Torre de Babel, a gestão Fonte:Thesis - 13/11/2007
Todos os dias, quem utiliza redes de TI e telecom para trabalhar e se comunicar (praticamente toda a força de trabalho especializada) precisa ultrapassar uma verdadeira Torre de Babel de protocolos, padrões e tecnologias. Para o simples usuário nada disso importa: ele quer a aplicação, em alta velocidade de banda, com definição gráfica nível ótimo e transparente em qualquer dispositivo que disponha e, de preferência, em todos ao mesmo tempo. No background, porém, o pessoal de gerência de rede e segurança realiza uma odisséia cotidiana para tornar isto possível.
Segurança e confiabilidade, hoje, não podem correr em separado de agilidade e variedade. Pequenas ou grandes, as empresas usuárias de tecnologia em seu dia a dia passam a entender que confiabilidade de dados deve vir junto à maior capacidade da rede. Para atendê-las, o mercado de TI atravessa um momento de profunda transformação, que implica a harmonia entre a gerência da rede e a equipe de segurança e storage. O tema foi debatido na semana passada, durante o IDC Brazil Information Security & Business Continuity Seminar 2007, promovido pela IDC Brasil, no Rio de Janeiro.
Pesquisa da própria IDC de 2006, realizada junto à 832 CIOs, constatou que 72% das empresas brasileiras dos mais diversos portes não têm plano de continuidade de seus negócios. Esta tendência, no entanto, está se revertendo. Na próxima pesquisa do instituto, a ser anunciada no início do ano que vem e que levanta a mesma questão, em 2007, houve, ao longo do ano, redução de 10% a 15% no número de companhias que não dão a devida atenção à segurança de suas informações críticas. "Constatamos entre bancos, telcos, manufatura, varejo etc. que já está em curso o processo de desenvolvimento de planos de segurança. Na maioria dos casos ainda não se trata de um plano corporativo global, mas se começa a atuar pelas áreas mais críticas, o que já é um indício de que as empresas brasileiras se preocupam em disseminar uma cultura de boas práticas corporativas", disse Célia Sarauza (foto), gerente de consultoria da IDC Brasil.
Além da salvaguarda das informações críticas, o grande ganho é com a preservação da imagem da empresa, que fica garantida contra falhas de segurança, seja em seus bancos de dados, redes ou por algum evento externo e não planejado, como um desastre natural. "Nenhum seguro cobre perda de market-share, os milhões investidos numa patente, a perda de uma proposta de negócio ou, ainda, algum sério arranhão na imagem da empresa", acrescenta Célia. Todo investimento tem um risco, é verdade, mas é preciso garantir o processo da forma mais eficiente possível, de modo a se manter no topo e com a imagem sem nenhum arranhão.
A análise do risco deve envolver seu impacto no negócio como um todo, no volume de recursos requeridos, no desenvolvimento da estratégia e plano de negócios e, também, na capacidade da empresa de validar e divulgar suas inovações, expansões etc. Como reza o PMBOK, "a possibilidade de risco diminui á medida que o projeto avança". Mas, quando não se tem o produto pronto não é possível definir todo o impacto.
Estar preocupado com a segurança dos dados não significa a aptidão de realizar um plano de continuidade de negócios (BCP) que garanta as boas práticas. E este foi outro resultado da pesquisa da IDC. Enquanto a segurança propriamente dita ocupou o primeiro lugar na preocupação dos entrevistados, seguidos por investimentos em VoIP e ERP, o interesse pelo BCP ficou em penúltimo lugar. A demanda, no entanto, existe. Segundo a consultora, 50 projetos de BCP foram implementados em empresas brasileiras em 2006. "O que falta são ações. Os planos de continuidade devem ser um projeto corporativo que envolva todas as áreas da empresa e não, apenas, a de TI. É fato que no Brasil são poucos os BCP de âmbito corporativo. Dificilmente há um executivo de alto nível envolvido diretamente do processo, que se limita a departamentos específicos, como callcenters", acrescenta a consultrora.
