Introdução: O que é um Plano de Recuperação de Desastres (DRP)? 

Com o crescimento da tecnologia como propulsora dos negócios, as empresas tornaram-se cada vez mais dependentes da disponibilidade de seus ambientes tecnológicos. O Plano de Recuperação de Desastres (em inglês, Disaster Recovery Plan ou DRP) surgiu como uma resposta à necessidade de garantir a continuidade dos negócios após desastres naturais, falhas de hardware ou outros eventos disruptivos. 

No entanto, assim como a tecnologia evolui, os planos de recuperação também precisam se adaptar. Hoje, é imprescindível que o DRP inclua estratégias para lidar com novas ameaças, como os ataques cibernéticos e ações de hackers. Garantir uma recuperação ágil e eficiente nessas situações não é mais um diferencial, mas uma necessidade crítica para a sobrevivência dos negócios. 

Como tudo surgiu: as primeiras necessidades 

Na década de 1970, surgiram as primeiras iniciativas de armazenar dados críticos processados por mainframes em fitas magnéticas, uma prática que perdurou por décadas. As fitas de backup tornaram-se populares com a descentralização da computação, pois ajudavam a remediar falhas de hardware, erros técnicos e até desastres naturais, como incêndios, enchentes e terremotos. 

A indústria financeira, em particular, a partir da década de 1980, começou a adotar DRPs de forma mais sistemática, dada a criticidade de seus sistemas e a necessidade de cumprir regulamentações. Um evento em particular, envolvendo o Bank of Americaem 1983, relacionado a uma falha grave de software em seu sistema de processamento de transações, teve importância fundamental para que os planos de recuperação fossem mais bem estruturados. Nesse período, começou a se expandir o conceito de data centers secundários e suas formas de atuação (Cold Site, Warm Site e Hot Site). 

Outro evento relevante ocorreu em 1992, com o Hurricane Andrew nos EUA, que causou grandes prejuízos a empresas que não tinham planos de recuperação adequados. Esse evento foi um marco para a conscientização sobre a importância de DRPs para os demais setores da economia. Alguns padrões e frameworks, como o ITIL (InformationTechnology Infrastructure Library), começaram a incluir práticas para gerenciamento de continuidade de negócios e recuperação de desastres. 

Mas o caso mais emblemático e discutido em todo o mundo ocorreu em 11 de setembro de 2001, quando os ataques às Torres Gêmeas nos EUA destacaram a importância de planos de recuperação que incluíssem não apenas falhas técnicas ou desastres naturais, mas também eventos de grande impacto, como atentados. Muitas empresas tinham seus DRPs nas próprias torres, o que facilitava o dia a dia, mas, infelizmente, não previa ataques dessa magnitude. Os planos começaram a ser revistos, e uma nova prática passou a ser adotada: os data centers secundários precisavam estar geograficamente distantes.

No entanto, durante todos esses anos, construir uma estrutura que replicasse o ambiente principal sempre foi muito debatido com os times financeiros e de negócio. A probabilidade de ocorrência de um evento de desastre foi sendo mitigada, seja por não construir operações em locais com risco de eventos naturais ou por adicionar camadas para aumentar a redundância nos equipamentos. 

Manter um site secundário é oneroso financeiramente para as empresas, tanto inicialmente quanto ao longo do tempo. Custos de aquisição de servidores, equipamentos de rede, firewalls, conectividade, licenças de software, entre outros, fizeram com que muitas empresas não desenvolvessem um data center secundário igual ao primário, mas sim ambientes que cobrissem a parte essencial do negócio, ou seja, atendessem somente às áreas críticas. 

A Probabilidade mudou radicalmente com os Ataques Cibernéticos 

A popularização da computação em nuvem e o aumento dos ataques cibernéticos, como ransomware, transformaram a forma como as empresas abordam a recuperação de desastres. Esses ataques, cada vez mais frequentes e impactantes, exigem uma nova abordagem para garantir a resiliência dos negócios. 

A partir de 2021, vários casos ganharam destaque na mídia, envolvendo empresas de diferentes setores, derrubando a ideia de que somente empresas do setor financeiro estavam na mira dos hackers. Os ataques cibernéticos por meio de ransomwarecriptografam os dados, e os hackers exigem pagamentos milionários para liberá-los ou ameaçam expor os dados roubados na Deep Web, colocando as empresas no radar das rígidas legislações de privacidade de dados e suas penalidades. 

