You are currently viewing Gestão em TI

Gestão em TI

A adoção das melhores práticas de gestão de TI nas organizações, assegura a qualidade, a confidencialidade e a disponibilidade da informação, evitando assim problemas de perdas de dados ou acessos não autorizados.

A má gestão de TI pode levar a organização a prejuízos contábeis e no pior caso a falência. Segundo pesquisas internacionais vemos que:

Registros da administração nacional – Washington: 93% das empresas que perderam seus servidores por qualquer motivo, quebraram em um ano. Dentre estas, 50% que não possuíam gerenciamento de dados quebraram imediatamente quando do incidente.

DTI/Price Waterhouse Coopers: 70% das empresas pequenas que sofreram uma grande perda de dados quebraram em um ano.

Universidade do Texas: 94% das empresas que sofreram perdas catastróficas jamais reabriram suas portas.

Gartner: 50% das fitas de backup falham durante o processo de restauração e 25% dos usuários sofrem com perda de dados todos os anos.

Contingency Planning: 96% das estações de trabalho que possibilitam a guarda de dados não sofrem backup periódico.

Auditoria em TI

A auditoria em TI visa mapear os processos de TI adotados pela organização identificando possíveis falhas. Neste âmbito, trabalha-se com as seguintes dimensões:

Disponibilidade

Segundo a ITIL (Itil, 2016), Disponibilidade é um aspecto crítico da garantia do serviço, e seu propósito é Garantir que o nível de disponibilidade entregue em todos os serviços de TI atenda de maneira eficaz às necessidades de disponibilidade e/ ou metas de nível de serviço acordadas.

O gerenciamento de disponibilidade ainda planeja, melhora e define os aspectos de disponibilidade e garante que todos os processos, infraestruturas, ferramentas, papéis, etc. de TI sejam adequados para as metas de SLA.

Objetivos:

  • Criar e manter um plano de disponibilidade
  • Orientar todas as outras áreas do negócio e de TI nas questões de disponibilidade.
  • Ajudar no diagnóstico e na resolução de problemas de disponibilidade
  • Prever o impacto de todas as mudanças no plano de disponibilidade
  • Garantir que as medidas proativas sejam aplicadas sempre que justificáveis

A disponibilidade, normalmente é calculada em porcentagens, este cálculo frequentemente se baseia no tempo de serviço acordado e na indisponibilidade. Normalmente a disponibilidade projetada é de 99,9%.

Confiabilidade

Segundo a ITIL (Itil, 2016), Confiabilidade é uma medida do tempo em que um serviço de TI ou outro item de configuração pode executar a sua função acordada sem interrupção.

A confiabilidade de um serviço pode ser melhorada com componentes mais confiáveis, aumentando a redundância de um serviço ou fazendo balanceamento de carga.

É frequentemente medida e reportada como um tempo médio entre incidentes do serviço (TMEIS) ou tempo médio entre falhas (TMEF). Quanto menor o TMEF menor a confiabilidade.

Recuperação de Desastre

Recuperação de desastre (RD) envolve um conjunto de procedimentos que visa permitir a recuperação ou continuação da infraestrutura de TI e sistemas vitais na sequência de um desastre natural ou provocado pelo homem.

O plano de recuperação de desastres é composto, por cenários e procedimentos, que deverão ser aplicados sempre que ocorrer uma falha devido a alguma inconsistência provocada em virtude de ameaças como incêndios, inundações, vandalismo, sabotagem ou falhas de tecnologia. É conhecido como DRP (Disaster Recovery Plan).

Geralmente é composto de três fases:

  • Programa de Administração de Crise

Plano que define: atividades, pessoas, dados lógicos e físicos.

  • Plano de Continuidade Operacional

Diretivas do que fazer em caso de desastres.

  • Plano de Recuperação de Desastres

Aplicação prática do plano de continuidade operacional.

Segurança Interna

Uma Política de Segurança (Cert.br, 2016) é um instrumento importante para proteger a sua organização contra ameaças à segurança da informação que a ela pertence ou que está sob sua responsabilidade. Uma ameaça à segurança é compreendida neste contexto como a quebra de uma ou mais de suas três propriedades fundamentais (confidencialidade, integridade e disponibilidade).

