A adoção das melhores práticas de gestão de TI nas organizações, assegura a qualidade, a confidencialidade e a disponibilidade da informação, evitando assim problemas de perdas de dados ou acessos não autorizados.
A má gestão de TI pode levar a organização a prejuízos contábeis e no pior caso a falência. Segundo pesquisas internacionais vemos que:
Registros da administração nacional – Washington: 93% das empresas que perderam seus servidores por qualquer motivo, quebraram em um ano. Dentre estas, 50% que não possuíam gerenciamento de dados quebraram imediatamente quando do incidente.
DTI/Price Waterhouse Coopers: 70% das empresas pequenas que sofreram uma grande perda de dados quebraram em um ano.
Universidade do Texas: 94% das empresas que sofreram perdas catastróficas jamais reabriram suas portas.
Gartner: 50% das fitas de backup falham durante o processo de restauração e 25% dos usuários sofrem com perda de dados todos os anos.
Contingency Planning: 96% das estações de trabalho que possibilitam a guarda de dados não sofrem backup periódico.
Auditoria em TI
A auditoria em TI visa mapear os processos de TI adotados pela organização identificando possíveis falhas. Neste âmbito, trabalha-se com as seguintes dimensões:
Disponibilidade
Segundo a ITIL (Itil, 2016), Disponibilidade é um aspecto crítico da garantia do serviço, e seu propósito é Garantir que o nível de disponibilidade entregue em todos os serviços de TI atenda de maneira eficaz às necessidades de disponibilidade e/ ou metas de nível de serviço acordadas.
O gerenciamento de disponibilidade ainda planeja, melhora e define os aspectos de disponibilidade e garante que todos os processos, infraestruturas, ferramentas, papéis, etc. de TI sejam adequados para as metas de SLA.
Objetivos:
- Criar e manter um plano de disponibilidade
- Orientar todas as outras áreas do negócio e de TI nas questões de disponibilidade.
- Ajudar no diagnóstico e na resolução de problemas de disponibilidade
- Prever o impacto de todas as mudanças no plano de disponibilidade
- Garantir que as medidas proativas sejam aplicadas sempre que justificáveis
A disponibilidade, normalmente é calculada em porcentagens, este cálculo frequentemente se baseia no tempo de serviço acordado e na indisponibilidade. Normalmente a disponibilidade projetada é de 99,9%.
Confiabilidade
Segundo a ITIL (Itil, 2016), Confiabilidade é uma medida do tempo em que um serviço de TI ou outro item de configuração pode executar a sua função acordada sem interrupção.
A confiabilidade de um serviço pode ser melhorada com componentes mais confiáveis, aumentando a redundância de um serviço ou fazendo balanceamento de carga.
É frequentemente medida e reportada como um tempo médio entre incidentes do serviço (TMEIS) ou tempo médio entre falhas (TMEF). Quanto menor o TMEF menor a confiabilidade.
Recuperação de Desastre
Recuperação de desastre (RD) envolve um conjunto de procedimentos que visa permitir a recuperação ou continuação da infraestrutura de TI e sistemas vitais na sequência de um desastre natural ou provocado pelo homem.
O plano de recuperação de desastres é composto, por cenários e procedimentos, que deverão ser aplicados sempre que ocorrer uma falha devido a alguma inconsistência provocada em virtude de ameaças como incêndios, inundações, vandalismo, sabotagem ou falhas de tecnologia. É conhecido como DRP (Disaster Recovery Plan).
Geralmente é composto de três fases:
- Programa de Administração de Crise
Plano que define: atividades, pessoas, dados lógicos e físicos.
- Plano de Continuidade Operacional
Diretivas do que fazer em caso de desastres.
- Plano de Recuperação de Desastres
Aplicação prática do plano de continuidade operacional.
Segurança Interna
Uma Política de Segurança (Cert.br, 2016) é um instrumento importante para proteger a sua organização contra ameaças à segurança da informação que a ela pertence ou que está sob sua responsabilidade. Uma ameaça à segurança é compreendida neste contexto como a quebra de uma ou mais de suas três propriedades fundamentais (confidencialidade, integridade e disponibilidade).
