Desafios da TI nas Médias e Grandes Empresas (Parte 2)

No artigo “Desafios da TI nas Médias e Grandes Empresas – Parte I” foram abordadas algumas situações e assuntos que desafiam o cotidiano dos CIOs, CFOs e CTOs. Neste artigo serão apresentadas algumas reflexões em cima do artigo anterior, que possam agregar valor para as organizações.

Muitas organizações possuem o ambiente conhecido como “missão crítica”, que tem a finalidade de suportar as operações do negócio 24 x 7 x 365, com uma disponibilidade acima de 99,99% do tempo, e com recursos tecnológicos e infraestrutura que permitam escalabilidade, possibilitando a implantação de novos sistemas, ambiente de homologação e validações. Aliado ao ambiente de missão crítica temos que garantir a segurança da informação e planos de recuperação de desastres.

Na prática, é um grande desafio para os CIOs estruturar um ambiente como esse, manter a disponibilidade, segurança das informações e possuir planos atualizados para a recuperação de desastres e, ou continuidade operacional.

A seguir, algumas dicas que possam contribuir para o ambiente de Missão Crítica:

Alta Disponibilidade: Para conseguir garantir um SLA acima de 99,99% de disponibilidade dos ativos que suportam as operações da empresa, é recomendável possuir um Datacenter secundário para Disaster Recovery, que tem a função de replicar em tempo real todo seu ambiente de produção para um segundo Datacenter (já existem no mercado algumas ferramentas que fazem este trabalho, seja a nível de replicação via Storage ou via Software), sendo que, é recomendável que este Datacenter secundário esteja fora da empresa. Possuir somente um Datacenter, por mais estruturado e controlado que seja, pode ser um risco para a organização. Diversas matérias e pesquisas revelam ameaças que podem impactar a operação, tais como: desastres naturais, incêndio, roubo, falha na energia elétrica, entre outros, que se vierem à ocorrer, certamente irão causar indisponibilidade no ambiente.

Gestão de Continuidade de Negócio (GCN): Alinhado com a estratégia de alta disponibilidade das organizações, deve-se possuir uma estrutura de GCN que irá nortear as operações a serem realizadas em caso de crises que exijam o acionamento da contingência. Alguns acionamentos da contingência podem ser realizados de forma automática, mas, provavelmente, algumas mudanças serão necessárias à nível estações de trabalho, regras do firewall, entre outros, para que a contingência entre em operação com sucesso. Diante desse fato, possuir um GCN completo, abordando as operações críticas da empresa, possíveis ameaças, forma de acionamento, planos para retorno ao ambiente de produção, plano de administração de crises, entre outros documentos necessários para um GCN completo é fundamental para garantir a operação da organização e a forma correta de serem realizados no meio de uma crise.

Obrigações Legais: No artigo anterior, foram apresentadas as exigências e novos processos que o governo vem solicitando para as empresas. Acredito que as empresas que possuem um ERP de nível nacional e/ou internacional estejam mais preparadas para lidar com as novas exigências do governo, visto que, cada nova solicitação, como o EFD Social, irá necessitar de diversas alterações no ERP e nos processos internos, para que as empresas estejam em conformidade com a exigência. Os grandes fornecedores de ERP possuem equipes especializadas em entender estas exigências e adequar os sistemas e seus processos internos para esta demanda. Entendo também, que empresas de ERP regionais irão conseguir realizar as devidas mudanças no sistema, mas com um esforço maior, visto que pode acontecer de somente um ou dois clientes desta empresa necessitarem ajustar o sistema para a nova obrigatoriedade, enquanto, nos grandes provedores de ERP, esta porcentagem de clientes afetados representará em torno de 90%. A maioria dos contratos de ERP entre cliente x fornecedor preveem adequações no sistema sem custo adicional, enquanto outros provedores podem cobrar do cliente este esforço.

Segurança da Informação: Uma pesquisa completa e mundial realizada pela PWC que apresenta diversos gráficos comparando as ações do Brasil com o resto do mundo, possui na figura 23 os principais processos de segurança da informação que as organizações não possuem, mas que são prioridades para os próximos 12 meses. Os cinco pontos destacados na pesquisa vem de encontro ao artigo anterior e o que estamos apresentando nesse, são eles: Cloud Computing, Mídias Sociais, Gestão de Dispositivos Móveis, Gestão de Identidades e Plano de Continuidade de Negócios. Maiores informações consultar link PWC.

