Segurança Integrada para o bem do Transporte de Cargas.

Autor: Marcos Semola 

Executivo de Tecnologia da Informação, Especialista em Governança, Risco e Conformidade, CISM, PCI-DSS, ISO27K Lead Auditor, Professor da Fundação Getúlio Vargas, escritor, palestrante, VP Membro do Conselho de Administração da ISACA, Vice-Presidente de CyberSecurity do Instituto SmartCity Business, Diretor do Founder Institute Rio, mentor de startups e investidor anjo. 

www.linkedin.com/in/semola  |  www.marcossemola.com

 

Publiquei há pouco mais de duas semanas um artigo que propunha análise sobre o movimento inevitável de convergência entre segurança da informação e segurança corporativa, esta última, especificamente direcionada à proteção de ativos físicos patrimoniais e ainda aos aspectos físicos de ativos tecnológicos e humanos. A inevitabilidade da convergência é justificada pela adoção exponencial de vetores digitais, como a Internet das Coisas (IoT), que está transformando máquinas, antes isoladas, incomunicáveis se sem qualquer inteligência, em ordinários ativos com poder de comunicação e processamento de dados, herdando velhas ameaças conhecidas da área de tecnologia e já pertencentes ao escopo da segurança da informação.

Ainda no artigo, me apropriei de um exemplo ligado ao transporte de cargas – problema global e que permeia praticamente toda indústria de bens de consumo físico – tipicamente um problema pertencente ao escopo da segurança corporativa, mas que agora poderá também usufruir dos benefícios da convergência entre os dois domínios. O tema me pareceu perfeito para ilustrar de forma prática os efeitos dessa convergência através da adoção não só de automação, como também de inteligência no apoio à gestão integrada de riscos e no efetivo combate ao crime organizado que atua nessa modalidade. A propósito, participei do evento Gartner Security Summit esta semana em São Paulo, a convite da Microsoft, onde não só pude compartilhar e testar a visão da convergência entre IT (information technology) e OT (operation technology), como também ratificá-la depois de combinar com a abordagem proposta pelos pesquisadores e especialistas presentes. Estamos em trajetória de colisão com uma nova sociedade exponencial sem fronteiras e sem limites entre os mundos analógico e digital. Onde as ameaças se unificam, onde o volume de vulnerabilidades e consequentemente de riscos, se multiplica na mesma cadência, e onde o único caminho viável para controlar e manter a exposição do negócio em níveis toleráveis será tratando o problema de forma holística e com adoção de inteligência preditiva, adaptativa e cognitiva para construir um modelo de gestão veloz, escalável, dinâmico e que ofereça ferramentas de apoio à tomada de decisão para seguir habilitando e apoiando os planos de negócio.

 O Gartner Group chama sua abordagem de CARTA – Continious Adaptative Risk and Trust Assessment.

Agora vamos partir para uma abordagem prática do tema, discorrendo sobre as múltiplas faces da anatomia do problema e finalmente, sobre uma proposta de estratégia integrada de gestão de riscos capaz de oferecer fundamentos de previsibilidade, prevenção, detecção e resposta, especificamente diante da ameaça oferecida pelo crime organizado através da prática do roubo de cargas em transporte.

ANATOMIAS

Anatomia do Dano

Segurança e tecnologia são meios, por isso, qualquer decisão envolvendo esses elementos deve ser estimulada pelos planos e resultados de negócio, além de orientada por suas características e peculiaridades. Identificar e compreender esses vetores de influência é condição sin ne qua non para uma estratégia de segurança alinhada e compatível com uma visão estratégica de negócio de longo prazo. Portanto, antes mesmo de pensar no COMO, é preciso pensar no O QUE. Engajar a alta administração; fazer uma leitura do apetite de risco dos líderes, da tolerância e da resiliência do negócio em situações de crise; compreender o plano plurianual e a trajetória que foi desenhada para alcançar o alvo; estudar os indicadores de desempenho e, finalmente, mensurar os impactos diretos e indiretos que os incidentes de roubo de cargas geram nos resultados. Só depois dessa anamnese seremos capazes de compreender a relevância e a materialidade desse tipo de incidente dentro do contexto particular da empresa, bem como do apetite para evitá-lo, o que servirá de habilitador para elaboração de uma solução.