Só aqui no Brasil, tivemos inúmeros casos que repercutiram na mídia e trouxeram luz ao tema, como os ataques à JBS (2021), Fleury (2021), Localiza (2021), CVC (2021), Porto Seguro (2022), Light (2022), Serasa (2022) e Hospital Albert Einstein (2023). 

O caso da JBS foi emblemático, pois a empresa relatou ter pago US$ 11 milhões em Bitcoin para evitar maiores prejuízos, já que suas operações nos EUA, Austrália e Canadá haviam sido afetadas. No Brasil, a empresa precisou interromper temporariamente algumas operações. O caso ganhou destaque internacional e levantou discussões sobre a necessidade de maior proteção cibernética em infraestruturas críticas e a ética no pagamento de resgates. 

Para atuar de forma imediata, muitas empresas acabaram por desenvolver ações e planos exclusivos para endereçar os riscos cibernéticos, aumentando consideravelmente os custos da área de Tecnologia. 

Entretanto, manter dois planos separados para desastres físicos e cibernéticos pode parecer uma solução simples, mas na prática, essa abordagem traz uma série de desafios, incluindo custos elevados, complexidade de gerenciamento, riscos de gaps na cobertura e dificuldades em testes e conformidade. A integração desses planos em uma estratégia única de resiliência não só reduz esses desafios, mas também aumenta a eficiência, a agilidade e a capacidade da empresa de responder a qualquer tipo de desastre, seja físico ou cibernético. 

Desafios na Criação de um Plano Integrado 

O primeiro passo é definir o RTO (Recovery Time Objective) e o RPO (Recovery Point Objective). O RTO é o tempo máximo que a empresa pode tolerar de downtime(inatividade) sem impactos críticos nos negócios. Já o RPO é o intervalo de tempo entre o último backup válido e o momento do desastre. Quanto menores forem esses tempos, maiores serão os investimentos necessários. 

Nesse sentido, desenvolver uma Análise de Impacto nos Negócios (BIA – Business Impact Analysis) é o melhor caminho. Inicia-se sempre identificando os sistemas e processos críticos para a operação da empresa e o respectivo impacto financeiro, operacional e reputacional de um desastre em cada um deles. O dado primordial que norteia essa atividade é o inventário de sistemas e processos, bem como seus key users. 

Em seguida, priorizam-se os sistemas com base em sua criticidade, ou seja, a sequência em que os sistemas voltam a operar. Nem todos os sistemas precisam dos mesmos RTOse RPOs; alguns serão mais curtos (sistemas críticos) e outros mais longos. 

Com isso em mãos, é possível iniciar a análise técnica para identificar quais arcabouços técnicos serão necessários para criar o plano de recuperação. Em alguns casos, onde os RTOs e RPOs são mais longos, às vezes já é possível utilizar ferramentas já existentes na empresa. Em casos de tempos e perdas de dados mais arrojados, que exigem, por exemplo, replicação de dados em tempo real, ferramentas e infraestruturas adicionais serão inevitavelmente necessárias. 

Vale ressaltar que, para ter resiliência em um ataque cibernético, é importante manter os dados de backup isolados e em condição de imutabilidade. O mesmo se aplica para dados replicados em tempo real, onde o segundo ambiente também deve estar protegido contra ataques. 

Com o plano desenhado, o mais importante é realizar uma programação de testes regulares e simulações para treinar a equipe e garantir que os RTOs e RPOs possam ser atingidos na prática. Não basta ter um plano perfeito escrito se os times técnicos não estão familiarizados com ele. É com base nos testes que são percebidos ajustes necessários, fazendo com que o plano não se torne desatualizado. É ideal também que os testes sejam validados pelos times de negócio, para que, se houver a necessidade de ativar o plano, todos saibam como proceder. 

Em uma das minhas experiências, pude constatar que as simulações mensais trouxeram não só uma melhor percepção das camadas técnicas e o atingimento do RTO combinado com os times de negócio, mas também o dimensionamento adequado da infraestrutura e os custos relacionados. 

Um fator que tem ajudado muito as empresas no desenho técnico do DRP são as soluções oferecidas em nuvem, baseadas em serviços como Backup as a Service (BaaS) e Disaster Recovery as a Service (DRaaS). 

