Conheça os primeiros dez
Neil McAllister*, da CIO (EUA)
Publicada em 06 de outubro de 2008 às 20h37
Muitas coisas mudaram no mundo da TI nos últimos anos, mas uma continua a mesma: a capacidade de TI de ser vítima de práticas equivocadas, graças à complexidade das responsabilidades envolvidas. Assim, no espírito de “é melhor prevenir do que remediar”, consultamos os melhores e mais brilhantes profissionais para descobrir 20 erros de TI que são receitas infalíveis para estouro de orçamento, perda de prazo e, em alguns casos, até perda de emprego. Os nomes foram trocados para proteger os culpados, mas as lições aprendidas são evidentes.1. Exagerar nas políticas para senhas Uma política para senhas clara e bem aplicada é essencial para qualquer rede. De que adianta um firewall se o atacante só precisa digitar “senha” para entrar? Mas o excesso de rigidez é uma faca de dois gumes. Quando as exigências de senha são excessivamente complexas ou os usuários são obrigados a mudar as senhas com muita freqüência, as políticas podem ter efeito oposto ao desejado. Se os usuários precisam fazer muito esforço para recordar as senhas, acabam anotando-as em papéis que ficam em gavetas ou em adesivos colados no teclado dos laptops. Não sabote o objetivo fundamental das suas políticas para senhas insistindo em requisitos irreais. Além disso, senha é coisa de 2004. Se você quiser controle de acesso rigoroso, que tal a autenticação multifatorial?
2. Administrar mal o data centerOs administradores de sistemas não são conhecidos exatamente pela ordem, mas, no data center, ordem é essencial. Cabeamento tortuoso, racks identificados incorretamente e equipamento descartado podem causar grandes problemas. Provisionamento descuidado leva um administrador a reconfigurar o servidor errado ou reformatar o volume errado. Por isso, mantenha tudo organizado (e sempre verifique duas vezes seus logins). Para uma boa organização dos sistemas, também é importante remover os servidores de produção das mesas dos engenheiros e do submundo do porão. Gerenciar estes ativos é tarefa de TI, que deve fazer o que lhe cabe com diligência e prazer. Certifique-se de que seu CFO entende a importância de manter um data center grande e suficientemente bem-equipado para crescer com o negócio sem se transformar em uma selva.
3. Perder o controle sobre ativos de TI A gerência-sênior faz um pedido: "A equipe de marketing precisa realizar consultas no banco de dados de produção". É algo relativamente simples, então você reclama um pouco, mas faz e segue em frente. Não muito tempo depois, constata que consultas mal formuladas estão derrubando o servidor antes da reunião de marketing que acontece sempre às terças-feiras. Sua próxima tarefa? Resolver o problema de desempenho. Caronas que dão muito palpite são um perigo. Entregar as chaves a alguém que não sabe dirigir pode ser fatal. A experiência e o julgamento da gerência desempenham um papel crucial em todas as decisões relacionadas a ativos de TI. Não abdique desta responsabilidade só porque quer evitar o confronto. Uma má idéia é uma má idéia, mesmo que os gerentes de negócio não se dêem conta.
4. Tratar o legado como se fosse um palavrão Os tecnólogos jovens e ansiosos talvez odeiem a idéia de que processos de missão crítica ainda estão sendo executados em sistemas da idade dos seus avós. Entretanto, em geral, existe uma boa razão para TI valorizar mais a idade do que a beleza. Captura de tela não é tão excitante quanto SOA, mas um sistema mais antigo e confiável é menos arriscado do que um novo em folha com desempenho desconhecido.Modernizar sistemas legados também pode sair caro. De acordo com um estudo da IDC, o custo anual de manutenção para novos projetos de software normalmente alcança a casa dos milhões de dólares. Nestes tempos de budgets de TI apertados, não se apresse muito para que seus “dinossauros” se tornem uma espécie em extinção antes do tempo.