Anatomia da Ameaça

Não há chances reais de desenvolvermos uma defesa eficiente se não nos dedicarmos a estudar o perfil da ameaça como um todo, e compreendermos os agentes e seus fatores motivacionais. Comumente o crime organizado se apropria da prática do roubo de cargas para capitalização e financiamento de outras atividades ilícitas, isso, quando não se trata de um grupo organizado e especializado no nicho de cargas e que, portanto, opera com uma cadeia de agentes interligados para abordagem, ocultação, descaracterização, receptação, e comercialização, completando finalmente o ciclo de escoamento do fruto do roubo. Apesar dos dois grupos terem um alvo em comum, costumam ter um modus operandi bem diversificado, mesmo sabendo que ambos procuram evitar o desperdício de energia, recursos e de se expor à níveis de risco desnecessários. Enquanto o primeiro grupo age comumente por impulso mediante a identificação de uma oportunidade, o segundo, muito mais estruturado, procura obter informações minimamente precisas sobre carregamentos, rotas, destinos, volumes, proteções e tipos de carga, com o objetivo de maximizar o resultado de suas investidas. Conclusivamente, é evidente que precisaremos levar em consideração a necessidade de uma solução polivalente e capaz de atender aos requisitos específicos de dois grupos de ameaça com comportamentos específicos.

Anatomia do Alvo

Uma vez que tenhamos traçado a anatomia da ameaça convém estudar a anatomia do alvo, suas características físicas, humanas e tecnológicas, principalmente as fragilidades presentes que o torna mais atraente aos criminosos. Conhecer as expectativas dos criminosos em relação ao alvo, quero dizer, ao conjunto veículo, condutor, rota, horário, carga e proteção, é o primeiro passo para promover as mudanças adequadas que possam frustrar suas expectativas, tornando-o um alvo menos atraente pelo perceptível aumento do risco da operação, ou simplesmente pela redução na eficiência da abordagem. Lançar mão do efeito surpresa combinado com outras medidas de contenção podem efetivamente desencorajar e desmotivar o ato criminoso justamente ao promover um desalinhamento entre expectativa e realidade.

Anatomia da Carga

Particularidades da carga podem ainda mudar completamente o perfil de risco ao transporta-la, sendo diretamente influenciado por sua perecibilidade, validade, peso, formato, tamanho, identidade visual, popularidade, valor econômico, e principalmente, por sua liquidez, especialmente no contexto do comércio informal e ilegal. Combinando-as ainda com as características geográficas, sociais e econômicas dos locais por onde a carga passará, poderemos ter transformações profundas no perfil de risco residual. Compreender os efeitos da combinação desses agentes dinâmicos, internos e externos, nos habilitará a definir o perfil de risco individual de cada carga e assim ajustar as medidas de segurança. Com inteligência e tecnologia, sabendo manipular essas particularidades da carga, será possível influenciar na atratividade da prática do roubo.

Anatomia da Operação

Organizações criminosas organizadas desenvolvem uma identidade própria de ação, e estudar seu modo de operação. Conhecer sua estrutura; seu método de abordagem; armamento e ferramental empregados; nível de agressividade; tática de evasão; conduta de condução da carga; tratamento do condutor, método de escoamento do produto do roubo; tipo de conjunto/alvo preferencial (veículo, condutor, rota, horário, carga e proteção), e até mesmo seu apetite de risco, propicia desenvolver inteligência com o propósito de antecipar-se ao risco e reduzir a eficiência das abordagens de tal forma que promova desencorajamento.

Anatomia do Ecossistema

Já mapeadas algumas das anatomias chave para a compreensão holística do problema, precisamos progredir em direção a análise do contexto em que as abordagens acontecem, para entender o funcionamento de toda cadeira produtiva do roubo de cargas. Para que a prática continue sendo atraente e rentável, excluindo da equação as ações oportunistas e não planejadas, é necessário que todos os agentes da cadeira funcionem de forma sincronizada. Portanto, mapear os diversos modelos operacionais, identificar protocolos e assinaturas particulares de cada potencial grupo contraventor nos permitirá compreender as conexões e agentes responsáveis pelas etapas de abordagem, ocultação, descaracterização, receptação e comercialização. Desarticular ou simplesmente sufocar um ou mais agentes dessa cadeira promove uma ruptura natural da prática de roubo de cargas, afinal, se não há com escoar o produto pela impossibilidade de estoca-lo ou mesmo comercializá-lo, não há razão para rouba-lo sistematicamente.

