aplicativos de compartilhamento online, como o Box, para dados internos. É preciso considerar que os usuários podem ter várias contas em provedores de serviços na nuvem – incluindo pessoais – e então planejar como acompanhar e impor políticas de proteção de dados entre contas diferentes.

Dados móveis e remotos

O foco da proteção não está apenas em quem está acessando quais dados, mas onde e como. Atualmente, 50% do acesso a serviços na nuvem é proveniente de dispositivos móveis, portanto, muitas empresas podem optar por diferentes políticas de segurança na nuvem para dispositivos corporativos e pessoais, ou conexões de rede ou localização de IP.

Ambientes SaaS, IaaS, PaaS e web

O risco e a segurança de serviços na nuvem representam muito mais do que apenas SaaS, que tendem a invadir as organizações como Shadow IT. O uso de soluções de IaaS, como o Amazon Web Services (AWS), Google Cloud Platform e o Microsoft Azure, explodem à medida que as equipes de devops criam apps e recursos para apoiar as metas estratégicas. A postura adequada deve permitir que uma organização projete políticas granulares a nível de usuário, dispositivo ou atividade, que possam ser facilmente aplicadas e gerenciadas em todas as plataformas e serviços da web.

CISO da Netskope para EMEA*

TAGS: atualização tecnológica, Radar Industrial, Site P&S

Por Eduardo Linzmayer*
O conceito das Boas Práticas de Fabricação, BPF’s, derivadas
das Good Manufacturing Practices, GMP’s, foi introduzido
no mundo industrial por meio do segmento de alimentação
e de medicamentos, devido à preocupação com mortes e
contaminações humanas. Em 1969, a Organização Mundial
da Saúde, OMS, divulgou oficialmente as primeiras GMP´s, as quais
representavam naquele momento a opinião de um grupo de especialistas
internacionais e não um critério próprio da organização.
No Brasil as BPF´s são fatos recentes, que passaram a ter efeito
legal em 1995, por meio da Secretaria da Vigilância Sanitária, SVS, do
Ministério da Saúde. Em 1999, foi criada a Agência Nacional da Vigilância
Sanitária, Anvisa, tendo em seu modelo de trabalho as agências europeias
e norte-americanas, com foco nos processos industriais de alimentos e
produção de medicamentos.
O principal conceito industrial reside que o sistema de garantia de
qualidade da fábrica sempre deve assegurar que todos os requisitos
das BPF´s sejam cumpridos em relação ao ciclo do produto, ou seja:
desenvolvimento, produção, controle de qualidade, definições de responsabilidades,
realização de controles necessários nas diferentes fases do
sistema produtivo, calibração de equipamentos, validação de processos
e toda a logística envolvida na distribuição, armazenagem, transportes,
sempre garantindo sua validade e qualidade assegurada.
E a Manutenção Industrial deve ou não seguir estes mesmos princípios
das Boas Práticas de Fabricação? A resposta positiva é óbvia e de
concordância de todos, porém é fato de que infelizmente a prática não
demonstra esta situação. Prevalece sempre uma Manutenção Corretiva
ao invés da Manutenção Preventiva e Preditiva, em detrimento aos custos
e à ausência de um Sistema de Gerenciamento da Manutenção Industrial.
As máquinas, equipamentos e instalações industriais, da mesma forma
que os produtos fabricados, possuem um ciclo de vida que se inicia em
uma primeira etapa envolvendo o estudo de viabilidade, especificação
técnica e projeto; uma segunda etapa referente à sua fabricação, construção
e montagem; e na terceira etapa referente ao recebimento e
comissionamento, uso, operação, manutenção, reformas e atualizações
tecnológicas e descarte.
A intenção deste artigo é de lançar a proposta de disseminação das
BPM´s, ou também “Bom Para Manutenção”, podendo ter sua origem
em procedimentos práticos e simples que podem ser adotados como
padrões de trabalho para a manutenção. Um exemplo prático e recente
surgiu na área de refrigeração industrial e comercial mediante as Boas
Práticas de Manutenção aplicadas no recolhimento, armazenagem e descarte
dos gases refrigerantes dos circuitos dos sistemas de refrigeração.