Velocidade é o que conta
A BlueCoat, empresa norte-americana, acredita que a hora é de permitir pleno acesso do usuário, conferir maior agilidade possível às suas aplicações e, ainda, criar um ambiente seguro para que ele trate e transmita a informação como, para onde e para quem quiser. "Hoje 40% das empresas têm aplicações de acesso e 92% da força de trabalho precisa de telecomunicações para se conectar a uma rede. o usuário quer o controle total de suas aplicações", definiu Sandy Hawke, diretora de produtos de marketing da BlueCoat.
Segundo sua experiência, atualmente o usuário circula não apenas pela segura rede da empresa, mas por outras, desconhecidas e sem qualquer garantia de segurança. Mas ele não quer que isso prejudique seus negócios (note-se que estamos falando de usuários de grande porte, como governos, empresas globais, grandes associações etc.). Gerenciar aplicações de legados processados no cliente quando eles vão para a web (como o ambiente IP); a disseminação de portais (ou seja, ambientes onde os usuários têm mais controle e a TI fica na retaguarda); e o próprio ambiente de Web 2.0, onde o usuário define o uso e o nível de segurança são, segundo a executiva, novos ambientes que devem ser analisados com bastante interesse, em função de seu crescimento.
"Os executivos não querem que a proteção limite seu acesso à informação. Este é o grande desafio para o pessoal de TI", declara Hawke (foto). As empresas, assim, devem pensar em situações como congestão por tráfego não controlado ou não esperado; capacidade de entrega de aplicações rapidamente para usuários remotos e/ou móveis (o que gera a necessidade de se aumentar a performance da rede); conectividade plena onde e quando o usuário queira. "A segurança não pode ser um elemento limitador do uso. Ela deve ser transparente para o usuário", pondera a executiva.
Neste ambiente, a pergunta que não quer calar é: "Como fazer com toda esta nova demanda rode no meu negócio?". Hawke sugere que a empresa disponha de conhecimento total das aplicações e dos usuários conectados, de segurança capaz de sustar conteúdo malicioso sem que esta iniciativa atrapalhe a performance; acelere a oferta de aplicações críticas para o negócio, no escritório ou remotamente e tenha habilidade de controle granular.
É necessário também prover soluções para otimização no uso de multi-protocolos; capacidade de suportar streaming de vídeo e outros tipos de arquivos pesados; oferta de conteúdo local e otimização da banda para que as aplicações do usuário continuem, sem riscos de interrupções. No ambiente definido por Hawke os dois grupos - de rede e segurança - se falam com freqüência, mas, quando trabalham juntos, compartilham experiências: enquanto um quer reduzir os riscos, o outro quer dar performance à rede. "Nossa idéia é propor uma appliance que permita que este trabalho conjunto faça sentido", conclui.
No momento, são os bancos os principais incentivadores de BCPs, geralmente a partir de know-how interno e com contratos de serviços de terceiros em ações complementares. É de se notar também que os bancos estão entre os setores mais capacitados em TI. "Quanto mais madura a infra-estrutura de TI mais fácil é implantar um BCP, pois a tecnologia minimiza as intervenções humanas", ponderou Célia.
Como se vê, apesar de uma mudança de foco, a equipe de TI continua sendo chave em processos de segurança e continuidade nas empresas. Mas esta passa cada vez mais a atuar como ferramenta de redução de custos de investimentos, melhoria no arquivamento dos dados e agilidade das aplicações, que surgem em número cada vez maior.
No caso do storage a questão é crucial, pois é preciso contingenciar situações críticas como perda e roubo de dados. Nem mesmo a virtualização, que de fato trouxe um alento ao departamento de storage, pode resolver toda a questão. Par Felipe Garcia, especialista da HP, o plano de continuidade dos negócios precisa ser definido e detalhado pela empresa usuária. Esta empresa pode precisar de uma simples solução de backup; de arquivamento mais virtualização numa rede LAN; da replicação local de dados, com vista a reduzir espaço de storage ou a clonagem integral dos dados; e até a replicação remota total dos sites, o que vai implicar na instalação de um site real e outro remoto.
