Gerenciamento de TI, Notas de estudo de Sistemas de Informação

Baixe Gerenciamento de TI e outras Notas de estudo em PDF para Sistemas de Informação, somente na Docsity! - 1 – Gerenciamento de TI Módulo 1 - Complexidade da tecnologia Ao mesmo tempo que o uso da tecnologia se torna mais simples e barato, maior é a dificuldade de gerenciamento. Uma evolução contínua Há pouco mais de 40 anos, a Informática era vista como uma forma eficiente de processar dados e possibilitar a automação de funções repetitivas como as executadas pelos departamentos administrativos e contábeis das organizações. Nos anos posteriores, seu casamento com a eletrônica, também chamada de mecatrônica ou automação industrial, contribuiu para aumentar a eficiência e produtividade no chão de fábrica das indústrias. Em pouco tempo, outras importantes e radicais mudanças transformariam o mundo e, fundamentalmente, o setor corporativo. A bem-sucedida aliança entre Informática e telecomunicações permitiu tornar realidade o conceito de globalização, expandindo as fronteiras das empresas para o mundo todo por meio de um simples toque no mouse. O passo seguinte é a convergência tecnológica, reunindo num único dispositivo funções de telefone, computador, Internet, agenda eletrônica, games, televisão, música, entre outras facilidades. Se para uma pessoa comum já é difícil assimilar tantas mudanças em tão curto espaço de tempo, para um gestor da área de Tecnologia da Informação (TI) de uma empresa isso representa um enorme e constante desafio. A complexidade dos atuais parques de máquinas, redes e sistemas instalados é muito grande e está em contínua evolução. Soma-se a isso a necessidade cada vez mais premente de entender não apenas de bits e bytes, mas também da estratégia de negócios da companhia, de forma a responder rapidamente às necessidades dos clientes e do mercado e a estabelecer com fornecedores e demais parceiros uma troca de informações eficiente e em tempo real. De outro lado, os usuários internos da Tecnologia (funcionários dos diversos departamentos da empresa) também passaram a ter voz ativa para a escolha de ferramentas e soluções, obrigando o gestor de TI a considerar o fator humano entre as suas atribuições e responsabilidades. Nesse novo contexto, o profissional de TI precisou e precisa reinventar-se, tornando- se mais flexível e aberto, e menos técnico e fechado, como era imprescindível num passado nem tão distante. - 2 – O ambiente centralizado Retrocedendo no tempo, verificamos que, até o final dos anos 50, os computadores eram tidos como obra da imaginação humana ou como uma fantasia extraída dos livros e filmes de ficção científica. Praticamente apenas alguns poucos segmentos, como as áreas acadêmica, militar e governo, aventuravam-se na experimentação das então grandiosas e complexas máquinas. No Brasil, o governo do Estado de São Paulo foi pioneiro ao adquirir, em 1957, um Univac -120 para calcular o consumo de água na capital paulista. O equipamento era formado por 4.500 válvulas, realizava 12 mil somas e subtrações por minuto e 2.400 multiplicações ou divisões por minuto. No setor privado, uma das primeiras empresas a investir nesse sentido foi a Anderson Clayton, que comprou um Ramac 305 da IBM, em 1959. A máquina tinha cerca de 2 metros de largura e 1,80 de altura, com mil válvulas em cada porta de entrada e de saída da informação, ocupando um andar inteiro da empresa. Considerado, na época, o supra-sumo da inovação, esse computador levava 5 minutos para procurar uma informação e a impressora operava com uma velocidade de 12,5 caracteres por segundo. Em pouco menos de dez anos, essas fabulosas máquinas evoluíram e conquistaram o interesse das empresas de grande porte, órgãos do governo federal e universidades. Eram os anos 60, em que reinavam absolutos os CPDs – Centros de Processamento de Dados, ambientes climatizados, cercados por paredes de vidro, como uma verdadeira redoma, e preparados para abrigar as grandes máquinas Os mainframes Em geral, o CPD era uma área à parte na empresa, à qual tinham acesso apenas os profissionais diretamente envolvidos com os computadores, como analistas de sistemas, técnicos de manutenção, programadores, operadores, entre outros. Inacessível aos funcionários de outros departamentos, o único elo entre essas ilhas de Informática e o resto da companhia eram as pilhas de formulários contínuos contendo informações processadas, as quais haviam sido requisitadas pelos usuários de alguma área específica. Até o final dos anos 70, predominou o que se convencionou chamar de a Era dos CPDs, ou ainda a Era do Computador, em que todas as decisões referentes à Tecnologia estavam a cargo do gerente de processamento de dados e de sistemas de informações gerenciais. Esse profissional se reportava à hierarquia financeira da empresa, e era imprescindível que tivesse conhecimento e competência essencialmente técnicos. O foco da tecnologia, então, era a produtividade, e a tendência organizacional da área de Informática era de centralização. - 5 – No setor financeiro, a atenção se volta para a segurança e a armazenagem dos dados e para as aplicações de missão crítica. As operadoras de telecomunicações e empresas de varejo e da área de serviços priorizam os pacotes que permitem identificar e selecionar os clientes, como as soluções de Customer Relationship Management (CRM), ou gerenciamento do relacionamento com o cliente. As soluções de Business Intelligence, que permitem a análise dos dados sob as mais variadas e inusitadas perspectivas, começam a chamar a atenção das empresas de diversas áreas. A oferta de produtos diversifica-se ainda mais e se mantém em contínua evolução. Em todos os tipos e portes de empresas, os usuários passam a ter participação ativa na escolha e na implementação de novas ferramentas. Sua colaboração torna-se imprescindível para o sucesso dos novos projetos de tecnologia. O futuro Paradoxalmente, ao mesmo tempo em que a Tecnologia se tornou mais acessível a um maior número de pessoas, o seu gerenciamento ficou cada vez mais complexo. Além de orquestrar ambientes heterogêneos compostos por máquinas de diferentes épocas e fabricantes, intranets, extranets, redes locais (LAN), redes de longa distância (WAN), redes e dispositivos sem fio (notebooks, handhelds, palmtops etc) , comunicação por satélite, software para diferentes aplicações, firewall, antivírus, política de segurança e mais uma série de questões puramente tecnológicas, o gerente de TI ainda precisa se preocupar com outros aspectos. ] Saber ouvir, respeitar e atender as necessidades dos profissionais de todas as áreas da empresa, integrar hardware e software novos com o legado, avaliar as inovações tecnológicas, não descuidar dos aspectos relativos à segurança, preocupar-se em reduzir e controlar custos, alinhar a TI com a estratégia de negócios da empresa, e comprovar os benefícios propiciados, são apenas algumas das suas novas atribuições. Gerir a TI na atualidade significa saber trabalhar as idéias e os problemas de modo a analisar a questão sob diferentes aspectos que se integram: os fatores estratégicos, funcionais, técnicos, tecnológicos e de custos. Também se torna importante saber administrar terceiros, uma vez que cresce a tendência de transferir boa parte das funções de TI para empresas externas e especializadas. O gerente de TI deverá lidar mais intensamente com novos desafios como o grid computing, também chamado de utility computing e computação sob demanda – uma maneira de organizar os recursos de TI da mesma forma que as concessionárias públicas usam as redes elétricas para disponibilizar seus serviços. - 6 – O conceito, até agora mais usado em comunidades técnicas e científicas do que em negócios comercias, permite aos usuários compartilhar energia, armazenamento de dados, base de dados e outros serviços em tempo real. Essa tendência, no entanto, segundo afirmam os consultores de mercado, ainda levará de 10 a 15 anos para se tornar realidade. Abordaremos essa questão com maior profundidade nos demais módulos. Alvin Toffler, consultor e jornalista norte-americano, autor de vários livros e respeitado como “futurólogo”, salienta que estamos vivendo o que convencionou chamar de Sociedade de Informação da Terceira Onda, em que o conhecimento passou a ser o ativo mais importante das empresas e não a produção. O desafio dos gestores em todo o mundo, segundo acredita, será o de criar redes de conhecimento capazes de interligar os elementos monetários de seus negócios aos fatores não- monetários, como a articulação da sociedade civil, que questiona o comportamento ambiental das empresas. Toffler destaca três pontos-chave para a gestão do futuro. O primeiro deles é o efeito da velocidade, que significa a capacidade de acompanhar todas as informações que afetam direta ou indiretamente os negócios. O segundo é o efeito da complexidade, que implica em administrar a diversidade de necessidades criadas por uma sociedade informada, ou seja, a capacidade de oferecer produtos customizados para cada cliente. E, finalmente, o efeito da constelação, que se refere à capacidade de perceber as inúmeras redes que estão interligadas em um negócio. Isso não se restringe a identificar áreas de negócios, fornecedores e consumidores, mas também exige um cuidado especial com a estratégia, que precisa ser capaz de coordenar as várias pontas que compõem a atividade econômica. - 7 – Gerenciamento de TI Módulo 2 - Métricas e metodologias Metodologias e indicadores permitem medir e avaliar a performance dos sistemas, facilitando o gerenciamento da TI. Padrões de mercado “O que não se pode medir não se pode gerenciar.” A frase é de Peter