Profissionais TI - Pra quem respira informação

No artigo “A realidade do ambiente de TI nas Médias e Grandes Empresas – Parte I” foram abordadas algumas situações e assuntos que desafiam o cotidiano dos CIO’s, CFO’s e CTO’s.

Neste artigo serão apresentadas algumas reflexões em cima do artigo anterior, que possam agregar valor para as organizações.

Muitas organizações possuem o ambiente conhecido como “missão crítica”, que tem a finalidade de suportar as operações do negócio 24 x 7 x 365, com uma disponibilidade acima de 99,99% do tempo e com recursos tecnológicos e infraestrutura que permitam escalabilidade – possibilitando a implantação de novos sistemas, ambiente de homologação e validações. Aliado ao ambiente de missão crítica temos que garantir a segurança da informação e planos de recuperação de desastres.

Na prática, é um grande desafio para os CIO’s estruturar um ambiente como esse, manter a disponibilidade, segurança das informações e possuir planos atualizados para a recuperação de desastres.

A seguir, algumas dicas que podem contribuir para a manutenção de um ambiente de Missão Crítica:

Alta Disponibilidade: Para conseguir garantir um SLA acima de 99,99% de disponibilidade dos ativos e operações da empresa, é recomendável possuir um Site B que irá replicar em tempo real todo seu ambiente para um segundo Datacenter, sendo que é necessário que esse Site B esteja fora da empresa. Algumas leis e regulamentos, como a Lei Sarbanes –Oxley, já exigem este tipo de replicação. Possuir somente um Datacenter, por mais estruturado e controlado que seja, pode ser um risco para a organização.

Diversas matérias e pesquisas revelam ameaças que podem impactar a operação, tais como: desastres naturais, incêndio, roubo, falha na energia elétrica, entre outros que, se vierem à ocorrer, certamente irão causar indisponibilidade no ambiente.

Para ratificar a importância de um Site B replicado, uma notícia no site CIO apresentou:

A empresa não informou quantos clientes foram afetados, mas, segundo a assessoria de imprensa da Telefônica, o incidente atingiu apenas clientes corporativos da empresa. E os sites da própria operadora ficaram fora do ar durante a tarde, conforme constatou a reportagem de COMPUTERWORLD. O portal do Pão de Açúcar está fora do ar. A área de comunicação da rede varejista confirmou que a queda do site está relacionada com o incêndio, mas não divulgou outras informações. Os sites do Extra e do CompreBem, além da empresa de recursos humanos Adecco e da rede de televisão SBT, também estão inacessíveis.

Plano de Continuidade de Negócio (PCN): Alinhado com a estratégia de alta disponibilidade das organizações, deve-se possuir um PCN que irá nortear as operações a serem realizadas em caso de crises que exijam o acionamento da contingência. Alguns acionamentos da contingência podem ser realizados de forma automática, mas, provavelmente, algumas mudanças serão necessárias nas estações ou nas regras do firewall de borda, para que a contingência entre em operação com sucesso. Diante desse fato, possuir um PCN completo, abordando as operações críticas da empresa, possíveis ameaças, formas de acionamento, planos para retorno ao ambiente de produção, plano de administração de crises, entre outros documentos necessários para um PCN completo, é fundamental para garantir a operação da organização e a forma correta de serem realizados no meio de uma crise.

O site da ISO27000 apresenta de forma macro a importância e etapas de um PCN:

Entender e identificar todos os componentes de TI que embasam operações de negócio em todos os níveis: esta etapa consiste em conhecer as operações de negócio da organização, conhecer os serviços e componentes de TI e como tudo isso se relaciona. Essa etapa também pode ser entendida como o Mapeamento do Ambiente de TI, pois o foco é entender o negócio, mas principalmente o que e como a TI se relaciona com ele.

Análise de Ambiente: esta etapa consiste em analisar o ambiente de TI (identificado), criando uma matriz de risco a fim de localizar os riscos mais críticos, tanto para o ambiente físico como para o ambiente lógico. Essa identificação e avaliação de riscos, já aponta para as possíveis causas para uma falha de operação da TI, oferecendo a gestão do negócio argumentos para a tomada de decisão de investimentos, na busca da continuidade.

Análise de Impacto do Negócio: esta etapa é uma das mais importantes, pois ele fornece o pleno entendimento de quanto a TI pode afetar a operação de negócio, e principalmente, dimensionando quanto custa uma “parada de operação” no decorrer do tempo. Em outras palavras, qual o impacto (tangível e intangível) no negócio da empresa para uma para de TI. Com essa informação, é possível entender o quanto pode ser investido em TI para realmente suportar a continuidade de negócio.

Definição das Estratégias de Continuidade: esta etapa define como a organização vai tratar a continuidade de negócios, tomando como base as informações anteriores (quais os recursos de TI, seus riscos e o impacto que existe no negócio). Além da organização se preocupar com soluções de contingência, é importante pensar na continuidade.

Elaboração dos documentos do plano de continuidade de negócio. Esta etapa é o momento onde a organização vai reunir todo o conhecimento sobre a relação TI x Negócio e elaborar as ações que devem ocorrer para:Identificar uma crise; Organizar a tomada de decisão em momentos de crise; Reunir as pessoas certas para a execução das atividades certas para atender a crise; Definir e documentar o conhecimento técnico específico para que a TI possa restabelecer, o quanto antes, a operação do negócio (contingência) e posteriormente voltar ao ambiente normal de produção (retorno).