Anatomia da Rede de Facilitadores

Ações de abordagem atentando contra o transporte de cargas, realizada pelo crime organizado, comumente contam com alguma inteligência obtida através de uma rede de facilitadores que não tem envolvimento direto com a ação, mas que se beneficiam do fruto do roubo. Facilitadores podem estar em qualquer fase do processo de logística, podendo ser seus próprios colaboradores, recursos contratados de primeiro nível, concorrentes desleais, terceirizados em geral, como qualquer prestador de serviço sem vínculo direto com a empresa mas que toca alguma fase do processo de logística, ou até mesmo agentes públicos com desvio de conduta. Mapear esses potenciais facilitadores e atuar na blindagem e na prevenção ao vazamento de informações dentro de todo processo de logística vai enfraquecer a orquestração com possibilidades de desestruturá-la, reduzindo a eficiência da ação criminosa, e consequentemente sua eficácia, retorno e atratividade.

VULNERABILIDADES

Visão Integrada do Risco

Agora que já mapeamos a anatomia dos principais vetores de ameaça, convém agrupar as vulnerabilidades por natureza, e de forma a nos orientar no desenho e priorização das ações que irão compor a estratégia de segurança.

Vulnerabilidades relativas ao vazamento de informações do conjunto/alvo (PERÍMETRO 1 – INFORMAÇÃO)

De imediato vemos riscos inerentes ao vazamento de informações potencialmente relacionados as fases de manuseio, armazenamento, transporte e descarte a partir de ativos físicos, tecnológicos e humanos que custodiam informações sensíveis para o processo de transporte de carga. Estas vulnerabilidades potencializam o acesso indevido às informações, especialmente aquelas relacionadas ao conjunto: veículo, condutor, rota, horário, carga e proteção, fomentando também a ameaça alavancada pela rede de facilitadores.

Vulnerabilidades relativas à autoproteção da carga (PERÍMETRO 2 – CARGA)

A ausência de tecnologia e processos que possam tornar a carga inútil ou passível de identificação depois de roubada e então comercializada, representa uma vulnerabilidade importante e que acaba encorajando seu roubo sistemático.

Vulnerabilidades relativas à estatística de crimes por conjunto: veículo, condutor, rota, horário, carga e proteção (PERÍMETRO 3 – PEGADA DE RISCO)

Probabilidade é um importante indicador para gestão de riscos, e no transporte de cargas ele é ainda mais relevante uma vez que serve de indicador para orientar decisões de negócio que minimizem os roubos. A vulnerabilidade mais comum é não dispor de conhecimento estatístico sobre os índices criminais da região onde o transporte é operado, bem como estatísticas de incidentes por tipo de conjunto: veículo, condutor, rota, horário, carga e proteção.

Vulnerabilidades relativas ao veículo (PERÍMETRO 4 – VEÍCULO)

Uma vez fora do depósito, o veículo é o primeiro perímetro de segurança que isola o criminoso da carga. Por isso, é preciso estudar as vulnerabilidades físicas do veículo e procurar compatibilizar seu nível de proteção ao valor da carga, e ainda, às ameaças de contexto como rota e horário.

Vulnerabilidades relativas ao condutor (PERÍMETRO 5 – CONDUTOR)

Apesar de sua função se limitar a conduzir a carga guiando o veículo de acordo com as leis de trânsito e as políticas internas da companhia, seu papel dentro do contexto da proteção de carga é importante. Vulnerabilidades estão comumente ligadas à falta de treinamento quanto à direção defensiva; direção evasiva; manuseio do veículo; exposição desnecessária da carga; imperícia na detecção de situações de risco; falha na comunicação para antecipar situações de risco ou mesmo, para permitir uma ação mais assertiva e eficiente de recuperação de carga roubada.

Vulnerabilidades relativas à cooperação com agentes privados e associações do setor (PERÍMETRO 6 – REDE)

A falta de informação e inteligência externas potencialmente obtivas por cooperação através de outros profissionais do setor e de associações nacionais e internacionais para o combate ao roubo de cargas, representa uma grande vulnerabilidade, especialmente por reconhecer a adaptabilidade e o dinamismo da prática do crime baseada no contexto.

Vulnerabilidades relativas a cooperação com as forças públicas de segurança (PERÍMETRO 7 – AGENTES PÚBLICOS DE SEGURANÇA) 

Não mapear de forma inteligente os agentes das forças públicas de segurança em suas diferentes esferas para estabelecer um objetivo comum e um protocolo de comunicação e cooperação, é subestimar o poder da integração de forças. Além disso, a falta de integração minimiza os investimentos internos e oferece riscos residuais ligados ao comum erro de cruzar inadvertidamente a linha de responsabilidade entre a entidade privada e o papel do estado.

