GR TIPS

Em ritmo de final de ano, publico uma nova lista de dicas de artigos interessantes, abordando tópicos relacionados à Gestão de Riscos e Segurança. Comentários, críticas e sugestões de novos artigos são sempre bem vindos.

Análises e previsões são uma constante nesta época de fim de ano. Que tal então conhecer as previsões para o mercado de segurança em 2008 ?

O excelente blog Securosis.com nos brinda ainda com mais um ótimo post dividido em quatro partes sobre o Ciclo de Vida de Segurança de Dados. O último post traz os links de todos os outros publicados anteriormente para que você possa conhecer todo o ciclo.

O Security Response Weblog da Symantec também publicou um artigo com foco em previsões sobre os novos desafios dos gestores de segurança frente à mudança de perfil dos usuários de TI. O post pode ser lido através deste link.

Compreender e aplicar conceitos técnicos à nossas atividades profissionais é uma rotina constante. Agora, traduzir, dominar e empregar estes mesmos conceitos em nossa vida pessoal já é outra história.

Praticamente todos os dias travamos algumas batalhas tentando avaliar e mitigar riscos, agregar mais valor ao produto do nosso trabalho, reduzir custos, medir e ampliar a capacidade e a disponibilidade dos recursos sobre nossa gestão, dentre inúmeras outras atividades. E em grande parte, saímos vitoriosos destes combates.

Mas por que então não demonstramos toda essa força e disposição para aplicar pelo menos parte destes conceitos em nossas vidas pessoais? Será que é porque não conseguimos vislumbrar alguma recompensa no final de cada mês? Ou porque não conseguimos projetar nenhum resultado à nossa “carreira” enquanto pessoa? Hoje eu desconheço a(s) resposta(s). Mas desejo e luto para que cada um reconheça o valor de cada um destes conceitos se bem aplicado à sua vida pessoal.

Que todos conseguissem avaliar bem os riscos de suas escolhas, principalmente as políticas. Que continuidade representasse algo bom para todos, planejado, com um objetivo definido e não a persistência de conceitos e valores vis que não agregam valor algum a não ser ao bolso de quem ainda os aplica. Que sempre quando requeridas, mudanças fossem executadas, de forma ordenada mas também ágeis, alcançando todo o escopo necessário para torná-las efetivas.

Na verdade, se 3 “Es” fossem incorporados à T.I. em 2008, com certeza construiríamos algo muito diferente e melhor. Não! Eu não estou pensando em Tecnologia ou em Informação! Estou falando de “Todo Indivíduo” deste nosso país. Se Todo Indivíduo absorvesse e aplicasse o conceito de 3 simples “Es” teríamos um país muito melhor para viver. E quais “Es” são esses?

Educação

Ética

Empenho

Fica então aqui o desejo destes 3 “Es” para Todo Indivíduo em 2008! 

Organizações que se encontram um passo à frente na compreensão do que é realmente uma análise de retorno sobre investimentos sabem que existe somente uma forma de medir e gerenciar o valor de qualquer investimento, seja em TI ou em qualquer outra área: uma análise de ROI bem fundamentada.

Mais do que nunca, as organizações têm se preocupado com a análise dos impactos dos investimentos em TI. Pressões econômicas, aliadas a anos de pesados gastos com TI sem a demonstração de retornos claros, obrigaram as corporações a encurtarem suas rédeas nos gastos de TI e justificarem melhor e de forma mais clara cada centavo investido.

Tomadores de decisões das áreas financeira e de tecnologia precisam de métricas e medidas confiáveis para garantir que estão tomando decisões em TI que agreguem impactos positivos à organização.

A proliferação de calculadoras de ROI por parte de fornecedores, estratégias de marketing e novos modelos propostos por analistas e consultores que buscam medir o valor da tecnologia falharam por não satisfazerem as necessidades dos tomadores de decisão. Entretanto, forneceram muitas lições valorosas tanto para os fornecedores quanto para os usuários de tecnologia, incluindo:

