Por quanto tempo você consegue ficar sem e-mail ?

29 de abril de 2016

Fernando Marinho critica a postura dos profissionais da área de TI e dos executivos por trás deles, que preferem justificar seus investimentos sob marcas famosas, ao invés de investir em na contratação de especialistas capazes de indicar a real situação das vulnerabilidades da empresa.

Este mês, me dei o direito de divagar um pouco sobre o ocorrido com um grande provedor de Internet, que teve seus serviços de correio eletrônico interrompidos por aproximadamente dois dias.

Dois dias, numa segunda e terça-feiras, podem ser uma eternidade ! Especialmente se o usuário depende desta ferramenta para trabalhar, como aconteceu com dezenas de leitores e conhecidos.

Sob uma análise mais crítica, este fato evidencia a dependência que os executivos de TI ainda colocam sobre suas avaliações pessoais de risco.

Entretanto, as chances são sempre contra os apostadores: Esta semana, um dos maiores provedores de internet no país sofreu um pane que afetou todo o seu serviço nacional de e-mails. Estranhamente foi publicada uma página no seu portal, responsabilizando seu fornecedor de soluções de storage.

A definição de “estranho”, decorre dos seguintes fatos:

1- Se o problema causador desta pane foi causado por um defeito de hardware, como não houve acionamento de um plano de contingência e/ou de continuidade de negócios que permitissem a manutenção do serviço, até sua normalização ? Dois dias de falha é uma eternidade quando se fala em Internet.

2- Partindo do princípio que o fornecedor indicado como responsável é um dos grandes fabricantes de storage, que oferece no mercado seus produtos como solução de continuidade de negócios, fico imaginando aonde ficou sua preocupação em relação a este cliente…

3- Lendo a declaração contida no comunicado acima citado, de que este provedor oferece acessos locais na maior quantidade de cidades brasileiras (presumindo-se que seus servidores de e-mails também sejam regionais, para atender à demanda local e reduzir o tráfego pela rede interna) e que possui o maior número de assinantes de banda larga do pais, é difícil imaginar o tipo de rede que esta estrutura possui, a ponto de um defeito no storage de um de seus servidores afetar exclusivamente apenas um tipo de serviço em todo país, “Apesar dos serviços de acesso e portal não terem sido afetados…” como foi publicamente declarado.

4- Apesar da declaração acima, também utilizo os serviços deste provedor e pude perceber que em horários noturnos, notadamente após as 24:00 h, o serviço de acesso não funcionou direito por toda a semana. O que realmente pode estar por trás disto ?

Não me cabe questionar as decisões estratégicas ou técnicas de empresas cujo produto é a prestação de serviços de tecnologia.

Mas como especialista em continuidade de negócios, me cabe avaliar os fatos relacionados à minha especialidade e que apresentam evidências que podem escapar da maioria das pessoas, pelo simples fato de um dia precisar desta experiência para solucionar o problema de um cliente.

Seja compartilhando informações ou indicando falhas, o objetivo de uma crítica profissional é sempre tentar impedir que um problema volte a se repetir.

De qualquer forma, a situação acima reforça o teor de alguns artigos que foram recentemente publicados, criticando a posição de fabricantes de dispositivos de storage e back up como soluções para continuidade de negócios.

Continuidade de Negócios não é nem nunca poderá ser garantida apenas com dispositivos de redundância, armazenamento e cópias de segurança. A garantia de funcionamento de uma empresa depende quase exclusivamente das pessoas que realizam e acompanham os processos de negócios, utilizando ferramentas que podem ser alguns destes ítens, dependendo da atividade e do evento ocorrido.

Enquanto os profissionais que decidem sobre os investimentos corporativos acreditarem numa avaliação histórica de riscos (“se nunca aconteceu antes, não vai acontecer agora”) ou escolherem tomar decisões simplistas, confiando em renomadas marcas, as empresas continuarão se expondo a riscos desnecessariamente.

Se há algum consolo nesta conclusão, é de que isto não é exclusividade nacional.

De acordo com uma recente pesquisa do Giga Information Group, mais da metade das empresas no mundo investem em projetos de segurança errados e irrelevantes. A maioria das empresas americanas e européias está cortando 30% dos orçamentos de TI destinados à segurança, para se aproximarem mais da realidade neste ano.

O Giga Group estima que os índices do orçamento em segurança devem ser mantidos no mesmo patamar de 2002, entre 2% e 20% do total investido em TI, mantendo uma política de economia menos drástica sob o ponto de vista estratégico e administrativo.

Em contrapartida, outro levantamento, feito pelo Gartner Group, indica que a maioria das empresas está despreparada para eventos que afetem seus negócios. De acordo com pesquisa feita com 200 profissionais da área de TI, o principal motivo para o despreparo é a redução do orçamento, justificado por 24% dos participantes.

Ainda de acordo com estes profissionais, uma em cada três corporações perderiam informações críticas ou capacidade operacional, se fossem surpreendidas por um desastre.

Em outras palavras: ao invés de investir no serviço de um profissional que poderá avaliar as vulnerabilidades reais do ambiente corporativo, as empresas preferem gastar o mesmo valor em uma atualização de licenças ou na compra de alguns novos terminais. É mais fácil acreditar que o improvável não irá acontecer e que o que já aconteceu não se repetirá.

No Brasil, não tenho conhecimento de nenhuma pesquisa a respeito. Tampouco as empresas assumem seu despreparo, preferindo apostar no incerto.

Afinal de contas, continua sendo mais fácil acreditar que o raio só cai na casa do vizinho.