A realidade do ambiente de TI nas Médias e Grande Empresas

Recentemente escrevi o artigo “A realidade do ambiente TI nas Micros e Pequenas empresas“, no qual apresentei de forma macro o dia-dia da TI e algumas dicas de melhorias para ambientes de TI em micros e pequenas empresas.

Neste artigo serão tratadas algumas situações vivenciadas pelos CIOs, gerentes de TI, CFOs e CTOs nas médias e grandes organizações, junto, novamente, a algumas dicas que possam agregar valor para a organização.

O artigo será divido em duas partes: a primeira tratando as situações vivenciadas no cotidiano e a segunda parte com algumas reflexões que possam agregar valor para a organização.

Principais desafios dos Gestores:

Disponibilidade: Uma parada inesperada no banco de dados, e-commerce fora do ar, sistema de emissão NF-e com problemas, VPN nas filiais ou lojas indisponíveis, infecção de malware generalizado no ambiente, entre outras centenas de ameaças que possam impactar a disponibilidade dos ativos ou serviços de TI irá causar um impacto muito grande para a organização, seja financeiro, imagem ou reputação, podendo acarretar em perdas de contratos, demissões, entre outros.

No link CORPORATE, do portal Canal Tech, existe um estudo sobre o prejuízo que pode ser causado por uma indisponibilidade num e-commerce. “Muitos brasileiros já conhecem a história: com a chegada da Black Friday e da temporada de compras de final de ano, aumenta o número de sites fora do ar ou com lentidão. O motivo de tanto incômodo também é uma preocupação constante dos varejistas, uma vez que a indisponibilidade de serviços de venda online pode gerar prejuízos de até US$ 8 mil por minuto.”

Obrigações Legais: O Governo a cada ano vem exigindo das organizações investimentos e trabalho para se adequarem às novas obrigações legais, iniciando com a NF-e em 2006, passando pelos SPED (Fiscal e Contábil), posteriormente com o SPED PIS/ CONFINS e neste ano de 2014 com o EFD Social ou SPED Folha de Pagamento como é mais conhecido. A cada nova obrigação que o governo cria e define uma data para que as empresas se adequem, os gestores precisam entender e planejar junto às áreas quais atividades serão necessárias para estar em conformidade com as solicitações que, muitas vezes, são complexas, demoradas e exigem alterações nos processos, sistemas e pessoas. Para maiores informações consultar o link SPED nas referências.

Os próximos três temas estão na pauta da maioria dos gestores e vem sendo debatidos em fóruns, congressos, seminários e palestras.

Segurança Informação: As ameaças estão cada vez mais sofisticadas e os ataques começam a ser direcionados para um alvo. No mês passado o Brasil foi alvo do maior ataque direcionado do mundo, segundo a reportagem da IDGNOW. Diversas pesquisas e relados apontam que um ataque direcionado exige uma complexa estrutura de segurança e maturidade elevada no processo de segurança da informação, visto que, se for uma ataque DDOS, a empresa precisa de equipamento ou serviços de terceiros que consigam suportar o ataque e manter disponível a aplicação ou site. Um ataque direcionado pode utilizar as técnicas de engenharia social para obter êxito, sendo que se todos os funcionários não estiverem treinados e conscientes destes tipos de ataques, facilmente o crackers obtém acessos.

Outro fator de preocupação está relacionado ao vazamento de informações confidencias que podem ser originado por funcionários, ex-funcionários, perda de equipamentos ou espionagem industrial através de ataque direcionado.

A seguir um trecho do livro de MITNICK que retrata um pouco da visão de um cracker: “Tive acesso não autorizado aos sistemas de computadores de algumas das maiores corporações do planeta, e consegui entrar com sucesso em alguns dos sistemas de computadores mais protegidos que já foram desenvolvidos. Usei meios técnicos e não técnicos para obter o código-fonte de diversos sistemas operacionais e dispositivos de telecomunicação para estudar suas vulnerabilidades e seu funcionamento interno. Toda essa atividade visava satisfazer minha própria curiosidade, ver o que eu podia fazer e descobrir informações secretas sobre os sistemas operacionais, telefones celulares e tudo o que chamasse minha atenção.”