"Quem optar pelo quarto nível, deve levar em conta a necessidade de distanciamento geográfico entre os dois sítios. No World Trade Center (EUA), por exemplo, havia duplicação de sítios entre os dois prédios e tudo foi perdido", lembra.
Mobilidade
Neste ambiente, a mobilidade não pode ser relegada a um segundo plano. Cláudio Carneiro, especialista em Mobilidade Corporativa da HP, recordou durante o seminário da IDC que é forte a migração de desktops para notebooks. "Em três a quatro anos a demanda por notebooks será igual à de desktops", salientou. Esta "força móvel" traz preocupações já que os notes circulam por ambientes chamados hostis e seus usuários precisam garantir a durabilidade e a proteção da informação que carregam em seus discos rígidos. "O custo de se substituir um notebook é de 3 mil a 5 mil reais; mas o custo da perda de uma informação crítica é muito maior", acrescentou, sugerindo a necessidade de adoção de normas e, até, de um fornecedor único.
Toda esta segurança não deve dificultar a usabilidade do laptop pelo profissional móvel. Ao contrário da exigência de uma programação para acesso seguro às informações, a ferramenta deve ser fácil e intuitiva e garantir tanto a identidade do usuário com os dados críticos. "A segurança ideal é aquela onde o custo de se arrombar uma máquina seja maior do que o valor da informação desejada" exemplificou Carneiro.
O que acontece com a TI?
Para André Diamand (foto), da Future, empresa brasileira especializada em segurança de redes e TI, a quantidade de sistemas operacionais, hardware, appliances, aplicativos e banco de dados vem gerando confusão entre as áreas de rede, sistemas, bancos de dados e segurança, ao mesmo tempo em que o usuário demanda cada vez maior número de aplicações. E, o pior, é que ninguém sabe muito bem por onde começar para resolver um problema. À medida que os usuários trafegam em vários ambientes a informação é cada vez passível de pirataria, vírus, travamentos etc. "São os tempos modernos que dificultam a solução destes problemas e muitas vezes deixam livre o espaço para o roubo de informações", acrescenta André. Os resultados são sistemas fora do ar; maior stress dos profissionais; sensação de impotência frente aos problemas; a necessidade de investimentos massivos em segurança e certo distanciamento da empresa usuária de seu core business. "Pois, de fato, estas gastam mais atualmente em TI do que gastavam antigamente para gerenciar esta área, quando poderiam investir no que trará lucro real", acrescentou.
Segundo o executivo, é hora de área de TI "mudar a cabeça para tentar homogeneizar, concentrar, diminuir a complexidade do gerenciamento". Entre as soluções, ele sugere a busca da simplicidade através da padronização do hardware; do uso de um único banco de dados (ou do mínimo possível de soluções em BD); virtualização que gere menor quantidade de servidores lógicos; e, por último, mas não menos importante, Diamand sugere que seja retirado o que ele chama de "poder de destruição da mão do usuário".
"E-mail e usuário são os piores problemas do gerenciamento de TI hoje. Pode ser difícil, mas é preciso tentar adotar uma única linguagem, soluções que unifiquem informações de modo a que este concentração facilite o controle e a detecção do erro, falha ou acesso malicioso", completou.
© Copyright by Future Security
topo e com a imagem sem nenhum arranhão.
atrapalhe a performance; acelere a oferta de aplicações críticas para o negócio, no escritório ou remotamente e tenha habilidade de controle granular.
roubo de informações", acrescenta André. Os resultados são sistemas fora do ar; maior stress dos profissionais; sensação de impotência frente aos problemas; a necessidade de investimentos massivos em segurança e certo distanciamento da empresa usuária de seu core business. "Pois, de fato, estas gastam mais atualmente em TI do que gastavam antigamente para gerenciar esta área, quando poderiam investir no que trará lucro real", acrescentou.