• ROI não é um número; trata-se da compreensão dos custos e benefícios de um determinado projeto. O ROI em tecnologia em uma organização depende do ambiente tecnológico existente e de como os seus usuários utilizam a tecnologia - maximizar o ROI é um processo contínuo baseado na evolução das tecnologias e nas mudanças no ambiente dos negócios;
• Uma forma de avaliação de ROI tipo “caixa preta”, que utiliza de ferramentas ou calculadores simplistas com suposições genéricas, não é suficiente para justificar determinado investimento. Ferramentas de cálculo de ROI baseadas em web por exemplo, simplesmente geram números. Estes números podem ser interessantes, mas não podem ser considerados confiáveis a menos que todos os cálculos, fórmulas e entradas de dados sejam claros e objetivos - e todas as suposições sejam específicas à organização;
• Aqueles indivíduos que têm a ganhar com projetos de tecnologia - consultores, vendedores ou analistas trabalhando para vendedores - podem não analisar objetivamente o impacto financeiro de um projeto. Mesmo se forem objetivos, suas conclusões são passíveis de questionamentos e os CFO’s procuram por cálculos de ROI confiáveis e compreensíveis;
• Um conhecimento sobre as operações de negócio e sobre finança, não apenas sobre tecnologia, é crítico para a compreensão e para o cálculos dos impactos da TI. Tradicionais empresas de análise sobre tecnologia podem fornecer opiniões a respeito dos líderes de mercado, sobre funcionalidades de produtos e estratégias dos fornecedores, mas lhes faltam conhecimento financeiro e uma compreensão mais profunda do negócio para avaliar o ROI e outras métricas financeiras. Algumas desenvolveram métricas proprietárias que procuram traduzir de alguma forma o valor que determinada tecnologia provê para as organizações. Todavia, estes modelos falham na provisão aos CFO’s de uma maneira consistente de avaliar os impactos financeiros dos projetos de TI porque são baseados em opiniões e não podem ser comparados com outras métricas financeiras padrões.

MÉDIAS DE ROI NÃO SE APLICAM

As empresas tradicionais de análise de TI sem um foco financeiro buscam prover aos usuários recomendações financeiras através da pesquisa e comparação com outras organizações. Embora médias de ROI possam prover informações históricas interessantes a cerca de sucessos relativos de organizações que aplicaram determinada tecnologia, elas não podem ser utilizadas para prever outros resultados porque o ROI é uma medida individual, baseada em um projeto específico.

Outros analistas desenvolveram cálculos ou taxas para avaliar uma tecnologia que não encontram associações na biblioteca de métricas financeiras padrões utilizadas pelos CFO’s. Embora os CIO’s e os usuários da tecnologia da informação possam considerar algumas destas métricas interessantes, elas não fornecem suporte aos CFO’s com uma clara medida dos impactos financeiros ou o retorno sobre a tecnolgia, nem oferecem também uma forma de comparação para as decisões sobre os investimentos em tecnologia com outros tipos de investimentos.

POR QUE AS “CALCULADORAS RÁPIDAS” NÃO FUNCIONAM?

Diversos fornecedores de tecnologia consultaram seus times internos ou equipes de vendas no desenvolvimento de ferramentas para o cálculo de ROI ou calculadoras rápidas na tentativa de apontar indicações do ROI potencial de suas soluções. Inicialmente, o mercado adotou estas ferramentas como uma forma de justificar decisões tecnológicas; entretanto, sobre o escrutínio dos CFO’s, muitas ferramentas falharam na confirmação do que prometiam demonstrar. Os tomadores de decisão observaram que muitas ferramentas desenvolvidas pelos fornecedores falharam na utilização de equações ou suposições sem muita clareza, basearam-se em dados médios ou gerais em vez de entradas específicas da organização ou possuíam uma estrutura que, em muitos casos, superestimava os benefícios de um projeto.

À medida em que a popularidade destas ferramentas diminuía, aumentava a necessidade dos CFO’s na quantificação de determinada tecnologia de uma forma clara, aberta e estruturada; customizada às necessidades e características da organização e disponibilizada certamente por uma fonte objetiva.

O QUE MAIS AS EMPRESAS ESTÃO PERDENDO?

Muitas empresas de consultoria e de contabilidade proveram aos seus clientes análises de ROI como parte de um processo global de avaliação, tomada de decisões e implementação de uma estratégia tecnológica. Infelizmente, é difícil para um CIO saber se uma análise é baseada nas reais necessidades de sua organização, ou em dados abstraídos de outras organizações ou no desejo de um fornecedor na continuidade de implementação de um projeto.

As organizações precisam de uma voz independente, de uma fonte confiável que não tenha nada a perder - ou ganhar - para ajudá-los na correta quantificação dos custos e benefícios de um projeto de TI.