Obrigações Legais: No artigo anterior, foram apresentadas as exigências e novos processos que o governo vem solicitando nas empresas. Acredito que empresas que possuem um ERP de nível nacional e/ou internacional estejam mais preparadas para lidar com as novas exigências do governo, visto que, cada nova solicitação, como o EFD Social, irá necessitar de diversas alterações no ERP e nos processos internos para as empresas estarem em conformidade com a exigência.

Os grandes fornecedores de ERP possuem equipes especializadas em entender estas exigências e adequar os sistemas e seus processos internos para esta demanda. Entendo também que empresas de ERP regionais irão conseguir realizar as devidas mudanças no sistema, mas com um esforço maior, visto que pode acontecer de somente um ou dois clientes desta empresa necessitarem ajustar o sistema para a nova obrigatoriedade, enquanto que, nos grandes provedores de ERP, esta porcentagem de clientes afetados representará em torno de 90%. A maioria dos contratos de ERP entre cliente x fornecedor preveem adequações no sistema sem custo adicional, enquanto outros provedores podem cobrar do cliente este gasto.

Segurança da Informação: Uma pesquisa completa e mundial realizada pela PWC, que apresenta diversos gráficos comparando as ações do Brasil com o resto do mundo, possui na figura 23 os principais processos de segurança da informação que as organizações não possuem, mas que são prioridades para os próximos 12 meses. Os cinco pontos destacados na pesquisa vem de encontro ao artigo anterior e ao que estamos apresentando neste artigo: Cloud Computing, Mídias Sociais, Gestão de Dispositivos Móveis, Gestão de Identidades e Plano de Continuidade de Negócios. Maiores informações consultar PWC.

Seguindo a linha apresentada nesta pesquisa, é notório que a Segurança da Informação não está mais somente relacionada aos ativos tecnológicos. Antigamente tinha-se uma falsa sensação de segurança quando uma empresa implantava um firewall de borda e antivírus nos ativos de TI, mas, com o decorrer dos anos, novas ameaças, novas funcionalidades e novos meios de se realizar operações de negócios apontam que a segurança da informação deve envolver a organização como um todo, possuindo recursos tecnológicos, políticas e processos muito bem definidos e claros quanto à utilização dos meios tecnológicos e não tecnológicos, cobrindo: a forma de realizar, o que é permitido ou não, quais serão os impactos das não conformidades, os responsáveis por cada operação envolvendo riscos na segurança, treinamentos, workshops, entre outros fatores.

A Política de Segurança da Informação (PSI) é uma grande aliada para reduzir os riscos envolvendo a segurança da informação, haja visto que o ser humano é o elo mais fraco da corrente e possui comportamento vulnerável para crackers explorarem estas falhas. Os funcionários precisam entender esses riscos e possuir um comportamento seguro para utilizar estes recursos, seja Internet, Dispositivo Móvel, E-mail, Redes Socais, entre outros. A PSI deve cobrir de forma macro todos estes pontos de vulnerabilidade e, principalmente, conscientizar os funcionários para adotar um perfil de comportamento seguro.

Alguns exemplos de comportamento seguro:

• Não anotar a senha em local de fácil acesso, como embaixo do teclado, não compartilhar a senha da rede, e-mail ou ERP com outros funcionários.
• Não compartilhar informações restritas ou confidenciais com outras pessoas sem a devida autorização dos superiores;
• Não manter documentos restritos ou confidenciais nas impressoras ou locais de fácil acesso;
• Não compartilhar nas redes sociais nenhuma informação que seja de conhecimento somente dos funcionários da empresa;
• Não atender nenhuma solicitação de envio de informações a terceiros sem a autorização dos responsáveis, entre outros.

Cloud Computing: Este conceito é uma alternativa para as organizações utilizarem e viabilizarem novos processos de negócio e projetos que necessitem da TI, seja na parte de Infraestrutura (IAaS) ou Software (SAaS). O Cloud é muito indicado para empresas que não dispõem de uma alta verba inicial para aquisição de novos servidores, software e infraestrutura (CAPEX). Uma outra vantagem é adquirir o software pela modalidade SAaS na qual a responsabilidade em manter o software atualizado, seguro, disponível e realizar backups periódicos é do fornecedor e não da TI interna da empresa. Porém, é necessário que estes pontos citados estejam em contrato com o fornecedor, desde o SLA acordado, retenção dos backups, multas, entre outros. Já na modalidade IAaS facilmente a TI pode subir um novo servidor em Cloud e, em poucas horas ou dias, disponibilizar novas funcionalidades ou melhorias para a organização.

Outro fator interessante na modalidade Cloud Computing é a flexibilidade e escalabilidade que a mesma disponibiliza para a organização. Como exemplo: Se a empresa vai testar um novo software, pode configurá-lo em Cloud e realizar todas as validações necessárias e, caso o mesmo não atenda as expectativas da empresa, em alguns passos é possível eliminar a máquina configurada no ambiente de Cloud e não pagar mais pela sua utilização.

As empresas estão adotando Cloud também como forma de contingência das operações, no caso realizando backup em provedores Cloud ou montando uma estrutura com servidores, softwares, aplicativos em Cloud para utilizar no PCN quando for necessário acionar a contingência.

Para finalizar o artigo, os pontos apresentados na parte I e nesta parte têm o propósito de apresentar algumas situações vivenciadas pela TI e pelas organizações, bem como ideias e situações que possam contribuir para o dia-a-dia das mesmas, melhorando a disponibilidade, segurança, viabilizando novos projetos, atendendo às exigências e, automaticamente, estando aderente às boas práticas de gestão, governança e serviços de TI.

Obrigado! Dúvidas, sugestões e críticas sempre são bem-vindas!

Abraços!