Blog do Miranda

Têm se tornado comum nas organizações os investimentos em capacitação do corpo funcional em assuntos como ITIL, COBIT, Normas ISO, modelos de maturidade, entre outras ferramentas que apóiam a implantação de práticas de governança de TI nas empresas. O aumento da aderência a tais padrões muitas vezes é motivada pela necessidade de obter-se melhoria operacional nos processos de TI. Em outros casos, a adoção dos padrões serve de base para o atendimento de requisitos de mercado e requisitos legais.

Entre todas estas ferramentas, certamente o ITIL (Information Tecnolgy Infrastructure Library) é a que mais vem se destacando no mercado de governança de TI. O ITIL foi desenvolvido no fim da década de 80 pela Agência Central de Computação e Telecomunicações do governo britânico, com o objetivo de servir como um guia de melhores práticas para os departamentos de TI dos órgãos governamentais.

Em pouco tempo, o setor privado inglês se aproveitou do conceito e iniciou-se então um movimento reverso, no qual o mercado privado passou a dar consultoria para o setor público quando o assunto era ITIL.

O fato de o ITIL ter sido criado pelos próprios usuários (no caso, o governo britânico) e ter migrado para as mãos do setor privado é natural, à medida que um único governo não poderia, e nem seria de seu interesse,  disseminar seu conhecimento para todo o mundo. No entanto, é neste ponto que nasce o primeiro problema.

Quando os “pais biológicos” (os usuários) da metodologia a entregaram aos “pais adotivos” (as consultorias), o que se observou foi uma inversão de valores. Afinal, o objetivo primário dos criadores da metodologia era resolver os problemas de administração da TI, enquanto o objetivo das consultorias – como empresas que são – é maximizar os seus lucros. E é daí que se desdobra o fracasso do ITIL em muitos casos, e a queda de credibilidade desta metodologia de berço tão nobre.

A primeira manifestação da “má criação” por parte dos novos pais da metodologia reside nas incessantes mudanças de versão (v1, v2, v3 etc), que não tem outro objetivo a não ser movimentar o mercado de governança de TI. Não introduzem melhorias práticas, mas apenas incorporam um linguajar mais “business” para tentar convencer a alta adminstração das empresas a pagar cada vez mais pelas 4 letrinhas.

A segunda manifestação é a inexistência – nos livros do ITIL – relatos práticos de implantação, casos de sucesso, casos de fracasso, e dicas “práticas” de implantação do framework. Estes relatos práticos são uma reserva de mercado, e se você quiser tê-los, precisará, inevitavelmente, contratar uma consultoria!

Ora, ora, ora! Será que era isso que o governo britânico objetivava quando decidiu compilar suas melhores práticas em uma coletânea única? Que eles tivessem que contratar alguém para ajudá-los a adotar as melhores práticas que eles definiram? Mas, vamos deixar os britânicos de lado para não nos atrasarmos…

Bom, contratar uma consultoria para apoiar a implantação do ITIL não deve ser tão mal assim, afinal, eles vão nos trazer relatos práticos, experiência de mercado, e uma perfeita compreensão do ITIL para que na minha empresa tudo corra bem. Certo? Não,não. Errado.  É justamente aí que nasce o último e derradeiro problema.

Quem já tiver vivenciado algum projeto de implantação ou de tentativa de implantação de ITIL em alguma empresa, vai me compreender bem rapidamente. Já vivencei 3: o primeiro, quando a versão estava sendo evoluída de v1 para v2, o segundo da versão v2, e o terceiro está acontecendo agora, no momento da virada da v2 para a v3.

Não haverá no mercado consultoria capaz de fornecer o caminho das pedras, pois mesmo que já tenham participado de diversos projetos de implantação, elas jamais terão o conhecimento necessário para a implantação em sua empresa. O cerne da questão está no conhecimento da sua empresa e no entendimento dos seus requisitos para a administração de TI. É deste conhecimento que depende o sucesso da implantação do ITIL em sua empresa. Portanto, no fim das contas, quem terá que implantar o ITIL na sua empresa é você!

Será você quem irá levantar os prós e contras, quem irá ponderar a interpretações ao pé da letra dos livros do ITIL, quem terá que visitar empresas que já implantaram, quem terá que selecionar as ferramentas para apoiar o processo de acordo com os seus recursos etc. Um ou dois treinamentos de ITIL não vão fazer mal a você e aos seus amigos de trabalho; vão servir de atalho para dominarem a terminologia, que será útil na utilização das ferramentas.

Porém, antes de gastar uma montanha de dinheiro para contratar uma consultoria que te dará respostas evasivas diante dos problemas que você vai encontrar durante a implantação do ITIL, pense bem, entreviste a equipe de consultores e, por fim, ofereça pagar a metade do preço que eles orçarem para o projeto. Afinal, quem vai trabalhar neste projeto todo é você, embora eles insistam em te provar o contrário.