O ROI REAL VAI ALÉM DE UM NÚMERO

O Retorno Sobre o Investimento, ou ROI, não é apenas um percentual, mas sim a compreensão total dos custos e benefícios associados ao desenvolvimento de uma tecnologia - e uma análise de ROI é tão boa quando sua suposição ou dado mais inconsistente. Para se ter confiança em um cálculo, a organização precisa não apenas de um número, mas sim de uma completa explanação das suposições e cálculos utilizados para derivá-la. Para o ROI ser útil à avaliação de projetos, a metodologia para calculá-lo precisa ser consistente e repetitível.

ENCONTRANDO O VERDADEIRO ROI

Organizações que tomam grandes decisões em TI sabem que somente conseguiram tomá-las porque conseguiram quantificar seu ROI. Com o cálculo do ROI para o desenvolvimento de uma tecnologia, as organizações podem compreender, em uma base contínua, os impactos que cada decisão sobre tecnologia tem sobre os negócios. Quando um projeto atrasa, custos com consultorias crescem. É conhecido que todos os atrasos não esperados impactam o retorno de um projeto tecnológico - e pode-se utilizar este conhecimento para manter a maximização destes retornos frente a pressões políticas, consultores fracos ou outros desafios.
Organizações de sucesso relacionam as melhores práticas financeiras às melhores práticas tecnológicas. Analistas puramente financeiros são desafiados a calcular o ROI sobre a tecnologia porque eles desconhecem as suposições de cada modelo - e o CIO não quer ter que aprender a compreender finanças para provar o ROI de seus projetos. Efetivamente, analistas de ROI de projetos de TI relacionam os conjuntos de conhecimentos de finanças e TI, garantindo que as decisões sobre investimentos em TI estejam alinhadas a outras decisões tomadas pela organização. Uma análise independente e transparente é crucial. Cada organização é diferente e cada uma deve valorizar as diversas métricas e cálculos financeiros de forma diferente. Ferramentas de modelos financeiros abertas possibilitam à organização rever equações, alterar cálculos relacionando-os às suas necessidades e estruturas de investimento específicos e compreender a fonte e as suposições através de qualquer número.

O ROI de uma tecnologia não é simplesmente a associação de um número, mas sim a garantia de que os benefícios ao negócio em cada investimento superem os seus custos. Organizações de sucesso revêem continuamente seus projetos e decisões de investimentos em TI para compreender o impacto financeiro de seus investimentos, maximizar seus benefícios e minimizar seus custos ao longo de todo o ciclo de vida da tecnologia.

Uma metodologia de cálculo de ROI padrão possibilita às organizações avaliarem cada investimento de uma maneira consistente sobre outros investimentos não relacionados à tecnologia. Em adição à medição de seus projetos ao longo de seus ciclos de vida, as organizações utilizam medidas padrões em todos os seus projetos de TI, habilitando-as a comparar e priorizar projetos baseado em seus riscos e retorno.

Referência:
Research Note: Separating ROI facts from fiction - Nucleus Research, Inc.

O livro 3 da terceira versão da Biblioteca ITIL aborda a Transição de Serviços e todos os seus processos e atividades correlatas. O correto gerenciamento da transição de serviços agrega bastante valor ao negócio. Alguns exemplos:

• Reduz os riscos e impactos “não previstos’;
• Reduz a diferença: “estimado” versus “executado”;
• Adequa os serviços aos seus propósitos e utilização.

Além destes exemplos algumas práticas abordadas nesta disciplina também contribuem para este objetivo. Dentre elas:

• Planejamento e suporte proativos à transição de serviços;
• Integração do planejamento para as diversas transições de serviços;
• Padronização das atividades de transição;
• Garante a integridade das configurações envolvidas nos processos de transição;
• Possibilita a tomada de decisões efetivas;
• Garante que os novos/modificados serviços:
  • Sejam testados,
  • Sejam disponíveis, gerenciáveis e de menor custo.

Apesar de todos os benefícios obtidos de sua aplicação, um componente importantíssimo deve ser tratado de forma bastante cuidadosa dentro da Transição de Serviços: o fator humano. Para gerenciar qualquer mudança e seus efeitos sobre um indivíduo, a compreensão do “ABC do Comportamento Humano” é bastante útil. Este termo é uma abreviação (dos termos em inglês) dos três maiores componentes do comportamento humano:

• Attitude (Atitude)
• Behavior (Comportamento)
• Consequences (Consequências)

Qualquer pessoa que acompanhe o desenvolvimento de uma criança sabe como é difícil mudar qualquer atitude inerente ao ser humano. Nenhuma atitude ou comportamento pode ser diretamente afetado por outros indivíduos, a não ser nós mesmos. Entretanto, nos negócios, as conseqüências de comportamentos individuais podem ser diretamente trabalhadas por seus respectivos gerentes.

