- Incidentes recorrentes são um sinal de problemas estruturais, não de má sorte
- Sistemas sem patches são o ponto de entrada mais comum para os atacantes
- Um backup não testado não é um backup
- Shadow IT (pessoal a usar ferramentas pessoais) sinaliza que a confiança se quebrou
- Os custos de TI devem ser previsíveis; aumentos inexplicados significam que algo está fora de controlo
1. Está a resolver os mesmos problemas repetidamente
Quando o mesmo chamado é aberto mês após mês, é tentador tratá-lo como manutenção de rotina. Um servidor que precisa de ser reiniciado semanalmente, uma VPN que cai nas horas de pico, uma impressora que bloqueia para usuários específicos. Tomados em conjunto, estes apontam para uma deficiência estrutural que o suporte reativo encobre sem resolver.
A repetição de incidentes é um dos sinais de diagnóstico mais fiáveis disponíveis para um proprietário de empresa. Se perguntar ao seu fornecedor de TI ou à equipa interna quantas vezes um determinado problema foi registado nos últimos 90 dias e ninguém tiver uma resposta pronta, isso é por si só um problema. Sem registo de incidentes, os problemas recorrentes são invisíveis a nível organizacional, mesmo quando são dolorosamente visíveis para as pessoas que os experienciam.
A análise de causas raiz pergunta o que está realmente a causar a recorrência. Na maioria dos casos, a resposta envolve hardware desatualizado, software sem suporte, uma configuração que foi criada como solução temporária e nunca foi revisitada, ou um problema de capacidade que o sistema absorveu silenciosamente até não conseguir mais. Corrigir a causa raiz uma vez é mais barato do que tratar o mesmo incidente trinta vezes por ano.
2. Seus sistemas não conseguem escalar com o negócio
A infraestrutura adequada para uma equipa de 15 pessoas começa frequentemente a mostrar sérias dificuldades com 40 pessoas. Os limites de licenças são atingidos. O armazenamento enche mais rapidamente do que ninguém planeou. O servidor de arquivos partilhado que funcionava bem agora corre lentamente porque os usuários simultâneos nunca fizeram parte do design original. Uma política de trabalho remoto é introduzida, e de repente uma VPN criada para acesso ocasional está gerindo o dia de trabalho completo de todos.
Os problemas de escalabilidade são dispendiosos porque surgem no pior momento: quando o negócio está crescendo e a pressão operacional é mais elevada. Uma paragem de sistema durante um crescimento rápido cria danos cumulativos. Os serviços voltados para o cliente abrandam, os novos colaboradores não conseguem ser integrados de forma eficiente, e a atenção da gestão que deveria estar no negócio é consumida pela resolução de problemas de TI.
A causa raiz é tipicamente a falta de planeamento antecipado. As decisões de infraestrutura tomadas sob pressão de tempo ficam bloqueadas e nunca são revisitadas. Uma função genuína de gestão de TI inclui o planeamento de capacidade: rever a utilização atual face ao crescimento projetado e identificar constrangimentos de folga antes que se tornem paragens. Se seu ambiente de TI nunca foi revisto com o crescimento em mente, agende essa revisão agora.
Pergunte ao seu fornecedor de TI ou equipa interna: qual é o nível atual de utilização do armazenamento de arquivos, dos switches de rede e dos principais servidores de aplicações de negócio? Se não conseguirem responder em 24 horas a partir de dados de monitorização existentes, não tem visibilidade adequada sobre sua própria infraestrutura.
3. Os patches de segurança estão ficando atrás do calendário
Os fornecedores de software lançam patches constantemente. Alguns fecham vulnerabilidades de segurança críticas. Outros corrigem erros que, se não forem tratados, criam problemas de estabilidade ou expõem dados. Manter todos os sistemas atualizados com patches é pouco glamoroso mas fundamental. As vulnerabilidades sem patches são o mecanismo por detrás da maioria das violações reais: o método de ataque usado na maioria dos incidentes é uma falha conhecida com um patch que nunca foi aplicado.
A gestão de patches é desprioritizada por três razões: os patches requerem testes antes da implementação, alguns quebram coisas, e reiniciar servidores causa breves paragens. Num ambiente de TI reativo onde a equipa já está sobrecarregada, a aplicação sistemática de patches fica no fundo da fila. O resultado é um backlog crescente de vulnerabilidades conhecidas, cada uma delas uma porta aberta.
Um processo estruturado de gestão de patches define janelas definidas por criticidade: patches de segurança críticos dentro de 48 a 72 horas após o lançamento, patches padrão num ciclo semanal ou quinzenal, e sistemas em fim de vida sinalizados para substituição planeada. Se sua empresa não tem este processo documentado e seguido, sua exposição é maior do que pensa. Uma auditoria de TI revelará rapidamente a lacuna.