A Importância de um Plano Integrado para a Continuidade dos Negócios 

Os DRPs evoluíram de simples backups em fitas magnéticas para estratégias complexas que integram recuperação de desastres físicos e cibernéticos. Hoje, eles são parte essencial da governança corporativa, garantindo a resiliência dos negócios em um mundo cada vez mais digital e conectado. 

Embora a especialização técnica para tratar ataques cibernéticos seja crucial, esses eventos podem ser vistos como um tipo de indisponibilidade e integrados ao DRP tradicional. Ao tratar o ataque cibernético como uma causa de indisponibilidade, é possível aproveitar o plano existente e adicionar etapas específicas para lidar com esses eventos de forma estruturada. 

The post Do DRP à Resiliência Cibernética: como integrar a Recuperação de Desastres e a Proteção contra Ataques em um Único Plano appeared first on C-Talks Podcast.

O Início: Mainframes e Sistemas Centralizados

Nos anos 1960 e 1970, a Arquitetura de TI era sinônimo de mainframes – computadores centralizados que processavam grandes volumes de dados. Eram sistemas monolíticos, caros e complexos, mas essenciais para empresas que precisavam de poder de processamento. A arquitetura era verticalmente escalável, ou seja, dependia da adição de mais recursos ao mesmo hardware. A IBM, pioneira nesse campo, introduziu em 1964 o System/360, que apresentou pela primeira vez o conceito de família de computadores compatíveis, estabelecendo as bases para o pensamento arquitetural em TI. 

A Revolução dos PCs e a Arquitetura Cliente-Servidor 

Com o surgimento dos PCs (computadores pessoais) na década de 1980, a TI começou a se descentralizar. A arquitetura cliente-servidor ganhou força rapidamente, dividindo as responsabilidades entre servidores (que armazenavam e processavam dados) e clientes (que acessavam esses dados). Esse modelo trouxe maior flexibilidade e redução de custos, mas também desafios, como a complexidade na gestão de redes e a necessidade de integração entre sistemas. 

Foi nesse contexto que a ideia de uma “arquitetura” para os sistemas de TI começou a ser discutida. O objetivo era criar uma estrutura padronizada que permitisse a interoperabilidade entre sistemas, garantindo que as tecnologias estivessem alinhadas aos objetivos estratégicos da empresa. Um marco importante foi a publicação do Zachman Framework em 1987 por John Zachman, que propôs uma abordagem sistemática para modelar a arquitetura empresarial, considerando aspectos como dados, funções, redes e pessoas. 

Outro marco relevante foi o surgimento da arquitetura em três camadas(apresentação, lógica e banco de dados), amplamente adotada nas décadas seguintes. 

A Era da Internet e as Arquiteturas Distribuídas 

A popularização da internet nos anos 1990 e 2000 revolucionou a Arquitetura de TI. Surgiram os sistemas distribuídos, onde aplicações e dados passaram a ser hospedados em múltiplos servidores, muitas vezes geograficamente dispersos. Conceitos como SOA (Service-Oriented Architecture) ganharam destaque, permitindo que sistemas fossem construídos como conjuntos de serviços independentes, facilitando a integração de sistemas heterogêneos e a reutilização de componentes. 

Essa evolução culminou no paradigma atual de microsserviços, que fragmenta aplicações em serviços independentes, facilitando a manutenção, o escalonamento e a entrega contínua. 

A Nuvem e a Arquitetura Moderna 

Hoje, a computação em nuvem redefine a Arquitetura de TI. Modelos como IaaS (Infrastructure as a Service), PaaS (Platform as a Service) e SaaS (Software as a Service) permitem que empresas escalem recursos sob demanda, reduzam custos e adotem abordagens mais ágeis. Além disso, uma série de novos termos e nomenclaturas surgiram, destacando-se: 

• Microserviços: Abordagem que divide uma aplicação em pequenos serviços independentes, cada um responsável por uma funcionalidade específica.

• APIs (Application Programming Interfaces): Facilitam a comunicação entre sistemas heterogêneos, permitindo a troca de dados e funcionalidades de forma padronizada.

• Middleware: Componente que atua como facilitador da integração, comunicação e reutilização de sistemas.

• Containerização (com ferramentas como Docker e Kubernetes): Empacotamento de uma aplicação e todas as suas dependências (bibliotecas, frameworks, configurações, etc.) em uma unidade isolada chamada contêiner, garantindo consistência e portabilidade entre diferentes ambientes.