A Boa Prática é a “receita do bolo” que deu certo e deve ser disseminada
e aplicada por todos de forma a criar procedimentos padrões de manutenção,
que podem ser formalmente intitulados como PMP´s.
Da mesma forma que o segmento industrial de alimentos e de produtos
farmacêuticos desenvolveu, por força da legislação e da fiscalização,
os Procedimentos de Operação Padrão, POP’s, as indústrias dos diversos
segmentos podem criar os Procedimentos de Uso Padrão, PUP’s, em que as
instruções de “Ligar, Operar e Desligar” os equipamentos industriais devem
seguir instruções técnicas e operacionais padronizadas oriundas do Manual
de Uso, Operação e Manutenção, fornecido pelo fabricante e fornecedor.
Apresentam-se a seguir dez exemplos práticos de Boas Práticas de
Manutenção Industrial, BPM’s, que devem ser adotadas nas fábricas:
• Aquisição de máquinas e equipamentos utilizando-se especificações
e escopos técnicos embasadas nas normas técnicas brasileiras da
ABNT ou normas técnicas internacionais que garantam a padronização
e o fornecimento de peças sobressalentes e serviços de assistência
técnica compatíveis aos investimentos envolvidos na compra;
• Execução obrigatória de recebimento e comissionamento técnico de
máquinas, equipamentos e instalações industriais com a finalidade de
garantir uma perfeita inclusão dos ativos industriais no processo produtivo
da fábrica, evitando falhas e defeitos oriundos de erros de projetos,
erros de fabricação ou de instalação e montagem incorretas;
• Realização do ritual de entrega, recebimento e aprovação da documentação
técnica e legal do maquinário, envolvendo os Manuais Técnicos
de Instalação, Uso, Operação e de Manutenção, preferencialmente na
língua portuguesa;
• Estruturação do “Kit” de sobressalentes, peças e partes (parts lists)
e de ferramentas de uso individual e coletivo, que garantam a manutenção
dos sistemas físicos (mecânicos, elétricos, eletrônicos,
eletromecânicos e mecatrônicos) dos ativos industriais;
• Treinamento das equipes de operação e de manutenção para introdução
da Manutenção Autônoma (MA) envolvendo a Limpeza,
Lubrificação e Inspeção, juntamente com a Manutenção Preventiva
e Preditiva dos sistemas técnicos das máquinas, equipamentos e
instalações industriais;
• Estruturação dos Planos de Lubrificação envolvendo as rotinas e procedimentos
de lubrificação baseados em Guias e Mapas onde são identificados
todos os pontos e partes a serem lubrificados, incluindo a quantidade
padrão de lubrificante (litros de óleo e gramas de graxa) e a tabela de
equivalência de lubrificantes com base na classificação ISO.
• Apoio do fabricante, fornecedor e/ou representante técnico e comercial
na elaboração do Procedimento de Uso Padrão, PUP, onde são transcritas
as informações básicas e a operação do equipamento devidamente
adaptado à realidade do processo de produção da fábrica;
• Apoio do fabricante, fornecedor e/ou representante técnico e comercial
na elaboração do Procedimento de Manutenção Padrão, PMP, onde
são transcritas as informações básicas de manutenção preventiva
e preditiva do equipamento devidamente adaptado à realidade do
processo de produção da fábrica;
• Adoção obrigatória da Ordem de Serviço de Manutenção OSM, para
o registro sistemático, utilizando preferencialmente um Sistema
Informatizado de Manutenção (software de manutenção).
• Adoção dos Relatórios de Não Conformidade, RNC’s, para registro
escrito e fotográfico de falhas e defeitos críticos onde contam o local
de incidência da falha, a descrição geral da falha, fotografia digital,
causa provável, consequências, ações corretivas e ações preventivas
recomendadas com os custos diretos de implementação e retorno financeiro
e respectivos benefícios das ações adotadas para a fábrica.

* Eduardo Linzmayer, é engenheiro de produção, consultor
especialista em manutenção industrial, sócio-diretor da
EBL Engenharia e Treinamento e professor associado da Escola
de Engenharia Mauá.

TAGS: ABNT, atualização tecnológica, Boas Práticas de Manutenção, Diretrizes Técnicas, Good Manufacturing Practices, manutenção industrial