Dicas infalíveis para criar uma Lan House Corporativa, acessível a todos os seus usuários, oferecendo o que há de melhor para o “sucesso” do seu negócio.
Todos conhecem uma Lan House e o seu conceito de funcionamento. Lan House é um espaço comercial que normalmente disponibiliza aos seus clientes uma série de serviços por meio de recursos tecnológicos, como acesso à Internet por banda larga, pacotes de softwares para edição de arquivos de texto, planilhas, apresentações ou fotos, mais serviços de impressão, digitalização, cópia de arquivos, seleção de jogos, entre outros entretenimentos.
Estes serviços são cobrados, sendo que em sua maioria por tempo de uso. Até aqui nenhuma novidade, certo? Agora imagine um lugar onde tudo isso possa estar a seu inteiro dispor, 8 horas por dia, com a melhor infraestrutura, incluindo além de um computador exclusivo, transporte, café, almoço e o que é mais interessante: Além de não pagar nada por isso, você ainda recebe mensalmente um salário sem qualquer desconto pelo uso destes serviços. É melhor do que se fosse de graça. Sensacional!!!
Sarcasmo? Pode parecer a princípio, mas essa é na verdade a realidade de muitas empresas em nosso país, especialmente no universo das pequenas e médias empresas (PMEs), onde mal há direcionamento adequado para investimentos em infraestrutura em tecnologia, quanto menos para gestão e segurança da informação. E esta falta de maturidade, muitas vezes originadas por parte do corpo diretivo da organização, mas também algumas vezes vindo diretamente dos próprios gestores de TI, acaba por transformar a empresa em uma Lan House Corporativa. E pior, uma Lan House remunerada para os usuários!
Com a expansão dos serviços oferecidos pelo advento da Internet a todos os setores de nossa sociedade, seja em uma empresa, em uma instituição de ensino ou mesmo em nossa casa, podemos tudo através dessa incrível rede mundial. Trabalhar, estudar, comprar, nos relacionar e por que não, nos divertir e muito. Mas como somos ensinados desde pequenos, pra tudo há sua hora e seu lugar também, e talvez o que muitas pessoas têm dificuldade é distinguir quando é a hora e o lugar para “brincar”.
Inúmeras pesquisas indicam que um funcionário chega a passar até 2 horas/dia do seu expediente de trabalho realizando tarefas particulares. Só com o uso improdutivo da Internet se gasta cerca de 1,7 hora/dia, sendo que o restante é gasto com telefonemas e saídas para fumar um cigarro ou tomar um cafezinho. Fazendo um cálculo bem simples, este funcionário passa em média 8 horas por semana tratando de assuntos pessoais utilizando a Internet. Na visão de um empresário, é melhor deixar este funcionário em casa 1 dia por semana, pois assim a empresa poderia economizar com transporte e alimentação.
Parece bobagem, mas quando o empresário começa a passar para o papel estes números, o resultado é alarmante. A BRConnection, empresa especializada em soluções para gestão e monitoramento de Internet disponibilizou uma calculadora em uma página com o seguinte título: “QUANTO CUSTA O MAU USO DA INTERNET EM SUA EMPRESA?” . Nela obtemos um cálculo com valores que passam despercebidos quando não fazemos um bom uso dos recursos em nossa empresa. Depois que você inserir algumas informações, perceberá o tamanho do prejuízo.
Como mencionei logo no início, boa parte destas empresas não têm a cultura de fazer TI parte integrante do negócio, ela é quase sempre vista como uma área que só apresenta custos operacionais e não soluções estratégicas. Quando a direção tem essa visão, ela acaba transferindo essa imagem a toda organização, deixando a TI em uma situação delicada. E é ai que começa a surgir na prática uma Lan House Corporativa.
Trabalhando na implantação de sistemas de monitoramento de Internet e na criação de políticas de acesso e de segurança da informação, tenho me acostumado a ver os departamentos de TI passarem por dois distintos momentos. O primeiro momento da implantação é marcado por uma certa desconfiança por parte dos usuários que rapidamente se transforma em um tipo de ódio velado contra os colaboradores responsáveis pelo suporte de TI e às vezes até contra nós mesmos, quando fazemos parte do projeto. O segundo momento só ocorre em organizações que investem em TI, não somente com Ferramentas, mas também em Processos e principalmente Pessoas. Neste segundo momento vemos TI ganhar respaldo não a base da força, mas no apoio dos demais departamentos quando estes entendem as razões para tal controle no acesso aos recursos da empresa, em especial a Internet.
Normalmente eu me deparo com a primeira situação devido o fato de como a política de controle de acesso à Internet é implantada, que é a base do 8 ou 80, ou seja, ou bloqueia-se tudo ou permite-se tudo. Isso ocorre pela falta de planejamento em definir claramente quais são as regras do jogo, ou melhor, do negócio. E quem define as regras, o departamento de TI?