Vulnerabilidades relativas a cooperação com agentes públicos legisladores (PERÍMETRO 8 – LEGISLADORES)

O combate ao crime em geral e ao roubo de carga em particular, é diretamente influenciado pelo posicionamento do legislativo e o apoio do estado. É, portanto, uma vulnerabilidade comum subestimar a importância em ter representatividade da empresa e do setor em conexões com os governantes fornecendo subsídios para compreenderem o impacto dos incidentes de roubo de cargas nos resultados financeiros do estado, especificamente na arrecadação, bem como nos índices de violência e até mesmo no mercado de turismo.

ESTRATÉGIA

Estratégia Integrada de Combate ao Roubo de Cargas

Uma visão prática para endereçar os riscos, ameaças e vulnerabilidades relacionadas ao roubo de cargas deve contar com um plano de ação integrado considerando ativos físicos, tecnológicos e humanos, e capaz de estabelecer um framework de gestão de riscos que mapeie os vetores, acompanhe indicadores de desempenho e o apetite do negócio, bem como desenvolva habilidades corporativas capazes de prever, prevenir, detectar e responder de forma eficiente, e assim reduzir a exposição do negócio.

No diagrama de alto nível abaixo, temos o mapeamento dos agentes internos e externos relevantes para a compreensão do problema, bem como para o sucesso de uma solução integrada.

Grupo 1. Consideramos provedores de soluções tecnológicas físicas e digitais, com especialização de nicho, além de serviços investigativos e de inteligência que devem ser considerados para integrar as soluções internas e assim garantir larga cobertura das vulnerabilidades e ameaças.

Grupo 2. Consideramos organizações locais e globais especializadas no monitoramento e estudo de organizações criminosas e suas variantes de comportamento e operação afim de obter e validar o entendimento das ameaças mais próximas e prováveis a atentar contra o transporte de carga.

Grupo 3. Consideramos empresas da mesma indústria ou da mesma região geográfica suscetíveis às mesmas ameaças e quadrilhas organizadas de roubo de cargas para que estabeleçam um protocolo de colaboração preventiva e reativa e assim maximizem a inteligência individual ou, até mesmo, construam soluções conjuntas para o bem de seus negócios.

Grupo 4. Consideramos agentes públicos de segurança em suas diferentes esferas municipal, estadual e federal, para que sejam estabelecidos canais de interação e protocolos de comunicação e colaboração ágeis e capazes de maximizar a inteligência distribuída em prol da redução dos índices de criminalidade em geral e do roubo de cargas em particular.

Grupo 5. Consideramos os legisladores como agentes de transformação importantes para o aprimoramento dos alicerces legais de combate ao crime de roubo de cargas, desta forma, é preciso estabelecer um canal de engajamento e comunicação para troca de informações e fomento de um processo de melhoria contínua.

PERÍMETROS

No diagrama a seguir temos uma visão funcional organizada por perímetro com ações de segurança que irão compor a Solução Integrada de Segurança Corporativa. Ele propõe medidas que irão endereçar cada grupo de vulnerabilidades mapeadas anteriormente e de tal forma que ao se conectaram, oferecerão um modelo holístico end-to-end de gestão de risco do transporte de cargas com as capacidades de prevenir, prever, detectar e responder às ameaças.

Perímetro 1. INFORMAÇÃO. Foco na proteção da informação especialmente quanto ao vazamento, lançando mão de um conjunto de medicas complementares composto por uma política de segurança que estabeleça regras de classificação para manuseio, armazenamento, transporte e descarte de informações relacionadas ao transporte de cargas; ferramentas físicas, tecnológicas e humanas que imponham o cumprimento da política como controles de acesso, mecanismos de auditoria, segregação de funções, sistemas de CCTV e proteção das comunicações.

Perímetro 2. CARGA. Foco na proteção da própria carga transportada, lançando mão de tecnologias inovadores que permitam preliminarmente impedir o acesso não autorizado à ela, mas também que ofereçam medidas mitigatórias do dano uma vez que seu roubo tenha sido consumado, como por exemplo, incorporando dispositivos que contaminem e/ou destruam a carga tornando sua comercialização inviável ou ainda, que ofereçam meios de localização da carga durante os processos de ocultação, descaracterização, receptação e comercialização.

Perímetro 3. PEGADA DE RISCO. Foco na proteção do conjunto: veículo, condutor, rota, horário, carga e proteção, através do controle de exposição dos ativos com base no entendimento de dados estatísticos de cada região e das variantes que compõem o conjunto. Espera-se com isso, compreender melhor a probabilidade de ocorrência do roubo para evita-lo com adoção de inteligência.