Fonte: Profissionais de TI

Por muito tempo, a segurança de TI foi encarada como uma preocupação fácil de ser resolvida. Afinal, basta colocar sistemas de bloqueio perimetral e as informações estavam seguras dentro de casa, não é verdade? Isto significava que bastava bloquear o acesso e nada iria vazar. Mas o mundo hoje é 2.0. As pessoas e empresas passaram a valorizar a interação, a agilidade do tempo real e a mobilidade. E o que fazer com sites de relacionamento, blogs, webmails, gravadores de CD, ou mesmo pen drives. E como fica a mobilidade dos colaboradores?

Chegar a um ponto de equilíbrio é uma das tarefas mais difíceis do CIO. E ainda, ele tem que acompanhar o ritmo com que a tecnologia evolui, muda e se atualiza.

Existem inúmeras novas ofertas em segurança. Por isso, vejo no curto e médio prazo um grande aumento da procura por serviços de consultoria. A busca por especialistas que poderão avaliar e indicar as melhores soluções para cada realidade, porque há um mar de opções que são uma verdadeira sopa de letrinhas: SGSI, DLP, GRC, Cloud Computing, Serviços Gerenciados, SOC, entre outros.

A mais famosa, que tem inundado os noticiários, é cloud computing ou computação em nuvem. Trata-se de uma tecnologia que permite que por meio da internet os consumidores não precisam se preocupar com aquisição de equipamentos de alta performance e tampouco necessitam comprar licenças de software. Mas se os arquivos e aplicativos ficam na “nuvem” como garantir que as informações não serão extraviadas?

O cloud computing possui características únicas que exigem análise dos riscos, recuperação e privacidade, compliance e auditoria de dados. Para garantir ainda mais a tranqüilidade, os clientes devem saber muito bem que tipo de informação pode ser utilizada nesta tecnologia, em quem confiar como provedor deste serviço e quando é o momento certo de colocar dados na nuvem para resguardar sua segurança.

Outras ferramentas, ainda não tão famosas, devem ganhar cada vez mais destaque e irão impactar na gestão e no orçamento das companhias no próximo ano. Conheça um pouco mais sobre elas:

– SGSI ou Sistema de Gestão de Segurança da Informação: é o resultado de um conjunto de processos, diretrizes, políticas, procedimentos e outras medidas administrativas. Envolve a análise de riscos para a segurança da informação e identifica os pontos fracos e as falhas nos sistemas que deverão ser corrigidos, detectando e respondendo à incidentes de segurança e procedimentos para auditorias.

– DLP ou Data Loss Prevention: é um componente essencial na estratégia de segurança de todas as companhias. Este sistema é projetado para detectar e prevenir a utilização não autorizada e a transmissão de informações confidenciais. Ele identifica, monitora e protege os dados em uso, em movimento e em repouso por meio de inspeção de conteúdo. Sem a necessidade de um bloqueio indiscriminado de um tipo específico de arquivo.

– GRC ou Governança, Risco e Conformidade: gerir de forma unificada as vulnerabilidades e analisar a aderência aos regulamentos, políticas e normas – como SOX, ISO, Basiléia, PCI DSS, entre outras -, gera métricas e informações detalhadas dos processos de negócio, operações, frameworks e metodologias.

– SOC ou Centro de Operações de Segurança: tem a missão de administrar a análise de riscos por meio de recursos combinados como equipe de profissionais, hardware dedicado e software especializado, antecipando as ameaças e protegendo os clientes das suspeitas de ataques. O SOC consiste em monitorar a atividade de firewall, IDS – Intrusion Detection System –, antivírus, vulnerabilidades individuais e serviços de gestão de logs. Além disso, orienta os usuários a atenderem as principais regulamentações de segurança em vigor.

– Serviços gerenciados: possibilitam a definição de processos de relacionamento com terceiros e o gerenciamento das expectativas de entrega com métricas claras. Com isso, as equipes de TI são reduzidas e o serviço protege as informações vitais da empresa. Além disso, monitora e gerencia a rede mantendo o ambiente com níveis elevados de segurança, identificando e corrigindo vulnerabilidades.

Com todas essas novidades, o movimento de compra e venda de empresas da área de segurança vai continuar em 2010, segundo dados do Gartner. A consultoria estima que o mercado em 2010 ultrapasse a casa dos US$ 16 bilhões. Em compensação, neste ano, a receita mundial deverá ficar em US$ 14,5 bilhões, um aumento de 8% em relação a 2008.

Segurança da informação está deixando de ser um custo para se tornar um gasto consciente. Isto significa que mais e mais empresas percebem sua importância para a continuidade do negócio e estabelecem comitês cujos representantes respondam por diferentes áreas de uma organização, já que os riscos são iminentes a todos. Talvez, ainda haja um árduo caminho para que segurança seja encarado como investimento, mas já estamos dando os primeiros passos neste sentido.

Fonte: Site Baguete