Como gerenciar o risco em TI sem matar a inovação

01/04/2019

Slogans de inicialização são comuns ​​na área de tecnologia: Mova-se rapidamente. Quebre as coisas. Invista em MVPs. Estas são ideias interessantes, com certeza, mas para colocá-las em uso em TI, você precisará adaptá-las ao seu contexto.

Para executivos de TI de grande empresas, o cenário risco/recompensa é diferente. Milhares ou milhões de clientes dependem da sua infraestrutura. E se uma mudança derrubar a plataforma bancária online, por exemplo, poderão ocorrer perdas significativas.

Veja como reduzir a quantidade de risco que sua empresa enfrentará na busca de novas oportunidades – sem bloquear a capacidade de sua organização de avançar.

1 – Forneça uma rede de segurança com backups reais

A primeira palavra na mitigação do risco de TI é a segurança. Os incidentes de hackers continuam a representar um desafio significativo, conforme evidenciado pela violação épica da Equifax em 2017. Tais incidentes de alto perfil significam que a segurança cibernética se tornou uma prioridade máxima, bem financiada por muitas organizações. Mas e os backups?

Digamos que seus programadores acabaram de encontrar uma ótima maneira de aumentar a eficiência. E não surgiram problemas durante o processo de teste. Mas quando você entrou em operação, o processo corrompeu seus dados inexplicavelmente. Se você tem um backup confiável, está seguro. Mas se você não verificou a viabilidade de seus backups, sua organização está em risco significativo.

“Um backup não testado não é um backup. A infraestrutura de TI está sendo constantemente modificada e alterada, e alterações aparentemente não relacionadas podem afetar os backups ”, explica David Colgan, consultor de confiabilidade SaaS. “No passado, eu tive um processo de backup que parou de funcionar por três semanas, porque nós instalamos uma atualização do servidor que fez o nosso agendador de backup travar sem mostrar nenhum erro. Se não tivéssemos descoberto isso até que precisássemos dos backups, estaríamos em apuros. Leva cinco minutos para verificar se os backups ainda estão em execução, e fazer isso regularmente pode atenuar uma ampla gama de modos de falha ”.

O teste automatizado não pode ser totalmente confiável. Um evento de teste real para descobrir se o risco de uso do backup está sendo gerenciado adequadamente é essencial. Se você tem fornecedores críticos para a empresa, questionar periodicamente seus relatórios de status “verdes” quanto à validade é uma boa jogada.

2 – Garanta que as ferramentas de monitoramento de risco acompanhem os riscos à medida que seu ambiente muda

As ferramentas de monitoramento desempenham um papel importante em mantê-lo informado sobre os riscos e incidentes em sua organização. Mas as ferramentas de monitoramento têm limitações, especialmente quando o ambiente é alterado. Se a sua organização adotou novas tecnologias, como containers, seus processos de monitoramento podem perder uma fonte significativa de risco.

“Muitas ferramentas de monitoramento de TI, como as tradicionais plataformas de APM, não conseguem se integrar efetivamente a aplicativos modernos e entender as interdependências complexas entre aplicativos e a infraestrutura subjacente que os suporta”, explica Antonio Piraino, CTO da ScienceLogic, um provedor de serviços de monitoramento de TI.

“As soluções tradicionais de APM simplesmente não são suficientemente profundas. A ascensão dos sistemas de cotainers e multicloud contribuiu enormemente para isso e tornou muitas ferramentas de monitoramento tradicionais incapazes de acompanhar”, completa.

Como você pode avaliar se suas ferramentas de monitoramento estão funcionando? A experimentação é uma resposta para o problema – experimente ligar e desligar certos serviços para ver se esses eventos são relatados. Além disso, revisite seus inventários de aplicativos para ver se eles são realmente abrangentes.

3 – Cuidado com os regulamentos emergentes – como o caso do GDPR

Em maio de 2018, o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor na União Europeia. Com a perspectiva de grandes multas, o GDPR tem deixado muitos executivos preocupados. Como você equilibra sua necessidade de comercializar e expandir o negócio com as incógnitas de navegar em um novo regime regulatório?

Líderes de TI podem lidar com esse risco analisando seus provedores de serviços, dados atuais sobre os residentes da UE e metas de negócios. Você pode decidir adotar uma abordagem conservadora e contrária ao risco. Tome o Drip, um serviço de e-mail marketing, como um exemplo. Para as pequenas empresas que provavelmente acharão o custo da conformidade proibitivo, a Drip tem uma solução simples: deixar de atender clientes da EU. No entanto, essa abordagem não elimina totalmente o risco, pois depende de ferramentas de detecção de IP e de técnicas relacionadas para afastar os clientes.

Se a sua organização tem uma maior tolerância ao risco ou maior ênfase no crescimento europeu, uma abordagem diferente pode ser necessária. Como os líderes de TI podem ajudar a apoiar essa mudança? Você pode decidir investir em ferramentas de rastreamento mais eficientes para garantir que os dados dos residentes na UE sejam rastreados corretamente. Ou você pode propor que a TI avalie as agências e ferramentas de marketing da empresa para determinar o escopo da exposição ao risco de GDPR.