A política de segurança não define procedimentos específicos de manipulação e proteção da informação, mas atribui direitos e responsabilidades às pessoas (usuários, administradores de redes e sistemas, funcionários, gerentes, etc.) que lidam com essa informação. Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas atribuições em relação à segurança dos recursos computacionais com os quais trabalham. Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos aqueles que a descumprem.

Antes que a política de segurança seja escrita, é necessário definir a informação a ser protegida. Usualmente, isso é feito através de uma análise de riscos, que identifica:

  • Recursos protegidos pela política;
  • Ameaças às quais estes recursos estão sujeitos;
  • Vulnerabilidades que podem viabilizar a concretização destas ameaças, analisando-as individualmente.

Uma política de segurança deve cobrir os seguintes aspectos:

Aspectos preliminares:

  • Abrangência e escopo de atuação da política.
  • Definições fundamentais.
  • Normas e regulamentos aos quais à política está subordinada.
  • Quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da política.
  • Meios de distribuição da política.
  • Como e com que frequência a política é revisada.

Política de senhas:

  • Requisitos para formação de senhas.
  • Período de validade das senhas.
  • Normas para proteção de senhas.
  • Reuso de senhas e Senhas default.

Direitos e responsabilidades dos usuários, tais como:

  • Utilização de contas de acesso.
  • Utilização de softwares e informações, incluindo questões de instalação, licenciamento e copyright.
  • Proteção e uso de informações (sensíveis ou não), como senhas, dados de configuração de sistemas e dados confidenciais da organização.
  • Uso aceitável de recursos como e-mail, news e páginas Web.
  • Direito à privacidade, e condições nas quais esse direito pode ser violado pelo provedor dos recursos (a organização).
  • Uso de antivírus.

Segurança Externa

A segurança externa da rede corporativa deve ser garantida por equipamento de Firewall corporativo que inclua:

IDS (Intrusion Detection System)

Sistemas de Detecção de Intrusos ou simplesmente IDS permitem a analise de tráfego de forma individual em uma rede, de forma a descobrir quando estão ocorrendo acessos não autorizados que podem indicar a ação de um intruso (cracker) ou até mesmo funcionários mal intencionados.

Basicamente o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

IPS (Intrusion Prevention System)

Sistema de Prevenção de Invasão ou simplesmente IPS, é uma solução ativa de segurança. O IPS tem capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do Sistema Operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede, juntamente com um IDS, para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito, permitindo também que administradores executem ações relacionadas ao alerta dado.

Ou seja, enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas para parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos.

Antivírus

Sistema de antivírus à nível de firewall.

Não limitado ao firewall, a segurança externa ainda inclui a forma como a rede é acessada de fora da empresa. O acesso externo deve ser feito sempre por meio de canais criptografados, por intermédio de VPN.

Consultoria em TI

A Consultoria em TI efetuada por nossa empresa sugere mudanças em processos e práticas gerenciais em TI. Para tanto, elaboramos um detalhado plano de ação estratégico (baseado no Cobit®) para guiar a implementação das melhorias propostas.

De acordo com as necessidades da organização analisada, o plano de ação estratégico poderá incluir:

  • PO1 – Definir um Plano Estratégico de TI.
  • PO2 – Definir a Arquitetura de Informação.
  • PO3 – Determinar o Direcionamento Tecnológico.
  • PO4 – Definir os Processos, Organização e Relacionamentos de TI.
  • PO5 – Gerenciar o Investimento em TI.
  • PO6 – Comunicar as Diretrizes e Expectativas da Diretoria.
  • PO7 – Gerenciar os Recursos Humanos de TI.
  • PO8 – Gerenciar a Qualidade.
  • PO9 – Avaliar e Gerenciar os Riscos de TI.
  • PO10 – Gerenciar Projetos.

Quer conversar sobre a Gestão de TI da sua empresa?