4. Não tem visibilidade sobre o que está na sua rede
Cada dispositivo ligado à sua rede é um potencial ponto de entrada. Portáteis, telemóveis, impressoras, televisores inteligentes em salas de reunião, sensores IoT, discos de backup ligados a portas USB, serviços cloud autenticados com credenciais da empresa. Se não tiver um inventário preciso e atual de tudo na sua rede, não consegue protegê-la. Também não consegue gerir licenciamento, planear atualizações de hardware ou responder eficazmente a um incidente de segurança.
Muitas empresas descobrem que seu inventário de ativos de rede tem anos de atraso, se é que existe. Os dispositivos são adicionados quando os colaboradores entram e raramente removidos de forma limpa quando saem. Os dispositivos pessoais ligam-se ao Wi-Fi corporativo sem passar por qualquer processo de registo. Um membro do pessoal instala uma ferramenta de sincronização na cloud e de repente dados sensíveis do negócio estão saindo da rede através de uma aplicação não sancionada. Nada disto aparece em nenhum painel de controlo porque ninguém está verificando.
Não é possível proteger o que não se vê. Um dispositivo desconhecido é um risco não gerido. Fechar essa lacuna custa menos do que descobri-la durante um incidente.
As ferramentas de visibilidade de rede existem para todos os orçamentos. No mínimo, sua função de TI deve ser capaz de produzir um inventário de dispositivos em minutos, identificar dispositivos desconhecidos ou não autorizados, e mostrar quais as aplicações que estão gerando tráfego. Para isso é necessária uma pessoa que o configure e mantenha, não ferramentas de nível empresarial. Se sua configuração atual não consegue fornecer isso, comece por aí.
5. Seu plano de backup e recuperação nunca foi testado
Os backups são um daqueles controlos de TI que as empresas quase universalmente têm e quase universalmente não testaram. Um backup é uma configuração, não uma garantia. Os trabalhos de backup podem falhar silenciosamente. Os períodos de retenção podem ser mais curtos do que o assumido. O processo de recuperação pode ser muito mais lento do que o esperado. Os dados que foram guardados em backup podem não restaurar de forma limpa para um sistema atual. Não descobrirá nenhum destes problemas até precisar do backup, altura em que as consequências são graves.
Testar um backup significa realizar um restauro real dos seus dados mais críticos para um ambiente limpo e verificar que os dados restaurados estão completos, precisos e utilizáveis. Significa cronometrar o processo: quanto tempo demora a recuperar sua aplicação de negócio a partir de uma falha completa? Quatro horas? Catorze? Dois dias? Esse número é seu objetivo real de tempo de recuperação, e pode ser muito diferente do que seu fornecedor de TI lhe disse. As empresas que nunca mediram este número tendem a ser significativamente otimistas em relação a ele.
O teste de recuperação deve ser um exercício agendado e documentado que acontece pelo menos anualmente e após qualquer alteração significativa à sua infraestrutura. O resultado deve ser um registo escrito que confirma a data do teste, o que foi restaurado, o tempo necessário, quaisquer problemas encontrados e uma aprovação de quem é responsável pela TI. Se sua empresa não consegue produzir esse documento, seu backup é um pressuposto, não uma capacidade.
Os ataques de ransomware visam frequentemente os sistemas de backup de forma específica. Um atacante que encripta seus dados de produção e seu backup simultaneamente neutralizou efetivamente sua capacidade de recuperação. Os backups precisam de ser armazenados num local que não seja acessível a partir da rede primária, idealmente seguindo a regra 3-2-1: três cópias de dados, em dois tipos de suporte diferentes, com uma cópia mantida fora das instalações ou num ambiente cloud isolado.
6. Os custos de TI continuam a subir sem explicação clara
Os gastos em TI devem ser previsíveis. O hardware tem um ciclo de vida conhecido. As licenças de software renovam-se em datas fixas. Os serviços cloud faturar a taxas visíveis antecipadamente. Se os custos de TI vêm subindo e você não consegue apontar para uma decisão específica que explique o aumento, algo no seu ambiente está fora de controle. Os culpados comuns incluem licenças de software pagas por usuários que já saíram, serviços cloud provisionados para um projeto e nunca descomissionados, contratos de suporte de hardware renovados automaticamente para equipamentos em fim de vida, e ferramentas duplicadas fazendo o mesmo trabalho em diferentes partes da organização.
A proliferação de licenças é particularmente comum em empresas que cresceram rapidamente ou por aquisição. Uma empresa de 60 pessoas pode estar pagando por 90 licenças de Office porque a contagem nunca foi reconciliada com o número atual de funcionários. Os custos de armazenamento na nuvem podem triplicar ao longo de dois anos sem que seja tomada qualquer decisão consciente, simplesmente porque ninguém está revisando o que está sendo armazenado ou definindo políticas de retenção. As assinaturas SaaS se acumulam: uma equipe adota uma ferramenta, outra equipe adota uma ferramenta concorrente para resolver o mesmo problema, e ninguém percebe a duplicação até que o time financeiro a sinalize.