• Cloud computing:  Aluguel de recursos computacionais (processamento, armazenamento e memória) de provedores de nuvem, como Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) e Oracle Cloud Infrastructure (OCI).

• Edge computing: Processamento de dados o mais próximo possível da fonte de geração, em vez de enviá-los para um data center centralizado ou nuvem. Refere-se à localização física onde os dados são coletados e processados, como dispositivos IoT, gateways, roteadores ou servidores locais.

• DevOps e Arquitetura Ágil: Metodologia que integra as equipes de Desenvolvimento e Operações de TI, com o suporte de um conjunto de ferramentas para a entrega contínua de inovações.

Arquitetura de TI Inadequada versus uma Boa Arquitetura de TI

A ausência de uma boa arquitetura de TI pode resultar em uma série de dificuldades, como sistemas inflexíveis, aumento de custos operacionais, problemas de segurança e baixa capacidade de inovação. Sem uma estrutura bem definida, as equipes de TI enfrentam constantes retrabalhos, interrupções e dificuldades na integração de novas tecnologias. 

Por outro lado, uma arquitetura bem planejada traz inúmeros benefícios: organização e padronização dos sistemas, aumento da produtividade das equipes, redução de custos de manutenção e escalabilidade. Além disso, proporciona uma base sólida para a inovação tecnológica e a transformação digital. Empresas que investem em boas práticas de arquitetura de TI estão mais bem posicionadas para responder às mudanças do mercado e atender às expectativas crescentes dos clientes. 

Conclusão: A Arquitetura de TI como Estratégia de Negócio

Desde os primeiros frameworks até as soluções mais modernas, a Arquitetura de TI tem desempenhado um papel crucial na transformação digital. Deixou de ser apenas um tema técnico para se tornar uma estratégia de negócio e a espinha dorsal da inovação. Organizações que investem na evolução de suas arquiteturas, tornando-as escaláveis e seguras, estão melhor preparadas para enfrentar os desafios do mercado e aproveitar as oportunidades que as novas tecnologias oferecem. Seja no passado, presente ou futuro, uma coisa é certa: a Arquitetura de TI continuará sendo o alicerce para a inovação e o crescimento sustentável, mantendo as empresas competitivas e ágeis em cenários de negócios em constante mudança.

The post Arquitetura de TI: Do Mainframe à Nuvem e Além appeared first on C-Talks Podcast.

Durante muitos anos, os ERPs eram instalados em infraestruturas próprias, e as atualizações de versão não eram obrigatórias. No entanto, com o advento da inovação liderada pelas bigtechs, esse cenário mudou radicalmente. As atualizações frequentes passaram a ser uma realidade, e os clientes foram pressionados a se adaptar. 

Gestão de ERPs: A Base da Eficiência Operacional 

AA gestão de ERPs vai além da simples administração de softwares ou suporte aos usuários. No passado, esses sistemas eram implementados por meio de projetos complexos e caros, prometendo alta produtividade e eliminação de erros operacionais. No entanto, quem já passou por uma implementação sabe que o sucesso depende de um mapeamento detalhado dos processos e ajustes nas atividades operacionais. 

Uma vez superada a fase de implementação, iniciava-se o desafio do suporte aos usuários e da garantia de disponibilidade e performance do sistema. No entanto, muitas necessidades de negócio não eram atendidas pelas funcionalidades nativas, levando à customização do sistema. Essas customizações, embora necessárias, aumentaram a complexidade da gestão diária dos ERPs. 

ERPs: Funcionalidades Nativas versus Customizações 

Por anos, as empresas de ERP não impuseram barreiras às customizações, o que levou ao surgimento de consultorias especializadas nesse tipo de desenvolvimento. No entanto, com a migração para a nuvem e o modelo SaaS (Software as a Service), as bigtechs começaram a reduzir os períodos de garantia das versões, pressionando os clientes a realizarem atualizações frequentes. 

Hoje, muitas bigtechs lançam até três versões por ano de seus ERPs, incentivando os clientes a não permanecerem em versões antigas. Esse cenário trouxe um novo desafio: como gerenciar o legado de customizações em um ambiente de atualizações tão acelerado? 