Drucker, conceituado professor, consultor e um dos papas da administração moderna, e traduz bem a necessidade, cada vez maior, de que os atuais gestores de TI (Tecnologia da Informação) têm de se servir de metodologias e indicadores que lhes permitam estabelecer objetivos, monitorar os resultados e verificar, de forma objetiva, como e se as metas propostas foram atingidas. A experiência tem mostrado que os antigos manuais de procedimentos utilizados no passado já não atendem mais aos requisitos das empresas. O turbulento ambiente empresarial, que se apóia na Tecnologia e vive em constante mutação, exige formas mais ágeis e flexíveis de gerenciamento. É dentro dessa nova ótica que ganha força o que se convencionou chamar de governança de TI, que nada mais é do que uma estrutura bem definida de relações e processos que controla e dirige uma organização. O principal foco é permitir que as perspectivas de negócios, de infra-estrutura, de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa, alinhando TI à sua estratégia. Dentro desse contexto, além das métricas e metodologias que permitem mensurar a capacidade (em uso e em potencial) dos sistemas, ganha cada vez mais importância a adoção de padrões que assegurem e imprimam à infra-estrutura tecnológica corporativa maior flexibilidade. Esses padrões têm um papel crítico no gerenciamento de ambientes heterogêneos, sem os quais não seria possível facilitar a integração e a interoperabilidade entre os diferentes sistemas e soluções. Atualmente, diante da complexidade e diversidade tecnológica presente nas corporações, já não basta gerenciar desktops, servidores, redes, dados e software de forma isolada. Todos esses componentes precisam interagir uns com os outros, para possibilitar a conectividade e os serviços, e o gerenciamento deve contemplar essas questões. Nesse sentido, as fornecedoras de Tecnologia estão adotando padrões em seus produtos para lhes imprimir maior facilidade de integração e, ao mesmo tempo, para permitir aos usuários um gerenciamento mais eficaz, com menores custos. De sua parte, as empresas usuárias de Tecnologia também começam a prestar atenção a esses detalhes e a escolher produtos com base nisso. - 10 – As principais fornecedoras de soluções de TI, entre as quais se incluem a Intel, 3Com, HP e IBM, entre outras, desempenharam um papel ativo no desenvolvimento do ASF, trabalhando em conjunto com a DMTF. Essas empresas apostam nesse padrão como forma de assegurar aos respectivos clientes do setor corporativo uma forma mais eficiente de gerenciar seus ambientes distribuídos, auxiliando inclusive a maximizar o uptime (disponibilidade) dos sistemas. De outra parte, as corporações usuárias de Tecnologia já começam a exigir esse padrão nos produtos. Outro padrão desenvolvido pela DMTF é o Desktop Management Interface (DMI) Specification, que estabelece um framework padrão para gerenciar desktops, notebooks e servidores ligados em rede. O DMI foi o primeiro padrão para gerenciamento de desktop e coexiste nos ambientes atuais com o WBEM. A especificação inicial, criada em 1993, envolvia o gerenciamento remoto por uma interface e dispunha de um modelo para filtragem de eventos. A versão 2.0, veiculada em 1996, estendeu a especificação original com a definição de um mecanismo que envia as informações de gerenciamento por meio da rede para clientes não locais ou para um site central. Metodologias e indicadores A partir de meados da década de 80, começou-se a perceber que a TI poderia ter um papel mais decisivo na vida das organizações, contribuindo efetivamente para o aumento da competitividade da empresa. De acordo com o professor José Antão Beltrão Moura, do Centro de Engenharia Elétrica e Informática da Universidade Federal de Campina Grande, a empresa tem uma série de objetivos ao usar a TI, para se tornar digital. Alguns deles são: reduzir custos dos processos de negócio e custos para clientes e fornecedores, diferenciar produtos e serviços, reduzir as vantagens dos competidores, inovar na criação de novos produtos e serviços, além de explorar novos mercados ou novos nichos de mercado. A empresa digital também precisa promover e gerenciar a expansão regional e global dos negócios, diversificar e integrar produtos e serviços, criar organizações virtuais de parceiros de negócios, desenvolver sistemas que permitam estabelecer relações estratégicas de negócios com clientes, fornecedores e prestadores de serviço. Sua plataforma de TI deve ser construída tendo em vista que é necessário direcionar os investimentos em pessoal, hardware, software e redes de seu uso operacional para aplicações estratégicas. A TI também poderá ser útil no sentido de coletar a analisar dados internos e externos, na construção de uma base estratégica de informação. - 11 – Medidas estratégicas A árdua tarefa de gerenciamento do ambiente de Tecnologia também pode ser facilitada com a adoção de ferramentas, indicadores e metodologias que auxiliam os profissionais a dimensionar o uso efetivo e o potencial de uso dos sistemas. O rol de produtos é vasto e variado. Atualmente, somam-se às soluções conhecidas e tradicionais, como Balanced ScoreCard, Return on Investment (ROI), TCO (Total Cost of Ownership), Economic Value Added (EVA), e Activity Based Costing, outros modelos que são empregados pelo setor corporativo, como o CobiT, ITIL e CMM. Em seguida, uma breve descrição das principais ferramentas de medição para auxiliar no gerenciamento empresarial que estão sendo utilizadas pelo mercado. Desenvolvida nos Estados Unidos, a metodologia CobiT – Control Objectives for Information and Related Technology foi criada pelo Information System Audit and Control Association (Isaca) em 1996, a partir de ferramentas de auditoria, funcionando como uma espécie de guia para a gestão da TI nas empresas. O CobiT inclui uma série de recursos como sumário executivo, framework, controle de objetivos, mapas de auditoria e um conjunto de processos de trabalho já estabelecidos e empregados pelo mercado, entre os quais se incluem o CMM (Capability Maturity Model), a ISO 9000 (para qualidade), BS7799/ISSO 17799 (normas para segurança da informação) e o ITIL (para gestão do departamento de TI). O CobiT independe das plataformas de TI adotadas pelas empresas e seu uso é orientado a negócios, no sentido de fornecer informações detalhadas para gerenciar processos. A metodologia é voltada para três níveis distintos: gerentes que necessitam avaliar os riscos e controlar os investimentos de TI; os usuários que precisam assegurar a qualidade dos serviços prestados para clientes internos e externos; e auditores que necessitam avaliar o trabalho de gestão da TI e aconselhar o controle interno da organização. O foco principal é apontar onde devem ser feitas melhorias. Complementar ao CobiT, o ITIL - Information Technology Infraestructure Library é uma biblioteca que descreve as melhores práticas de gestão, especificamente elaborada para a área de TI. Criado no final dos anos 80 pela Central Computing and Telecommunications Agency para o governo britânico, o ITIL reúne um conjunto de recomendações, sendo dividido em dois blocos: suporte de serviços (service support), que inclui cinco disciplinas e uma função; e entrega de serviços (service delivery), com mais cinco disciplinas. Os pontos focados apresentam as melhores práticas para a central de atendimento, gerenciamento de incidentes, gerenciamento de problemas, e gerenciamento financeiro para serviços de TI. - 12 – Voltado a auxiliar as empresas a melhorar a produtividade dos processos de desenvolvimento de software e a organizar o funcionamento de seus ambientes de Tecnologia da Informação, o CMM - Capability Maturity Model é uma metodologia que mostra as metas a serem alcançadas, atuando como um modelo de orientação e qualificação dos estágios de maturidade. O CMM define cinco níveis de maturidade para os ambientes de desenvolvimento de software (inicial, repetível, definido, gerenciado e otimizado), sendo que cada um deles é composto por um conjunto de áreas-chave de processo (KPA – Key Process Areas) que descrevem as questões e grandes temas que devem ser abordados e resolvidos para se atingir um determinado nível. Metodologias tradicionais Uma das metodologias mais visadas na atualidade é o Balanced ScoreCard, criada no início da década de 90 por Robert Kaplan e David Norton, ambos professores da Harvard University (EUA). Seu emprego permite a uma empresa obter uma base mais ampla para a tomada de decisão, considerando quatro perspectivas: a financeira (segundo a visão dos acionistas), a dos clientes, a de processos internos de negócios, e a de inovação. Na prática, a metodologia consegue mostrar o que é mais crítico, possibilitando direcionar os recursos para os processos que de fato adicionarão valor à empresa. A Tecnologia é uma peça importante para colocar o BSC em funcionamento, mas não é suficiente porque a metodologia interage com a cultura da corporação. Por ser complexa e envolver toda a estrutura empresarial, a adoção desse modelo deve partir da alta direção ou mesmo do próprio presidente da empresa. O projeto de construção do BSC se aplica a qualquer empresa, independente do ramo de atividade e porte, levando em média de 8 a 12 semanas para ser concluído, mas os benefícios começam a ser percebidos um ano após a implementação. O emprego dessa metodologia possibilita uma visão ampla, geral e integrada da empresa, por meio de diversos painéis. Trata-se de um modelo flexível, que permite ajustes ao longo do tempo. O Balanced ScoreCard cria uma linguagem para comunicar a missão e a estratégia da empresa a todos os funcionários e utiliza indicadores para informar