Perímetro 4. VEÍCULO. Foco na proteção do veículo, agregando tecnologia e inteligência que ofereça não apenas proteção física do container de carga, recursos de monitoramento geoposicionado, gravação de imagens e transmissão de dados de telemetria em geral, como também a habilidade de proteção adaptativa baseada no perfil de comportamento do condutor que poderá indicar traços de risco dinamicamente acionando protocolos específicos de comunicação, detecção e resposta a incidentes.

Perímetro 5. CONDUTOR. Foco na proteção do condutor e indiretamente da carga, uma vez que uma condução adequada do veículo poderá auxiliar no aprimoramento e eficiência das etapas de prevenção, previsão, detecção e resposta à ação de uma ameaça. Para isso, são adotados processos específicos e uma rotina de treinamento, sensibilização e aculturamento do condutor para que ele se torne um agente ativo do modelo integrado de gestão de riscos.

Perímetro 6. REDE. Foco na proteção da própria operação de transporte de cargas como um todo, através da ativação da rede de associações nacionais e internacionais como a Associação Brasileira Contra Falsificação (ABCF) e a Overseas Security Advisory Council (OSAC), profissionais da indústria e responsáveis pela segurança corporativa de empresas da mesma geografia de forma a estabelecer canais de comunicação e troca de experiências, incluindo estudos estatísticos sobre as ameaças, compartilhamento de soluções e análises de risco conjuntas que podem maximizar o conhecimento ora distribuído, além de servir de alicerce para iniciativas dos perímetros subsequentes.

Perímetro 7. AGENTES PÚBLICOS DE SEGURANÇA. Foco na proteção do conjunto: veículo, condutor, rota, horário, carga e proteção, em toda cadeia de logística de transporte de cargas uma vez que seu propósito é adotar tecnologia e estabelecer canais de comunicação e protocolos de engajamento estratégico, tático e operacional com os agentes de segurança pública nacionais e internacionais em todas as suas esferas – INTERPOL, EUROPOL, Polícia Federal, Polícia Rodoviária Federal, Polícia Civil e Polícia Militar – para combinar esforço, inteligência e coordenar ações de combate em todas as etapas do ciclo: abordagem, ocultação, descaracterização, receptação e comercialização do fruto do roubo de carga.

Perímetro 8. LEGISLADORES. Foco na proteção indireta do ambiente de operação do transporte de cargas, uma vez que este perímetro se dedica a fomentar discussões sobre a amplitude do problema de roubo de cargas com agentes públicos legisladores que poderão ser estimulados a repensar o ambiente legislativo e os regimes criminal e tributário, para desencorajar ou mesmo inibir a prática do roubo de cargas. Desta forma, poderão trabalhar mais assertivamente para a maturidade dos instrumentos legais que ofereçam recursos e condições favoráveis para o combate a esse tipo de crime.

Perímetro 0. APETITE DE RISCO. Apesar de ter deixado esse, digamos, perímetro interno do modelo integrado de segurança corporativa por último, ele é o alicerce de todos os demais perímetros capturados até aqui. Toda e qualquer iniciativa de segurança deve não apenas respeitar o apetite do negócio, mas compreender seus planos e se posicionar como um habilitador, procurando equilibrar os investimentos nos controles e em seus níveis de maturidade de forma que estejam sempre compatíveis com a disposição e aceitação de risco e a materialidade da perda, ou seja, do impacto monetário, direto e indireto, resultante dos eventos de roubo de cargas. Com esse instrumento de orientação bem ajustado será possível especificar e calibrar a profundidade e abrangência de cada uma das medidas possíveis em cada perímetro, além de capturar o progresso através de indicadores de desempenho claros que estejam diretamente ligados aos indicadores de negócio no balance score card, para que ainda seja possível medir o retorno do investimento feito em segurança corporativa e apoiar futuras tomadas de decisão.

Conclusão.

Estamos diante de uma oportunidade sem precedentes de usufruir da convergência entre tecnologia da informação e tecnologia de operação agregando toda inteligência disponível embarcada através de vetores digitais inovadores e agora acessíveis, para não só promover mudanças nos modelos de negócio, como também para estender a inovação para a área de Segurança Corporativa, aproximando os agentes do ecossistema de forma cooperativa, alavancando o conhecimento coletivo ao conectar pontos antes dispersos e construir um modelo integrado de gestão de riscos capaz de se antecipar aos problemas e ajustar as contramedidas de forma mais preditiva, adaptativa e cognitiva como a nova sociedade exponencial exige.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*