O Equilíbrio entre Customizações e Atualizações 

O sucesso nesse novo cenário depende do equilíbrio. Embora seja impossível ter um ERP sem customizações, o excesso pode comprometer a eficiência da área de TI, que acaba dedicando tempo apenas à correção de erros pós-atualização. Para evitar isso, é crucial: 

1. Mapear as customizações e sua relação com os processos de negócio.

2. Classificar o nível de criticidade e impacto de cada customização.

3. Definir testes robustos em ambientes de homologação antes de aplicar as atualizações.

4. Avaliar funcionalidades nativas que possam substituir customizações existentes.

5. Participar de fóruns e grupos com fornecedores de ERP para influenciar o desenvolvimento de novas funcionalidades.

Conclusão: Transformando Desafios em Oportunidades

A gestão de ERPs no cenário atual exige uma abordagem estratégica e proativa. Ao equilibrar customizações e atualizações, as empresas podem reduzir custos de longo prazo, aumentar a eficiência operacional e impulsionar a inovação. Como líderes de TI, nosso papel é garantir que os ERPs continuem sendo ferramentas de transformação digital, e não fontes de dor de cabeça. 

E você, como está lidando com as atualizações frequentes de ERPs na sua empresa? Compartilhe suas experiências nos comentários e vamos trocar ideias sobre como superar esses desafios juntos!

The post Gestão de Sistemas e a Transformação Digital: ERPs de Mercado e Atualização Tecnológica appeared first on C-Talks Podcast.

Neste artigo, trago um olhar sobre a gestão da operação de TI, que vai muito além do suporte técnico — como muitos imaginam. A operação de TI é, na verdade, o coração da execução operacional da empresa, garantindo que os processos críticos funcionem de maneira eficiente e contínua. 

Hoje, muitos processos organizacionais — como integração com clientes, aplicativos, e-commerce, financeiro, faturamento, estoque e produção — foram totalmente digitalizados. Portanto, a eficiência desses processos depende diretamente da disponibilidade tanto da infraestrutura quanto dos sistemas. 

A seguir, apresento os pilares que um líder de tecnologia deve observar com atenção para identificar melhorias e mitigar riscos: 

1. Infraestrutura & Telecom 

Esta é uma das áreas mais técnicas da TI, envolvendo diversas especialidades que, juntas, garantem a disponibilidade e a resiliência dos serviços. 

• Um diagnóstico preciso dos ambientes de Data Center e Cloud permite definir estratégias eficazes para recuperação em caso de falhas. É essencial estabelecer tempos de recuperação (RTO) para cada ativo, em conjunto com as áreas de negócio, alinhando investimentos às prioridades e possíveis regulamentações específicas.

• O monitoramento constante dos links de comunicação (dados, voz e mobilidade) é igualmente crítico.

• Dada a quantidade de contratos e aquisições de ativos (hardware e software), a disciplina financeira é indispensável para manter o orçamento de TI saudável e sustentável.

2. Governança de TI: Gerenciar com Eficiência 

A governança de TI assegura que os recursos tecnológicos estejam alinhados aos objetivos estratégicos da organização. Frameworks como COBIT e ITIL são excelentes referências para padronizar processos, mitigar riscos e gerar valor. 

• Encontrar o equilíbrio ideal no nível de controles é crucial. Controles excessivos podem engessar processos, enquanto controles ineficientes ou inexistentes aumentam os riscos operacionais.

• Indicadores de desempenho devem ser publicados e compartilhados com os times de negócio e com a própria TI. Isso traz clareza e transparência sobre a maturidade dos processos e destaca áreas que demandam maior atenção.

3. Segurança da Informação: Proteção em Tempos de Ciberataques 

Em um cenário de ciberameaças constantes, é imprescindível contar com uma estratégia robusta de segurança da informação para proteger a operação da TI. 

• Processos como gestão de acessos, análise de tentativas de invasão e atualização de patches são fundamentais para manter a infraestrutura segura e disponível.

• É crucial ter um plano de resposta a incidentes, testado periodicamente, para garantir resiliência em caso de ataques cibernéticos.

• O investimento em cibersegurança deve ser uma prioridade permanente na pauta estratégica da empresa.

4. Atualização Tecnológica 

Manter o parque tecnológico atualizado — com novas versões de sistemas operacionais, bancos de dados e aplicações — é essencial para garantir performance, segurança e compatibilidade. 

• As migrações devem ser planejadas com cuidado, pois são momentos críticos, comparáveis a um pitstop em uma corrida de Fórmula 1: os usuários precisam voltar à “corrida” o mais rápido possível, com impacto mínimo nos seus tempos de execução.