A política de segurança não define procedimentos específicos de manipulação e proteção da informação, mas atribui direitos e responsabilidades às pessoas (usuários, administradores de redes e sistemas, funcionários, gerentes, etc.) que lidam com essa informação. Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas atribuições em relação à segurança dos recursos computacionais com os quais trabalham. Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos aqueles que a descumprem.
Antes que a política de segurança seja escrita, é necessário definir a informação a ser protegida. Usualmente, isso é feito através de uma análise de riscos, que identifica:
- Recursos protegidos pela política;
- Ameaças às quais estes recursos estão sujeitos;
- Vulnerabilidades que podem viabilizar a concretização destas ameaças, analisando-as individualmente.
Uma política de segurança deve cobrir os seguintes aspectos:
Aspectos preliminares:
- Abrangência e escopo de atuação da política.
- Definições fundamentais.
- Normas e regulamentos aos quais à política está subordinada.
- Quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da política.
- Meios de distribuição da política.
- Como e com que frequência a política é revisada.
Política de senhas:
- Requisitos para formação de senhas.
- Período de validade das senhas.
- Normas para proteção de senhas.
- Reuso de senhas e Senhas default.
Direitos e responsabilidades dos usuários, tais como:
- Utilização de contas de acesso.
- Utilização de softwares e informações, incluindo questões de instalação, licenciamento e copyright.
- Proteção e uso de informações (sensíveis ou não), como senhas, dados de configuração de sistemas e dados confidenciais da organização.
- Uso aceitável de recursos como e-mail, news e páginas Web.
- Direito à privacidade, e condições nas quais esse direito pode ser violado pelo provedor dos recursos (a organização).
- Uso de antivírus.
Segurança Externa
A segurança externa da rede corporativa deve ser garantida por equipamento de Firewall corporativo que inclua:
IDS (Intrusion Detection System)
Sistemas de Detecção de Intrusos ou simplesmente IDS permitem a analise de tráfego de forma individual em uma rede, de forma a descobrir quando estão ocorrendo acessos não autorizados que podem indicar a ação de um intruso (cracker) ou até mesmo funcionários mal intencionados.
Basicamente o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.
IPS (Intrusion Prevention System)
Sistema de Prevenção de Invasão ou simplesmente IPS, é uma solução ativa de segurança. O IPS tem capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do Sistema Operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede, juntamente com um IDS, para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito, permitindo também que administradores executem ações relacionadas ao alerta dado.
Ou seja, enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas para parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos.
Antivírus
Sistema de antivírus à nível de firewall.
Não limitado ao firewall, a segurança externa ainda inclui a forma como a rede é acessada de fora da empresa. O acesso externo deve ser feito sempre por meio de canais criptografados, por intermédio de VPN.
Consultoria em TI
A Consultoria em TI efetuada por nossa empresa sugere mudanças em processos e práticas gerenciais em TI. Para tanto, elaboramos um detalhado plano de ação estratégico (baseado no Cobit®) para guiar a implementação das melhorias propostas.
De acordo com as necessidades da organização analisada, o plano de ação estratégico poderá incluir:
- PO1 – Definir um Plano Estratégico de TI.
- PO2 – Definir a Arquitetura de Informação.
- PO3 – Determinar o Direcionamento Tecnológico.
- PO4 – Definir os Processos, Organização e Relacionamentos de TI.
- PO5 – Gerenciar o Investimento em TI.
- PO6 – Comunicar as Diretrizes e Expectativas da Diretoria.
- PO7 – Gerenciar os Recursos Humanos de TI.
- PO8 – Gerenciar a Qualidade.
- PO9 – Avaliar e Gerenciar os Riscos de TI.
- PO10 – Gerenciar Projetos.
Quer conversar sobre a Gestão de TI da sua empresa?