4 – Cuidado com a ‘surpresa de OpEx’ dos serviços em nuvem

Os CIOs encontraram uma solução atraente no modelo de nuvem pay-as-you-go. Mas aumentar a adoção da nuvem significa que você precisa se tornar habilidoso com o que Vijay Raghavan, diretor de tecnologia da LexisNexis Risk Solutions, chama de “a surpresa de OpEx”.

“A capacidade de dimensionar facilmente um aplicativo (ou até mesmo apenas um piloto de prova de conceito) na nuvem tem vantagens e desvantagens financeiras. “Um piloto descontrolado que escala automaticamente milhares de nós por vários dias pode acumular custos de OpEx imprevistos ou não planejados”, acrescentou Raghavan. Reduzir esse risco via gerenciamento de custos de nuvem requer gerenciamento robusto de fornecedores, relatórios e Controles de TI.

5 – Conheça o risco de aprisionamento ao seu fornecedor

O risco de bloqueio do fornecedor é um desafio antigo em TI. A nuvem complica isso. Os primeiros serviços em nuvem eram serviços simples, como armazenamento básico de arquivos. Nessa situação, alternar para um novo fornecedor é fácil de gerenciar. Serviços de nuvem mais sofisticados, no entanto, dificultam a mudança, aumentando o risco de aprisionamento do fornecedor.

“Veja a Amazon como um exemplo de aprisionamento de fornecedores. Como a Amazon facilita incrivelmente a criação e implementação de sistemas dentro da AWS oferecendo uma infinidade de ferramentas proprietárias da AWS para desenvolvedores e funcionários de DevOps cuidarem e alimentarem seus aplicativos, torna-se fácil colocar-se em uma posição extremamente difícil ou custo-proibitiva para mover aplicativos para um fornecedor alternativo de nuvem, caso haja necessidade ”, explica Raghavan.

A atenuação desse risco é difícil. Algumas organizações podem optar por aceitar o risco e esperar pelo melhor. Outros podem decidir dividir suas operações entre vários fornecedores. Gerenciar vários relacionamentos com fornecedores exige mais esforço, mas pode valer a pena.

6 – As auditorias de TI são suas amigas – mesmo na nuvem

Outras partes interessadas podem ajudar a gerenciar riscos. Auditores – especialmente auditores internos focados em riscos e controles de TI – podem ajudá-lo a redigir contratos e supervisionar programas para lidar com riscos de TI. Às vezes, as respostas de auditoria ao risco de TI são conduzidas por seus clientes finais.

“No nosso trabalho com grandes empresas, nossos clientes têm uma voz significativa na forma como gerenciamos nossa segurança e conformidade. Alguns deles têm preocupações sobre nossa migração para a AWS ”, comenta Mark Goldin, CTO da Cornerstone OnDemand. “Estamos reduzindo o risco de várias maneiras: adicionando a AWS ao nosso escopo de auditoria, atualizando todas as políticas e procedimentos para incluir serviços usados ​​na AWS e empregando medidas de alta segurança, como criptografia avançada, para aumentar a segurança no ambiente da AWS.”

7 – Cuidado com o risco de ameaças internas de SaaS

Os executivos podem se ver em uma corda bamba delicada quando se trata de pessoas. Aumentar o uso de serviços SaaS, pessoais e comerciais, aumenta a probabilidade de perda de dados. Por outro lado, se você proibir totalmente os serviços de SaaS, sua empresa poderá considerá-lo um líder anti-inovação.

“A ameaça interna se tornou um dos maiores desafios para as empresas”, diz Prakash Linga, CTO da Vera, uma plataforma de segurança de dados para rastreamento e monitoramento de acesso a dados corporativos. “Com a ascensão do SaaS, é quase impossível para as empresas impedir que funcionários e parceiros levem documentos corporativos com eles se deixarem a empresa.”

8 – Priorizar forte governança de dados e qualidade de dados

Big Data e Analytics só produzem resultados se você tiver dados confiáveis ​​para usar. “O maior risco para a inovação são dados ruins”, diz Piraino. “Como tal, as empresas devem se esforçar para garantir que os dados coletados sejam de alta qualidade e confiáveis.”

Se a qualidade dos dados for fraca, seus sonhos de análise serão reduzidos a zero. Em um estágio inicial, organize um grupo de trabalho para estudar sua qualidade de dados e questões de governança. Se você estiver mais adiante, indique um gerente ou executivo para ser responsável pelo esforço.

8 – Mantenha o equilíbrio

Um CIO de um grande banco canadense disse uma vez que “manter as luzes acesas é uma aposta básica”. Esse é o jeito certo de pensar sobre o gerenciamento de riscos de TI. Reconheça que a gestão adequada de riscos tenderá a ser ignorada pela maioria dos outros executivos, porque poucas pessoas notam a ausência de uma falha. No entanto, o seu sucesso na gestão dos riscos que você entende compra credibilidade para investir mais em inovação.

Fonte: CIO.