sobre os vetores de sucesso alcançados no momento e os pretendidos no futuro. Dessa forma, é possível canalizar as energias e os esforços das pessoas para atingir os objetivos de longo prazo. - 15 – Indicadores tradicionais Além das metodologias e métricas específicas para a área de TI, os gestores de informática podem se valer de outros sistemas que já vinham sendo utilizados pelas empresas antes do uso maciço da tecnologia. O método Activity Based Costing (ABC), por exemplo, foi adotado inicialmente pelo setor industrial, usado como uma poderosa ferramenta para o gerenciamento dos custos de produção, sendo posteriormente empregado também em outras áreas, como a de serviços. A idéia básica é a de que todas as atividades de uma empresa voltadas a suportar a produção e distribuição de bens e serviços devem ser consideradas como custos do produto. O ABC integra várias atividades distintas, entre as quais a análise de valor, a análise de processos, controle de custos e controle da qualidade. As abordagens baseadas em atividades geram informações importantes para apoio à decisão, na medida em que fornecem aos gerentes um panorama claro de como se comportam os custos e quais as formas de controlá-los eficientemente para otimizar o desempenho dos negócios. Alguns gestores também fazem uso do Economic Value Added (EVA), ou Valor Econômico Agregado -, método de desempenho corporativo desenvolvido pela consultoria norte-americana Stern Stewart, na década de 80, que corresponde à subtração do lucro operacional do custo do capital. Existem ainda outras metodologias e métricas que constituem importantes ferramentas para auxiliar os gerentes de Tecnologia a monitorar e a controlar custos e para avaliar benefícios. O emprego desses sistemas, de forma individual ou combinado, está se tornando obrigatório para as corporações se manterem ágeis e assegurar seu poder de competitividade. - 16 – Gerenciamento de TI Módulos 3 - Gerenciamento de desktops A dinâmica da evolução tecnológica modificou o ambiente de TI das corporações tornando o gerenciamento mais complexo e desafiador. Dos “terminais burros” aos PCs Durante décadas, o diretor de informática limitou-se a administrar a Tecnologia de forma tática e técnica. O ambiente centralizado, baseado na Tecnologia proprietária que vigorou nos anos 60 e 70, embora apresentasse grande complexidade, era mais fácil de ser gerenciado. A atenção do gestor da área estava basicamente focada no desenvolvimento de aplicativos, análise de sistemas, cuidados com a sua equipe, manutenção, atendimento às solicitações dos diferentes departamentos da empresa e atividades técnicas. A diversidade de máquinas e software era pequena, se comparada aos dias atuais. Ao mainframe estavam ligados alguns periféricos e os então chamados "terminais burros", que permitiam acesso aos dados a limitado número de usuários. Nesse período, a escolha de novas tecnologias era de certa forma facilitada, na medida em que havia poucos fornecedores no mercado. Esse modelo deixou de vigorar com a proliferação do ambiente cliente-servidor e da computação distribuída. Em curto espaço de tempo, novas empresas fornecedoras de hardware e software ampliaram consideravelmente a oferta de opções, tornando mais complicado o processo de escolha. De outro lado, os usuários de diferentes departamentos da corporação passaram a ter acesso a ferramentas de Tecnologia, resultando no aumento do número de estações de trabalho, de computadores de mesa (desktops, os conhecidos PCs) e devices móveis (notebooks) em uso. Com isso, o ambiente de informática tornou-se múltiplo e bem mais complexo. Muitas empresas passaram a dispor de um parque heterogêneo, composto por máquinas de diferentes fabricantes, portes e datas de fabricação, executando diferentes sistemas operacionais e utilizando diferentes versões de software. Velhas e novas gerações de ferramentas de TI ligadas em redes passaram a conviver num mesmo ambiente, o qual passou a estar em constante transformação. Gerenciar Tecnologia da Informação deixou de ser uma atividade puramente técnica. Hoje, significa direcionar recursos para atingir objetivos estratégicos. - 17 – Novos desafios A dinâmica da evolução tecnológica gerou um efeito colateral. Os altos custos diretos e indiretos relacionados à manutenção de todo o aparato computacional levaram as empresas a reavaliar sua infra-estrutura de TI e a buscar identificar, medir e comprovar os benefícios propiciados em disponibilidade, confiabilidade, acessibilidade e eficiência dos sistemas. Diante dessa variedade de mudanças, cabe ao diretor da TI a difícil tarefa de imprimir eficiência aos processos de negócios, e ao mesmo tempo, reduzir os custos operacionais. O bom gerenciamento e a melhor utilização do aparato computacional instalado passaram a ser fundamentais e também os principais desafios do administrador de TI. No que se refere especificamente ao parque de PCs (desktops), estudos do Instituto de Pesquisa Gartner mostraram que as empresas que não mantêm um gerenciamento adequado de hardware e software distribuídos podem registrar um aumento anual da ordem de 7% a 10% no custo total de propriedade. Por monitoramento impróprio, essas corporações acabam acessando informações inadequadas para planejar upgrades de hardware ou sistemas operacionais. Além de aumentar os custos, o mau gerenciamento colabora para que os gestores da área tracem previsões incorretas sobre os equipamentos que os usuários de fato têm e para os quais devem desenvolver aplicações. O instituto de pesquisa Gartner também concluiu que, ao contrário, quando o gerenciamento é adequado e bem executado, pode-se reduzir o TCO (custo total de propriedade) em cerca de 30%. A estratégia se resume em focar a redução de custos de todas as fases do ciclo de vida do PC, levando em consideração também o ambiente de TI do qual faz parte. Centralizar o controle da TI e optar pela adoção de um ambiente padronizado (com produtos de um único fabricante ou de poucos fornecedores) são outras atitudes que podem trazer grandes benefícios, entre os quais facilitar o suporte, agilizar a resolução de problemas, facilitar a atualização de antivírus e programas aplicativos e otimizar o treinamento de usuários, além de reduzir custos. Uma pesquisa feita pelo Giga Information Group mostrou que a padronização de PCs pode gerar reduções da ordem de 15 % a 25% no custo da TI durante o ciclo de vida dos sistemas. Planejamento da capacidade O ciclo de vida dos PCs é dividido em quatro fases principais: avaliação, distribuição/migração, gerenciamento e desativação/renovação. - 20 – No caso da TI, ocorre o mesmo. Além de ficarem mais sujeitos a falhas, os sistemas podem apresentar baixa performance e ficar mais vulneráveis a tentativas de invasão por hackers e vírus. De acordo com alguns consultores, na prática, o número de empresas que opta pela estratégia de renovar o parque instalado é grande nos Estados Unidos e em países do primeiro mundo, que têm mecanismos financeiros e de mercado favoráveis . Mas o mesmo não acontece em países como o Brasil e os da América Latina. Nesses locais, verifica-se que a atualização tecnológica não é mandatória, e sim limitada a alguns segmentos da empresa, especialmente nos que têm interface com o mundo externo. No Brasil, não é difícil encontrar indústrias que ainda utilizam soluções ultrapassadas, por exemplo, linguagem Cobol e sistema operacional DOS, e que não querem investir em inovação porque essas tecnologias antigas ainda as atendem de forma satisfatória. No que se refere a novos investimentos em TI em países emergentes, a realidade mostra que os gestores precisam verificar como a informática flui nos diferentes departamentos da sua empresa e qual o grau de maturidade dos usuários para lidar com ela. Outra questão importante é verificar que resultados serão obtidos com as novas ferramentas e quanto à atualização tecnológica impactará na evolução dos negócios da corporação. As práticas de gerenciamento representam maior peso, principalmente na redução dos custos diretos e indiretos (que hoje constituim-se na maior pressão sofrida pelos gestores da TI por parte da alta direção), são as práticas de gerenciamento. Fazer um inventário do parque de hardware e software instalado possibilita efetuar maior controle sobre os ativos, além de combater a pirataria, na medida em que é feito o levantamento da quantidade de licenças instaladas, e ainda contribui para disciplinar o uso desses recursos dentro da organização. Também é importante contar com um programa eficiente de segurança e proteção de dados, de forma a disciplinar o uso dos ativos de TI, impedindo a instalação e a remoção de software pelos usuários. Optar pela padronização do ambiente também é uma atitude inteligente, na medida em que facilita a utilização dos recursos por parte dos usuários, além de reduzir os custos com treinamento e minimizar o trabalho de help desk. São práticas que, no conjunto, contribuem para reduzir os custos totais em até 30%. - 21 – Gerenciamento da mobilidade Atualmente, a força de trabalho está muito mais móvel e distribuída do que nunca, e esse processo deverá se acentuar nos próximos anos. Os sistemas operacionais modernos e as aplicações de gerenciamento oferecem um largo espectro de ferramentas que permite monitorar e gerenciar os sistemas cliente de forma remota, controlando o inventário, solucionando problemas e instalando ou renovando software. As soluções que possibilitam o gerenciamento remoto da base de usuários móveis facilitam, principalmente, as tarefas de manutenção e help desk. Se um usuário tiver problemas com um aplicativo, o pessoal técnico poderá visualizar