• Com o ritmo das inovações cada vez mais acelerado, é imprescindível manter um inventário tecnológico atualizado e construir um calendário anual de atualizações. Cada atualização deve ser tratada como um projeto dentro do Portfólio de TI.

5. Habilidades e Liderança 

O perfil dos líderes de TI está em constante evolução. Hoje, é essencial combinar habilidades técnicas com competências de liderança e uma visão estratégica de negócios. 

• A capacidade de comunicação eficaz com os usuários, fornecedores, fabricantes de tecnologia e BigTechs torna a TI mais ativa e participativa no negócio.

• Formar um time capacitado, que atenda às demandas de disponibilidade e suporte, é um fator-chave para o sucesso da operação.

Conclusão 

Parte significativa do tempo de um gestor de TI deve ser direcionada para assegurar o nível de serviço, garantir disponibilidade e manter o suporte contínuo ao negócio. A construção de um time competente e engajado, alinhado com esses objetivos, é um diferencial importante. 

E você, como está a TI na sua organização? Compartilhe suas experiências, desafios e insights nos comentários! Seja você usuário ou parte da TI.

The post TI Bimodal: O Lado de Operações da TI appeared first on C-Talks Podcast.

Além disso, regulamentações como a LGPD (Lei Geral de Proteção de Dados) e a GDPR (General Data Protection Regulation) na União Europeia exigem maior rigor na proteção de dados pessoais, com penalidades severas para violações e vazamentos constatados. 

Mas como se preparar para enfrentar esse cenário? O melhor é entender que isso pode acontecer e estruturar um programa robusto. Assim como antigamente se investia em segurança patrimonial para guardar bens, estoques e materiais, agora, na era da informação, há também a necessidade de fazer o mesmo no mundo digital. 

Alguns dos ataques noticiados em 2024 

O número de ataques tem crescido ano após ano, e com perspectivas de continuar a crescer futuramente. O FMI em publicação em abril de 2024 relatou que em duas décadas as perdas foram de aproximadamente de US$12 bi ao setor financeiros (Ataques cibernéticos geram perdas de US$ 12 bi ao setor financeiro em duas décadas, diz FMI | Exame), sendo um quinto do total de ataques globais. Aqui no Brasil trago alguns que foram amplamente noticiados: 

1. Ataque ao Sistema Siafi (abril de 2024): O Sistema Integrado de Administração Financeira do Governo Federal (Siafi) foi alvo de uma invasão que resultou no desvio de aproximadamente R$ 15 milhões. Os atacantes utilizaram técnicas de phishing e certificados digitais fraudulentos para acessar contas e autorizar pagamentos indevidos.

2. Vazamento de dados da Netshoes (julho de 2024): A plataforma de comércio eletrônico Netshoes sofreu um incidente que expôs dados de cerca de 38 milhões de usuários, incluindo informações como CPF, endereços e históricos de compra. Esses dados foram divulgados em fóruns de cibercriminosos, levantando preocupações sobre a conformidade com a Lei Geral de Proteção de Dados (LGPD).

3. Ransomware na Braspress (julho de 2024): A transportadora Braspress foi vítima de um ataque de ransomware que criptografou 280 servidores. A empresa recusou-se a pagar o resgate e conseguiu restaurar 100 TB de backups rapidamente, evidenciando a importância de planos de recuperação bem estruturados.

4. Ataque ao Instituto Nacional do Câncer (janeiro de 2024): O Instituto Nacional do Câncer (Inca) enfrentou um ataque que comprometeu seus sistemas, obrigando a suspensão de sessões de tratamento por três dias. O incidente destacou a vulnerabilidade de instituições de saúde a ataques cibernético.

Neste exato momento que você lê esse artigo, muitos ataques estão acontecendo e alguns tendo sucesso. Para impedir que incidentes ocorram há uma necessidade urgente de as organizações brasileiras fortalecerem suas defesas cibernéticas e adotarem medidas proativas para proteger seus sistemas e dados sensíveis. 

O que fazer então? 

O primeiro grande passo é estruturar um time com profissionais dedicados para o tema. Um dos principais objetivos é que esse time entenda o negócio da empresa e possa avaliar os melhores mecanismos de segurança e defesa para o negócio através de uma avaliação de segurança. Algumas normas e melhores práticas podem também contribuir como o NIST ou a ISO27001. 

