E você já achou os culpados ?

Quem já pode vivenciar uma indisponibilidade em um ambiente de infraestrutura de uma empresa, com certeza já vivenciou também e, em paralelo o fato da “busca pelos culpados”, isso, antes mesmo do problema ser solucionado.

É fato que essa não é uma situação normal, mas é sim corriqueira para a grande maioria das empresas onde a falta de investimentos proporciona não só a indisponibilidade, mas as consequências que ela pode ocasionar, tais como: desgastes internos, perdas financeiras, imagem negativa que a empresa irá passar para o mercado, falta de credibilidade dos clientes, falta de credibilidade dos possíveis investidores e incertezas.

Estas indisponibilidades por vezes, podem ser causadas por uma infraestrutura ineficiente, consequência de falta de atualização tecnológica e postergação de investimentos, mas muitas das vezes também podem ser ocasionadas pelas vulnerabilidades não identificadas e que muitas das vezes permitem que ambientes computacionais sejam "invadidos" , da formas mais simples, sem que isso seja notado, simples aqui mencionado como o despreparo dos usuários destes ambientes em abrir arquivos desconhecidos recebidos de pessoas desconhecidas , trazendo para o seu ambiente através dos malwares (códigos maliciosos), que se alojam no seu ambiente para interceptação de mensagens, roubo de informações valiosas e até interrupções de serviços. Esse é apenas um pequeno exemplo da falta de investimento por exemplo de um programa de conscientização dos usuários, uma falta de uma Política de Segurança ou mesmo um Código de Conduta.

Avaliando alguns relatórios de ameaças que o mercado disponibiliza, nos deparamos com informações ali contidos apontando que, os mesmos problemas identificados há 5 anos atrás ainda não foram corrigidos pelas empresas usuárias, algumas ações simples, como por exemplo de vulnerabilidades que podem ser minimizadas com a simples atualização de segurança que os próprios fabricantes disponibilizam, mas que por regra não são atualizados, ou por falta de conhecimento, falta de mão de obra especializada , ou puro descaso.

Concordo que estas atualizações caso não sejam testadas em um ambiente antecedente ao de produção, podem também causar problemas desconhecidos pois até os próprios fabricantes erram em suas atualizações e correções.

Os relatórios apontam ainda novas ameaças que iremos explorar e comentar em outros posts.

Apenas no que mencionamos nos comentários, como atualizações, vulnerabilidades, ameaças, investimentos e mudanças, poderiam ter soluções, caso a empresa já tivesse adotado controles que pudessem identificar e mitigar os riscos e impactos para minimizar as indisponibilidades.

A adoção de controles nos remetem a citar a Governança Corporativa e Governança de TI como pontos chaves para identificarmos, priorizarmos e planejarmos ações que reduzam tais riscos e essa é a chave para que não se cassem os culpados nos momentos de crise, seja com ou sem investimentos!