o problema e solucioná-lo remotamente. Segundo o Gartner, as corporações podem registrar uma economia da ordem de US$ 21 a US$ 77 por máquina, por ano, dos custos de help desk apenas adotando essa prática. Outra forma de cortar custos e otimizar o gerenciamento dos ambientes distribuídos é espalhar pela corporação estações de reserva pelas quais os funcionários podem fazer backups e repor componentes dos sistemas conforme as suas necessidades. Desse modo, são criadas estações de serviços voltadas para atender os usuários de notebooks e ajudá-los a solucionar problemas de forma rápida e eficiente. Em resumo, as melhores práticas para o bom gerenciamento da base de PCs recomendam que sejam tomadas algumas atitudes simples, como substituir PCs de forma pró-ativa, simplificar e padronizar o ambiente, segmentar a base de usuários, manter os softwares atualizados, otimizar o processo de distribuição de sistemas, e monitorar o ambiente móvel por meio de soluções distribuídas. - 22 – Gerenciamento de TI Módulo 4 - Gerenciamento de servidores A proliferação de servidores dificulta o gerenciamento da infra-estrutura, o que aumenta os riscos de ineficiência dos sistemas. Os benefícios da consolidação A opção pelo modelo de computação distribuída vem sendo feita pelas corporações desde o início da década de 80. Esses ambientes de Tecnologia podem dispor de um único computador com maior capacidade, utilizado como servidor de várias estações- cliente (desde PCs comuns a estações de trabalho). O mais comum, no entanto, é as empresas contarem com um ambiente heterogêneo, com vários servidores distribuídos ou ligados em cluster (vários servidores ligados em rede). Esse modelo requer maiores cuidados de gerenciamento para que a infra-estrutura não se torne complexa demais, ineficiente, cara e necessitando de contínuos investimentos em equipamentos, componentes e pessoal. Devido às limitações do hardware e do software no passado, muitos operadores e administradores ainda permanecem presos a alguns conceitos e regras, por exemplo, a de que cada aplicação de missão crítica deve ficar num único servidor dedicado, o qual nunca pode utilizar mais do que 80% da capacidade da CPU (unidade central de processamento). Com a evolução tecnológica, isso não faz mais sentido. Atualmente, a grande preocupação dos gestores de TI refere-se à proliferação do número de servidores. Cada vez mais as empresas investem em novos equipamentos, em busca de aumentar a produtividade e atender às crescentes necessidades dos negócios o que, ao contrário, pode causar graves transtornos e dificuldade de gerenciamento. A diversidade de plataformas operacionais e de gerações tecnológicas num único ambiente provoca problemas de operação, manutenção, atualização e, conseqüentemente, influi nos custos. Um dos fatores que tem contribuído para o aumento do número de servidores nas empresas é a redução do custo do hardware, a cada ano, embora esse valor represente apenas 20% do custo total de propriedade. Apesar de a opção de instalar vários servidores possa parecer uma alternativa barata, cada nova máquina que chega, no entanto, adiciona custos ocultos significativos, requerendo dedicação dos técnicos especializados em atividades de depuração, otimização e gerenciamento. Além disso, é necessária a manutenção de diferentes configurações como scripts operacionais, versões de sistemas, utilitários de apoio, procedimento de backup e disaster recovery. - 25 – Para atender essas necessidades, surgiram soluções de gerenciamento das mudanças, que em síntese são produtos indicados para simplificar o gerenciamento de aplicativos e dados, reduzindo a necessidade de administração local e, conseqüentemente, diminuindo a quantidade de chamados ao help desk. Hoje, a maioria das soluções para gerenciamento de mudanças em servidores é formada por uma mescla de sistema de distribuição de aplicativos e de conteúdo, e de instalação de arquivos, a partir de repositórios principais para pontos na rede, cujo objetivo é oferecer controle em tempo real e disponibilidade de recursos. - 26 – Gerenciamento de TI Módulo 5 - Gerenciamento das redes O aumento da complexidade das redes tornou obrigatório um gerenciamento eficaz para o pleno funcionamento de todo o aparato computacional. A evolução das redes O surgimento das redes está intimamente relacionado à disseminação de computadores pessoais, estações de trabalho, servidores e outras ferramentas. Elas foram projetadas, inicialmente, para possibilitar o compartilhamento de recursos caros, como alguns programas aplicativos específicos e bancos de dados, além de impressoras e demais periféricos. As primeiras redes locais surgiram nas universidades americanas no início dos anos 70, mas foi a partir da década de 80, com o lançamento comercial da Ethernet (que se tornou padrão de redes locais de PCs) e da proliferação do modelo cliente/servidor, que esse processo se difundiu nas empresas. Nos anos subseqüentes, a evolução das ferramentas de informática e das telecomunicações, aliada à redução de custos dos recursos computacionais, somada ao crescimento da Internet e às tecnologias mobile e wireless (sem fio), possibilitou a criação de diferentes tipos e tamanhos de redes, as quais se mantêm em constante evolução. A lógica é muito simples: a partir do momento em que passamos a usar mais de um micro, seja dentro de uma grande empresa ou num pequeno escritório, fatalmente surge a necessidade de transferir arquivos e programas, compartilhar a conexão com a Internet e periféricos de uso comum entre os sistemas. Adquirir uma impressora, um modem e um drive de CD-ROM para cada micro, por exemplo, e ainda usar disquetes, ou mesmo CDs gravados para trocar arquivos, não seria produtivo, além de elevar os custos em demasia. Com os micros ligados em rede, transferir arquivos, compartilhar a conexão com a Internet, assim como com impressoras, drives e outros periféricos, contribui não apenas para melhor aproveitamento dos investimentos feitos nesse ferramental, mas também otimiza a comunicação entre os usuários, seja através de um sistema de mensagens ou de uma agenda de grupo, entre outras possibilidades. Numa empresa na qual várias pessoas necessitem operar os mesmos arquivos, por exemplo, num escritório de arquitetura, onde normalmente muitos profissionais trabalham no mesmo desenho, centralizar os arquivos em um só lugar é uma opção interessante, na medida em que há apenas uma versão do arquivo circulando pela rede e, ao abri-la, os usuários estarão sempre trabalhando com a versão mais recente. - 27 – Centralizar e compartilhar arquivos também permitem economizar espaço em disco, já que, em vez de haver uma cópia do arquivo em cada máquina, existe uma única cópia localizada no servidor de arquivos. Com todos os arquivos no mesmo local, manter um backup de tudo também se torna muito mais simples. Além de arquivos individuais, é possível compartilhar pastas ou até uma unidade de disco inteira, sempre com o recurso de estabelecer senhas e permissões de acesso. A sofisticação dos recursos de segurança varia de acordo com o sistema operacional utilizado. Um sistema que permita enviar mensagens a outros usuários pode parecer inútil numa pequena rede, mas numa empresa com várias centenas de micros, divididos entre vários andares de um prédio, ou mesmo entre cidades ou países diferentes, pode ser vital para melhorar a comunicação entre os funcionários. Além de texto (que pode ser transmitido por e-mail comum), pode-se montar um sistema de comunicação viva-voz, ou mesmo de videoconferência, economizando os gastos em chamadas telefônicas, pela Internet (Voz sobre IP - VoIP). Originalmente projetado para a transmissão de dados, o protocolo IP tornou-se padrão da Internet e vem se destacando no tráfego de voz, dados e imagens, sendo cada vez mais empregado pelo setor corporativo. Hoje, as empresas buscam integrar suas redes à Web para permitir que clientes, parceiros de negócios e os próprios funcionários tenham acesso às informações em qualquer lugar. As opções em produtos, arquiteturas, protocolos, tipos de transmissão, entre outros elementos que compõem uma rede são inesgotáveis e cabe ao gestor da TI saber escolher e agregar novos componentes e orquestrar todo esse aparato, de modo que funcione em perfeita harmonia. E, à medida que aumenta a quantidade de usuários das aplicações corporativas, o volume de informações e a necessidade de administração dos dados crescem na mesma proporção. Dessa forma, aumenta a necessidade de monitorar o consumo de banda e de programar sua expansão ou, ainda, de estudar o emprego de tecnologias que permitam comprimir os dados. Também se faz necessário controlar a disponibilidade dos recursos computacionais, verificando se os servidores e os desktops estão funcionando adequadamente e se as aplicações estão disponíveis quando os usuários necessitam delas. A análise da performance é outro elemento fundamental para, no caso de alguma queda, identificar onde está o problema, se na rede, nos computadores ou nos aplicativos. - 30 – Gerenciamento Independentemente do tipo, tamanho da rede, seus componentes, arquiteturas e protocolos utilizados, se conectadas fisicamente via cabo, ou remotamente via satélite, ondas de rádio, ou infravermelho, o que permanece imutável e comum a todas elas é a necessidade de controlar cada elemento, de tal forma que seja possível maximizar a sua eficiência e produtividade, e assegurar o seu funcionamento. O gerenciamento de todo esse aparato, seja uma simples rede composta por poucos computadores, seja a mais complexa das composições, compreende um conjunto de funções integradas, provendo mecanismos de monitoração, análise e controle dos dispositivos e recursos. Os principais objetivos de gerenciar esses ambientes são, basicamente, reduzir custos operacionais, minimizar os congestionamentos da rede, detectar e corrigir falhas no menor tempo possível de forma a diminuir o downtime (indisponibilidade) dos sistemas, aumentar a flexibilidade de operação e integração, imprimir maior eficiência e facilitar o uso para a organização como um todo. A realização dessas tarefas requer metodologias apropriadas, ferramentas que as automatizem e pessoal qualificado. Atualmente existem no mercado diversos tipos de ferramentas que auxiliam o administrador nas atividades de gerenciamento. Essas ferramentas são divididas em quatro categorias principais: Ferramentas de nível físico, que detectam problemas em cabos e conexões de hardware. Monitores de rede, que se conectam às redes supervisionando o tráfego. Analisadores de rede, que auxiliam no rastreamento e na correção de problemas encontrados nas redes. Sistemas de gerenciamento de redes, os quais permitem a monitoração e o controle de uma rede inteira a partir de um ponto central. Entre a gama de soluções possíveis para o gerenciamento de redes, uma das mais usuais consiste em utilizar um computador que interage com os diversos componentes da rede para deles extrair as informações necessárias ao seu gerenciamento. Evidentemente, é preciso montar um banco de dados no computador, que será o gerente da rede, contendo informações necessárias para apoiar o diagnóstico e a busca de soluções para problemas. Isto envolve esforço para identificar, rastrear e resolver situações de falhas. Como o tempo de espera do usuário pelo restabelecimento do serviço deve ser o menor possível, tudo isso deve ser feito de maneira eficiente. Os sistemas de gerenciamento de redes apresentam a vantagem de ter um conjunto de ferramentas para análise e depuração. Eles podem apresentar também uma série de mecanismos que facilitam a identificação, a notificação e o registro de problemas, por exemplo: - 31 – Alarmes que indicam, por meio de mensagens ou bips de alerta, anormalidades na rede. Geração automática de relatórios contendo as informações coletadas. Facilidades para integrar novas funções ao próprio sistema de gerenciamento. Geração de gráficos estatísticos em tempo real. Apresentação gráfica da topologia das redes. Outro ponto que merece a atenção do gestor da TI são os serviços de telecomunicações, que figuram como os gastos mais difíceis de serem administrados. Hoje, o desafio é ainda maior, pois é necessário reduzir custos sem, no entanto, comprometer a solidez da infra-estrutura da rede da corporação. Existem ferramentas de gerenciamento de serviços de comunicação que facilitam uma série de tarefas, como a realização de inventário central, que inclui os aspectos técnicos e de bilhetagem de cada circuito; gerenciamento de dados e ferramentas para produção de relatórios e controle de contas, contratos e gerenciamento de circuito; integração de outras plataformas de TI, como sistemas help desk, plataformas para gerenciamento de desktop e rede, planejamento de recursos empresariais e contabilidade; e links para operadoras e outros provedores de serviços via XML ou extranet. O gerenciamento de telecomunicações corporativas permite uma administração contínua das operações da empresa. Mas é necessário determinar qual nível resultará no melhor retorno sobre o investimento. O gerenciamento de rede na prática Devido à grande complexidade dos ambientes de TI e das pressões não só para reduzir custos, mas também para justificar a real necessidade de investimentos, fica praticamente impossível ao diretor da área fazer um gerenciamento eficaz sem o auxílio de metodologias e ferramentas que permitam automatizar processos. As empresas, e principalmente as altamente dependentes da tecnologia, estão cada vez mais conscientes dessa necessidade. - 32 – Gerenciamento de TI Módulo 6 - Ferramentas de gerenciamento Cada vez mais poderosas e específicas, as ferramentas de gerenciamento permitem monitorar e controlar o ambiente de TI. Monitoramento e controle Foi-se o tempo em que era possível gerenciar o ambiente de TI de forma empírica e manual. Com a adoção em massa do modelo de computação distribuída, pelas empresas, e a crescente dependência da tecnologia para atingir metas de negócios, é cada vez maior a necessidade de dispor de ferramentas que permitam monitorar e controlar os sistemas em todos os níveis e camadas. Não é de se estranhar, portanto, a tendência de crescimento do mercado de software de gerenciamento que, segundo dados da International Data Corporation (IDC), deverá movimentar algo próximo a US$ 11,5 bilhões em 2006. De todos os fatores que contribuíram para essa realidade, a Internet, sem dúvida, teve um grande peso, na medida em que criou uma rede que possibilita um nível de interação nunca antes imaginado entre a empresa, clientes, fornecedores e demais parceiros de negócio. Gerenciar a infra-estrutura que suporta as transações no mundo virtual tornou-se essencial. Monitorar e azeitar a rede são procedimentos importantes. O mesmo vale para seus principais atores (desktops e servidores) individualmente, e ainda analisar a disponibilidade de aplicações e base de dados, planejar a capacidade dos sistemas e administrar o uso de software e falhas, conteúdo e pessoas, sem descuidar da segurança. Existem ferramentas de gerenciamento para cada uma dessas áreas, que se adaptam às mais complexas e diferentes plataformas, sejam as baseadas em Unix e Linux, sejam as baseadas em MSWindows e ambiente Intel. Uma das formas de prever a viabilidade de utilização das ferramentas de gerenciamento é desenhar workflows para cada processo presente na empresa. Podem ser adotadas soluções que atendam, inicialmente, às áreas mais críticas e, em seguida, expandir o uso. Não existe, no entanto, nenhuma fórmula a ser seguida. Podem ocorrer, também, problemas de integração posterior das diferentes soluções, embora isso costume ser contornado pelos fornecedores que conseguem customizar o software para cada cliente e situação específica. - 35 – Também podem ser utilizadas ferramentas que irão gerenciar elementos específicos e pontuais como servidores, desktops, storage, e-mails, entre outros. Em geral, as soluções de gerenciamento de servidores permitem avaliar a performance das máquinas, planejar sua capacidade de processamento, fazer inventário de hardware e software e monitorar os bancos de dados e demais aplicativos (como ERP, CRM, BI etc). No caso dos desktops, um dos principais benefícios propiciados pelos sistemas de gerenciamento é fornecer ao diretor da área de TI maior controle sobre o parque de máquinas e, especialmente, sobre as licenças de software. Como em geral, nas grandes empresas, a decisão sobre o uso de software é do usuário final, é grande o risco de utilização de programas piratas, licenças não-autorizadas ou mesmo aplicativos não-autorizados pela empresa. Isso tudo, além gerar complicações legais, contribui para aumentar o custo causado pelo excesso de programas sendo executados em uma rede. O grande desafio das ferramentas de gestão não está exatamente no controle, mas no auxílio ao usuário, para que ele entenda o que pode ou não ser usado. Gerenciamento de dados e e-mail Com o maior uso da Internet, intranets e extranets, se faz necessário também outro tipo de gerenciamento: o de storage. Especialmente nas empresas de maior porte ou nas que contam com grande parque tecnológico, o crescimento do volume de dados requer a tomada de medidas apropriadas para seu correto armazenamento. Alguns analistas avaliam que no mercado brasileiro ainda falta maturidade nessa área. Isso porque, mesmo com a vasta oferta de ferramentas de gerenciamento de storage, os executivos de TI acabam optando pela compra de discos de armazenamento que, na prática, não atendem aos interesses e dificultam o controle. Mas esse panorama já está mudando, devido à necessidade de colocar dados on-line e armazenar dados com critério. O bom uso das ferramentas pode permitir, por exemplo, que a quantidade de dados que cada profissional de tecnologia gerencia salte de 1,5 TB para 15 TB. Isso significa que a redução de custo não ocorre apenas nos equipamentos de storage, mas no Departamento de Recursos Humanos. Outra questão que preocupa as empresas, em geral, refere-se ao gerenciamento de e-mails e de acessos à Web. Transformada em ferramenta de trabalho indispensável, a Internet, se de um lado traz uma série de benefícios e facilidades, de outro requer iniciativas para normatizar seu uso. Há falhas na utilização tanto de e-mails quanto de sites, o que implica na redução de produtividade, destruição de informações e maior exposição a vírus e ataques indesejados. - 36 – Mas existem normas que, associadas a ferramentas de controle, são simples de implementar e solucionam os problemas. A Glaxo SmithKline (GSK), por exemplo, criou um comitê de Segurança da Informação, composto por representantes de várias áreas da companhia. Esse grupo definiu a política de uso da Web. Na prática, o documento estabeleceu critérios para uso de e-mails e os tipos de sites que podem ser acessados e os que estão proibidos: pornográficos, racistas e de cunho informativo duvidoso. A ferramenta escolhida para efetuar esse controle foi um software da Aker, instalado antes do firewall. O aplicativo bloqueia qualquer tentativa de acesso a conteúdo não-autorizado. Quanto aos e-mails, foi proibida a realização de downloads de aplicativos, por firewalls e customizações internas. Com essas medidas, o consumo de banda caiu 20%. Web Services O mercado dispõe de um amplo leque de opções para todos os tipos de gerenciamento e voltadas a atender às necessidades de empresas de diferentes portes e ramos de atividade. Segundo o Gartner , os fornecedores de software de gerenciamento deverão basear suas aplicações em Web Services, em vez de adotar arquiteturas proprietárias, ou reestruturar os sistemas com foco nos modelos primários de comunicação entre os módulos pelo uso de protocolos abertos. Conceituados como componentes de software utilizados para integração entre aplicações corporativas, assim como para realizar a conexão entre empresas, clientes e parceiros, os Web Services estão cada vez mais recebendo atenção de fornecedores de soluções que os vêem como uma tecnologia voltada para a interoperabilidade. Principais Players Há muitos fornecedores disputando uma fatia desse mercado, que tende a ficar cada vez mais promissor. Entre as líderes destacam-se: Computer Associates, HP, IBM Tivoli, BMC Software, Compuware e Peregrine. Veremos a seguir, um resumo das principais famílias de ferramentas. Computer Associates O Unicenter, base de gerenciamento da empresa, realiza 43% de seus negócios, a partir dessa tecnologia. Sob o guarda-chuva do Unicenter, abrigam-se 6 modalidades principais: network and systems, automated operations, IT resources, database, Web infrastructure e aplications, todas baseadas em arquitetura de inteligência distribuída. A CA também dispõe de soluções para gerenciamento sem fio: o Wireless Network Management (WNM) e o Mobile Device Management (MDM). As soluções são modulares e podem ser implementadas aos poucos. - 37 – A empresa já lançou seus primeiros produtos voltados para o gerenciamento de Web Services, dando um grande passo num mercado dominado por pequenas companhias e startups. O Unicenter Web Services Distributed Management monitora a performance dos aplicativos, notificando os administradores de sistema. O produto controla a construção das interfaces de software de acordo com os padrões Web Services. HP Depois da fusão da HP com a Compaq, a plataforma de gerenciamento OpenView ganhou um reforço: o Temip, voltado para centrais telefônicas e infra-estrutura de telecomunicações. O OpenView se baseia em camadas: análise de falhas, de performance e gerenciamento do serviço. As ferramentas podem gerenciar as aplicações, apontando, em seguida, onde estão as falhas. Os usuários podem optar por saber primeiro onde está o problema ou qual processo foi afetado. IBM Tivoli A empresa oferece soluções que suportam as linhas de negócios e não apenas a infra-estrutura. É um amplo portfólio de produtos que, juntos, possibilitam aos clientes selecionar, integrar e implementar software de gerenciamento em ambientes complexos. Os módulos principais são: gerenciamento da performance e disponibilidade, configuração e operações, segurança, armazenamento e serviços. Entre os produtos, destacam-se o Service Level Advisor, baseado em algoritmos complexos; o Enterprise Data Warehouse, desenvolvido sobre a tecnologia DB2 para arquivamento de dados de gerenciamento de sistemas; e o Switcher Analyzer, para monitoramento de redes. BMC Software As áreas cobertas pelas soluções disponibilizadas pela empresa são dados, aplicações, armazenamento e segurança. Denominadas Patrol (para ambiente distribuído) e MainView (para mainframe), os módulos que as compõem podem ser implementados de forma gradativa, de acordo com a necessidade dos clientes. O Patrol controla níveis de serviço, otimiza a performance e prevê a ocorrência de problemas antes que afetem os processos de negócios. O módulo Application Centric Network Management provê o gerenciamento de redes por meio da perspectiva da aplicação. Entre suas funcionalidades, incluem-se a análise de desempenho da rede e dos seus dispositivos, o planejamento da capacidade e a visualização gráfica da topologia e do tráfego. Outra família de produtos é a Incontrol, que gerencia e integra soluções corporativas pela simplificação do gerenciamento da produção, automação e segurança a partir de um único ponto central. - 40 – Uma empresa, por exemplo, que disponibiliza para o público em geral uma página na Internet voltada para receber currículos, se tiver algum problema de violação por hackers, não sofrerá grandes perdas. Óbvio que terá prejuízos, principalmente quanto à sua imagem e à perda de informações, mas nada que seja comprometedor. Nesse caso, não se aplicam soluções altamente sofisticadas como as de biometria, por exemplo, que também são muito caras, porque essas informações não são essenciais para a empresa, e o investimento não se justificaria. Por isso, é fundamental que o primeiro passo seja identificar quais são as fragilidades da empresa e pontuar as áreas que requerem maior nível de proteção, tendo certeza do risco (risk assessment ) para que não haja investimento maior que o necessário. Esse planejamento tem de ser feito sob a óptica do negócio e não da Tecnologia. O segundo passo refere-se à verificação dos processos da empresa e ao estabelecimento de políticas de segurança. Depois dessas definições, parte-se para a escolha e o emprego de ferramentas e soluções para prevenir e evitar violações aos sistemas. Finalmente, deve ser feito um trabalho interno de conscientização. Todos os funcionários devem ser treinados e orientados sobre as medidas de segurança adotadas. De nada adianta dispor de vários mecanismos sofisticados de senhas, reconhecimento de usuários etc, se depois de todos os cuidados um profissional se descuidar e deixar sobre a sua mesa um relatório confidencial que pode acabar sendo visto por pessoas não-autorizadas. A adoção das especificações ISO 177-99 pode ajudar os gerentes de TI na difícil tarefa de administrar a segurança. Essas especificações têm as 10 áreas de controle: * Política de segurança * Segurança organizacional * Controle e classificação de ativos * Segurança das pessoas * Segurança do ambiente * Gerenciamento e controle das operações de comunicação * Controle de acesso aos sistemas * Desenvolvimento de sistemas e manutenção * Gerenciamento de continuidade dos negócios * Especificações de segurança Apenas 40% dessas especificações são relativas à Tecnologia da Informação. As 60% restantes referem-se a pessoas, processos e treinamento. Se uma empresa estiver atenta a tudo isso, terá 80% das suas necessidades de segurança atendidas. Quanto aos aspectos tecnológicos, há três áreas que merecem atenção do gerente. A primeira é a área de defesa da corporação. Algumas empresas instalam antivírus e firewall e acham que, com isso, estão protegidas, esquecendo que existem outras formas de invasão que não são bloqueadas com essas ferramentas, como o spam. É preciso administrar as vulnerabilidades decorrentes do próprio crescimento do ambiente computacional. - 41 – A segunda área é a de gerenciamento da identidade. É necessário implementar soluções que permitam identificar e reconhecer o usuário, para que se tenha certeza de que quem está acessando as informações e aplicativos é, de fato, o funcionário autorizado para isso. O gestor também precisa levar em consideração que o perfil das pessoas muda com o decorrer do tempo. Um diretor de marketing que tinha acesso a informações e sistemas específicos pode vir a assumir outra função dentro da empresa. Por exemplo, passar a diretor financeiro. Em geral, ele acaba sendo autorizado a acessar outras informações e sistemas, acumulando os anteriores, quando o correto seria a desabilitação de alguns acessos de que ele já não necessita. Deve-se ainda ter o cuidado de bloquear os acessos aos sistemas, quando o funcionário deixar a empresa. E, finalmente, a terceira área refere-se ao controle de acesso aos sistemas corporativos, tanto quanto a funcionários internos (definir quem pode acessar e que tipo de informação), quanto a parceiros (clientes, fornecedores etc.). É importante que o gestor tenha uma visão de fora para dentro para determinar quais parceiros terão acesso a quais informações e sistemas da empresa, para que possa traçar as normas de permissão e de restrição aos acessos. Depois, cabe ao gestor da TI aplicar os conceitos dessas três áreas nas arquiteturas de desktops, servidores e redes da corporação. Brechas Uma das principais portas de entrada para incidentes de segurança no setor corporativo é a Internet. Isto porque a maioria das empresas permite a seus funcionários acesso total e também a terceiros, por extranets e e-business, o acesso por links dedicados ou pela Web. Apesar do uso de conexões criptografadas e outros cuidados, na prática, as portas podem não estar trancadas devidamente, facilitando o ataque de hackers e de acessos indevidos aos sistemas. Em pesquisa realizada com empresas de diversos setores de atividade, ficou comprovado que mais de 78% delas registraram perdas financeiras em virtude da invasão dos sistemas, mas 56% do total não souberam quantificar os prejuízos. Mesmo sabendo dos riscos e acreditando que os ataques devem aumentar, as empresas não costumam ter qualquer plano de ação para impedi-los. O maior empecilho não é tecnológico, mas cultural. A falta de consciência do público interno, sejam executivos ou funcionários em geral, é o que pode colocar tudo a perder. Para minimizar esse problema, as empresas devem se preocupar em adotar uma política de segurança que seja compreensível para todos e divulgá-la amplamente. - 42 – É importante que a empresa avalie, no mapa da rede, todos os pontos que devem ser cobertos por processos seguros. Isso pode ser feito começando pela avaliação da infra-estrutura de TI e utilização do diagrama da arquitetura da rede para determinar como e onde os usuários internos e externos podem acessar a planta. Em seguida, recomenda-se que os sistemas da corporação sejam testados contra invasões, com ferramentas específicas, e assim as vulnerabilidades na rede podem ser visualizadas. Dispor de uma lista com todos os servidores e sistemas críticos para a empresa constitui outra boa iniciativa, complementada pela relação dos funcionários que instalaram e/ou desenvolveram aplicações. Também é fundamental criar uma lista para todos os administradores de rede, especificando quem são os responsáveis pelos sistemas, um a um. Para os funcionários, deve ser estabelecida uma política que explique como utilizar de forma adequada as informações corporativas. Por exemplo, podem ser enumeradas as medidas que devem ser tomadas quando houver suspeita de invasão ou infecção na rede ou no desktop. Esses profissionais também devem ser instruídos sobre como lidar com suas senhas de acesso aos sistemas e se podem, ou não, deixar suas estações ligadas ao saírem, para evitar a exposição das informações internas a pessoas não- autorizadas. Uma das principais brechas para incidentes de segurança é o sistema de e-mail. Apesar de na maioria dos casos as empresas contarem com ferramentas para monitoramento de e-mails, antivírus e firewall, todo dia surgem novas pragas virtuais que são transmitidas por e-mail e podem infestar os sistemas e causar graves transtornos. No Banespa, por exemplo, uma das formas de contornar o problema foi limitar o tamanho dos arquivos que são anexados nas mensagens que chegam aos usuários por e-mail. Esses arquivos não podem ter mais que 500 KB e, em determinado nível, mais do que 3 MB. Também foram adotadas medidas que excluem arquivos com extensões como.exe, .tif, .pdf, e .scr diretamente no servidor, assim como a adoção de firewall e antivírus. Segurança em redes sem fio Com a evolução da tecnologia móvel e o aumento do seu uso pelas empresas, alguns cuidados também devem ser tomados em relação às redes wireless. Todas as ferramentas de proteção convencionais usadas em redes cabeadas se aplicam ao ambiente sem fio. Mas, além delas, as redes wireless exigem cuidados adicionais e específicos. O padrão de criptografia para redes locais sem fio, denominado WEP (Wired Equivalent Privacy), é bastante seguro, mas ainda apresenta algumas restrições, por isso é recomendável que as empresas não se limitem a ele. É fundamental também fazer uma configuração confiável da rede wireless, utilizando recursos de segurança inerentes aos pontos de acesso e instalação de firewall, sendo que, nos casos mais complexos, vale a pena adquirir equipamentos, software e serviços especializados. - 45 – * Criptografar para não dar o mapa ao bandido. Dados estratégicos, e-mails profissionais, modelos de vendas, lista de clientes preferenciais e planos de novos negócios podem cair em mãos inimigas. O estrago do vazamento desse tipo de informação pode ser fulminante. * Autenticação de quem entra na rede. Além de garantir que determinado dispositivo é autorizado para entrar na rede, devem ser usados métodos de autenticação forte de usuário, por meio de tokens e senhas dinâmicas. * Erguer “muralhas de fogo”. A ligação com a rede local cabeada deve estar sempre protegida por firewall, como qualquer porta aberta para o mundo exterior. * Realizar monitoração freqüente de todas as atividades da rede sem fio para verificar falhas e flagrar intrusos. Esse procedimento traz uma série de benefícios, como permitir a descoberta de instalação de placas não autorizadas nos equipamentos pelos usuários, checagem de dispositivos que não estão usando criptografia, detecção de ataques contra clientes wireless que não sabem que estão sendo hackeados; e visualização de acessos não autorizados, o que permite tomar providências imediatas que impeçam o intruso de chegar aos dados estratégicos da empresa. Segurança dos dados O ativo mais precioso das empresas, sem dúvida, são as informações. Portanto, os cuidados em relação aos dados devem ser redobrados. Estudos da International Data Corporation (IDC) revelaram que o volume de informações dentro das empresas cresce 34% ao ano, chegando a 60% em algumas empresas, o que exige mais espaço em armazenamento e gerenciamento otimizado. O que se observa atualmente é uma grande preocupação, da parte dos fornecedores de soluções, em oferecer sistemas de gerenciamento capazes de trabalhar não apenas com equipamentos de diferentes marcas, como também com topologias distintas, como as redes SAN (Storage Area Network) – voltadas para um volume grande de dados estruturados, com elevada quantidade de acessos e número limitado de usuários – e NAS (Network Attached Storage) – que coloca os discos como dispositivos da rede e não como periféricos de um único servidor. Há ainda o CAS (Content Addressed Storage), destinado a guardar dados de baixa utilização e arquivamento por um longo período, como as informações fiscais. O gerenciamento da rede de storage é realizado por meio de soluções de SRM (Storage Resource Management), que mostram o comportamento de cada dispositivo conectado na rede, quantidade e tipos de dados guardados, a origem das informações, quantidade de espaço livre e registro de problemas nos discos. É possível criar regras para cada tipo de arquivo e fazer a transferência automática para o disco adequado. Há ainda outras opções, como os conceitos Information Lifecicle Management (ILM), para classificar os dados conforme a periodicidade com que são acessados e a data do armazenamento, e o Hierarchial Storage Management (HSM), que estabelece um limite para cada usuário armazenar arquivo, variando conforme a atividade e o cargo de cada um. O HSM pode ser usado também dentro de aplicações, como e-mail e banco de dados. - 46 – O gerenciamento de storage costuma ser complexo porque, em geral, as empresas têm vários sistemas na rede que não se integram perfeitamente. Alguns fabricantes de soluções defendem o conceito de virtualização, segundo o qual é possível ter acesso aos dados independentemente do servidor e sistema operacional utilizado. Com isso, os usuários podem criar camadas de armazenamento entre sistemas de diferentes fornecedores, tendo uma visão unificada e consolidada da capacidade de storage. Em vez de acessar a informação diretamente da base, isso é feito pelo servidor de virtualização, eliminando cópias e o espaço livre em disco. O gerenciamento de dados envolve a realização de backup, restore e business continuity. É importante que a empresa saiba recuperar tanto os dados que foram gravados há 5 minutos, quanto os que foram gravados há 1 ano, por exemplo. Para isso, precisam adotar metodologias específicas e realizar testes periódicos. Uma administração malfeita pode trazer prejuízos imensos para as empresas, além do risco de se perder informações valiosas. Os softwares de gerenciamento representam uma solução importante, na medida em que automatizam a operação de backup e diminuem a necessidade de manutenção. Existem boas opções de ferramentas disponíveis, como as listadas a seguir. * Computer Associates BrightStor SRM – Oferece capacidade de gerenciar storage, a partir de um ponto único, oferecendo informações como a capacidade de storage do sistema. * EMC ControlCenter StorageScope: – Voltado para relatórios de capacidade e gerenciamento de recursos, possui total integração como a família ControlCenter. * Fujitsu Softek Storage Manager – Oferece um ponto único para visualizar os recursos de storage em mainframe e em plataforma distribuída. * HP OpenView Builder – Software de gerenciamento de capacidade para direct- attached storage (DAS), SAN-attached storage e NAS. * IBM Tivoli Storage Resource Manager: oferece integração com o Tivoli Inventory e o monitoramento de aplicações do DB2. * Sun StorEdge Resource Management Suite – Automatiza a descoberta, relatórios de estatísticas, monitoração e alerta sobre a capacidade de storage em uso. * Veritas SANPoint Control/Storage Reporter – Com o SANPoint Control 3.5, a Veritas expandiu seu gerenciamento de aplicações de storage, incluindo o RDBMS da Oracle e o Exchange da Microsoft. Contingência O setor corporativo mostra-se cada vez mais inclinado a adotar uma política de contingência. Tomando como exemplo novamente o o atentado ao World Trade Center, em 11 de setembro de 2001, ele serviu para ampliar o interesse pela Segurança da Informação, mas muitas empresas, principalmente as que lidam com grandes volumes de dados e dependem muito da Tecnologia, como as do setor de finanças e de telecomunicações, já se preocupam com a questão há algum tempo. - 47 – Foi o caso do J.P.Morgan, que contratou a Peregrine para auxiliá-lo a elaborar e executar um projeto de emergência, logo após o primeiro atentado, um ano antes da explosão das Torres Gêmeas. Percebendo o risco, a empresa não perdeu tempo e tomou as iniciativas adequadas, o que a salvou e permitiu a continuidade das operações quando suas dependências foram totalmente destruídas naquele fatídico 11 de setembro. Uma política de proteção não pode ser efetivada da noite para o dia e nem existe uma fórmula-padrão que sirva para todas as empresas. É preciso, inicialmente, fazer uma análise interna e determinar o que é vital para a companhia, quais são os maiores riscos e vulnerabilidades de seus sistemas, os cuidados básicos que devem ser tomados e as ferramentas de hardware e software mais apropriadas para proteger a empresa em todos os sentidos. Outro aspecto a ser considerado é que um plano de segurança não pode ser rígido, ou seja, precisa ser flexível e dinâmico para suportar as necessidades que surgirem em virtude da velocidade de mudança de fatores físicos, tecnológicos e humanos. Conscientizar os funcionários e envolvê-los