A resposta adequada é uma auditoria de custos de TI: uma revisão sistemática de cada linha de despesa de TI mapeada face à utilização atual e à necessidade do negócio. Isto tipicamente revela poupanças imediatas que mais do que cobrem o custo da revisão, e cria uma linha de base a partir da qual as despesas futuras podem ser geridas deliberadamente em vez de reativamente. Os custos de TI que ninguém está gerindo ativamente são custos que continuarão a subir.
7. O pessoal está trabalhando em torno da TI em vez de com ela
Shadow IT é o termo para as ferramentas e sistemas que o pessoal adota fora da provisão oficial de TI. Uma equipa começa a usar uma conta pessoal do Dropbox para partilhar arquivos grandes porque o servidor de arquivos da empresa é demasiado lento. As pessoas enviam documentos de trabalho para endereços de email pessoais para trabalhar em casa porque a VPN é pouco fiável. Um departamento adota uma ferramenta gratuita de gestão de projetos porque o sistema oficial é demasiado pesado para seu fluxo de trabalho. Cada um destes é uma resposta racional a um sistema que não está servindo as pessoas que dele dependem.
O problema não são os indivíduos que fazem estas escolhas. O problema é que cada solução alternativa cria uma bolsa de dados do negócio fora do controlo da empresa. Os documentos em contas pessoais do Dropbox não têm backup feito pela empresa. Os arquivos enviados para email pessoal não estão sujeitos às políticas de retenção de dados ou segurança da empresa. As ferramentas de terceiros usadas sem supervisão de TI podem não cumprir os padrões exigidos pelos regulamentos de proteção de dados ou pela sua apólice de ciberseguro. Quando ocorre um incidente de segurança ou uma investigação regulatória, o shadow IT cria lacunas muito difíceis de explicar.
O shadow IT sinaliza uma de duas coisas: as ferramentas oficiais são inadequadas, ou são adequadas mas mal comunicadas e com pouco suporte. De qualquer forma, a confiança entre o negócio e sua função de TI quebrou-se. A resposta é compreender por que razão existem as soluções alternativas, tratar o atrito subjacente e trazer o pessoal de volta a ferramentas suportadas que o negócio pode gerir, proteger e auditar. Uma revisão de gestão de TI que inclui entrevistas com o pessoal revelará estes padrões rapidamente.
Juntando tudo: o que fazer a seguir
Se reconhece mais de dois dos sete sinais acima no seu próprio negócio, os problemas são estruturais e não incidentais. As correções individuais aplicadas uma de cada vez não resolverão o padrão subjacente. O que é necessário é uma revisão de base: uma análise abrangente da sua infraestrutura atual, controlos, custos e cobertura que produz um plano de remediação priorizado.
O ponto de partida não tem de ser complexo. Uma revisão de infraestrutura estruturada cobre tipicamente o inventário de ativos, estado dos patches, histórico de testes de backup, reconciliação de licenças, auditoria de custos e uma entrevista com pessoal-chave para revelar quaisquer soluções alternativas em uso. O resultado é uma imagem clara de onde está, onde estão as lacunas e o que tratar primeiro. Essa imagem é a base para gerir a TI como uma função de negócio em vez de uma série de emergências.
- Comece pela visibilidade: consegue descrever, neste momento, cada dispositivo na sua rede e cada peça de software que sua empresa está executando?
- Analise o histórico de chamados de suporte de TI dos últimos 90 dias e identifique qualquer problema que apareça mais de duas vezes.
- Peça ao seu fornecedor de TI uma confirmação escrita do último teste de backup, incluindo a data, o que foi restaurado e quanto tempo demorou.
- Solicite uma lista de todas as licenças de software pagas nos últimos 12 meses e reconcilie-a com o número atual de colaboradores.
- Fale com cinco membros do pessoal em diferentes funções e pergunte-lhes: há alguma coisa que usam fora da provisão oficial de TI para realizar seu trabalho? As respostas dir-lhe-ão muito.
Se estas perguntas são difíceis de responder, essa dificuldade é por si só informação útil. Diz-lhe por onde começar. A Cyvra fornece serviços de gestão de TI que cobrem tudo o que acima se refere. Se quiser uma revisão de base independente, podemos estruturá-la em torno da sua situação específica.
A ENISA publica orientações de resiliência de infraestrutura e avaliações de ameaças setoriais em enisa.europa.eu. Os recursos de resiliência de infraestrutura crítica da CISA incluem enquadramentos de diagnóstico e listas de verificação de segurança de base aplicáveis a ambientes de TI empresariais.