Cinco questões que devem preocupar os profissionais de TI

Cloud computing, mobilidade e dados distribuídos não precisam de tirar o sono aos CIOs e às suas equipas.

Os profissionais das tecnologias de informação (TI) vêem ameaças vindas de todas as direções. Este cenário é resultado de uma série de situações convergentes: a entrada dos dispositivos móveis no ambiente empresarial, a corrida para a cloud computing (computação na nuvem), a questão dos dados estarem cada vez mais distribuídos e uma pressão constante para a redução de custos.
Até os mais experientes profissionais do sector das TI vivem num estado de alerta permanente. “E o que mais tira o sono do CIO é aquilo que ele desconhece”, refere o director de segurança estratégica da consultora Solutionary, Jon Heirmel.
Eis os cinco motivos que tiram o sono aos profissionais de TI:
Questão número 1: Falhar o centro de dados
O centro de processamento de dados é o coração da empresa. Se ficar indisponível, pode levar toda a empresa consigo. Para muitos profissionais de TI, manter o centro de dados sempre a funcionar é motivo para que o gestor de TIs fique acordado 24 horas por dia, sete dias por semana.
O que pode falhar? A lista é vasta e vai desde desastres naturais até falhas no fornecimento de energia, falta de conectividade, servidores em estado de sobrecarga ou sistemas mal configurados, espionagem eletrónica, sabotagem interna, furtos, roubos e ainda outras ameaças que pairam sobre as empresas.
Simon Taylor, presidente do conselho da Next Generation Data (operadora de centros de dados para bancos, operadoras e agências governamentais do Reino Unido), conhece esses problemas pessoalmente. Ataques terroristas, ocorridos na década de 90 em locais próximos de dois centros de dados sob a sua administração, foram completamente devastadores.
Assim, depois da experiência desastrosa, a Next Generation Data construiu as suas instalações numa pequena cidade da Inglaterra, numa verdadeira fortaleza indestrutível – localizada estrategicamente fora dos limites da cidade, longe de qualquer estrada ou rota de aviões. O perímetro é todo cercado por arame farpado, com vidros à prova de bombas e de balas, e por sensores de infravermelhos.
Os 75 mil metros quadrados dos centros de dados também são cercados por barreiras de cimento resistentes a colisões e o acesso dos funcionários só é autorizado após um exame biométrico à retina. A segurança do local está a cargo de ex-combatentes das forças especiais britânicas.
Para evitar falhas de electricidade, a instalação está ligada a uma subestação distribuidora de energia e tem acesso a 180 mil kVA, “o suficiente para abastecer uma pequena cidade”, realça Taylor. Um outro benefício: o local está instalado numa região de clima predominantemente temperado, o que reduz os custos com sistemas de ar condicionado, e não está sujeita ao aparecimento de furacões, terramotos, incêndios de grandes proporções ou outros desastres naturais.
Questão número 2: Dispositivos móveis com acesso à rede
As medidas super-seguras que as TI tinham para defender a rede interna de potenciais invasores são do passado porque novos equipamentos invadem as empresas, como o iPhone, da Apple.
“Os dispositivos móveis estão a entrar nas nossas vidas a um ritmo superacelerado”, afirma Winn Schwartau, presidente do conselho e fundador do grupo InfoWarCon, que reúne especialistas em segurança. “E o profissional de TI fica intimidado com o possível número de dispositivos móveis que, possivelmente, estão ligados à rede e sobre os quais não sabe nada. Mais do que isso, provavelmente, esses equipamentos fogem das políticas de segurança interna”, acrescenta.
O problema é que aparelhos contendo dados sensíveis podem ser roubados ou perdidos, além de serem passíveis de infecção por malware. Assim e da mesma maneira que sucede com laptops e netbooks, toda a rede pode ser exposta.
As opções para minimizar o problema não são muitas. “Banir os dispositivos móveis do local de trabalho? Boa sorte!”, brinca Scott Archibald, um dos diretores da consultora Bender Consulting. “Queira-se ou não, esses equipamentos são uma realidade e fazem parte da nossa vidas pessoal e profissional”, realça, pelo que a melhor forma de lidar com a situação é permiti-los para criar regras sobre o uso desses aparelhoes nas empresas.
Mas distribuir smartphones a todos os funcionários é uma solução? De acordo com Schwartau, além de não impedir que usem os próprios aparelhos sempre que puderem, é uma alternativa dispendiosa. O que pode ser feito é implementar sistemas de gestão do tipo BlackBerry BES com criptografia, túneis de acesso seguro pela Internet, filtros de conteúdo, firewalls e opções de formatação remota de memória .
“Nenhum dado deve ser armazenado em dispositivos móveis sem estar seguro”, sugere Dan Zeck, CTO da Antenna Software, fornecedora de soluções empresariais móveis. “O recurso de login com autenticação redundante é altamente recomendado. Preferencialmente um com time-out programado. Assim os medos de eventuais furtos ou roubos podem ser mitigados”, acrescenta.
Ainda assim, permanece o risco de roubo de informações. Funcionários podem, de forma inadvertida, partilhar dados críticos usando, por exemplo, redes públicas. “O que me rouba o sono são as coisas que acontecem todos os dias sem que percebamos”, analisa Steve Santorelli, director de operações globais da Team Cymru, entidade sem fins lucrativos dedicada à investigação da segurança de redes.