Seguindo a linha apresentada nesta pesquisa, é notório que a Segurança da Informação não está mais somente relacionada aos ativos tecnológicos. Antigamente tinha-se uma falsa sensação de segurança quando uma empresa implantava um firewall ou antivírus nos ativos de TI, porém, com o decorrer dos anos, novas ameaças, novas funcionalidades, novos meios de se realizar operações de negócios apontam que a segurança da informação deve envolver a organização como um todo, possuindo recursos tecnológicos, políticas e processos muito bem definidos e claros quanto à utilização dos meios tecnológicos e não tecnológicos para se realizar as atividades, cobrindo: a forma de realizar, o que é permitido ou não, quais serão os impactos das não conformidades, os responsáveis por cada operação envolvendo riscos na segurança, treinamentos, workshops, entre outros fatores.

A Política de Segurança da Informação (PSI) é uma grande aliada para mitigar os riscos envolvendo a segurança da informação, haja visto que o ser humano é o elo mais fraco da corrente e possui comportamento vulnerável para crackers explorarem estas falhas. Os funcionários precisam se conscientizarem destes riscos e adquirir um comportamento seguro para utilizar estes recursos, seja eles, Internet, Dispositivo Móvel, E-mail, Redes Socais, entre outros. A PSI deve cobrir de forma macro todos estes pontos de vulnerabilidade e, principalmente, conscientizar os funcionários para adotar um perfil de comportamento seguro.

– Cloud Computing: Este conceito é uma alternativa para as organizações utilizarem e viabilizarem novos processos de negócio e projetos que necessitem da TI, seja na parte de Infraestrutura (IaaS) ou Software (SaaS). O CloudComputing é muito indicado para empresas que não dispõe de um investimento inicial (CAPEX) para aquisição de novos servidores, software e infraestrutura. Uma outra vantagem é adquirir o software pela modalidade SaaS, visto que a responsabilidade em manter o software atualizado, seguro, disponível e com backups periódicos é do fornecedor e não da TI interna da empresa. Porém, é necessário que estes pontos citados estejam em contrato com o fornecedor, desde o SLA acordado, retenção dos backups, multas, entre outros. Já na modalidade IaaS facilmente a TI pode subir um novo servidor em Cloud e, em poucas horas ou dias, disponibilizar novas funcionalidades, ferramentas ou melhorias para a organização.

Outro fator interessante na modalidade Cloud Computing é a flexibilidade e escalabilidade que a mesma disponibiliza para a organização. Como exemplo: Se a empresa vai testar um novo software, pode configurá-lo em Cloud e realizar todas as validações necessárias, e caso o mesmo não atenda as expectativas da empresa, em alguns passos é possível eliminar a máquina configurada no ambiente de Cloud e não pagar mais pela sua utilização.

As empresas estão adotando Cloud também como forma de contingência das operações, no caso realizando backup em provedores Cloud ou montando uma estrutura com servidores, softwares, aplicativos em Cloud para utilizar no PCN como Disaster Recovery, quando for necessário acionar a contingência.

Para finalizar o artigo, os pontos apresentados na parte I e nesta parte têm o propósito de apresentar algumas situações vivenciadas pela TI e pelas organizações, bem como, ideias e situações que possam contribuir para o dia-a-dia das organizações, melhorando a disponibilidade, segurança, viabilizando novos projetos, atendendo às exigências e, automaticamente, estando aderente às boas práticas de gestão e governança de TI.

Fonte: PWC, http://www.pwc.com.br/pt_BR/br/estudos-pesquisas/assets/pesquisa-seguranca-inforrmacao-13.pdf

[Image by: Shutterstock]

Gustavo de Castro Rafael

Fundador da PDCA TI – Consultoria & Treinamentos. Consultor com mais de 7 anos de experiência nas áreas de Governança de TI, Gestão de TI e Segurança da Informação. Responsável por diversos projetos em empresas de médio e grande porte nos setores de saúde, industrial, alimentício, financeiro, sucroenergético e serviços.


Artigo com publicação autorizada nos sites: itfriends.org, profissionaisti.com.br, tiespecialistas.com.br e Linkedin

Posted in Gestão and tagged , , , , , , , , , .

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *