A internet é um ambiente cada vez mais comum para a atuação de criminosos. Entenda os principais mecanismos pelos quais eles atuam e como diminuir os riscos. O professor Marcelo Nagy, sócio-diretor da SPWBrasil e membro da Sociedade Brasileira Forense, especialista em cibersegurança e perícia forense, foi o convidado para falar sobre os vazamentos de dados digitais e segurança da informação em webinar realizado pela ESR e transmitido para vários países da América Latina. Apenas nos dois primeiros meses de 2021, houve o vazamento em massa no Brasil de mais de 223 milhões de CPFs e dados pessoais, 5 milhões de CNHs do Detran-RS, 100 milhões de contas de celulares e, mundialmente, foram mais de 3,2 bilhões de credenciais (incluindo contas de serviços como Netflix, LinkedIn e carteiras de Bitcoin). Empresa especializada em segurança cibernética, a Fortinet estima que apenas entre março e junho de 2019, os usuários brasileiros foram vítimas de mais de 15 bilhões de tentativas de ataques digitais em computadores e celulares. Esses são apenas alguns números que expõem a amplitude da quebra da privacidade na rede, perpetrada por ataques maliciosos e visando, principalmente, a comercialização dessas informações em sites da Dark Web. Nesse contexto, a pandemia de COVID-19 também foi um campo fértil para que golpes fossem aplicados principalmente via WhatsApp, usando de engenharia social, com o objetivo de enganar, extorquir e se apropriar de benefícios governamentais como o Auxílio Emergencial ou supostamente oferecer bens e serviços essenciais de forma gratuita. Nagy chama a atenção para o perfil atual dos criminosos cibernéticos: “são o trabalho de crime organizado”, em contraponto à imagem romantizada que algumas pessoas ainda possuem sobre hackers. Tendo em vista os números alarmantes e cada vez maiores dessa modalidade de delito, é preciso entender como acontecem essas invasões. O modus operandi dos crimes cibernéticos O especialista alerta para a ampla gama de práticas criminosas no mundo digital, sempre em constante evolução. Por esse motivo, neste artigo nós nos ateremos apenas às principais modalidades de falhas de segurança. Exploração de dia zero A exploração de “dia zero” é um ataque virtual que ocorre no mesmo dia em que um ponto fraco do software é descoberto. Então, ele é explorado antes que o fornecedor disponibilize uma correção. Inicialmente, quando um usuário descobre que existe um risco de segurança em um programa, ele pode comunicar esse risco à empresa do software, que desenvolverá uma correção de segurança para corrigir a falha. Esse mesmo usuário também pode alertar outras pessoas na Internet sobre a falha. Normalmente, os fornecedores de programas criam uma correção rapidamente para reforçar a proteção dos programas. Mas, às vezes, os hackers ficam sabendo da falha primeiro e são rápidos em explorá-la. Quando isso ocorre, há pouca proteção contra um ataque, já que a falha do software é nova. Por esse motivo, é indicado que os usuários sempre tenham as versões originais dos softwares e se atentem às atualizações dos fornecedores para minimizar ao máximo a possibilidade de uma invasão. Malwares Malware, abreviação de software malicioso, é um termo genérico para vírus, worms, trojans e outros programas de computador prejudiciais que os hackers usam para causar destruição e obter acesso a informações confidenciais. Segundo a definição da Microsoft, “[malware] é um termo geral para se referir a qualquer software projetado para causar danos a um único computador, servidor ou rede de computadores.” Em outras palavras, o software é identificado como malware com base no uso pretendido, em vez de uma técnica ou tecnologia específica usada para criá-lo. Através desse tipo de ataque, que explora principalmente falhas nos sistemas, o invasor pode, de maneira simples, obter controle remoto do dispositivo usado pela vítima, deixando-a vulnerável à exploração de dados sensíveis que estejam presentes naquela máquina. Nesse caso, além de manter os softwares atualizados, é crucial que os usuários sempre possuam programas de defesa, como antivírus e firewall, ferramentas especializadas na proteção digital. Ciberextorsões Ocorre quando uma pessoa usa a Internet para exigir dinheiro, outros bens ou comportamento de outra pessoa, ameaçando infligir danos à sua integridade física, sua reputação ou sua propriedade. A extorsão cibernética pode assumir diversas formas. Originalmente, os ataques de negação de serviço (DdoS) contra sites corporativos foram os métodos mais comuns de ciberextorsão. O atacante iniciava um bombardeio de ping e telefonava para o presidente da empresa, exigindo que fosse depositado dinheiro para que o ataque fosse cessado. Nos últimos anos, no entanto, os cibercriminosos desenvolveram o ransomware, um tipo de malware que é capaz de criptografar os dados da vítima. O atacante pede dinheiro em troca da chave de decodificação. Normalmente, a vítima recebe um e-mail que oferece a chave de decifração privada em troca de um pagamento monetário em Bitcoins, uma moeda digital. A ciberextorsão pode ser muito lucrativa, rendendo milhões de dólares anualmente. Infelizmente, da mesma forma que acontece em outros tipos de extorsão, o pagamento não garante que novos ataques cibernéticos ao mesmo alvo não serão praticados. Por isso, o conselho é, caso seja vítima de uma ciberextorsão na forma de ransomware, nunca efetuar o pagamento do resgate dos dados. Phishing Phishing é um crime cibernético em que um alvo ou alvos são contatados por e-mail, telefone ou mensagem de texto por alguém se passando por uma instituição legítima ou conhecido para induzir indivíduos a fornecer dados confidenciais, como informações de identificação pessoal, dados bancários e de cartão de crédito e senhas. As informações são então usadas para acessar contas importantes e podem resultar em roubo de identidade e perda financeira. Nagy orienta a, na dúvida, não clicar em links desconhecidos ou que são “bons demais para serem verdade”. Também sempre é válido conferir o endereço do email enviado e comparar com emails originais dos serviços, pois os criminosos se valem de endereços que aparentam serem os reais, mas não são da corporação que estão tentando emular. Nesse tipo de ataque, erros de ortografia e uma escrita “estranha” também podem ser sinais de uma tentativa de ataque por phishing. Caso você receba ou até mesmo clique em algum desses links, acione o mais rápido possível a instituição responsável pelos canais oficiais para avisá-los da atividade suspeita. Envenenamento de DNS Em um ataque de envenenamento de DNS, os hackers alteram um sistema de nome de domínio (DNS) para um DNS “falsificado” de modo que quando um usuário legítimo visita um site, em vez de chegar ao destino pretendido, ele acaba em um site totalmente diferente. Normalmente, isso acontece sem que os usuários saibam, já que os sites falsos costumam ser feitos para se parecerem com os reais. Uma vez que o ataque está em andamento, desviando o tráfego para o servidor ilegítimo, os hackers podem realizar atividades maliciosas como um ataque man in the middle (por exemplo, roubar informações de login seguras para sites de bancos), instalar um vírus nos computadores dos visitantes para causar danos imediatos, ou até mesmo instalar um worm para espalhar o dano a outros dispositivos. Esse é um dos tipos de ataques mais bem arquitetados e requerem um certo nível de refinamento e perícia dos hackers. Por esse motivo, também é um dos mais difíceis de serem identificados pelos usuários. Conclusão A rede mundial de computadores é algo que trouxe inumeráveis benefícios à humanidade, mas também aguçou a “criatividade” de alguns criminosos que a utilizam para obter vantagens indevidas e lucros advindos de práticas ilegais. É importante contrapor a figura do “hacker malicioso” ao “hacker ético”. Este último é o profissional que tem conhecimento de todos esses sistemas e falhas e trabalha com o objetivo de corrigi-las, ao invés de explorá-las. Finalmente, caso você ou sua organização seja vítima de um ataque desse tipo, procure os órgãos competentes da sua região, em especial as Delegacias Especializadas em Investigação de Crimes Cibernéticos. Quer saber mais detalhes? Confira o webinar completo que realizamos sobre o assunto. Aproveite e conheça todos os cursos da nossa trilha de Segurança.
Já tem uma conta?
Faça o seu loginNão tem uma conta?
Preencha o formulário abaixo para efetuar seu cadastro.
Em caso de não possuir CPF, por favor entre em contato conosco clicando aqui.
Blog da ESR
-
SegurançaA internet é um ambiente cada vez mais comum para a atuação de criminosos. Entenda os principais mecanismos pelos quais eles atuam e como diminuir os riscos. O professor Marcelo Nagy, sócio-diretor da SPWBrasil e membro da Sociedade Brasileira Forense, especialista em cibersegurança e perícia forense, foi o convidado para falar sobre os vazamentos de dados digitais e segurança da informação em webinar realizado pela ESR e transmitido para vários países da América Latina. Apenas nos dois primeiros meses de 2021, houve o vazamento em massa no Brasil de mais de 223 milhões de CPFs e dados pessoais, 5 milhões de CNHs do Detran-RS, 100 milhões de contas de celulares e, mundialmente, foram mais de 3,2 bilhões de credenciais (incluindo contas de serviços como Netflix, LinkedIn e carteiras de Bitcoin). Empresa especializada em segurança cibernética, a Fortinet estima que apenas entre março e junho de 2019, os usuários brasileiros foram vítimas de mais de 15 bilhões de tentativas de ataques digitais em computadores e celulares. Esses são apenas alguns números que expõem a amplitude da quebra da privacidade na rede, perpetrada por ataques maliciosos e visando, principalmente, a comercialização dessas informações em sites da Dark Web. Nesse contexto, a pandemia de COVID-19 também foi um campo fértil para que golpes fossem aplicados principalmente via WhatsApp, usando de engenharia social, com o objetivo de enganar, extorquir e se apropriar de benefícios governamentais como o Auxílio Emergencial ou supostamente oferecer bens e serviços essenciais de forma gratuita. Nagy chama a atenção para o perfil atual dos criminosos cibernéticos: “são o trabalho de crime organizado”, em contraponto à imagem romantizada que algumas pessoas ainda possuem sobre hackers. Tendo em vista os números alarmantes e cada vez maiores dessa modalidade de delito, é preciso entender como acontecem essas invasões. O modus operandi dos crimes cibernéticos O especialista alerta para a ampla gama de práticas criminosas no mundo digital, sempre em constante evolução. Por esse motivo, neste artigo nós nos ateremos apenas às principais modalidades de falhas de segurança. Exploração de dia zero A exploração de “dia zero” é um ataque virtual que ocorre no mesmo dia em que um ponto fraco do software é descoberto. Então, ele é explorado antes que o fornecedor disponibilize uma correção. Inicialmente, quando um usuário descobre que existe um risco de segurança em um programa, ele pode comunicar esse risco à empresa do software, que desenvolverá uma correção de segurança para corrigir a falha. Esse mesmo usuário também pode alertar outras pessoas na Internet sobre a falha. Normalmente, os fornecedores de programas criam uma correção rapidamente para reforçar a proteção dos programas. Mas, às vezes, os hackers ficam sabendo da falha primeiro e são rápidos em explorá-la. Quando isso ocorre, há pouca proteção contra um ataque, já que a falha do software é nova. Por esse motivo, é indicado que os usuários sempre tenham as versões originais dos softwares e se atentem às atualizações dos fornecedores para minimizar ao máximo a possibilidade de uma invasão. Malwares Malware, abreviação de software malicioso, é um termo genérico para vírus, worms, trojans e outros programas de computador prejudiciais que os hackers usam para causar destruição e obter acesso a informações confidenciais. Segundo a definição da Microsoft, “[malware] é um termo geral para se referir a qualquer software projetado para causar danos a um único computador, servidor ou rede de computadores.” Em outras palavras, o software é identificado como malware com base no uso pretendido, em vez de uma técnica ou tecnologia específica usada para criá-lo. Através desse tipo de ataque, que explora principalmente falhas nos sistemas, o invasor pode, de maneira simples, obter controle remoto do dispositivo usado pela vítima, deixando-a vulnerável à exploração de dados sensíveis que estejam presentes naquela máquina. Nesse caso, além de manter os softwares atualizados, é crucial que os usuários sempre possuam programas de defesa, como antivírus e firewall, ferramentas especializadas na proteção digital. Ciberextorsões Ocorre quando uma pessoa usa a Internet para exigir dinheiro, outros bens ou comportamento de outra pessoa, ameaçando infligir danos à sua integridade física, sua reputação ou sua propriedade. A extorsão cibernética pode assumir diversas formas. Originalmente, os ataques de negação de serviço (DdoS) contra sites corporativos foram os métodos mais comuns de ciberextorsão. O atacante iniciava um bombardeio de ping e telefonava para o presidente da empresa, exigindo que fosse depositado dinheiro para que o ataque fosse cessado. Nos últimos anos, no entanto, os cibercriminosos desenvolveram o ransomware, um tipo de malware que é capaz de criptografar os dados da vítima. O atacante pede dinheiro em troca da chave de decodificação. Normalmente, a vítima recebe um e-mail que oferece a chave de decifração privada em troca de um pagamento monetário em Bitcoins, uma moeda digital. A ciberextorsão pode ser muito lucrativa, rendendo milhões de dólares anualmente. Infelizmente, da mesma forma que acontece em outros tipos de extorsão, o pagamento não garante que novos ataques cibernéticos ao mesmo alvo não serão praticados. Por isso, o conselho é, caso seja vítima de uma ciberextorsão na forma de ransomware, nunca efetuar o pagamento do resgate dos dados. Phishing Phishing é um crime cibernético em que um alvo ou alvos são contatados por e-mail, telefone ou mensagem de texto por alguém se passando por uma instituição legítima ou conhecido para induzir indivíduos a fornecer dados confidenciais, como informações de identificação pessoal, dados bancários e de cartão de crédito e senhas. As informações são então usadas para acessar contas importantes e podem resultar em roubo de identidade e perda financeira. Nagy orienta a, na dúvida, não clicar em links desconhecidos ou que são “bons demais para serem verdade”. Também sempre é válido conferir o endereço do email enviado e comparar com emails originais dos serviços, pois os criminosos se valem de endereços que aparentam serem os reais, mas não são da corporação que estão tentando emular. Nesse tipo de ataque, erros de ortografia e uma escrita “estranha” também podem ser sinais de uma tentativa de ataque por phishing. Caso você receba ou até mesmo clique em algum desses links, acione o mais rápido possível a instituição responsável pelos canais oficiais para avisá-los da atividade suspeita. Envenenamento de DNS Em um ataque de envenenamento de DNS, os hackers alteram um sistema de nome de domínio (DNS) para um DNS “falsificado” de modo que quando um usuário legítimo visita um site, em vez de chegar ao destino pretendido, ele acaba em um site totalmente diferente. Normalmente, isso acontece sem que os usuários saibam, já que os sites falsos costumam ser feitos para se parecerem com os reais. Uma vez que o ataque está em andamento, desviando o tráfego para o servidor ilegítimo, os hackers podem realizar atividades maliciosas como um ataque man in the middle (por exemplo, roubar informações de login seguras para sites de bancos), instalar um vírus nos computadores dos visitantes para causar danos imediatos, ou até mesmo instalar um worm para espalhar o dano a outros dispositivos. Esse é um dos tipos de ataques mais bem arquitetados e requerem um certo nível de refinamento e perícia dos hackers. Por esse motivo, também é um dos mais difíceis de serem identificados pelos usuários. Conclusão A rede mundial de computadores é algo que trouxe inumeráveis benefícios à humanidade, mas também aguçou a “criatividade” de alguns criminosos que a utilizam para obter vantagens indevidas e lucros advindos de práticas ilegais. É importante contrapor a figura do “hacker malicioso” ao “hacker ético”. Este último é o profissional que tem conhecimento de todos esses sistemas e falhas e trabalha com o objetivo de corrigi-las, ao invés de explorá-las. Finalmente, caso você ou sua organização seja vítima de um ataque desse tipo, procure os órgãos competentes da sua região, em especial as Delegacias Especializadas em Investigação de Crimes Cibernéticos. Quer saber mais detalhes? Confira o webinar completo que realizamos sobre o assunto. Aproveite e conheça todos os cursos da nossa trilha de Segurança.
26/08/2021 -
Governança de TIDevido às necessidades e demandas crescentes do mercado, os gestores dos Data Centers precisam se adequar às altas velocidades para atendê-las. Conheça as tendências de velocidade e como os gestores podem se preparar para as migrações de alta velocidade. A crescente demanda de utilização de Big Data, mobilidade e Internet das Coisas (IoT) estão gerando um enorme volume de dados. E os provedores de serviços de data centers precisam encontrar formas de suportar velocidades cada vez mais altas para atender essa demanda. Tendências recentes apontam que os requisitos de banda larga continuarão crescendo de 25% a 35% ao ano, e o ponto fundamental para isso é a mudança para mais velocidades de comutação. Em webinar organizado pela ESR, o especialista em governança de TI Edson Gaseta e o Engenheiro Luis Domingues, responsável pela CommScope no Brasil, discutiram o tema. Tendências de tráfego Domingues explica que a pandemia de Covid-19 acelerou ainda mais um processo que já estava acontecendo: o da migração dos negócios para o ambiente digital. E que isso exigiu que os Data Centers se adaptassem rapidamente a uma demanda crescente. No infográfico abaixo é possível perceber a velocidade com que o tráfego tende a aumentar em uma projeção para o período entre os anos de 2016 e 2022. “O gestor do Data Center atualmente não pode pensar apenas no hoje, precisa pensar também no amanhã”, declara Domingues. O resultado é que os consumidores tendem a ficar cada vez mais exigentes com os serviços e qualidades dos provedores de internet e uma geração que já nasceu digital e está começando a entrar no mercado de consumo será ainda mais rigorosa nesse aspecto. Portanto é importante que as empresas estejam preparadas. “O planejamento é para que os Data Centers atuais durem, no mínimo, 10 anos”, reforça Domingues sobre a necessidade de ficar atento às tendências. A quantidade de dispositivos conectados à rede mundial também cresceu exponencialmente. Segundo o Gartner a tendência é que em 2021 esse número chegue a 25 bilhões de dispositivos conectados em todo o mundo. As necessidades de upgrades nos sistemas de Cloud Computing – sejam públicos, privados ou híbridos – também é outra necessidade do mercado a qual os Data Centers precisam se adaptar. O gráfico abaixo deixa claro o quanto o tráfego de dados aumentou nos últimos anos. O processamento de todos esses dados acontece nos Data Centers em mais de 70% das vezes. Isso faz com que até mesmo a arquitetura dos DCs esteja mudando de uma estrutura em 3 tiers para 2 tiers. A tendência, então, é que a velocidade de migração de 10G seja substituída por uma estrutura que chegue até aos 400G. Um crescimento exponencial. Portanto é essencial que o profissional desse mercado esteja sempre atualizado e constantemente estudando, pois as transformações têm acontecido de forma muito acelerada. Desafios atuais no planejamento de Data Centers Com todos esses avanços é natural que novas tecnologias, mais eficientes, entrem gradativamente no mercado. Isso gera alguns desafios para os profissionais da área. Alguns deles são: – Aumento da quantidade de portas de equipamentos e a densidade de fibras; – Redução de downtime; – Redução de latência; – Suporte à capacidade de link rápido; – Preparar-se para a migração para altas velocidades. Especialmente nesse último ponto, algumas considerações importantes precisam ser feitas, com base nas tendências já apontadas anteriormente. Considerações para a migração de Data Centers para alta velocidade Compreender as opções e até que ponto deseja ir – É necessária uma boa compreensão das distâncias e tipos de fibra que estão sendo utilizadas, quão longe precisará chegar e com qual largura de banda. Até alguns anos atrás, 40G era considerada “alta velocidade”, porém, hoje essa tecnologia foi substituída rapidamente por fibra óptica de 100G. Algumas das questões que precisam ser encaradas são: posso ir com um cabo ponto a ponto, ou preciso de reconfiguração e pontos de teste? Que tipo de capacidade preciso e qual a curva de crescimento que deveria esperar? Que velocidade devo planejar para 25G, 40G ou 50G, o que acontece com 100G ou 400G? Ter a capacidade de administrar a infraestrutura atual e futura – Contar com uma ferramenta de administração de infraestrutura (AIM) pode proporcionar uma imagem clara de sua infraestrutura e ajudar a compreender as capacidades e os pontos críticos. Isso faz com que seja mais fácil tomar decisões com conhecimento e responder rapidamente às interrupções, de forma que se tenha uma infraestrutura mais acessível e gerenciável a longo prazo. Planejar a flexibilidade – Desenvolver um projeto que tenha a opção de usar pacotes de 8, 12 ou 24 fibras, possibilitando o ajuste do tamanho da infraestrutura em cada passo do caminho, até uma largura de banda maior, é o ideal para otimizar o uso da sua infraestrutura de fibra, enquanto mantém 100% de utilização. Seu projeto deve ser compatível com vários tipos de fibra e estratégias de crescimento, que coincidam com suas futuras aplicações, porque não existe uma solução única para todos. Incorporar modularidade – Escolha painéis que possam aceitar uma variedade de módulos de fibra, de maneira que, o data center, ao crescer, tenha uma caixa comum e os técnicos possam simplesmente trocar módulos para passar para uma velocidade de dados mais rápida. O ideal é que o cabeamento e os módulos sejam implementados uma vez só, e os pontos de extremidade são os que devem ser trocados para mudar para velocidades maiores. Conheça sua estrutura de custos – Medir custos e benefícios de várias opções, para depois tomar a melhor decisão sobre o tipo de fibra e as soluções de conectividade que se adaptam aos objetivos de uma maneira rentável é de suma importância. Entenda o tempo adequado para a migração – O data center precisará migrar para velocidades mais altas antes do que se imagina, por isso escolher uma rota e um provedor que possam ajudá-lo será de vital importância. Com novos serviços em tempo real exigindo uma capacidade maior do data center, sua trajetória de HSM deve estar pronta para corresponder às necessidades que as aplicações de rede óptica exigem. Esses são apenas alguns dos pontos a serem considerados. O nosso webinar traz ainda mais detalhes sobre o assunto. Assista agora gratuitamente! E se quiser se preparar de forma completa com o apoio dos profissionais da ESR, matricule-se no curso Planejamento e Projeto de Infraestrutura para Datacenter (EAD).
19/08/2021 -
Computação em NuvemCada vez mais as empresas migram para a nuvem em busca de redução de custo, melhor desempenho e mais segurança. Para habilitar a redução de custo associada ao desempenho requerido, deve-se praticar o uso da escalabilidade com previsibilidade. Segundo dados da Associação Brasileira de Empresas de Software (ABES), os serviços de computação em nuvem (cloud computing) devem crescer 35,5% ao ano até 2022 no país. Isso representa um aumento de 0,5% em relação ao que o Brasil já vem performando dentro deste mercado de nuvem, mas ainda apresenta espaço para ampliação da participação das empresas. Este aumento identificado no mercado é impulsionado principalmente pelo movimento de empresas de software espalhadas pelo Brasil, que prezam cada vez mais pela redução de custos e maior segurança em sua operação. Além disso, a velocidade e produtividade promovidas por esta tecnologia ganham destaque entre os empreendedores e contribuem com o aumento da adesão. Porém, outra grande vantagem desse sistema está em seu potencial de escalabilidade, mas com previsibilidade, do uso do serviço para evitar gastos desnecessários e obter melhores resultados. Neste artigo exploraremos esse conceito. Escalabilidade em Cloud Computing A escalabilidade diz respeito a prover mais capacidade para um sistema, através de alocação de mais recursos computacionais, isto é, atender a novas cargas, seja de processamento, armazenamento ou comunicação, mantendo o desempenho requerido. Por exemplo, se um site de vendas tem o seu número de acessos crescendo repentinamente, seja porque teve uma promoção ou como resultado de uma ação de marketing, há o risco de o site ter o seu acesso degradado ou até mesmo ficar fora do ar. Porém, com o sistema hospedado em Cloud existe a facilidade de contar com o uso de escalabilidade, através de ferramentas que automatizam a ampliação ou diminuição, sob demanda, da capacidade para suportar a nova carga em harmonia com as necessidades do negócio. Assim, as empresas que contam com o uso de escalabilidade obterão flexibilidade e agilidade na concretização de novos negócios ou no aproveitamento de oportunidades inesperadas. A grande vantagem é que só se paga pelos recursos que utilizar. Dessa forma, se sua empresa desejar se manter competitiva no mercado, precisa começar a investir em escalabilidade em Cloud Computing desde já. Mas, se o aumento ou redução de capacidade, mesmo automatizado, não for realizado de forma consistente, haverá um aumento não previsto na fatura do uso do sistema em computação em nuvem, sendo difícil avaliar se houve um real entendimento da demanda necessária. A previsibilidade sobre o uso e o gasto é um desafio da gestão em computação em nuvem e deve ser endereçado através da prática de FinOps. FinOps é a abreviatura de “Cloud Financial Operations” ou “Cloud Financial Management” ou “Cloud Cost Management”, sendo definida como “a prática de trazer responsabilidade financeira ao modelo de gasto variável da nuvem, permitindo que equipes distintas façam negócios com harmonia entre desempenho, custo e qualidade”. Como os dados escaláveis funcionam dentro de Cloud Computing Cloud computing possibilita que recursos computacionais, para prover processamento, armazenamento e comunicação, sejam provisionados sob demanda, tendo o benefício de pagar somente pelo uso, sem a necessidade de investir na aquisição de equipamentos dedicados, através da contratação e pagamento como um serviço mensal. Há diversos serviços escaláveis na nuvem, veja alguns exemplos: Software-as-a-Service — SaaS; Infrastructure-as-a-Service — IaaS; Storage-as-a-Service — STaaS; Platform-as-a-Service — PaaS; Security-as-a-Service — SECaaS; Database-as-a-Service — DBaaS; Data-as-a-Service — DaaS; Test Environment-as-a-Service — TEaaS; entre outros. Alguns provedores oferecem nuvens públicas escaláveis, incluindo Amazon Web Services (AWS), Microsoft Azure e Google Cloud, mas também oferecem nuvens privadas em que somente a equipe da empresa tem permissão para acessar, ou a opção de nuvens híbridas que oferecem às empresas as vantagens da escalabilidade da nuvem, mas com o benefício adicional de utilizar a já existente infraestrutura on-premise. Tipos de escalabilidade: Vertical e Horizontal O conceito de escalabilidade possui suas variações, Vertical (Scale Up) e Horizontal (Scale Out). São tipos de dimensionamentos, onde a diferença está em como se pratica a escalabilidade, pois recursos como CPU, rede e armazenamento são alvos comuns para aumento de escala, visando atender ou manter um desempenho adequado ao ambiente de negócios. Veja qual se adequa melhor às suas necessidades. Scale up ou dimensionamento vertical Scale up, ou dimensionamento vertical, é tornar um componente maior ou mais rápido para lidar com uma carga maior. Isso seria, por exemplo, mudar de um servidor virtual com 2 CPUs para um com 3 CPUs e habilitar mais espaço de armazenamento local. Em um sistema de nuvem, os sistemas virtualizados dominam a computação em nuvem e algumas ações de escalonamento, como aumentar a capacidade do volume de armazenamento ou gerar um novo contêiner para escalar um micro serviço, podem levar segundos para implantar, sendo possível mudar os aplicativos para uma VM maior ou alocar mais capacidade em um volume de armazenamento, isto é, estar migrando de um recurso menor e escalando para um recurso maior e com melhor desempenho. Scale out ou dimensionamento horizontal Scale out, ou dimensionamento horizontal, é adicionar mais componentes funcionais equivalentes em paralelo para distribuir uma carga de processamento. Isso significaria passar de duas instâncias de servidor da web com balanceamento de carga para três instâncias. A natureza incremental do modelo de scale out é de grande benefício quando se considera o gerenciamento de custos. Como os componentes são idênticos, os incrementos de custo podem ser relativamente previsíveis. O dimensionamento também oferece maior capacidade de resposta às mudanças da demanda, sendo que os serviços podem ser adicionados ou removidos rapidamente para melhor atender às necessidades de negócios. Essa flexibilidade e velocidade reduzem efetivamente os gastos, usando e pagando somente pelos recursos necessários no momento. Conclusão Ao se utilizar Computação em Nuvem, para obter o benefício de uma possível redução de custos, com previsibilidade, recomenda-se que se opte por habilitar o uso de escalabilidade. Vale lembrar que se sua empresa, inicialmente, se encaixava na escalabilidade vertical e agora está ampliando seu uso de aplicações, basta aderir ao modelo de investimento para o dimensionamento horizontal que irá acompanhar melhor o crescimento da empresa. É simples mudar a direção do investimento nos recursos Cloud Computing. Portanto, é essencial que a escolha do dimensionamento esteja em conformidade com o planejamento, projeções e metas da empresa para o futuro, sempre buscando ter previsibilidade, através de práticas de FinOps. Além disso, como ocorre na maioria das tecnologias de ponta atuais, é preciso sempre estar atualizado e manter um estudo constante sobre o tema. Nesse caso, a ESR possui uma série de cursos que irão tornar você e sua equipe ainda mais capacitada para operar com essas tecnologias. Conheça os cursos da nossa trilha sobre Computação em Nuvem.
12/08/2021 -
Administração e Projeto de RedesO crescimento da demanda por conectividade fez com que o IPv4, principal protocolo de internet (IP) utilizado no Brasil, entrasse em estado de esgotamento de sua capacidade. Incorporado à realidade da TI brasileira desde 1980, o IPv4 suporta até 4,3 bilhões de endereços na web, enquanto que a versão mais nova do protocolo, a IPv6, tem capacidade para até 340 duodecilhões desses mesmos ambientes online. Em um artigo anterior no nosso blog, nós abordamos as particularidades do IPv4 e os motivos pelos quais o protocolo esgotou. Nesse contexto, é a vez de entendermos do que se trata o IPv6, atualmente a mais capacitada para suportar as demandas da rede nacional. A necessidade de um novo Protocolo O endereço de IP nada mais é do que uma sequência numérica que identifica um dispositivo que está acessando a internet. É, literalmente, um endereço que permite identificar de onde a conexão está vindo. Com o volume intenso de pessoas conectadas diariamente e cada vez mais dispositivos integrados, por conta da Internet das Coisas, há uma tendência à sobrecarga desse sistema gigantesco que mantém pessoas do mundo inteiro acessíveis a um clique. As sequências numéricas disponíveis para o IPv4 estão acabando e daí vem a necessidade de adaptação a um novo sistema que possa comportar esses novos dispositivos. No Brasil, os endereços IPv4 acabaram em 19 de agosto de 2020, conforme informado pelo NIC.br, que administra a Internet brasileira. É por isso que o IPv6, um novo protocolo de comunicação, foi criado. Como funciona o IPV6? O IPv6 é uma evolução do IPv4, com uma capacidade muito maior. A constituição do IPv4 é de 32 bits e do IPv6, 128 bits. A especificação do IPv6 foi criada pelo RFC2460, em dezembro de 1998, e sua padronização aconteceu por meio do RFC8200, de julho de 2017. O IPv6 foi criado porque a internet, a princípio, não foi programada para atingir proporções tão grandes, e nos dias de hoje acaba sendo inevitável substituir o sistema para um novo protocolo. O que os especialistas chamam de esgotamento do IPv4 é a prova da dimensão que a internet tomou em poucas décadas de existência. 4 bilhões de combinações disponíveis, que pareciam um número alto, já não são mais suficientes. O processo de transição, é claro, não pode ocorrer da noite para o dia. É preciso encontrar meios onde IPv4 e IPv6 possam coexistir, fazendo melhorias entre os dois e não alterando completamente a estrutura que conhecemos hoje. Basicamente, a proposta do IPv6 é aumentar o número de combinações possíveis para os endereços de IP, proporcionando vantagens como: – roteamento de conexão ainda mais eficiente; – melhor processamento dos pacotes de internet; – fluxo de dados direto; – configuração de rede simplificada; – suporte preparado para novos serviços; – melhoria da segurança. O que muda? Afinal, na prática, o que a mudança da versão do protocolo traz para os usuários e para a internet como um todo? Velocidade No quesito velocidade, um estudo feito pela empresa de segurança de sites Sucuri aponta que praticamente não há uma diferença significativa de velocidade entre o acesso através dos protocolos IPv4 e IPv6. Em alguns casos, o protocolo anterior foi até mais rápido que a nova versão. Segurança Quando o assunto é segurança, o IPv6 acaba saindo na frente, uma vez que foi projetado para usar criptografia de ponta a ponta. Assim, em teoria, com a adoção cada vez maior da nova versão do protocolo, ataques do tipo MitM (acrônimo de man-in-the-middle ou homem-no-meio), que é quando o acesso do usuário acaba sendo interceptado e desviado no meio do caminho, serão consideravelmente mais difíceis de ocorrer. Ataque MitM/wi-fi público Outra vantagem em relação à segurança é que o IPv6 conta com o IPsec (acrônimo de IP Security Protocol ou Protocolo de Segurança IP) de forma nativa. Isso garante, entre outras coisas, que seja possível checar se o usuário é quem diz ser. A integridade dos dados também é passível de checagem, permitindo que se tenha a certeza de que o conteúdo recebido é exatamente idêntico ao enviado. Vale destacar que, com as atualizações que o IPv4 foi recebendo ao longo do tempo, também passou a contar com o IPsec, mas isso depende que uma implementação seja feita na rede pelos administradores e, como o IPv6 já está no mercado, muitas empresas acabam não investindo na atualização. Disponibilidade quase ilimitada Sendo possível criar aproximadamente 340 undecilhões de endereços IPv6, é praticamente impossível, em um futuro bem distante, acabar com tantas possibilidades. Com isso, também deixa de ser necessário utilizar NAT em redes internas, uma vez que não há mais a necessidade de se preocupar com a limitação de endereços. Isso permite que, conforme os equipamentos forem sendo atualizados, todos os dispositivos, inclusive os de Internet das Coisas, tenham IPs reais, além de poderem pertencer, de forma simultânea, a muitas redes utilizando um endereço único em cada uma delas. Quer saber mais sobre o funcionamento e implementação dessa tecnologia? Conheça o curso sobre IPV6 básico da ESR.
06/08/2021 -
RHA SFIA é uma organização global sem fins lucrativos que nutre um framework de habilidades e competências para um mundo digital. Um dos principais desafios enfrentados pelos profissionais que atuam nas áreas de Tecnologia da Informação e Telecomunicações, Transformação Digital e Engenharia de Software é enquadrar-se nas exigências de Habilidades e Competências determinadas pelo Mercado ou pelos Planos de Cargos estabelecidos nas Organizações. Se, outrora, o alinhamento estratégico entre o Negócio e a TI era determinante para atingir metas corporativas, vemos hoje uma simbiose na qual o papel de coadjuvante entre as duas áreas se alterna ou é partilhado, ou seja, pessoas de Tecnologia comandando o Negócio e pessoas de Negócio tocando a Tecnologia.Neste contexto, o SFIA é uma ferramenta de grande valor, por tratar-se de um modelo de referência que cruza Habilidades e Competências em um eixo e Sete níveis de responsabilidade no outro. O que é o SFIA Framework? SFIA (pronuncia-se Sofia) vem da sigla em inglês Skills Framework for the Information Age (Estrutura de habilidades para a era da informação, em português). Com um movimento iniciado na década de 80, o SFIA foi publicado pela primeira vez em 2000 e é mantido pela Fundação SFIA, uma organização sem fins lucrativos. Encontra-se na versão 7 e está em constante evolução, contando com a colaboração de uma comunidade de especialistas por todo o mundo. É um modelo que se define como “a linguagem comum globalmente aceita para as habilidades e competências relacionadas às tecnologias de informação e comunicação, transformação digital e engenharia de software”. No geral, a missão do SFIA é voltada para aumentar o ciclo de gerenciamento de habilidades de tecnologia da informação e comunicação por meio de um modelo abrangente e replicável que avalia e otimiza o potencial da força de trabalho. Devido à sua relevância universal, o SFIA Framework é incrivelmente maleável e pode ser usado para fins governamentais, corporativos ou individuais. É escalonável bidirecionalmente e possui altos níveis de aplicabilidade em todos os setores. Em sua essência, é uma colaboração global entre gerentes de negócios, profissionais de TI, educadores, representantes de RH e, é claro, os próprios usuários de SFIA desenvolvidos internamente. Como funciona o SFIA Framework Antes que uma organização possa tirar proveito de todos os benefícios do SFIA Framework, é necessário cultivar uma compreensão mais abrangente de como esse modelo funciona como uma ferramenta de avaliação. Em primeiro lugar, o SFIA avalia os assuntos em eixos correspondentes de habilidades e competências, em vez de entregas profissionais. O framework reconhece que os Bodies of Knowledge (BoKs) ou agregados independentes de conhecimento específico da indústria são sensíveis ao contexto e estão em constante evolução. Embora separados do SFIA, eles trabalham em conjunto com as habilidades e competências que o SFIA avalia com relação a essas indústrias. Em segundo lugar, o SFIA define competência de forma holística. Ao contrário de suas contrapartes mais tradicionais, embora o SFIA certamente seja responsável pelas certificações do setor, ele também avalia a proficiência com base em atributos menos quantificáveis. Ele leva em consideração “habilidades, comportamentos ou atributos profissionais, conhecimentos e qualificações e certificações”. O Framework vai além do binário básico de “qualificado ou não qualificado”. Em vez disso, as avaliações do SFIA produzem estratégias para o desenvolvimento longitudinal de habilidades, crescimento e promoção pessoal. Terceiro, o SFIA é aberto por design. Por meio de crowdsourcing operacional, ele se esforça para refletir as necessidades atuais dos negócios internacionais. O SFIA está constantemente sujeito a revisão, ampliação e referendos. O SFIA Framework consiste em sete níveis de responsabilidade do Nível 1 ao Nível 7, descrevendo os comportamentos, valores, conhecimentos e características que um indivíduo deve ter para ser reconhecido como competente em cada Nível. Além disso, os níveis de responsabilidade são caracterizados pelos seguintes atributos genéricos: Autonomia, Influência, Complexidade, Conhecimento e Competências Empresariais. Conheça os 7 níveis de responsabilidade do SFIA Framework aqui. Com base nesses princípios, o SFIA consegue ser flexível e liderado pela comunidade, mas também universal e abrangente, características subjacentes a muitos dos maiores benefícios do SFIA Framework. Benefícios do SFIA Framework – O SFIA auxilia gerentes, profissionais de RH e recrutadores, adquirindo talentos de alto nível e ilustrando melhor os pontos fortes dos candidatos durante o processo de recrutamento. SFIA é um meio econômico e eficiente de enriquecer as equipes internas; – SFIA capacita os funcionários a reconhecer seus muitos pontos fortes e se preparar para assumir o controle de seu próprio potencial. SFIA ajuda as oportunidades de avanço a se materializar por meio de definições claras de como as habilidades atuais funcionam em níveis cada vez mais elevados.; Os funcionários também ganham a capacidade de conduzir conversas focadas com os empregadores sobre onde estão e onde esperam avançar em posições futuras.– SFIA beneficia os clientes, garantindo que os membros da equipe atribuídos a uma determinada conta sempre terão o melhor conjunto de habilidades possível para lidar com as tarefas em mãos, mapeando habilidades específicas e diversas. – SFIA fortalece os negócios e os torna mais competitivos, porque permite que eles entendam seu próprio pool de talentos como ele está, ao mesmo tempo que traça o potencial latente que pode ser capitalizado; – SFIA oferece suporte a seus usuários, fornecendo atualizações regulares da estrutura. O desenvolvimento do SFIA nunca foi motivado pelas partes interessadas – em vez disso, sua evolução é conduzida pelos próprios usuários. Ficou interessado em saber mais? A ESR oferece uma consultoria educacional utilizando o framework mundial SFIA, visando obter melhorias contínuas para o resultado das organizações.
29/07/2021 -
Governança de TIMesmo para negócios que não possuem em seu core de atuação a tecnologia, já é evidente há alguns anos a importância de se direcionar os olhares para a TI com mais atenção. Isso porque é esse setor dentro da empresa que vai reter todos os dados dos clientes, tornar possível o registro e armazenamento de informações e até mesmo todo o controle dos processos internos da empresa. Adicionando-se a esse entendimento a visão de governança de TI, é possível pensar em diferentes práticas e processos que vão tornar a TI da sua empresa uma aliada do desenvolvimento e do atingimento dos objetivos gerais da organização. Para isso, diferentes normas e manuais estabelecem diretrizes e orientações sobre o uso efetivo, eficiente e aceitável de TI dentro das organizações. Confira neste guia as melhores práticas relacionadas à governança de TI na sua organização e saiba como aplicá-las no seu dia a dia. Boa leitura! Separando “Governança de TI” de “Gestão de TI” O primeiro e mais importante passo para que você possa absorver de forma completa e satisfatória os conceitos abordados neste eBook é ter clareza sobre a diferença entre governança de TI e gestão de TI. Para isso, vamos nos embasar aqui nas referências consolidadas por um dos frameworks de gerenciamento de TI mais utilizados para orientar as práticas de governança das empresas, o COBIT (Control Objectives for Information and related Technology), concebido pela ISACA. O framework, assim como a norma ABNT ISO/IEC 38500 é um dos mais utilizados para embasar a governança inicial da área de tecnologia da informação das empresas. Com o propósito de auxiliar as organizações de todos os portes e modelos de negócio a atingirem seus objetivos de governança de TI, o COBIT 2019 baseia-se em seis princípios orientativos de governança. Para esta primeira etapa, vamos focar no princípio 4 que pretende “Separar a Governança da Gestão”. Este princípio parte da lógica original de que a elaboração de um planejamento estratégico, que de certa forma é a estrutura inicial de um programa de Governança de TI, é um processo diferente da sua execução, sendo realizados também, por vezes, por equipes distintas. A governança de TI normalmente fica sob a responsabilidade dos executivos ou da cadeia gerencial, enquanto que a gestão fica a cargo dos gestores. Trazendo esta analogia para o cenário da área de TI dentro das organizações, o framework do COBIT 2019 demonstra que a governança diz respeito à parte mais estratégica e de desenvolvimento de objetivos para a área de TI, enquanto a gestão executa ações e atividades que se alinhem para auxiliar no atingimento destes objetivos. Para tornar a compreensão mais visual, elencamos abaixo as principais responsabilidades desenhadas pelo COBIT 2019 para as áreas de governança e gestão de TI, confira: Governança de TI Gestão de TI Agora que a diferença entre esses dois cenários está mais clara, vamos em frente falar um pouco mais sobre cada um deles, suas peculiaridades e, acima de tudo, sobre a importância de se praticar uma boa gestão de TI para atingir os grandes objetivos da governança na sua empresa. Gestão de infraestrutura de TI Antes de entrarmos nos aspectos relacionados à governança, vamos apresentar por aqui também alguns conceitos dentro da área de gestão de TI. Como já vimos no capítulo anterior, a gestão de TI está diretamente ligada à governança e contribui para o atingimento de seus objetivos. Sendo assim, é fundamental ter conhecimento também sobre este aspecto para evoluir no entendimento sobre governança de forma mais ampla. Vamos a ele. A infraestrutura de tecnologia é a base que sustenta todos os processos e sistemas operacionais de uma empresa. Para garantir tal funcionalidade é preciso que essa estrutura reúna características que a permita apresentar boa performance e capacidade de atender a demanda necessária. Uma das principais formas de colocar isso em prática é através da utilização e uso de sistemas para gestão de TI, práticas e processos, além de contar com as pessoas que integram a área de tecnologia da informação. Esse conjunto de capacidades permite que a sua estrutura tenha dois elementos fundamentais: a segurança e confiabilidade das informações coletadas e armazenadas; e a redução de falhas por conta da implementação de automação de alguns determinados processos. Existem dois ambientes tecnológicos principais de estruturação de sistemas para gestão de TI, que são on premise — em que a empresa adquire equipamentos e implanta um sistema interno para tratamento de informações —, e em cloud — quando se utiliza o ambiente tecnológico de uma empresa especializada no provimento deste tipo de solução para realizar suas tarefas de tratamento das informações. No entanto, é importante destacar que, para além do sistema escolhido ou da forma de operação da mesma, é fundamental identificar e definir processos para realização das tarefas. Isso porque a área de TI é composta por pessoas, os colaboradores da empresa que estão ali diariamente dedicando seu tempo e esforços para garantir que tudo corra bem na infraestrutura de TI da empresa. Para que todos que fazem parte da área de tecnologia da informação estejam motivados e engajados na realização de suas atribuições, será fundamental respeitar os processos já definidos e mantê-los sempre atualizados de acordo com as necessidades e também alinhados com todos que fazem parte dele. Assim, você terá uma equipe preparada para solucionar falhas na operação, processos eficientes com baixos índices de refração e um trabalho com maior direcionamento para os objetivos do negócio do que para ficar somente corrigindo falhas de TI. Saiba mais sobre o passo a passo de como implementar um bom gerenciamento de infraestrutura de TI. Gestão de indicadores de TI Não dá para falar em gestão de TI sem mencionar indicadores. Controlar e acompanhar a evolução de diferentes métricas e parâmetros de acordo com os objetivos do negócio é essencial para monitorar quanto desta meta está sendo atingida, compreender gargalos e atuar em situações críticas. Como já mencionado anteriormente, a área de TI precisa estar alinhada aos objetivos da empresa e desempenhar de acordo com eles. Se há um novo serviço em vista por parte do negócio e é preciso intervenção da TI, lá ela deve estar, e para lá devem também estar orientados os seus indicadores. Importante lembrar que indicadores são amostras do que está sendo feito e de onde se está chegando, e servem principalmente para mensurar a eficiência e a qualidade dos processos que estão implementados e com o resultado dos indicadores propiciar a tomada de decisão. No entanto, não se deve embasar somente neles para a tomada de decisão quando o assunto é infraestrutura de TI. Confira alguns exemplos de indicadores que podem ser acompanhados pela sua área de TI para desempenhar um bom processo de gestão e compreender as principais necessidades de melhoria: Ao ter acesso às metas da empresa, a área de TI pode definir as suas próprias, que levarão ao atingimento destes objetivos maiores, e determinar uma rotina de acompanhamento desses indicadores. Algumas metodologias como a de OKRs (Objectives and Key Results) preveem um acompanhamento próximo, coletivo e periódico da evolução das metas e também um brainstorming para definição de que ações tomar caso algo não esteja fluindo como o esperado. Governança de TI: a estratégia por trás de tudo Com certeza você já ouviu falar sobre o termo governança corporativa, certo? Pois bem, vamos entender um pouco melhor do que isso se trata e, em seguida, chegaremos na tão esperada aplicação disso dentro da área de TI. Governança corporativa é um conjunto de normas e práticas estabelecidas por cada empresa, de acordo com exigências de mercado para o seu setor e também com seus próprios valores internos. Essas regras e parâmetros vão determinar como são feitos os processos dentro da empresa, que setor é responsável por cada atividade e que resultados são esperados dentro de qual prazo para cada uma delas. O processo todo envolve poucas pessoas nas definições e como cabeças pensantes das ações, porém se estende à empresa inteira quando já estipulado tudo. Por isso é tão importante que todos tenham consciência internamente sobre que diretrizes a empresa pretende seguir e como cada pessoa pode se posicionar em prol disso. Na área de TI recomendamos que seja feito um trabalho específico de normas que será chamada de governança de TI, onde estarão discriminados todos os objetivos estratégicos de TI, bem como um conjunto de ações e práticas esperados, porém de forma que atenda a área de tecnologia, mas buscando o alinhamento com as estratégias da empresa. Além do framework do COBIT 2019, outro modelo amplamente utilizado para a implementação de práticas de governança de TI nas organizações é a norma ISO/IEC 38500, já mencionada anteriormente, instituída pela ABNT. Também aplicável a qualquer tipo ou porte de empresa, a norma estabelece seis princípios para uma boa governança de TI. São eles: Vamos falar mais sobre cada um deles. Responsabilidade No que tange à responsabilidade, será fundamental que todos os indivíduos e grupos da organização compreendam suas atribuições e papéis no fornecimento de TI. Além disso, é preciso que as funções incumbidas a cada qual sejam acompanhadas de autonomia e poder de decisão para tal execução. Estratégia Quando falamos em estratégia na governança de TI, o objetivo principal é manter sempre no horizonte das ações o cenário atual da organização, acompanhando a evolução para os planos futuros. Este alinhamento contribui para que não haja dimensionamentos incorretos de recursos e esforços, e que o processo seja o mais otimizado possível. Sendo assim, tanto o nível executivo da empresa deve compreender qual a capacidade atual da área de TI, quanto este setor precisa ter ciência das necessidades atuais do negócio como um todo. Importante destacar aqui que o processo evolui ao longo do tempo, então essas necessidades de ambos os lados vão sendo modificadas também, e a boa governança de TI deve garantir que isso esteja endereçado. Aquisições Partindo para o terceiro ponto, as aquisições, a norma ISO/IEC 38500 propõe que haja um processo balizador para gerar um equilíbrio nos investimentos da área de TI. Assim, entende-se que tudo aquilo que é adquirido tem uma razão válida, e que deve passar por caminhos claros e transparentes que indiquem os benefícios, oportunidades, custos e riscos daquelas aquisições, e que as justifiquem diante do cenário como um todo. Desempenho O quarto princípio básico para uma boa governança de TI, segundo a norma ISO/IEC 38500 é o constante monitoramento do desempenho da área de tecnologia dentro da organização. Aqui é fundamental garantir que a atuação do setor esteja adequada à prestação de suporte à empresa,disponibilizando serviços de qualidade e que atendam às necessidades atuais e futuras do negócio. Conformidade Este princípio se trata da parte burocrática relacionada à área de TI dentro das organizações, que é a conformidade com todas as legislações e regulamentações aplicáveis ao setor. Os profissionais responsáveis pelo desenvolvimento das diretrizes de governança de TI da empresa devem ficar atentos às políticas e práticas aplicadas, e também às mudanças que ocorrem neste cenário. Manter uma proximidade com o setor jurídico, neste caso, será fundamental. Comportamento humano Apesar de estarmos debatendo governança de TI nos âmbitos de tecnologia e negócio, é fundamental ter sempre em mente que essas duas pontas dependem e são formadas por pessoas. Sendo assim, a norma ISO/IEC 38500 define o comportamento humano como o ato de prezar pelo respeito, necessidades e evolução de todas as pessoas envolvidas nos processos. Em resumo, são exemplos do que será atribuído como função aos profissionais dentro da equipe responsáveis pela governança de TI: Uma estratégia de governança de TI bem executada pode ajudar a empresa como um todo a atingir níveis de excelência em segurança, confiabilidade e credibilidade diante de todos os stakeholders. Isso permite uma maximização dos resultados do negócio, ou seja, influencia diretamente na lucratividade da empresa. Benefícios de implantar governança de TI Já falamos neste conteúdo anteriormente sobre o que é a governança de TI e sobre como ela é importante para o bom andamento não só da área de tecnologia, mas do negócio como um todo. Confira a seguir os principais benefícios de implantar esta estratégia. Maior vantagem competitiva Com a maior produtividade de toda a sua equipe seguindo práticas e processos pré-determinados e desenhados, todos saem ganhando. O cliente fica mais satisfeito com o resultado final, a empresa tende a verificar um aumento de lucro, e o mercado fica mobilizado para entender que tipo de ações estão sendo adotadas para gerar toda essa evolução. Esta é uma grande vantagem competitiva que pode vir da implantação de governança de TI na sua empresa. Aumenta a confiança e reduza riscos para os clientes Sistemas tecnológicos regidos por uma base de governança de TI tendem a ser mais estáveis e padronizados, mesmo em seus momentos de falha. Isso é um resultado muito importante do ponto de vista do cliente, que ao utilizar a solução, comprar o produto ou serviço deseja poder usufruir dele da melhor maneira possível. Além disso, identificar que a tecnologia por trás do atendimento realizado desempenha bem transmite ainda maior segurança quanto aos riscos para o cliente ao interagir com aquela solução. Otimiza o investimento dos seus recursos Ao reduzir as falhas, agilizar processos, automatizar tarefas e identificar gargalos, o principal benefício obtido é, então, a otimização de investimento dos seus recursos. Isso porque a empresa consegue saber exatamente, com base nas políticas de governança de TI, quais equipes precisam de maior destinação de recursos e quais estão desempenhando bem da forma que estão. Isso influencia também diretamente no aumento do ROI da área de tecnologia para a empresa, ajudando ainda mais a provar seu valor. Melhora sua comunicação Pensando no pilar de alinhamento estratégico da governança de TI, uma das vantagens mais interessantes, e muitas vezes abordada de forma superficial, é a melhoria nos processos também de comunicação entre as pessoas e entre os setores. Ao determinar diretrizes de como tudo deve acontecer, torna-se mais transparente para todos o que a organização espera e para onde está indo, além da forma como cada um pode contribuir para esse objetivo também ficar mais clara. Dicas práticas de governança de TI Então, agora que passamos por todo esse preparatório para mostrar a você a importância de conhecer mais sobre gestão de infraestrutura e sobre governança de TI, está na hora de deixar por aqui algumas dicas práticas que você já pode começar a estudar para implantar a partir de agora. Vamos a elas! #1 Faça uma análise do seu cenário A equipe ou o profissional responsável pela implantação da governança de TI dentro da sua organização precisa estar preparada para realizar uma imersão no cenário atual. Esta etapa é muito importante para que se conheçam todos os objetivos, desafios, necessidades, condições de equipe e capacidade de atuação para desenhar as diretrizes da governança. Não é eficiente ou produtivo determinar estratégias que a sua equipe não terá braço para cumprir ou que não esteja de acordo com as linhas gerais do que a empresa está buscando no momento, por exemplo. Por isso essa análise é tão importante. #2 Conheça também a realidade dos stakeholders Todos os stakeholders (as partes interessadas ou envolvidas) de alguma forma no seu negócio devem ser contempladas com os objetivos finais da estratégia de governança de TI. Assim, além do cenário atual da empresa em si, recomendamos que seja feito um mapeamento da situação e da relação com fornecedores e clientes, e também dos interesses e sugestões dos sócios e acionistas. Envolver a todos na criação das diretrizes será essencial para chegar no objetivo em comum. #3 Defina um SLA exequível A tentativa de entregar tarefas e resultados em prazos apertados para mostrar trabalho pode ser uma falha grotesca quando se trata de governança de TI. Isso porque se as diretrizes definidas forem fora da capacidade de realização da equipe, por exemplo, haverá uma constante frustração dentro da equipe e isso poderá chegar até a diretoria e se reverter em descrédito para a área de TI. Por isso, determinar um SLA (Service Level Agreement) que esteja dentro das orientações e práticas da empresa será fundamental. Com todas as tarefas desenhadas de forma acordada entre todos os envolvidos, as chances de sucesso são muito maiores. #4 Selecione e determine um framework de trabalho Existem diversas possibilidades de se aplicar uma metodologia de governança corporativa, definindo diretrizes e orientando caminhos. Assim, para não misturar um pouco de cada e tornar os processos confusos, a recomendação é de que seja selecionado um framework dentre todos os disponíveis, ocorra um aprofundamento nele caso seja novo para os envolvidos e não se fuja daquelas orientações. Alguns exemplos de frameworks sobre os quais você pode se informar e debater com a sua equipe sobre adequação ao seu cenário são alguns dos que mencionamos por aqui e mais outros: Cobit, ISO/IEC 38500, ITIL e PMBOK. #5 Adeque-se à evolução e à lei Nossa última dica prática de hoje leva você a refletir um pouco mais sobre a questão de como acompanhar os resultados do seu framework implementado e seguir a legislação em torno disso. Muito tem-se falado sobre a LGPD, Lei nº 13.709, que entrou em vigor e modificou totalmente — na maioria dos casos — a forma como as empresas se relacionam com os dados pessoais dos seus clientes e colaboradores. Pensar em uma estratégia de governança de TI exige que haja um planejamento também a este respeito em tudo que tange à coleta, armazenamento e manipulação de dados alheios. Esta pode ser uma das suas métricas a serem definidas, pois conforme mencionamos na seção sobre os indicadores, a governança de TI prevê também que as ações possam ser metrificadas para terem o devido acompanhamento da evolução. Unir o útil ao agradável pode ser um ótimo caminho neste caso. Conclusão Muito se falou neste material sobre a importância da infraestrutura de TI para o funcionamento de toda e qualquer empresa, e sobre o alinhamento da área aos objetivos gerais do negócio. Em muitos casos pode parecer que a estrutura presente é simplória e que apenas uma pessoa poderia dar conta. No entanto, a complexidade da tecnologia pode estar sendo subdimensionada e, por conta disso, mal interpretada dentro de um planejamento estratégico. Aos poucos as organizações vêm identificando cada vez mais a força e o valor que tem o seu setor de TI, incluindo-o em seu planejamento e criando estratégias para destinação de recursos. O desenvolvimento da área de tecnologia dentro de uma empresa pode ser primordial para o sucesso do negócio, e aí está a importância de se dar o devido valor, criando estratégias como a governança de TI para tornar os processos mais otimizados e trazendo os resultados que a empresa tanto espera. Se quiser saber mais sobre o universo da tecnologia e sobre governança de TI, entre em contato com nossos especialistas, será um prazer falar com você sobre este tema tão encantador!
23/07/2021 -
Administração de SistemasA palavra container é bastante utilizada até mesmo em português e designa, geralmente, volumosas caixas de embalagem para transporte, à longa distância (sobretudo por via marítima), de variadas mercadorias. Porém, no mundo da programação, o termo tem outro significado: os containers e docker são utilizados em larga escala no desenvolvimento, testes e, principalmente, na produção de softwares. São eles que permitem rodar múltiplos sistemas isolados dentro de um sistema operacional real. O que são containers? O container nada mais é do que um ambiente isolado, disposto em um servidor, que divide um único host de controle. Vamos voltar ao exemplo dos containers tradicionais para explicar melhor esse conceito. Um navio cargueiro pode carregar diversos containers. Caso um dos recipientes seja danificado, os demais não são afetados. Afinal, são isolados, protegidos e estão carregando seus próprios produtos. Trazendo para o mundo do desenvolvimento, cada container possui uma função e sua responsabilidade. Caso um deles sofra um dano, o funcionamento do sistema não para e a função afetada é redirecionada para um novo container. Diferença entre containers e VMs Os containers funcionam um pouco como as VMs, mas de uma maneira muito mais específica e granular. Em uma máquina virtual, é possível utilizar diversos recursos e ferramentas, como Apache e PHP, porém tudo roda em um mesmo sistema operacional. Em caso de pane, todas as funcionalidades são afetadas. No caso dos containers, a ideia é que cada um faça apenas um serviço e assuma uma só responsabilidade. Ou seja, seria um rodando com Apache e outro com PHP. Desta forma, é possível isolar os processos de cada ferramenta, garantindo que nenhuma atrapalhe o funcionamento da outra. Para serviços web, por exemplo, os containers deixam a infraestrutura muito mais intercambiável, eficiente e flexível. Eles isolam um único aplicativo e suas dependências – todas as bibliotecas externas de software que o aplicativo precisa executar – tanto do sistema operacional subjacente quanto de outros containers. Todos os aplicativos em container compartilham um único sistema operacional comum (Linux ou Windows), mas eles são compartilhados entre um e outro e do sistema como um todo. À primeira vista, eles podem até tornar a situação um pouco mais complexa, porém, principalmente nos servidores de produção, oferecem um ganho enorme em termos de escala e performance e, portanto, são uma ferramenta valiosa. Docker e sua relação com containers A tecnologia Docker usa o kernel do Linux e recursos do kernel como Cgroups e namespaces para segregar processos. Assim, eles podem ser executados de maneira independente. As ferramentas de container, incluindo o Docker, fornecem um modelo de implantação com base em imagens. Isso facilita o compartilhamento de uma aplicação ou conjunto de serviços, incluindo todas as dependências deles em vários ambientes. O Docker também automatiza a implantação da aplicação (ou de conjuntos de processos que constituem uma aplicação) dentro desse ambiente de container. Essas ferramentas baseadas nos containers Linux (o que faz com que o Docker seja exclusivo e fácil de usar) oferecem aos usuários acesso sem precedentes a aplicações, além da habilidade de implementar com rapidez e de ter total controle sobre as versões e distribuição. Além disso, o software é open source e a comunidade trabalha constantemente para sua melhoria. As vantagens do uso do Docker Limitações atuais no uso do Docker O Docker não fornece as mesmas funcionalidades parecidas com UNIX que os containers Linux tradicionais oferecem. Isso inclui a capacidade de usar processos como cron ou syslog dentro do container, junto à aplicação. O Docker também tem algumas limitações em questões como a limpeza de processos netos (grandchild) após o encerramento dos processos filhos (child), algo que é processado de forma natural nos containers Linux tradicionais. Essas desvantagens podem ser mitigadas ao modificar o arquivo de configuração e configurar essas funcionalidade desde o início, algo que não é imediatamente óbvio em um primeiro momento. Além disso, há outros subsistemas e dispositivos do Linux sem espaço de nomes. Incluindo os dispositivos SELinux, Cgroups e /dev/sd*. Isso significa que, se um invasor adquirir controle sobre esses subsistemas, o host será comprometido. Para manter-se leve, o compartilhamento do kernel do host com os containers gera a possibilidade dessa vulnerabilidade na segurança. Isso é diferente nas máquinas virtuais, que são mais firmemente segregadas a partir do sistema host. Conclusão Mesmo com desafios a serem enfrentados, não é por acaso que os containers estão se tornando cada vez mais populares. Eles reduzem a necessidade de contar com uma grande estrutura e permitem utilizar apenas um sistema operacional normal. Como os containers ficam dispostos neste único ambiente, é muito mais fácil realizar a manutenção, além de ser mais leve e permitir a portabilidade. Ficou interessado em se aprofundar nessa tecnologia? Conheça nosso curso de gestão de containers com Docker!
12/07/2021 -
Governança de TIA definição de indicadores de TI faz parte das boas práticas dentro de qualquer tipo de negócio. Através da mensuração e acompanhamento da evolução desses números ao longo do tempo, é possível monitorar o desempenho das equipes e das entregas, para identificar qualquer gargalo e agir para contorná-lo. Também podendo ser chamados de KPIs (Key Performance Indicator ou Indicadores-chave de desempenho), os indicadores de TI fazem parte de uma cultura fortemente impulsionada pela transformação digital. Por conta da possibilidade de acompanhar a eficiência dos procedimentos adotados dentro da empresa, os indicadores acabam se tornando centrais na tomada de decisão da gestão. Neste artigo, você vai conhecer quais os principais indicadores de TI a serem acompanhados pela sua empresa e como mensurar o desempenho da área a partir deles. Continue a leitura e confira! Principais indicadores de TI para o seu negócio Antes de apresentarmos os indicadores e de indicarmos quais costumam ser os mais prioritários a serem acompanhados, é importante fazer um disclaimer: cada organização terá o seu direcionamento a partir dos KPIs. Isso quer dizer que a determinação do que acompanhar não é um padrão, pois cada indicador traz diferentes tipos de informação à tona, e contribui com momentos diferentes do negócio. Por isso, reforçamos que a definição dos indicadores a serem acompanhados deve estar sempre alinhada aos objetivos e estratégias do negócio. Conheça a seguir, então, quais os principais e, de posse dessas informações, avalie o que pode fazer mais sentido para o seu cenário. Disponibilidade dos sistemas de TI Manter a infraestrutura de tecnologia funcionando sem falhas ou interrupções é função primordial das equipes de TI. Dessa forma, determinar maneiras de mensurar em valores a disponibilidade dos sistemas de TI resulta na obtenção de um dos mais relevantes indicadores de TI para avaliar o desempenho da área. Resolução de chamados No âmbito dos atendimentos a chamados, existem alguns indicadores-chave que podem ser trabalhados. O First Call Resolution (FCR) é um deles, e existem ainda o Tempo de entrega e resolução de chamados e a Quantidade de chamados abertos. De forma geral, este tipo de indicador visa proporcionar à gestão uma compreensão sobre a eficiência das equipes de atendimento e suporte. Para isso, são mensurados, respectivamente de acordo com os indicadores listados, aspectos como: número de chamados solucionados no primeiro contato; tempo entre abertura e a resolução de um chamado; números totais de chamados abertos em determinados períodos de tempo. Níveis de satisfação e experiência do usuário Ainda em relação à eficiência do atendimento das equipes de tecnologia, existem indicadores de TI que remontam ao outro lado do balcão, ou seja, a experiência do usuário final. Independente de quem seja esse público, a infraestrutura de TI sempre atende a alguém. E essas pessoas precisam estar satisfeitas com o serviço entregue para que o resultado seja considerado positivo. Neste caso, mapear alguns indicadores relacionados aos níveis de satisfação pode ser uma boa alternativa para a empresa ter a dimensão completa da qualidade e dos impactos da sua área de TI. A coleta desse indicador se dá a partir de pesquisas de satisfação, como o NPS (Net Promoter Score), ou então através da obtenção de feedbacks dos usuários. Retorno sobre o Investimento (ROI) Sobre este indicador há muito pouco o que se ressaltar em termos de relevância, afinal, o ROI já é uma das métricas mais utilizadas pelas empresas para mensurar seus serviços. Este KPI diz respeito ao entendimento de quanto do que foi investido em uma determinada entrega está retornando para a empresa financeiramente. Mensurar e acompanhar a evolução deste, dentre os demais indicadores de TI possíveis, é fundamental para entender melhor sobre a saúde financeira do negócio e direcionar ajustes que sejam necessários na estratégia. Existem inúmeros indicadores de TI possíveis de serem acompanhados além dos que citamos aqui. Por isso, nossa recomendação é de que você busque se capacitar para conhecer a fundo este universo e ser capaz de identificar quais KPIs mais contribuem com as necessidades do seu negócio. Como implementar indicadores de TI Conforme destacamos anteriormente, o acompanhamento de indicadores de TI para mensurar o desempenho da área deve ser compatível com a realidade da empresa. Existem alguns passos ou etapas principais que se recomenda serem seguidos nessa implementação, começando por um bom planejamento, passando pela conscientização dos colaboradores, pela implementação em si e chegando no monitoramento. Cada um desses momentos deve ser estudado e analisado pela gestão, em conjunto com o time, para que seja identificado o que é possível de ser realizado com a estrutura que se tem atualmente. Muitas vezes as empresas incorrem no erro de, na ânsia de tentar abraçar o mundo, perceber ao longo do tempo que não há braços para isso. Assim, a dica é começar por pequenos movimentos, mas que sejam extremamente estratégicos para o seu negócio. Aliando as percepções dos colaboradores que estão no dia a dia da operação, com o entendimento da gestão e das lideranças executivas do negócio, os indicadores de TI contribuem para o atingimento de altos níveis de eficiência da área e da empresa. Também é possível definir KPI’s baseados no framework do COBIT 2019, que possui uma base de indicadores associados às metas de alinhamento de TI com negócios. Para conhecer ainda mais sobre esse tema e se especializar, a sua melhor capacitação está aqui. Confira nossos cursos com matrículas abertas e continue acompanhando nosso blog!
09/07/2021 -
Governança de TIQuando o assunto é gestão de riscos de TI existem muitos caminhos possíveis para analisar cenários e tomar decisões. Seja na gestão de riscos de segurança da informação, ou no gerenciamento das operações diárias da área de TI, é fundamental ter conhecimento sobre este campo para alcançar os melhores resultados na sua empresa. A gestão de riscos de TI faz parte de alguns processos previstos dentro das práticas de governança de TI no que tange à prospecção de riscos e análise de cenários. Isso porque dentro de um ambiente controlado por normas e parâmetros para execução das atividades, é preciso que haja um monitoramento também dos riscos para mapeamento de soluções. Continue a leitura deste artigo e confira algumas dicas de como mitigar riscos em organizações a partir de um método eficiente para gestão de riscos em TI. O que é risco? Antes de abordarmos a gestão de riscos em TI em si, é preciso esclarecer o que o setor de tecnologia encara como sendo esses riscos a serem gerenciados. Importante destacar aqui que ninguém está livre: os riscos estão presentes em toda e qualquer operação e nas diferentes áreas, podendo ser classificados em diferentes tipos conforme suas características e origens. De forma resumida, risco é toda situação onde há uma dificuldade quanto à previsibilidade do que irá acontecer no cenário final. O conceito remete, então, a casos onde há a probabilidade de os resultados serem diferentes do que era esperado inicialmente, devido a diversos possíveis motivos. A literatura traz também neste mesmo sentido o conceito de incerteza dentro do processo de TI que, no entanto, se diferencia dos riscos pela sua impossibilidade de previsão antecipada. A existência de um risco, esta sim, é algo previsível, porque essa identificação parte da análise de um cenário e do levantamento de possibilidades de falha a partir dele. É importante destacar aqui que a possibilidade de previsão da ocorrência de um risco não significa que a equipe de TI sabe exatamente o que irá acontecer. Se fosse desta forma, não haveria riscos ou a necessidade de estratégias para a sua gestão. Os riscos são previstos de forma ampla e geral considerando as vulnerabilidades já identificadas em um sistema, por exemplo, e imaginando cenários onde ameaças externas se aproveitem desta característica para causar algum dano ou consequência. Assim, mapeando previamente as situações envolvidas no processo de TI e seus possíveis riscos, é possível desenhar um plano de ação com base nas diferentes situações identificadas. Isso traz maior segurança para a equipe no sentido de que, em caso de ocorrência de algum dos sinistros já mapeados, as práticas de governança já pré-definem uma estratégia para a gestão de riscos de TI em questão. Exemplos de riscos de TI Para que você tenha uma ideia um pouco mais palpável sobre os chamados riscos de TI, trazemos aqui alguns exemplos do que pode ser tratado como tal: flutuações de câmbio; falta de disponibilidade; despriorização de projetos; requisitos de hardware; estrutura de confidencialidade; falhas em softwares. Gestão de riscos de TI para mitigar falhas A gestão de riscos de TI é um conjunto de processos e métodos implementados pelas empresas para buscar um equilíbrio entre os riscos e os custos das operações, identificando, avaliando e controlando ameaças relacionadas à tecnologia da informação. Neste caso, além do mapeamento de possíveis riscos e definição de um plano de ação para mitigá-los, é necessária uma expertise lógica para a realização dos cálculos e mensuração real dos riscos. Em muitos casos, empresas que não possuem tecnologia no core do seu negócio podem interpretar que os riscos de TI não representam um grande problema para elas. No entanto, a área de TI dentro da empresa, mesmo que seja somente para registro de dados dos clientes e colaboradores, reúne muitas informações valiosas. Em caso de falhas no sistema ou nos processos, pode haver grandes prejuízos ao negócio. Já no caso das empresas de base tecnológica, esses riscos ficam muito mais evidentes — e também a necessidade de desenvolver ações para mitigá-los. Quando toda a organização depende da tecnologia para operar seu negócio, é ainda mais urgente que se implemente práticas de governança de TI e de gestão de riscos de TI. Passo a passo para uma boa gestão de riscos de TI Alguns aspectos deste passo a passo já foram tratados ao longo deste artigo, porém não de forma sequencialmente organizada. Antes de irmos para o passo a passo é importante sinalizar que os riscos de TI têm como boas práticas o embasamento nas normas ABNT NBR ISO/IEC 27.500 e as diretrizes para riscos se baseiam na ABNT NBR ISO/IEC 31.000. Confira a seguir 5 passos e dicas que você pode utilizar para fazer a gestão de riscos de TI na sua empresa. #1 Análise de vulnerabilidades Este é o momento inicial do seu caminho dentro da construção de práticas de gestão de riscos de TI, e tem como foco descobrir onde e quando os riscos podem surgir e qual o seu nível de impacto para a organização. Aqui a sua solução deve ser analisada de forma honesta para identificação de possíveis vulnerabilidades e, consequentemente, que tipos de riscos podem surgir delas — antes que elas se tornem ameaças reais. #2 Entendimento das prioridades Após detectar as vulnerabilidades existentes no sistema e os possíveis impactos de riscos oriundos delas, é preciso estabelecer quais serão atacadas primeiro. Isso está diretamente relacionado ao entendimento quanto ao que é prioridade para o seu negócio em cada momento, para, então, poder direcionar as energias e esforços para este caminho. #3 Construção de plano de contingência Com os impactos e prioridades analisados, a sua equipe deverá partir para a avaliação e classificação dos riscos, o que resulta no desenvolvimento de estratégias para controle. É aqui que se inicia a preocupação quanto aos riscos se tornarem reais, ou seja, o que fazer caso aquela vulnerabilidade identificada como tendo alto impacto para o negócio venha a se concretizar? Assim, a etapa de resposta dentro da gestão de riscos de TI consiste na criação de um plano de ação para remediar um problema que venha a acontecer. #4 Instituição de rotina de backups Como os principais ativos da área de tecnologia são os dados, também é com eles a maior preocupação da gestão de riscos de TI. Por isso, uma boa prática e também uma das etapas recomendadas a serem seguidas dentro desses processos é a criação de uma rotina de backups. Realizar essas cópias periodicamente, com uma frequência estabelecida dentro das suas políticas de governança de TI, pode contribuir para que os riscos sejam reduzidos. #5 Treinamento dos colaboradores Por fim, trazemos aqui a dica relacionada ao treinamento da sua equipe, pois todos os profissionais de TI da organização deverão ser envolvidos nas políticas de gestão de riscos de TI. Essas pessoas, no entanto, nem sempre estarão envolvidas nas definições iniciais sobre as práticas a serem adotadas, visto que isso tende a ser concentrado nos cargos de liderança e gestão da empresa. Por isso, ao consolidar tudo que será aplicado como prática de gestão de riscos de TI, compartilhe em treinamentos com seus colaboradores e mantenha todos sempre na mesma página. Somente assim é que as práticas poderão ser executadas de forma satisfatória. Destacamos aqui os principais momentos envolvidos na construção das melhores práticas de gestão de riscos de TI, porém é sempre bom lembrar de que pouco disso será efetivo sem a devida revisão dos processos. Por isso, adicione aí uma camada permanente de monitoramento do que está sendo feito, e também coloque atenção para quando os riscos de fato vierem a acontecer: o plano de ação para mitigá-lo foi eficiente? O que poderia ser melhor e por que? Assim, o seu processo estará constantemente sendo atualizado e a sua equipe poderá se sentir mais segura nas tomadas de decisão, assim como o negócio como um todo ficará cada vez mais blindado de eventuais riscos. Para mais conteúdos como este, continue acompanhando o blog da ESR e confira nosso calendário de cursos!
30/06/2021 -
Ciência de DadosData Management é o processo de coleta, armazenamento, organização e gestão de dados criados e obtidos pelas organizações. A execução apropriada desta atividade é fundamental para que a área de TI mantenha todos os sistemas operando de forma eficiente, e também para que os objetivos do negócio sejam atingidos. A análise de dados fornece diferentes tipos de insights para embasar a condução dos processos dentro de um negócio. As informações analisadas podem ser referentes a diferentes públicos dentre os stakeholders de uma empresa, como clientes, colaboradores e fornecedores, pode ter relação com o uso de um produto ou serviço, pode trazer feedbacks etc. Sendo assim, compreender alguns termos e conhecer tipos de soluções e ferramentas de gestão de dados (Data Management) é fundamental para que a equipe de TI da sua organização contribua para a evolução do negócio. Continue a leitura deste artigo e saiba mais! O que são soluções de Data Management Com a expansão da quantidade de dados gerados e disponibilizados, e o consequente aumento de interesse das empresas por aproveitar melhor esses ativos , as soluções de Data Management têm ganhado mais espaço no dia-a-dia da TI. Segundo o Gartner, existem três principais tipos de estruturas que suportam operações de Data Management e podem ser utilizadas de forma combinada para serem potencializadas. São elas: Data Warehouse (trazendo também a visão de Data Mart), Data Lake e Data Hub. Por se tratar de um assunto ainda relativamente novo no mercado brasileiro, muitos profissionais e organizações têm dúvidas quanto às diferenças entre essas soluções. Porém, elas possuem, sim, padrões de acesso, tipos de dados e propósitos primários diferentes entre si. Entenda melhor a seguir e saiba qual a melhor alternativa de adaptação para o seu negócio. Data Warehouse Dentre as soluções de Data Management, uma das alternativas que iremos abordar neste artigo é o Data Warehouse. Trata-se de um repositório central de dados integrados e estruturados oriundos de, pelo menos, duas fontes diferentes — no caso de empresas, as fontes podem ser as áreas, como RH, vendas, marketing etc. Por armazenar com eficiência somente dados estruturados, é preciso que estes estejam limpos, tratados e organizados ao serem importados para o sistema. Para isso, o processo utilizado é o de ETL (Extração, Transformação e Carga, ou Load em inglês), que promove a preparação dos dados para a análise. O sistema de Data Warehouse é comumente utilizado para apoiar as equipes de TI na geração de relatórios e análise de dados, fazendo parte das estratégias de Business Intelligence (BI) dentro dos negócios. Data Mart O conceito de Data Mart quando falamos em soluções de Data Management está relacionado a um subconjunto de um Data Warehouse voltado para o armazenamento e apresentação de dados para equipes, setores ou unidades de negócio específicas — e não da organização como um todo. Através desse tipo de solução, a abordagem torna-se muito mais direcionada e possibilita uma otimização dos processos de forma micro. Isso quer dizer que as equipes ou unidades conseguem realizar a curadoria, aproveitamento e manipulação dos dados que as competem de forma direta. Com o Data Mart, essas equipes investem seu tempo nas ações estratégicas e não tanto nas operacionais de selecionar as informações que precisam em meio ao grande volume de dados da empresa inteira. Data Lake Diferentemente do Data Warehouse, o Data Lake oferece uma abordagem menos estruturada e mais flexível para organizações que precisam compilar e analisar dados vindos de fontes variadas. Isso porque neste formato de solução de Data Management podem ser armazenados dados sem que haja organização prévia, ou seja, recebe dados brutos. No entanto, não se preocupe: você terá acesso às informações de forma organizada para apresentá-las à sua equipe ou aos gestores da empresa a partir do momento que gerar um requerimento para tal dentro do sistema. Com relação aos tipos de dados armazenados, o Data Lake traz para as empresas a opção de coletar dados estruturados (assim como o Data Warehouse), mas também semi-estruturados e não estruturados ou binários. Com essa gama de possibilidades, os usuários de sistemas de Data Management como o Data Lake podem visualizar, criar dashboards, montar apresentações, implementar processos de machine learning e diversas outras funcionalidades a partir dos dados. Data Hub O objetivo principal de um sistema de Data Management no formato de Data Hub é coletar e conectar dados para produzir insights que visam a colaboração e o compartilhamento dessas informações. A definição deste tipo de sistema varia de acordo com as necessidades de uso da organização e os parâmetros elencados como prioritários ou importantes dentro do negócio. Os dados a serem armazenados também podem vir de múltiplas fontes e estar postos em diferentes formatos. Seu grande benefício é a sua função de centralizar todos os dados da empresa e permitir esse compartilhamento que mencionamos anteriormente entre todos os setores conforme a necessidade. Principais diferenças entre as soluções de Data Management Para resumir a abordagem deste artigo de uma forma simplificada, podemos dizer que os sistemas de Data Management possuem diferentes funções, e você pode selecionar aquela que faz mais sentido para o seu negócio conforme a sua necessidade. Além disso, destacamos que as estruturas de Data Warehouse e Data Lake constituem pontos finais para a coleta dos dados, enquanto aquelas de Data Hub funcionam mais como plataformas para compartilhamento e mediação. A seguir, apresentamos mais especificamente as diferenças entre os modelos de solução de Data Management. A estrutura de Data Warehouse, em essência, tem foco em Business Intelligence (BI). Através da coleta e armazenamento de dados estruturados — seja da organização como um todo, ou mesmo de equipes ou unidades específicas de negócio, como o Data Mart — é possível realizar análises de cenário que levam à tomada de decisão mais certeira a respeito dos rumos do negócio. O modelo de solução focado em Data Lake já traz um benefício diferente, devido à sua estrutura. Por conta do armazenamento de dados não estruturados e não refinados, há uma grande variedade de dados, que podem alimentar amplamente sistemas de Machine Learning e também demandas avançadas de análise de dados. O Data Hub, por sua vez, traz como característica principal o foco na governança de dados de forma proativa, uma vez que reúne os dados permitindo compartilhamento. Por conta dessa permissão, é preciso que as equipes de TI por trás do gerenciamento deste tipo de solução de Data Management estejam atentas à correção máxima possível dos dados. Isso resulta no benefício voltado à governança que mencionamos. Para finalizar, é importante sinalizar que soluções de Data Warehouse + Data Mart, Data Lake e Data Hub não são intercambiáveis, ou seja, não substituem uma à outra, devido justamente às suas especificidades. No entanto, elas podem — e devem! — ser utilizadas em conjunto na sua organização, se assim fizer sentido, pois os resultados serão complementares e poderão contribuir diretamente com a transformação digital do seu negócio. Com a leitura deste artigo, ficou mais claro para você as diferenças entre estes conceitos? Comenta aqui se você quiser saber mais, e também continue acompanhando nosso blog. Além disso, confira nossos cursos com matrículas abertas para aprofundar ainda mais a sua capacitação profissional!
23/06/2021 -
RHVocê já parou para pensar na importância de investir em cursos de TI para os profissionais da sua organização? Muitas vezes, em processos seletivos, as empresas acabam selecionando pessoas que já tragam uma bagagem de conhecimento técnico na área de tecnologia da informação. Isso é primordial para o exercício de determinadas funções, e não estamos dizendo que deva mudar. No entanto, muito do que se faz dentro de uma organização pode ser desenvolvido dentro da própria empresa, direcionando os exemplos práticos daquela teoria, por exemplo, para situações cotidianas do seu ambiente. Por isso, acreditamos que os conhecimentos prévios são desejáveis, sim, mas que você pode começar a desenvolver um outro olhar para a contratação pensando até mesmo na educação continuada desses profissionais dentro da empresa. Neste artigo falaremos um pouco sobre quais são as áreas de atuação em TI mais demandadas e trazer algumas dicas de como você poderá executar o seu planejamento de treinamentos e cursos de capacitação dentro da organização. Continue lendo e confira! Áreas mais procuradas na TI A tecnologia da informação é uma área em constante crescimento e desenvolvimento no Brasil. Em algumas localizações, por exemplo, o PIB da indústria de tecnologia já supera o de outras economias bastante significativas. Esse cenário evidencia um alto crescimento no número de empresas de base tecnológica, e também das áreas de TI dentro das organizações que não possuem a tecnologia como core business. E esse movimento, consequentemente, traz à tona o desafio do equilíbrio entre oferta e demanda de mão-de-obra qualificada para atuação em TI. Dentre as áreas que mais crescem — e, portanto, despertam interesse do mercado e dos profissionais —, temos: segurança da informação; administração de banco de dados; administração de redes; qualidade de software; hybrid multi cloud; programação; e suporte técnico. Para cada uma dessas áreas existem disponíveis diferentes cursos de TI, capacitações e treinamentos. No site da Escola Superior de Redes (ESR), por exemplo, você encontra uma lista centralizada onde é possível encontrar pelo menos um curso para cada uma dessas áreas. Neste sentido, é fundamental que os gestores de organizações compreendam que não será tão fácil quanto parece localizar bons profissionais; e que a qualificação in company pode ser um caminho a ser adotado para suprir essa demanda. A capacitação faz parte da rotina dos profissionais de TI, especialmente quando se leva em conta o fato de que a tecnologia é uma área em constante transformação, onde a todo momento é preciso se atualizar de lançamentos e novidades. Por isso, os profissionais que trabalham nesta área acabam sentindo sempre a necessidade de estar em constante atualização para acompanhar o mercado. Na sua empresa não é diferente: seja pelo desejo dos colaboradores, seja pela necessidade de maior qualificação, pensar em implementar cursos de TI é uma opção altamente rentável. Confira a seguir como colocar isso em prática. Como realizar um planejamento de cursos de TI na sua empresa Além dos motivos já exemplificados, investir neste tipo de treinamento permite que os seus colaboradores aprendam novas habilidades e conhecimentos para colocar em prática no dia a dia da equipe e dos projetos. Isso potencializa o desenvolvimento de soluções inovadoras e que contribuam com o aumento da lucratividade da empresa. A elaboração e execução de um planejamento para a escolha e implementação de cursos de TI na sua empresa deve seguir as melhores práticas recomendadas neste mercado. Por isso, para saber como começar na sua empresa, separamos o passo a passo a seguir. #1 Mapeamento de necessidades O primeiro passo que deve ser dado antes de implementar cursos de TI na sua organização é ter um bom entendimento sobre as necessidades da empresa em relação aos colaboradores de tecnologia. Toda empresa tem um objetivo, e a área de TI deve estar diretamente alinhada a ele para que o negócio olhe em uma única direção. Por isso, conhecer a fundo as necessidades do negócio será um papel muito importante das lideranças de TI envolvidas nesse mapeamento. #2 Identificação de lacunas de desenvolvimento Em um segundo momento, após detectar o que a empresa precisa, é hora de partir para a investigação sobre as necessidades dos colaboradores. Importante sinalizar que esta etapa não diz respeito a perguntar para a equipe sobre o que eles gostariam de aprender, mas sim, entender o que eles precisam para performar melhor dentro dos objetivos desenhados. Os cursos de TI a serem implementados devem suprir lacunas de habilidades encontradas nos profissionais da sua empresa, e não simplesmente cumprir um protocolo. Por isso, após entender o que a empresa precisa, direcione os olhares para a equipe para validar quanto daquele objetivo essa equipe consegue cumprir e quanto pode precisar de um apoio extra. #3 Definição de competências para investir Dentre as lacunas identificadas no passo anterior, esta etapa prevê uma priorização do que efetivamente receberá investimentos naquele momento. Para analisar isso e chegar a uma conclusão, as equipes devem entender perfeitamente os objetivos do negócio; ter consciência das lacunas que mais podem impactar negativamente nisso; e, ainda, compreender o orçamento disponível para esse investimento. Assim, a definição das competências a serem desenvolvidas nos colaboradores através dos cursos de TI nas quais investir são selecionadas pensando neste conjunto de fatores. É muito importante ouvir o seu time e também outras áreas da empresa neste momento para ter opiniões mais variadas e que reflitam a realidade da organização. Um produto que vem sendo bastante utilizado para o mapeamento de competências — e que você também pode implementar na sua organização — é o SFIA (Skills Framework for the Information Age). Trata-se de um modelo para descrever e gerenciar habilidades e competências necessárias para profissionais de TI e transformação digital. Com base neste quadro, é possível identificar características, dores e necessidades para serem endereçadas através dos cursos que você irá implementar na sua empresa. Na ESR, oferecemos uma consultoria educacional totalmente baseada neste framework, venha conhecer! #4 Planejamento para a prática Com tudo delimitado, é hora de partir para a prática. A recomendação principal neste momento é contar com parceiros especializados na educação para tecnologia. No entanto, a escolha desta parceria deve levar em conta alguns fatores, desde o alinhamento aos valores do negócio, passando pelo cumprimento dos requisitos técnicos de qualidade necessários, até a adequação às necessidades e momento da empresa. Neste momento será importante, então, realizar uma pesquisa de mercado para conhecer os possíveis fornecedores, identificar a modalidade (presencial ou EaD) que mais atende a sua empresa, solicitar e analisar orçamentos levando tudo isso em conta. É fundamental ainda que você compreenda como equilibrar a aplicação dos cursos de TI com a rotina dos colaboradores sem sobrecarregá-los de nenhuma maneira. #5 Análise do desempenho da equipe Por último, e com certeza não menos importante, está a análise do desempenho dessas equipes que tiveram acesso aos cursos de TI para capacitação. Como os objetivos iniciais são bem delimitados, e as lacunas de desenvolvimento também estão mapeadas, esta análise ao final do ciclo se torna mais palpável. Aqui, uma dica pode ser buscar compreender no início da implementação como está a visão e a qualificação dos colaboradores que serão contemplados com os cursos, e ao final, repetir os testes ou questionários e verificar uma mudança. Além disso, as entregas da área de TI tendem a passar por uma importante escalada ao passo que os profissionais estão se qualificando, então isso também pode ser uma evidência dos resultados obtidos. Contar com a possibilidade de implementação de cursos de TI na sua empresa, para qualificar os profissionais e elevar o nível das suas entregas, é uma das vantagens de se tornar parceiro da ESR. Se você se interessou por este tema e por levá-lo para a sua empresa, confira nossas próximas turmas com matrículas abertas e veja como podemos ajudar! Continue acompanhando nosso blog e compartilhe os conteúdos com seus colegas!
08/06/2021 -
Governança de TISe você trabalha na área de tecnologia da informação, com certeza já ouviu falar sobre governança de TI, certo? O conceito consiste no desenvolvimento de um conjunto de normas e práticas por cada empresa para a sua área de TI, de acordo com exigências de mercado para o seu setor, e também com seus próprios valores internos. Essas regras e parâmetros são definidos visando o cumprimento de critérios de qualidade nas entregas. Por isso, vão determinar como são feitos os processos dentro da área de TI, que equipe é responsável por cada atividade e que resultados são esperados dentro de qual prazo para cada uma delas. O processo todo envolve poucas pessoas nas definições e como cabeças pensantes das ações, porém se estende à empresa inteira quando já estipulado tudo. Por isso é tão importante que todos tenham consciência internamente sobre que diretrizes a empresa pretende seguir e como cada pessoa pode se posicionar em prol disso. Além do framework do COBIT, outro modelo amplamente utilizado para a implementação de práticas de governança de TI nas organizações é a norma ISO/IEC 38500, já mencionada anteriormente, instituída pela ABNT. Também aplicável a qualquer tipo ou porte de empresa, a norma estabelece seis princípios para uma boa governança de TI. São eles: responsabilidade; estratégia; aquisições; desempenho; conformidade; comportamento humano. Vamos falar mais sobre cada um deles a seguir, além de trazer uma lista de benefícios da governança de TI que a sua empresa pode obter ao implementar esse conjunto de práticas. Continue a leitura! Princípios para uma boa governança de TI Responsabilidade No que tange à responsabilidade, será fundamental que todos os indivíduos e grupos da organização compreendam suas atribuições e papéis no fornecimento de TI. Além disso, é preciso que as funções incumbidas a cada qual sejam acompanhadas de autonomia e poder de decisão para tal execução. Estratégia Quando falamos em estratégia na governança de TI, o objetivo principal é manter sempre no horizonte das ações o cenário atual da organização, acompanhando a evolução para os planos futuros. Este alinhamento contribui para que não haja dimensionamentos incorretos de recursos e esforços, e que o processo seja o mais otimizado possível. Sendo assim, tanto o nível executivo da empresa deve compreender qual a capacidade atual da área de TI, quanto este setor precisa ter ciência das necessidades atuais do negócio como um todo. Importante destacar aqui que o processo evolui ao longo do tempo, então essas necessidades de ambos os lados vão sendo modificadas também, e a boa governança de TI deve garantir que isso esteja endereçado. Aquisições Partindo para o terceiro ponto, as aquisições, a norma ISO/IEC 38500 propõe que haja um processo balizador para gerar um equilíbrio nos investimentos da área de TI. Assim, entende-se que tudo aquilo que é adquirido tem uma razão válida, e que deve passar por caminhos claros e transparentes que indiquem os benefícios, oportunidades, custos e riscos daquelas aquisições, e que as justifiquem diante do cenário como um todo. Desempenho O quarto princípio básico para uma boa governança de TI, segundo a norma ISO/IEC 38500 é o constante monitoramento do desempenho da área de tecnologia dentro da organização. Aqui é fundamental garantir que a atuação do setor esteja adequada à prestação de suporte à empresa,disponibilizando serviços de qualidade e que atendam às necessidades atuais e futuras do negócio. Conformidade Este princípio se trata da parte burocrática relacionada à área de TI dentro das organizações, que é a conformidade com todas as legislações e regulamentações aplicáveis ao setor. Os profissionais responsáveis pelo desenvolvimento das diretrizes de governança de TI da empresa devem ficar atentos às políticas e práticas aplicadas, e também às mudanças que ocorrem neste cenário. Manter uma proximidade com o setor jurídico, neste caso, será fundamental. Comportamento humano Apesar de estarmos debatendo governança de TI nos âmbitos de tecnologia e negócio, é fundamental ter sempre em mente que essas duas pontas dependem e são formadas por pessoas. Sendo assim, a norma ISO/IEC 38500 define o comportamento humano como o ato de prezar pelo respeito, necessidades e evolução de todas as pessoas envolvidas nos processos. Em resumo, são exemplos do que será atribuído como função aos profissionais dentro da equipe responsáveis pela governança de TI: avaliar o uso atual e futuro da TI; orientar o desenvolvimento de planos e políticas para garantir o atingimento dos objetivos da empresa através do uso da TI; monitorar a aplicação destas normas e garantir que estão em dia; prospectar riscos e analisar cenários; padronizar processos para se adequar às normas definidas. Uma estratégia de governança de TI bem executada pode ajudar a empresa como um todo a atingir níveis de excelência em segurança, confiabilidade e credibilidade diante de todos os stakeholders. Isso permite uma maximização dos resultados do negócio, ou seja, influencia diretamente na lucratividade da empresa. Benefícios da governança de TI Se você chegou até aqui, já foi possível apreender uma série de vantagens que podem ser atribuídas ao seu negócio com base na implementação de práticas de governança de TI. Agora, confira em mais detalhes sobre os diferentes benefícios e entenda porque a sua empresa precisa implementar esta prática o mais rápido possível! Mais vantagem competitiva Com mais produtividade de toda a sua equipe seguindo práticas e processos pré-determinados e desenhados, todos saem ganhando. O cliente fica mais satisfeito com o resultado final, a empresa tende a verificar um aumento de lucro, e o mercado fica mobilizado para entender que tipo de ações estão sendo adotadas para gerar toda essa evolução. Esta é uma grande vantagem competitiva que pode vir da implantação de governança de TI na sua empresa. Aumenta a confiança e reduz riscos para os clientes Sistemas tecnológicos regidos por uma base de governança de TI tendem a ser mais estáveis e padronizados, mesmo em seus momentos de falha. Isso é um resultado muito importante do ponto de vista do cliente, que ao utilizar a solução, comprar o produto ou serviço deseja poder usufruir dele da melhor maneira possível. Além disso, identificar que a tecnologia por trás do atendimento realizado desempenha bem transmite ainda maior segurança quanto aos riscos para o cliente ao interagir com aquela solução. Otimiza o investimento dos seus recursos Ao reduzir as falhas, agilizar processos, automatizar tarefas e identificar gargalos, o principal benefício obtido é, então, a otimização de investimento dos seus recursos. Isso porque a empresa consegue saber exatamente, com base nas políticas de governança de TI, quais equipes precisam de maior destinação de recursos e quais estão desempenhando bem da forma que estão. Isso influencia também diretamente no aumento do ROI da área de tecnologia para a empresa, ajudando ainda mais a provar seu valor. Melhora sua comunicação Pensando no pilar de alinhamento estratégico da governança de TI, uma das vantagens mais interessantes, e muitas vezes abordada de forma superficial, é a melhoria nos processos também de comunicação entre as pessoas e entre os setores. Ao determinar diretrizes de como tudo deve acontecer, torna-se mais transparente para todos o que a organização espera e para onde está indo, além da forma como cada um pode contribuir para esse objetivo também ficar mais clara. Esses são alguns exemplos de benefícios que podem ser aproveitados pela sua organização ao implementar práticas de governança de TI. Faz sentido para a sua empresa? Ainda ficam dúvidas? Se sim, não hesite em nos contatar! Aproveite a oportunidade e compartilhe este conteúdo com seus colegas, continue acompanhando este blog e confira nosso calendário de cursos!
28/05/2021