Vinte desastres de TI que você pode evitar - parte 1

Muitas coisas mudaram no mundo da TI nos últimos anos, mas uma continua a mesma: a capacidade de TI de ser vítima de práticas equivocadas, graças à complexidade das responsabilidades envolvidas. Assim, no espírito de “é melhor prevenir do que remediar”, consultamos os melhores e mais brilhantes profissionais para descobrir 20 erros de TI que são receitas infalíveis para estouro de orçamento, perda de prazo e, em alguns casos, até perda de emprego. Os nomes foram trocados para proteger os culpados, mas as lições aprendidas são evidentes.

1. Exagerar nas políticas para senhas
Uma política para senhas clara e bem aplicada é essencial para qualquer rede. De que adianta um firewall se o atacante só precisa digitar “senha” para entrar? Mas o excesso de rigidez é uma faca de dois gumes. Quando as exigências de senha são excessivamente complexas ou os usuários são obrigados a mudar as senhas com muita freqüência, as políticas podem ter efeito oposto ao desejado. Se os usuários precisam fazer muito esforço para recordar as senhas, acabam anotando-as em papéis que ficam em gavetas ou em adesivos colados no teclado dos laptops. Não sabote o objetivo fundamental das suas políticas para senhas insistindo em requisitos irreais. Além disso, senha é coisa de 2004. Se você quiser controle de acesso rigoroso, que tal a autenticação multifatorial?

2. Administrar mal o data center
Os administradores de sistemas não são conhecidos exatamente pela ordem, mas, no data center, ordem é essencial. Cabeamento tortuoso, racks identificados incorretamente e equipamento descartado podem causar grandes problemas. Provisionamento descuidado leva um administrador a reconfigurar o servidor errado ou reformatar o volume errado. Por isso, mantenha tudo organizado (e sempre verifique duas vezes seus logins).
Para uma boa organização dos sistemas, também é importante remover os servidores de produção das mesas dos engenheiros e do submundo do porão. Gerenciar estes ativos é tarefa de TI, que deve fazer o que lhe cabe com diligência e prazer. Certifique-se de que seu CFO entende a importância de manter um data center grande e suficientemente bem-equipado para crescer com o negócio sem se transformar em uma selva.

3. Perder o controle sobre ativos de TI
A gerência-sênior faz um pedido: "A equipe de marketing precisa realizar consultas no banco de dados de produção". É algo relativamente simples, então você reclama um pouco, mas faz e segue em frente. Não muito tempo depois, constata que consultas mal formuladas estão derrubando o servidor antes da reunião de marketing que acontece sempre às terças-feiras. Sua próxima tarefa? Resolver o problema de desempenho.
Caronas que dão muito palpite são um perigo. Entregar as chaves a alguém que não sabe dirigir pode ser fatal. A experiência e o julgamento da gerência desempenham um papel crucial em todas as decisões relacionadas a ativos de TI. Não abdique desta responsabilidade só porque quer evitar o confronto. Uma má idéia é uma má idéia, mesmo que os gerentes de negócio não se dêem conta.

4. Tratar o legado como se fosse um palavrão
Os tecnólogos jovens e ansiosos talvez odeiem a idéia de que processos de missão crítica ainda estão sendo executados em sistemas da idade dos seus avós. Entretanto, em geral, existe uma boa razão para TI valorizar mais a idade do que a beleza. Captura de tela não é tão excitante quanto SOA, mas um sistema mais antigo e confiável é menos arriscado do que um novo em folha com desempenho desconhecido.
Modernizar sistemas legados também pode sair caro. De acordo com um estudo da IDC, o custo anual de manutenção para novos projetos de software normalmente alcança a casa dos milhões de dólares. Nestes tempos de budgets de TI apertados, não se apresse muito para que seus “dinossauros” se tornem uma espécie em extinção antes do tempo.

5. Ignorar o elemento humano na segurança
Os administradores de rede de hoje têm acesso a um leque surpreendente de ferramentas de segurança. Mas, como Kevin Mitnick gosta de dizer, o elo mais fraco em qualquer rede é o ser humano. Por mais fortificada que seja a rede, ela continua vulnerável se os usuários podem ser levados a minar sua segurança — por exemplo, informando senhas ou outros dados confidenciais por telefone. Por isso, a formação do usuário deve ser a base da política de segurança do site. Conscientize os usuários em relação a potenciais ataques de engenharia social, ao risco envolvido e como reagir. Incentive-os a relatar violações suspeitas imediatamente. Nesta era de phishing e roubo de identidade, a segurança é responsabilidade de todos os funcionários.