5. Ignorar o elemento humano na segurança Os administradores de rede de hoje têm acesso a um leque surpreendente de ferramentas de segurança. Mas, como Kevin Mitnick gosta de dizer, o elo mais fraco em qualquer rede é o ser humano. Por mais fortificada que seja a rede, ela continua vulnerável se os usuários podem ser levados a minar sua segurança — por exemplo, informando senhas ou outros dados confidenciais por telefone. Por isso, a formação do usuário deve ser a base da política de segurança do site. Conscientize os usuários em relação a potenciais ataques de engenharia social, ao risco envolvido e como reagir. Incentive-os a relatar violações suspeitas imediatamente. Nesta era de phishing e roubo de identidade, a segurança é responsabilidade de todos os funcionários.
6. Criar funcionários indispensáveis Por mais que seja confortador saber que um único funcionário conhece seus sistemas por dentro e por fora, não interessa a uma empresa permitir que profissionais de TI tornem-se realmente indispensáveis. Funcionários que são valiosos demais em funções específicas tendem a ficar presos ao cargo, não ascender profissionalmente e perder novas oportunidades. Em vez de criar superstars especializados, você deve encorajar a colaboração e treinar seu pessoal para trabalhar com uma variedade de equipes e projetos. Uma força de trabalho de TI diversificada, com múltiplos talentos, será mais feliz e melhor para o negócio.
7. Causar problemas em vez de oferecer soluções Ninguém está prestando atenção aos seus alertas de vulnerabilidades críticas? Identificar riscos à segurança e possíveis pontos de falha são aspectos importantes do gerenciamento de TI, mas o trabalho não termina aí. Problemas sem solução deixarão a diretoria indiferente. Antes de relatar um problema, formule um plano de ação concreto para resolvê-lo e apresente ambos na mesma hora. Para ganhar apoio ao seu plano, explique sempre suas preocupações em termos do risco para o negócio — e tenha números que sustentem seus argumentos. Você precisa saber informar não apenas quanto custará resolver o problema, mas também quanto custará não resolvê-lo.
8. Logar como raiz Um dos erros mais antigos e primários continua. Os técnicos que normalmente fazem login através da conta do administrador – ou conta “raiz” – para tarefas mais insignificantes se arriscam a apagar dados valiosos ou até mesmo sistemas inteiros acidentalmente. Mesmo assim, o hábito persiste. Felizmente, os sistemas operacionais modernos (entre eles o Mac OS X, Ubuntu e Windows Vista) ajudaram a conter esta prática porque vêm com os níveis mais altos de privilégio desativados por padrão. Em vez de rodar como raiz o tempo todo, os técnicos têm de entrar a senha de administrador toda vez que precisam realizar alguma tarefa importante de manutenção de sistema. Pode ser um aborrecimento, mas é uma boa prática. Já está mais do que na hora de todos os profissionais de TI seguirem esta orientação.
9. Tentar ficar na vanguarda totalProgramas betas públicos agora são comuns e a tentação de se apoiar em ferramentas de ponta nos sistemas de produção pode ser muito grande. Resista. O foco de TI corporativa é encontrar soluções e não ser melhor que os outros. Tudo bem ser um usuário pioneiro no seu desktop, mas o data center não é lugar para arriscar. Em vez disso, adote uma abordagem calculada. Mantenha-se informado sobre os últimos desenvolvimentos, mas não adote ferramentas novas no ambiente de produção até ter feito testes completos. Implemente projetos-piloto no nível departamental. E certifique-se da existência de apoio externo. Você não quer ficar sem ajuda quando, na hora H, descobre que a última novidade ainda não está realmente pronta para o horário nobre.
10. Reinventar a roda Não existe maneira melhor de assegurar a agilidade de TI do que se responsabilizar por suas necessidades de software. Mas, freqüentemente, as empresa empregam desenvolvedores de software e acabam desperdiçando o talento deles nos projetos errados. Você não deve criar seu próprio browser ou banco de dados relacional. Por que tantas empresas gastam energia desenvolvendo aplicativos CRM ou sistemas de gerenciamento de conteúdo personalizados, quando já existem incontáveis produtos de alta qualidade para suprir estas necessidades? O desenvolvimento interno de software deve ser limitado a projetos que proporcionam vantagem competitiva. O ideal é que você use software pronto para funções que não são exclusivas do seu negócio. Na falta de um produto, comece com um projeto open source e ajuste-o para satisfazer seus requisitos. Projetos de desenvolvimento redundantes só servem para distraí-lo dos verdadeiros objetivos corporativos.
Nenhum comentário:
Postar um comentário