E quando se trata de tecnologias, algumas são imprescindíveis para iniciar a jornada de proteção: 

• Zero Trust: Um modelo que elimina a confiança implícita, exigindo autenticação e validações contínuas para todos os acessos e movimentações de dados nos sistemas da empresa;

• Firewall de próxima geração (NGFW): Integra recursos avançados, como inspeção profunda de pacotes e inteligência artificial, para identificar e bloquear ameaças em tempo real;

• MFA (Autenticação Multifator): Uma solução simples e eficaz que reduz drasticamente o risco de acessos não autorizados. Em 2024, 78% das violações de contas poderiam ter sido evitadas com o uso de MFA, segundo relatório da Microsoft;

• Data Loss Prevention (DLP): Ferramentas que monitoram e controlam o compartilhamento de informações sensíveis, prevenindo vazamentos acidentais ou maliciosos.

Dicas para aumentar a segurança da sua empresa: 

1. Treinamento contínuo: Realize treinamentos regulares para educar os colaboradores, clientes e terceiros sobre as melhores práticas de segurança, como identificar e-mails de phishing e usar senhas seguras.

2. Criptografia robusta: Implemente criptografia de dados tanto em repouso quanto em trânsito para garantir que informações confidenciais permaneçam protegidas mesmo em caso de vazamento.

3. Monitoramento constante: Utilize soluções de SIEM (Security Information andEvent Management) para monitorar o ambiente e detectar ameaças em tempo real, permitindo respostas rápidas e eficazes.

4. Plano de resposta a incidentes: Desenvolva e teste um plano detalhado para lidar com ataques cibernéticos, garantindo que sua equipe saiba exatamente como agir para minimizar os impactos.

5. Auditorias regulares: Realize avaliações de vulnerabilidade e testes de penetração para identificar e corrigir brechas de segurança antes que sejam exploradas.

Conclusão 

A segurança da informação é um investimento estratégico e contínuo. Proteger dados não é apenas uma responsabilidade legal, mas também um diferencial competitivo em um mercado cada vez mais digital. Empresas que priorizam a segurança constroem relações de confiança com clientes e parceiros, posicionando-se como líderes em seu setor. 

The post Segurança da Informação & Defesa Cibernética: o cenário de risco que mais preocupa líderes de TI e de negócio appeared first on C-Talks Podcast.

 Para estruturar e medir a governança de TI, há vários frameworks que podem ser utilizados como apoio. O COBIT (Control Objectives for Information and RelatedTechnologies), publicado pelo ISACA, e ITIL (Information Technology InfrastructureLibrary), publicado pelo PeopleCert, são amplamente utilizados e conhecidos, e se complementam. Em linhas gerais: 

• COBIT:  Distribuído em quatro grandes domínios, oferece um conjunto de boas práticas para alinhar TI aos objetivos de negócios, com métricas claras de desempenho e fluxos de trabalho entre as diversas disciplinas de tecnologia. Isso facilita a identificação de gargalos e a priorização de áreas críticas. 

• ITIL:  Foca na qualidade e entrega dos serviços de TI, com diretrizes voltadas à gestão eficaz dos processos. O ponto forte do ITIL é a atenção dada em incidentes, problemas e disponibilidade, garantindo que os serviços atendam às expectativas dos usuários. 

 Exemplos Práticos de Governança de TI:

• Gestão de Incidentes e Problemas:  Garantir que a infraestrutura de TI esteja configurada e gerenciada para atender às demandas de disponibilidade do negócio. Além disso, prevenir interrupções, identificar pontos de falha e planejar a capacidade de forma proativa.

• Gestão de Disponibilidade:  Monitorar a disponibilidade do ambiente de TI com KPIs (Key Performance Indicators), acionando planos de continuidade de negócio em casos graves de indisponibilidade. 

• Gestão de Riscos e Conformidade Regulatória:  Avaliar e mitigar riscos associados à TI, bem como garantir aderência a normas como LGPD, GDPR e SOX (essencial para empresas de capital aberto nos EUA).

 Como Fortalecer a Governança de TI

1⃣ Alinhe Objetivos:  Estabeleça metas claras e compartilhe-as entre equipes técnicas e executivas para garantir sinergia. 

2⃣ Audite Processos:  Realize auditorias periódicas para identificar falhas e promover melhorias contínuas. 