A resposta é não! O departamento de TI é um setor estratégico para a organização, mas não o único setor responsável pela criação da política de acesso. Quando o departamento de TI opta por bloquear quase tudo achando que está fazendo algo positivo pela empresa, acaba sendo visto como um inimigo pelos demais departamentos, pois devido essa limitação de visão do negócio como um todo, sem perceber impede o desenvolvimento e a evolução dos processos do negócio e ainda cria um ambiente de insatisfação geral, que acaba afetando a produtividade de toda a equipe de colaboradores.
Por outro lado também nos deparamos com aquelas empresas com um ambiente de trabalho agradável, onde não há regras limitando os colaboradores, pois tudo é baseado na confiança e nas metas que cada um deve atingir. Aqui pode ser um excelente cenário para propagação de malwares, degradação da rede, vazamento de informações e ainda uma boa parcela de improdutividade. Um excelente case para um modelo de Lan House Corporativa.
Com a explosão da Web 2.0, hoje temos a disposição inúmeras ferramentas e serviços que podem tanto colaborar como interferir diretamente nas atividades da organização. O uso de redes sociais relacionadas ao negócio é um requisito hoje em dia, porém cabe avaliar se todos devem ter este acesso disponível dentro da organização. O uso de serviços como Facebook, Google+, Twitter e Linkedin, pode ser fundamental para departamentos de Marketing, Recursos Humanos e Atendimento ao Cliente, porém pode não trazer os mesmos benefícios se disponível em um departamento Financeiro, Fiscal ou ainda setores como Produção, Portaria e Vigilância. Assim também com serviços multimídia como Youtube, Skype, MSN entre tantos outros podem ser interessantes para a área Comercial ou um departamento voltado a Treinamentos, mas se disponíveis a todos os usuários sem controles que restrinjam horários de acesso e banda de consumo, podem degradar a performance da rede destinada ao uso de sistemas corporativos, sem falar nos demais riscos já citados.
Diante dessa quantidade de variáveis, é óbvio que o departamento de TI não tem condições de avaliar sozinho o que é melhor para a organização. Muito menos o corpo diretivo, que em algumas empresas têm por hábito empurrar as regras ao estilo “up-down”, sem realizar qualquer consulta, nem mesmo ao departamento de TI.
Às vezes nos deparamos com situações que deixam claro que TI só está preocupada com a Ferramenta que será utilizada para controlar os acessos, porém esquece de que sem um Processo bem definido e sem Pessoas treinadas e conscientizadas, não haverá tecnologia que traga algum benefício para a organização. Não adianta adquirir o melhor filtro de conteúdo de internet do mercado se não houver regras de acesso e bloqueios bem definidos, escritos e divulgados a todos na organização, ou ainda o melhor firewall se eu não tiver um processo escrito de toda sua operação e manutenção. Não adianta ter a melhor infraestrutura de TI se não houver pessoas treinadas para fazer o uso correto do recurso tecnológico, como também conscientizadas sobre as razões que levaram a empresa a definir quais sites são permitidos e quais são proibidos, por que não posso ouvir rádio online enquanto trabalho, por que fulano pode acessar o Facebook e o Twitter e eu não posso ou ainda por que eu não posso conectar o meu pen-drive e um simples estagiário do departamento de TI pode?
Nós que trabalhamos fornecendo soluções para gestão e segurança da informação devemos alinhar o discurso aos nossos clientes de que não importa a marca do firewall, o fabricante de antivírus ou a solução de monitoramento de rede sem o apoio de procedimentos de operação bem escritos e analistas técnicos capacitados a administrar a ferramenta. Também não devemos nos esquecer dos usuários, pois estes são a razão de todo este investimento.
E como fazemos isso? Ouvindo todas as partes através da formação de um comitê, onde setores estratégico da organização sejam representados pelo seus gestores de forma que nenhum controle interfira nas atividades de seu departamento e que nenhuma decisão seja tomada de forma unilateral. Todos devem ser corresponsáveis pelas regras criadas, cabendo a TI somente a tarefa adicional de aplicá-las com os devidos recursos tecnológicos.
É óbvio que isso não é uma tarefa fácil e muito menos rápida de ser aplicada, porém se continuarmos ignorando a tríade Ferramentas, Processos e Pessoas, podemos esquecer a possibilidade de um dia ver TI como um departamento modelo a ser seguidos pelos demais em uma PME.
Roberto Henrique é Analista de Segurança da Informação na ABCTec, com 14 anos de experiência na área de TI (Suporte, Gestão, Consultoria), especializado em análise de vulnerabilidades e no tratamento de incidentes de segurança da informação. Formado em Análise e Desenv. de Sistemas, possui as certificações ISFS® ISO/IEC 27002 Certified, D-Link DBC, F-Secure Certified Sales Professional – FCSP, Microsoft MCP/MCDST. Membro do Comitê Técnico ABNT/CB21:CE27 sobre Segurança da Informação e membro do Núcleo de TI do CIESP – São Bernardo do Campo.
Contato: roberto@abctec.com.br Site: www.abctec.com.br