no processo também constituem um elemento importante para o sucesso de uma política de segurança. Cada funcionário precisa entender o seu papel nesse processo e deve ser treinado. A empresa, de sua parte, precisa agir com transparência para que a equipe de trabalho atue como uma aliada. Outra medida fundamental é fazer reavaliações periódicas do plano de segurança para verificar, por meio de testes, pontos ainda vulneráveis. A questão de contingência está diretamente relacionada à necessidade de manter a disponibilidade dos sistemas, principalmente nos ambientes de missão crítica. É a partir da identificação do custo decorrente das interrupções e do tempo em que os sistemas ficam indisponíveis (downtime) que se determina a estratégia a ser adotada. Quanto menor for o downtime e o tempo de recuperação da informação, maior será o custo do projeto. Para bancos, operadoras de cartão de crédito e empresas nas quais apenas alguns minutos do sistema fora do ar podem acarretar prejuízos de milhões de dólares, sem contar o risco de ter a sua imagem de credibilidade abalada, os riscos são minimizados com a adoção de máquinas redundantes à falha (espelhadas) e também de um outro site totalmente espelhado, que entra em atividade no caso de haver uma pane no sistema principal. São alternativas extremamente caras e que só se justificam pela criticidade das operações. As empresas com menos recursos podem usar como opção os sistemas de alta disponibilidade, compostos geralmente por vários servidores ligados em cluster. - 50 – Gerenciamento de TI Módulo 8 - O futuro do gerenciamento Novos modelos se apresentam como o futuro da computação, mas não acabam com a necessidade de um bom gerenciamento de TI. O futuro da Tecnologia da Informação A Tecnologia da Informação evoluiu rapidamente. Em menos de 30 anos, deixou de ser um privilégio apenas das grandes empresas, para se tornar uma ferramenta indispensável para grandes, médias ou pequenas. Hoje não se discute mais a sua aplicabilidade para o alcance das metas de negócios. O grande questionamento dos analistas de mercado e dos gestores da TI é avaliar até que ponto, no futuro, valerá a pena ser pioneiro em inovação tecnológica, ou se a melhor estratégia será esperar o amadurecimento das soluções para então investir na sua aquisição. Hardware e software já viraram commodities? De fato, será possível comprar tecnologia sob demanda? A terceirização será inevitável? O futuro da TI nas empresas esteve particularmente em evidência em 2003, devido ao artigo de Nicholas Carr, publicado em maio na revista Harvard Business Review, que causou polêmica no mundo inteiro. O escritor, jornalista e consultor norte- americano, especializado na união entre estratégia de negócios e Tecnologia da Informação, ganhou notoriedade por seu artigo intitulado “IT doesn’t matter” (a TI não tem importância) em que convidava os executivos a analisar o papel da Tecnologia da Informação. O tema rendeu reportagens em jornais e revistas de negócios e de TI, como o The New York Times, Washington Post, Financial Times, Business Week, USA Today, Fortune, Computerworld, entre outras. Embora veementemente contestados, os argumentos apresentados por Carr não puderam ser ignorados, propiciando boa reflexão. Entre os principais pontos abordados, ele ressaltou que, para ter valor estratégico, a tecnologia precisa permitir que as companhias a usem de forma diferenciada. Mas, como a evolução da TI é muito rápida e em pouco tempo torna-se acessível a todos, fica cada vez mais difícil obter vantagem apenas pelo seu emprego. Carr acredita que a infra-estrutura de TI (hardware e software), entendida como um processo de armazenamento e transmissão de dados, está se transformando em commodity, assim como as ferrovias se transformaram em parte da infra-estrutura das empresas do século XIX, ocorrendo o mesmo com a eletricidade, no começo do século XX. - 51 – “TI é essencialmente um mecanismo de transporte, na medida em que carrega informação digital da mesma forma que os cabos elétricos transportam eletricidade. E é mais valiosa quando compartilhada, do que se usada isoladamente. Além disso, a quase infinita escalabilidade de muitas tecnologias, combinada com a velocidade de padronização tecnológica, significa que não há nenhum benefício em ser proprietário das aplicações. Ninguém mais desenvolve seu próprio e-mail ou processador de texto. E isso está se movendo rapidamente para aplicações mais críticas, como gerenciamento da cadeia produtiva e gerenciamento do relacionamento com o cliente. Sistemas genéricos são eficientes, mas não oferecem vantagens sobre os concorrentes, pois todos estão comprando os mesmos tipos de sistema. Com a Internet, temos o canal perfeito para a distribuição de aplicações genéricas. E à medida que nos movemos para os Web Services, dos quais podemos comprar aplicações, tudo nos levará a uma homogeneização da capacidade da Tecnologia.” Neste trecho da entrevista concedida ao Computerworld, Nicholas Carr reitera a idéia de que hoje a Tecnologia não representa mais um diferencial competitivo para as empresas. No passado, o panorama era outro. Apenas as grandes empresas tinham poder de fogo para investir no desenvolvimento de Tecnologia, esperando (e conseguindo) obter vantagem sobre os concorrentes. Atualmente, no entanto, com a evolução tecnológica ocorrendo em espaços de tempo cada vez mais curtos, essa vantagem deixa de existir. Não vale mais a pena investir altas cifras em desenvolvimento de sistemas e soluções e correr os riscos do pioneirismo, porque até se pode obter uma vantagem sobre os concorrentes, mas rapidamente isso deixa de ser um diferencial. Como exemplo, Carr cita que em 1995, nos EUA, grandes bancos varejistas criaram redes proprietárias para oferecer serviços de home banking a seus clientes e investiram milhões de dólares nesse sentido. Percebendo esse nicho, softwarehouses logo passaram a oferecer soluções do tipo e a Internet banking virou commodity, possibilitando a outros bancos menores disponibilizar esse serviço com investimentos e riscos infinitamente inferiores aos das instituições que foram pioneiras. O grande risco das empresas na atualidade, segundo Carr, é gastar em excesso em TI e continuar querendo obter vantagens sobre a concorrência, o que fatalmente levará a um desperdício de dinheiro e ao desapontamento. Essas afirmações provocaram diferentes reações no mercado e entre os executivos de TI, mesclando indignações acaloradas com concordâncias discretas. As principais críticas evidenciaram que as empresas pioneiras, que apostam no desenvolvimento tecnológico, têm sucesso porque também contam com uma estratégia de negócios bem orquestrada. Mas a TI desempenha um papel primordial e contribui significativamente para a obtenção dos bons resultados. A dinâmica do mercado sofre a ação de vários agentes, além das pressões dos concorrentes. - 52 – Isso deve ser complementado por um conjunto de processos, o que requer aplicações e sistemas inovadores, além de níveis de serviço para suportar a estratégia de negócios. Polêmica à parte, o fato inegável é que atualmente as empresas estão mais reticentes em realizar novos investimentos em Tecnologia, inclusive as que são extremamente dependentes desses recursos. Muitos fatores contribuem para isso, entre os quais as oscilações na política e na economia mundial e o conseqüente enxugamento da produção dos bens e serviços. Mas também não se pode ignorar o fato de que grande parte das empresas investiu em tecnologia de ponta, subutiliza o aparato computacional de que dispõe e se questiona se deve partir para novas aquisições ou voltar-se ao melhor aproveitamento dos seus ativos. Computação sob demanda Conceitos batizados de computação on demand, grid computing, utility computing e adaptive computing, que na prática significam quase a mesma coisa, têm sido apresentados como o futuro da computação. O movimento tem à frente as fornecedoras líderes da indústria de TI, como IBM, HP e Sun Microsystems. Cada uma à sua maneira, elas defendem a idéia de que o desafio do setor corporativo é não se basear em cenários, porque eles mudam muito rapidamente. Ou seja, as empresas precisam ter a capacidade de responder a essas mudanças, com a mesma agilidade. Parafraseando Charles Darwin, as espécies que sobrevivem não são as mais fortes, mas as que melhor conseguem se adaptar às mudanças. O mesmo princípio se aplica às empresas que cada vez mais precisam ser hábeis para gerenciar a TI, reduzindo custos sem comprometer a qualidade dos serviços, defendendo a máxima de fazer mais com menos. Daqui para frente, o que fará toda a diferença não será o tipo de tecnologia empregada, mas a forma como a empresa a utiliza. Algumas funções de processamento são limitadas pelas restrições dos computadores. O conceito de computação sob demanda pressupõe um cenário em que será possível obter uma capacidade extra de processamento, na medida em que ela for necessária, pela rede, sem que o usuário precise conhecer a complexidade da infra- estrutura e pagando apenas pelo que for efetivamente utilizado. Também chamado de grid computing, é um conceito de processamento distribuído que envolve o uso de vários computadores interconectados por meio de redes locais ou de longa distância, ou mesmo a Internet. Sua operação requer também o emprego de muitos protocolos, padrões e ferramentas de software. Na concepção da IBM, on demand não se refere apenas à tecnologia, mas também a mudar a forma de fazer negócios, por meio do desenvolvimento de novas capacidades para responder a tudo o que o mercado apresenta, tornando a empresa mais eficiente e obtendo vantagens sobre os concorrentes.