3⃣ Automatize e Monitore:  Invista em ferramentas de automação e monitoramento para aumentar a eficiência e minimizar falhas humanas. 

 Uma governança sólida transforma a TI em uma alavanca estratégica, permitindo que as organizações cresçam com eficiência e segurança. 

The post Governança de TI: Alinhando Tecnologia aos Objetivos Estratégicos appeared first on C-Talks Podcast.

Com isso, a TI passou a ser demandada além da Gestão de Operações de TI, responsável por manter sistemas e ambientes funcionando (como abordei na última newsletter), para se tornar um pilar estratégico indispensável nas organizações. Impulsionada pelos recentes avanços tecnológicos e pela crescente demanda por soluções que conectam eficiência operacional à estratégia empresarial a TI passou a ter uma cadeira relevante no Comitê Executivo, além de participar de Comitês que assessoram o Conselho de Administração.

Diante desse cenário, novas competências, novos processos e métodos são necessários na TI para que soluções inovadoras possam ser projetadas, construídas e implementadas com sucesso para o negócio.

Cito exemplos práticos que estamos vendo no posicionamento de algumas empresas:

1. E-commerce e personalização: Empresas como Amazon e Mercado Livre utilizam inteligência artificial para analisar os hábitos de compra dos consumidores. Com isso, conseguem oferecer recomendações personalizadas que aumentam o engajamento e maximizam as vendas.
2. Indústria 4.0: Fabricantes integram sensores IoT (Internet das Coisas) para monitorar equipamentos em tempo real. Essa tecnologia permite prever falhas, reduzir custos de manutenção e otimizar processos produtivos. Empresas como a Siemens Energy e a GE lideram essa transformação. A Siemens utiliza soluções como o MindSphere, uma plataforma de IoT que conecta máquinas e analisa dados para maximizar a eficiência. Já a GE implementa o Predix, um sistema que monitora e analisa dados de equipamentos industriais, ajudando a prever falhas e melhorar a performance operacional.
3. Setor financeiro: Instituições bancárias adotam blockchain para garantir maior segurança e transparência em transações financeiras, além de simplificar operações como contratos inteligentes e transferências internacionais. Um exemplo é o J.P. Morgan, que utiliza sua plataforma baseada em blockchain, a Quorum, para facilitar transações seguras entre empresas. O Santander também lidera iniciativas com o uso de blockchain em pagamentos internacionais por meio da solução RippleNet, que reduz custos e acelera o tempo de processamento das transferências.

Mas o que todos esses exemplos tem em comum? O redesenho de processos e a capacitação das pessoas de negócio que não só utilizarão as soluções desenvolvidas, mas também irão melhorá-las ou substituí-las futuramente por novas soluções ou inovações.

As soluções para se manterem relevantes necessariamente precisam continuar evoluindo, e então vem a necessidade de gerenciarmos as soluções tecnológicas como produtos, entendendo seu ciclo de vida e avaliando dois diferentes aspectos:

Um para o tecnológico para decidir por quanto tempo mais investir na tecnologia que a solução foi desenvolvida. Aqui me refiro a todas as tecnologias, desde linguagens, banco de dados, fronts, interfaces, clouds, etc.

Outro para o negócio para entender se o produto ainda mantém seu propósito original sendo atendido e entregando valor esperado.

Se eu puder dar algumas dicas práticas para iniciar essa jornada, seriam:

1. Invista na capacitação das equipes: Treine os colaboradores para que compreendam e dominem as novas tecnologias e métodos, e aqui não só membros da TI como do negócio também. Isso garante não apenas a implementação será eficaz, mas também a inovação será contínua.
2. Mensure os resultados: Avalie o impacto das soluções de TI nos resultados do negócio. Use métricas claras para identificar o retorno sobre o investimento (ROI) e ajustar estratégias conforme necessário. Os custos de TI precisam ser avaliados versus os resultados que estão trazendo para o negócio.
3. Cultive uma cultura de inovação: Promova um ambiente onde tecnologia e estratégia estejam alinhadas. Incentive a troca de ideias entre diferentes áreas e estimule a criatividade como parte do DNA organizacional.

Ao reconhecer e adotar o papel estratégico da TI, as organizações não apenas permanecem competitivas, mas também lideram a transformação em seus respectivos setores.

The post A Evolução da TI: De Operações à Inovação Estratégica appeared first on C-Talks Podcast.