Questão número 3: A chegada da cloud
As nuvens pairam sobre o horizonte e muitos não estão preparados para elas. Se, por um lado, a cloud computing (computação na nuvem) pode reduzir drasticamente os investimentos em TI e terceirizar (em “outsourcing”) funções menos estratégicas, por outro, esse modelo oferece riscos únicos.
Para Scott Gracyalny, director de serviços tecnológicos de alto risco da auditora Proviti, mesmo que o fornecedor seja altamente seguro, há várias instâncias nas quais podem ocorrer falhas. Um exemplo disso são a alocação de dados e a segregação de informações. Além disso, questões como o suporte, a recuperação e a investigação são áreas bastante sensíveis.
“Cabe às empresas realizar um profundo exame da procura real por essas soluções e contratar uma avaliação de riscos de uma empresa terceirizada”, recomenda Gracyalny. “Existe um contingente enorme de pontos de contacto em que a interface com todo esse novo universo, com que acaba de se ligar, pode dar errado”.
O vice-presidente de operações da Shavlik Technologies, Rob Juncker, afirma que “operar na nuvem representa uma mudança em todos os aspectos, desde a gestão do software até a autenticação de utilizadores”. E tudo se resume a um ponto vulnerável: o browser.
“Capaz de executar praticamente qualquer código após o download de um programa, os browsers tornaram-se a plataforma para aplicações aos quais os administradores de rede têm de prestar muita atenção”, afirma Juncker. “Será que a publicação incessante de actualizações e correções de segurança de aplicações como o Internet Explorer, o Firefox e outras interfaces com a Internet o deixam tranquilo?”
Na perspectiva de Scott Gracyalny, aos administrados de TI resta pouco a fazer, tal como no caso dos dispositivos móveis. “Uma implementação de plataforma na nuvem bem executada pode transformar alguém em herói”, realça. “Em contrapartida, qualquer migração realizada de maneira menos planeada e executada sem eficiência total pode acarretar prejuízos de centenas de milhões de dólares”.
Questão número 4: Roubo de dados
Todos no departamento de TI sabem da necessidade de vigiar os dados armazenados nos discos rígidos da empresa. A paranóia maior são os outros lugares de onde se podem roubas as informações.
De acordo com um estudo realizado pelo Instituto Ponemon, 70% dos roubos de informações ocorre a partir de máquinas não ligadas à rede. Isso não se resume só aos PCs e inclui flash drives (pen drives), dispositivos móveis, fitas de backup, incluindo as memórias em impressoras e fotocopiadoras antigas.
Um exemplo disso ocorreu em Abril, quando a cadeia televisiva norte-americana CBS reportou a existência de um armazém em Nova Jersey (nos Estados Unidos), onde mais de 6000 copiadoras usadas estavam guardadas. Várias delas tinham discos rígidos e havia neles registos médicos, números de segurança social, extractos de pagamento e outras informações de cariz confidencial.
Segundo Bob Houghton, CEO da Remtech, empresa especializada na recuperação e destruição de equipamentos de TI, o perigo esconde-se onde as pessoas menos desconfiam.
Mesmo os departamentos de TI, crentes de terem feito um bom trabalho de remoção de dados dos equipamentos, pecam por não verificarem se ficaram alguns dados importantes ou não nessas máquinas. Uma em cada quatro máquinas que chegam à Remtech ainda contém algum tipo de dado importante.
“A maioria das pessoas não está atenta a isto”, diz Houghton. “Elas simplesmente seguem uma rotina sem verificar os resultados e vão dizer que fizeram tudo de acordo com as normas mas o resultado raramente é auditado para averiguar a sua eficiência. Se você for um gestor de TIs, isso deve mantê-lo acordado”.
Questão número 5: Os directores jamais compreenderão a sua importância
O CIO trabalha 40, 50 e até 60 horas por semana. Mantém tudo a funcionar e – eventualmente – responde a pedidos insólitos. O que ganha com isso? Na melhor das hipóteses, continua invisível.
“Boa parte dos profissionais de TI está preocupada com o futuro profissional e com os recursos destinados ao departamento”, diz o consultor em TIs Scott Archibald. A situação piora com o facto de que os outros departamentos da organização dificilmente expressam uma opinião positiva sobre o trabalho do CIO e da sua equipa.
Patty Azzarello, consultora de recursos humanos do Azzarello Group, afirma que os profissionais de TI enfrentam três grandes problemas: os outros executivos não entendem o seu trabalho, a tecnologia está sempre na lista de bens que podem ser eliminados, e existe o que ela classifica de “amnésia comercial”. Para explicar este conceito, a especialista revela que quando o departamento de TI implementa um projecto com resultados para as vendas, esses resultados são comemorados durante três meses e, depois, todos se esquecem do que aconteceu.
“Nesse esquecimento também conta o facto de as TIs terem de pagar pela manutenção do sistema que proporcionou o crescimento de lucros”, aponta Azzarello.
Nalguns casos, o departamento de TI é responsável por esse esquecimento. Cabe-lhe manter o farol aceso e evidenciar que se trata de uma área essencial e indispensável, na visão de Dave MacKeen, CEO da empresa de recrutamento Eliassen Group.

Adaptado da IDG Now!




Deixe um comentário

O seu email não será publicado