Mobilidade: O tema mobilidade, BYOD, BYOC, entre outros, é outro fator que os gestores estão estudando para aplicar ao ambiente. De que forma, com quais ferramentas e quais processos serão implementados para disponibilizar as informações e acessos através dos dispositivos móveis com segurança. A grande maioria dos gestores já entendem que é necessário a adoção da mobilidade devido as grandes vantagens proporcionadas e por pressões internas, no qual o acesso às informações tem que estar disponível para os gestores, diretores e vendedores em tempo real. Esta nova forma de realizar as operações, se não estiver muito bem definida, estudada, aplicada em ambiente de homologação e validada, pode gerar vulnerabilidades sérias para as organizações.

No link OGLOBO, é apresentado um novo conceito chamado de CYOD. “A Intel defendeu um novo modelo para as empresas, o CYOD (‘escolha seu próprio dispositivo’, em inglês), em vez do BYOD. No CYOD, a empresa seleciona um leque de dispositivos de consumo e dá ao colaborador a chance de escolher o que mais lhe agrada. “O CYOD é um caminho do meio, em que a TI adquire um excelente grau de controle sobre os dispositivos que acessam dados corporativos e ao mesmo tempo satisfazem as demandas dos usuários”, explicou Rodrigo Tamellini. “Ignorar o fenômeno da consumerização não é uma opção: as empresas precisam criar políticas claras para os usuários e assegurar o controle dos dados corporativos.”

Redes Social: Quando o assunto é redes sociais, existem duas visões que as empresas precisam definir e criar políticas e processos para sua utilização. A primeira está relacionada em como a organização PJ irá atuar nestas redes sociais: Em quais redes? Como será o contato com o público? Quais assuntos tratados? De que forma? Será utilizada apenas para mídia e marketing ou como um SAC para o consumidor? A segunda visão está relacionada ao uso das redes sociais por parte dos funcionários, terceiros e gestores. É preciso definir uma política de utilização, se será permitido no uso corporativo, recomendações e boas práticas para se utilizar a rede social por parte dos colaboradores. Atualmente até o que é postado nas redes sociais possuem valor jurídico, portanto, é necessário uma política bem definida para evitar contratempos.

No link TELESINTESE, é apresentado um caso de demissão por justa causa que ocorreu devido uma postagem na rede social. “Em outro caso, uma enfermeira que postou fotos da equipe de trabalho tiradas durante o expediente foi demitida por justa causa. Para o hospital, as imagens relatavam ‘intimidades’ dos integrantes da equipe da UTI. Segundo a contestação, cada foto postada continha abaixo ‘comentários de mau gosto, não apenas da enfermeira demitida, mas também de terceiros’ que acessavam a rede social. As fotos mostravam ainda o logotipo do estabelecimento sem sua autorização, expondo sua marca ‘em domínio público, associada a brincadeiras de baixo nível, não condizentes com o local onde foram batidas’. Em ação trabalhista, a enfermeira pedia a descaracterização da justa causa e o pagamento de dano moral pelo constrangimento causado pela demissão. O pedido foi negado por unanimidade pela Segunda Turma do TST.”

Conclusão

Nesta primeira parte foram apresentadas, de forma macro (para não ficar muito extenso o artigo), algumas situações vivenciadas diariamente pelos CIOs, gerentes de TI ou CTOs das organizações. No próximo artigo serão tratadas algumas formas que possam auxiliar os gestores em relação aos temas apresentados e algumas tecnologias e projetos que possam apoiar para reduzir gastos e melhorar a segurança e disponibilidade. Alguns temas como VOIP, CLOUD (IAAS, SAAS) e modelagem de processos, serão apresentados.

Obrigado!