O Dia em que a Lama venceu a Sirene!
Atualizado: 4 de jun. de 2019
Há algum tempo, as notícias que ouvimos e/ou lemos na imprensa tem deixado a todos, no mínimo, assustados. Temas como o rompimento das barragens de Mariana e de Brumadinho trazem consigo uma tristeza profunda e uma certa perplexidade em relação ao descaso com vidas e com o meio ambiente. Também é preciso pensar, olhando por um lado profissional, o descaso existente com os sistemas de segurança (física e de informações) existentes nas empresas que gerenciam essas barragens.
Chega a ser de arrepiar ouvir de um dos profissionais do mais alto escalão de uma das empresas envolvidas nos eventos, que a sirene que deveria avisar a população que vive perto da barragem de rejeitos de minérios não cumpriu seu objetivo pois foi derrubada pela lama que vazou, anulando a possibilidade de evacuação da área, o que levou à centenas de mortes.
Esse fato deve nos levar a uma profunda reflexão sobre planejamento e gestão de segurança, em especial a gestão e segurança das informações das organizações. Para melhor refletir sobre isso é interessante dividirmos em dois temas nossos pensamentos: planejamento da segurança e a gestão e segurança da informação.
Ao falarmos de planejamento de segurança, é interessante pensar em como as organizações hoje pensam nos quesitos de segurança, em todos os níveis, ou seja, segurança física e lógica da empresa. Ao falarmos de Brumadinho e analisarmos as notícias, temos diversos exemplos práticos que não foram bem planejados, a saber:
A sirene: Essa incomoda demais. Como um aparelho, projetado para avisar de possível vazamento do barragem de rejeitos poderia estar no caminho da lama? Será que isso foi pensado e testado? Será que realmente ela foi colocada ali para este fim? Ou simplesmente os profissionais de segurança pegaram o manual de segurança, onde dizia que deveria haver uma sirene, e a colocaram somente para dizer que estava lá?
Este já é uma primeira reflexão profunda. Muitas vezes os profissionais esquecem da prática, querendo simplesmente cumprir manual, e não constroem ou implementam a segurança como devia. Lembremos 11 de setembro de 2001 o caso do World Trade Center, nos Estados Unidos da América. Os profissionais de segurança colocaram o backup das informações no prédio ao lado. Guardada as devidas proporções, não seria o mesmo erro cometido 18 anos depois?
As Construções: Como construções como refeitório, vestiário, entre outros, poderiam estar no caminho da lama? Mais uma vez vem a reflexão, os manuais de segurança foram ignorados? Ou a confiança de que nada poderia dar errado leva a ações de grande risco.
Um outro fator que leva os profissionais de segurança ao erro é pensar somente em que poderia acontecer para gerar um incidente de segurança. Digo somente, pois o maior risco no momento de planejar segurança é o desconhecimento dos riscos envolvidos. Portanto, é sempre aconselhável pensar que vai dar errado, pois se der, sua empresa estará preparada para isso; É de uma importância planejar uma resposta rápida aos incidentes, e plano de continuidade de negócios são extremamente convenientes. Nos casos de Mariana e Brumadinho ficou claro não existir ou ter sido ignorado. Em se tratando de empresas é sempre importante salientar que continuidade de negócios vai muito além de contingência. A empresa não pode parar em hipótese alguma.
No segundo momento é mister discutir a questão de gestão e segurança da informação. Mais uma vez estes exemplos citados nos mostram que as empresas não levaram em consideração informações que existiam em relação às barragens. Os especialistas mostram que, nestes casos, nunca uma represa se rompe sem ter dados sinais anteriores. Os citados piezômetros levantavam informações importantes em relação às barragens. Onde estavam estas informações? Ninguém fez uma análise prévia delas?
Se o fizeram, será que não tinham condições de saber do rompimento? Se soubessem, até que ponto é ético esconder esta informação a ponto de deixar acontecer a catástrofe?
Para saber quais são as vítimas que se encontram soterradas, por exemplo no refeitório, não bastaria olhar o sistema de controle de entrada e saída na empresa? Ou este só se encontrava na administração, que também foi soterrado?
Esta pergunta também é válida para os problemas atuais de Barão de Cocais e Congonhas. Em especial do primeiro, onde a Vale colocou até data para o seu rompimento. Agora a Vale virou "adivinha" sabendo até mesmo o dia de seu rompimento? Será que existe informações suficientes para chegar a esta conclusão? Ou o oposto, por falta de informações precisas, jogue a análise de riscos no máximo e fale que vai romper.
Da duas uma, ou a Vale sempre teve as informações como tem agora e negligenciou-as, ou resolveu ser "prudente" (por falta de informações suficientes) e considerar que todas vão romper.
Pois bem, um bom sistema de gestão e segurança da informação, onde fossem mapeados as informações importantes, classificadas quais são públicas, particulares, confidenciais,etc, onde fosse planejado o nível de acesso às informações, o armazenamento correto, a distribuição adequada, com controle de efetividade e continuidade de negócios, poderia evitar muitos dos problemas ocorridos nestas catástrofes.
É bom lembrar que toda esta reflexão deve levar em consideração que um bom planejamento, interesse no assunto, e sobretudo a ética profissional, evitariam muitos problemas que acompanhamos no dia a dia de nosso trabalho. O grande mal que parece afetar os nossos profissionais, talvez por uma cultura errada implantada no país, ou por achar que nunca algo de errado vai acontecer conosco, os leva a ser negligentes em relação à gestão e segurança da informação em suas empresas.
O alento é que novas leis estão surgindo (como a lei 13.709 promulgada em 2018) e, como não era pensado nas consequências deste erro, agora obriga os empresários a cumprir a lei visando evitar possíveis prejuízos com multas entre outras indenizações às pessoas afetadas.
E você? E sua empresa? Já se preparam para isso? Esta é a hora! Que estas catástrofes nos façam refletir e planejarmos melhor nossas empresas, sempre com pensamento ético.
O Autor:
Prof. Dr. Cláudio Pessoa
Pós Doutorando em em Gestão e Segurança da Informação e Ciência da Informação pela Universidade do Porto.
Doutorado em Ciência da Informação pela UFMG.
Diretor da IfoAction BR, Professor no Instituto de Gestão e Tecnologia da Informação (IGTI) e na Escola de Engenharia de Minas Gerais (EMGE), Diretor Educacional na ISACA,
