Marcos Donner
Mudanças fazem parte de nossas vidas, não temos com fugir desta realidade. Também não é novidade para ninguém que em ambientes de tecnologia, as mudanças têm presença constante, ainda mais com a velocidade que surgem novas soluções ou itens de infra-estrutura para suporte à gestão ou oportunizar negócios.
Se as mudanças naturais que ocorrem no dia-a-dia das pessoas e organizações já geram complicações, podemos imaginar os impactos quando abordamos as infra-estruturas de tecnologia cada vez mais complexas em nossas empresas. Indisponibilidade ocasionada por alterações de sistemas, ativos de rede, servidores ou processos não modificam somente as rotinas das áreas de tecnologia, também tem impacto significativo na vida dos demais clientes internos e principalmente dos externos. Este é o ponto que vamos abordar no processo de mudança e um dos principais aspectos de segurança da informação que devemos preservar a disponibilidade. Qualquer profissional de segurança, do nível mais operacional ao executivo, jamais pode esquecer que é responsabilidade de sua área assegurar que um ativo esteja disponível sempre que a organização necessitar, e principalmente quando um processo de negócio depender dele. Para àqueles diretamente ligados à segurança da informação, este é o real propósito de um processo de gestão de mudanças, a continuidade de negócios. Precisamos minimizar riscos e garantir o menor impacto possível na troca ou modificação em um ativo crítico da nossa infra-estrutura.
Cada vez mais a rotina dos profissionais de tecnologia é caracterizada pela pressão por resultados, redução de custos, otimização de operações e pela transparência, buscando o alinhamento da tecnologia às estratégias da empresa. Neste contexto fica claro que a eficiência da gestão de segurança, do gerenciamento de projetos e da infra-estrutura, e a existência de controles adequados será vital para um processo de mudanças menos doloroso. Para nossa sorte, normas, arquiteturas de trabalho, melhores práticas e os frameworks profundamente abordados quando falamos em governança, de TI tem sido extremamente efetivos para mudanças bem sucedidas.
Frameworks de governança e os processos de mudança
Modelos pré-estabelecidos ou "receitas" prontas não existem. A combinação de algumas metodologias e estruturas de trabalho, adequadas à realidade da empresa e o tipo de mudança no ambiente de TI, é que vão determinar o sucesso. Entre os principais métodos de trabalho e normas abordados para governança estão a ISO 17799:2005 e ISO 27001, CobiT, Itil, PMI entre outros. Faremos uma breve abordagem sobre as contribuições preciosas destes modelos para um processo de mudança com sucesso.
ISO 17799:2005
O desafio é assegurar conformidade com as políticas de segurança após um processo de mudança. O ideal é que a área de segurança atue ativamente nos processos de mudança, pois os aspectos básicos de segurança (confidencialidade, integridade e disponibilidade) podem ser comprometidos se as mudanças não forem bem gerenciadas.
Uma alteração em uma ferramenta de segurança de redes, por exemplo, se não for bem administrada pode comprometer o ambiente e gerar graves vulnerabilidades à infra-estrutura da empresa. Com o objetivo de garantir a disponibilidade e integridade, é que a segurança deve estar por dentro de todos os passos ligados à mudança.
A ISO 17799:2005 em sua seção de Gerenciamento de Operações e Comunicações (10), controle 10.1.2, trata especificamente de Gestão de Mudanças. Segundo a norma convém que existam controles rígidos em modificações de recursos de processamento da informação e sistemas. Deve ser considerada a identificação e registro das mudanças significativas, deve haver planejamento e testes das mudanças, avaliação de impactos, procedimentos formais de aprovação das mudanças, comunicação dos detalhes das mudanças e procedimentos de recuperação incluindo responsabilidades pela interrupção e recuperação de mudanças em casos de insucessos ou eventos inesperados. Algumas destas orientações poderão parecer repetitivas, quando abordarmos o processo de Gerencia de Mudanças do CobiT, a seguir, mas é esta estrutura que motiva nosso PDCA a, girar, e trabalharmos em busca da melhoria contínua.
CobiT - Control Objectives for Information and Related Technology
O CobiT é um modelo composto por padrões e controles criados para orientar na implementação, revisão, administração e monitoração dos ambientes de TI. Para isso, os processos de tecnologia são agrupados em 4 domínios: planejamento e organização; aquisição e implementação; entrega e suporte e monitoração. As atividades de TI são estruturadas através de 34 processos de controle e mais de 300 parâmetros relacionando entre outros fatores, riscos de negócio e necessidades de controle.
Um dos processos do CobiT é a Gerencia de Mudanças, que tem por objetivo minimizar a probabilidade de alterações indevidas, erros e indisponibilidade. De acordo com sua metodologia, existem alguns requisitos para o sucesso de um processo de mudança. Entre suas orientações, destacamos a adequação das equipes com os processos de mudança, a garantia de que as etapas de mudança sejam registradas e que os recursos sejam alocados corretamente. Para isso devem estar claras as responsabilidades, papéis e níveis de aprovação. Também deve haver registros íntegros das mudanças em sistemas, aplicações e infra-estrutura, avaliação das interdependências entre processos e controle do início e fim de cada etapa.
Itil - Information Technology Infrastructure Library
Basicamente uma biblioteca de boas práticas para gerenciamento da infra-estrutura de TI. O Itil estabelece seis domínios de atuação para TI e entre os processos estabelecidos está o gerenciamento de mudanças, contemplando as melhores práticas para alterações na infra-estrutura de tecnologia das organizações. Entre seus processos de Service Support, existe um capítulo dedicado a gestão de mudanças, (8. Change Management), orientando a estabelecer os reais objetivos de uma mudança, seu escopo, planejamento e implementação, entre outros aspectos fundamentais para efetividade do processo.
PMO - Project Management Organization
A metodologia do PMI (Project Management Institute) fornece práticas para busca de ganhos mensuráveis e vantagens estratégicas no desenvolvimento de projetos. Os objetivos são melhores resultados, aplicar os conhecimentos originários de outros projetos (lições aprendidas), compartilhar habilidades e técnicas para atingir às necessidades e expectativas dos clientes e demais partes interessadas.
Esta metodologia tem sido considerada fator crítico de sucesso para um processo de mudanças. Segundo o PMI projetos são instrumentos para qualquer atividade de mudança e geração de serviços e produtos. Entre suas principais orientações em relação à gestão de mudanças podemos citar a adoção de uma sistemática para o controle de mudanças, onde procedimentos para mudanças devem integrar os controles com todas as áreas envolvidas.
Concluindo..
Enfim, todas estas estruturas de trabalho podem ser extremamente úteis, se adequadas à realidade de cada empresa. Se consolidarmos os ganhos com a adoção destes métodos e adotarmos estas melhores práticas e estruturas de trabalho estressadas pela governança de TI, teremos nossos processos de mudança cada vez mais eficazes e menos traumáticos.
Fonte.: Modulo Security
Obs.: Se fala muito em COBIT, SOX e outras Normas ISSO, mas no dia-a-dia as aplicações se tornam um grande gargalo para as grandes corporações.
O Profissional de T.I esbarra muitas vezes em problemas como custo de investimento e ROI.
As atividades de T.I envolvem um grande custo operacional que as vezes a Diretoria não entende.