Quando se altera a conseqüência de algo para um indivíduo, suas atitudes também mudam. Quando se alteram atitudes, comportamentos também mudam. Quando comportamentos mudam, isto afeta diretamente algumas conseqüências. Este é o ciclo do comportamento humano que, quando compreendido pelos gestores, se torna uma ferramenta útil no ajuste de indivíduos à mudanças.

Características de personalidade facilmente identificáveis surgem durante a implementação de mudanças em sistemas computacionais. Deve-se observar que estas características de personalidade são transitórias. É responsabilidade dos gestores auxiliar seus funcionários na tentativa de superação destas reações negativas às mudanças.

Nos estágios iniciais de um processo de mudança, os indivíduos geralmente demonstram um certo desinteresse ao novo cenário proposto. Este desinteresse é demonstrado através de um sentimento de resistência à mudança e pode ser interno ou externo por natureza. Exemplos de resistências mais comuns:

• Isto não se aplica ao meu trabalho;
• Isto é muito complicado;
• Isto é muito caro;
• Isto não é produtivo;
• Nós nunca fizemos desta maneira antes;
• Estou muito ocupado trabalhando para pensar em como fazer meu trabalho melhor;
• Estou muito velho para aprender novas coisas;
• Nós tentamos isto anteriormente e não deu certo;
• Isto não é aplicado ao nosso ramo de negócios;
• Isto se aplica ao trabalho dos outros, não ao meu.

O período de tempo exigido para um comportamento individual retornar ao seu normal é referido como “Ciclo de mudança”. Existem quatro fases em um ciclo de mudança:

• Otimismo mal informado;
• Pessimismo informado;
• Fugas internas ou externas;
• Otimismo informado.

Otimismo mal informado

Um breve período de euforia ocorre quando os indivíduos tomam contato pela primeira vez com um processo de mudança em progresso. Esta euforia pode resultar em um incremento de produtividade.

Pessimismo bem informado

À medida que os indivíduos conhecem mais sobre a mudança, ocorrem resistências. Esta resistência é diretamente proporcional aos seus conhecimentos sobre como esta mudança impactará suas atividades.

Resistências internas ou externas

Indivíduos que expressam externamente suas resitências são normalmente líderes informais.  Eles são dispostos a assumir abertamente uma posição verbal e formal, buscar seguidores e liderar outros em suas revoltas contra as mudanças.

Indivíduos que não expressam suas resistências são mais suscetíveis ao poder do líder informal. Dois dois comportamentos, este é o mais difícil de ser identificado. Eles não expressam seus descontentamentos. Para se prevenir de uma revolta dos líderes informais, os gestores devem tomar ações corretivas para desencorajar este tipo de comportamento.

Otimismo bem informado

Indivíduos que alcançam esta fase encontram-se no lado do declive na curva de resistência. Eles estão conscientes  dos impactos inerentes à mudança, mas são capazes de enfrentar o processo de mudança devido ao seus conhecimentos a cerca do mesmo.

Encontrei uma figura que expressa bem a relação entre o ciclo emocional da mudança e a performance do processo de mudança em referência.

Foi publicado no último dia 29/11/2007 pela McAfee seu terceiro relatório anual sobre crimes virtuais. Segundo a empresa, seu relatório vêm se tornando uma referência internacional sobre o que rola no mundo do cibercrime. Além de sua equipe do Avert Labs, neste ano a empresa contou com a ajuda de dezenas de especialistas em todo o mundo, de instituições como OTAN, FBI, Universidade de Oxford, dentre outras.

Uma das principais conclusões apontadas pelo relatório é a de que o cibercrime tem evoluído significativamente e, atualmente, tem os governos nacionais como principais alvos. Uma quantidade considerável de ameaças emergentes oriundas de sofisticados grupos vem acometendo organizações ao redor do mundo. Pesquisas recentes apontaram um crescimento de 152% nos ataques contra agências federais americanas no último ano fiscal. Diante de todo este cenário, os consumidores de todo o mundo vêm diminuindo sua confiança na segurança da Internet.

O relatório está disponível gratuitamente.