Artigos

Quando a emenda fica pior que o soneto.

TI e as mudançasQuem um dia colocou em produção uma atualização de sistema e teve que voltar, com urgência, para a versão anterior? Essa situação, velha conhecida de quem trabalha ou já trabalhou com desenvolvimento de sistemas, ganha cada vez mais destaque devido à notória dependência dos negócios de recursos informatizados cada vez mais disponíveis.

Estudos indicam que um percentual significativo dos problemas que ameaçam a disponibilidade, a integridade e a aderência regulatória nos serviços críticos têm sua origem na execução inadequada e pouco planejada de mudanças. Resumindo: a TI vai de herói a vilã em alguns cliques.

O processo de Gestão de Mudanças têm impactos em virtualmente todos os recursos da TI, sejam eles humanos, infra-estrutura, informações ou aplicações. Da mesma forma, aspectos de eficiência, eficácia, integridade, disponibilidade e confiabilidade das informações (este último de forma secundária) podem ser afetados negativamente caso um processo formal e bem controlado não esteja implementado.

Na verdade se o processo de Gestão de Mudanças não está estruturado e constantemente aprimorado (no melhor entendimento do modelo PDCA[*]), provavelmente o departamento de TI entrará em um ciclo vicioso onde parte dos incidentes de segurança serão causados por ações oriundas da própria TI, e mesmo as ações corretivas podem ser a origem de novos incidentes.

A excelência na prestação e manutenção dos níveis de serviço conflita com a necessidade de constante alinhamento para atender a demanda da evolução do cenário de negócios, implementando novas soluções, aumentando a capacidade e criando novos controles. Conseqüentemente o volume e demanda por mudanças cresce na mesma proporção.

Assim, o processo de Gestão de Mudanças não deve ser uma cruzada individual da TI. O envolvimento e o apoio da área de negócio são vitais para o sucesso dessa empreitada. Logo, ao invés de voltar sua atenção à gestão de incidentes (apagando incêndios) a TI direciona seus esforços para a prevenção da ocorrência de incidentes.

A Gestão de Mudanças segundo o COBIT®

Segundo o modelo de boas práticas e controles da ISACA®, os controles sobre o processo da TI de Gerir Mudanças visam, de forma direta, a geração de soluções que reduzam defeitos e retrabalho, requisitos alinhados as estratégias de negócio de qualquer companhia. Para isso é preciso focar nos controles relacionados a avaliações de impacto, na autorização e implementação de todas as mudanças à infra-estrutura da TI e na implementação de soluções técnicas. Estas ações minimizam erros originados de requisições de mudança incompletas ou podem chegar a suspender uma implementação de mudanças não autorizadas.

A princípio todas as mudanças, previstas ou não, seriam contempladas em um processo de Gestão de Mudanças. Contudo, na maioria das vezes é impraticável tratar todas as mudanças dessa forma. Sinteticamente, podemos dizer que as principais atividades que envolvem a Gestão de Mudanças são:

Gestão de Mudanças

  • Monitoração e direcionamento do processo de mudança.
  • Registro, avaliação e aceite ou rejeição das Requisições de Mudança (Request for Change ou simplesmente RFCs) recebidas.
  • Classificação e priorização das mudanças junto aos Comitês de Negócio competentes para aprovação das RFCs.
  • Coordenação do desenvolvimento e implementação da mudança.
  • Avaliação dos resultados da mudança e encerramento do processo de mudança em caso de sucesso.


O processo em si de Gestão de Mudanças é subdividido em cinco atividades, a saber:

  1. Padrões e Procedimentos de Mudança formais para gerir de forma padronizada todas as solicitações (incluindo manutenção e patches) para mudanças em aplicações, procedimentos, processos, sistemas e parâmetros de serviço, em suas respectivas plataformas.
  2. Avaliação de Impacto, Priorização e Autorização de todas as requisições de mudança (RFCs) de forma estruturada para determinar o impacto nos sistemas em operação e suas funcionalidades. Além disso, garantir que todas as mudanças sejam categorizadas, priorizadas e, principalmente, autorizadas.
  3. Atendimento a Mudanças Emergenciais para definição, identificação, teste, documentação, avaliação e autorização de mudanças emergenciais que, eventualmente, não seguirão o processo pré-estabelecido de mudanças.
  4. Rastreamento de Status das Mudanças e Reporte automatizado ou não, informando as mudanças rejeitadas, status das alterações aprovadas, em avaliação, em andamento e das mudanças finalizadas.
  5. Encerramento e Documentação independente da mudança implementada.

Todas as mudanças, incluindo aplicação de patches e manutenções emergenciais, sejam relacionadas à infra-estrutura ou aplicações em ambiente de produção, devem ser formalmente geridas de maneira controlada. As mudanças (incluindo de procedimentos, processos, sistemas e parâmetros de serviço) são registradas, avaliadas e autorizadas antes de sua implementação e revisadas frente aos benefícios planejados com sua implementação. Essas etapas garantem certo conforto de que impactos negativos não afetem dois dos principais pilares da Segurança da Informação, a disponibilidade e a integridade do ambiente de produção.

Medindo a Eficiência dos Controles

A eficiência e a eficácia deste processo podem ser medidas pela implementação de alguns indicadores de desempenho, a saber:

  • Número de falhas graves ou erros de dados causados por uma especificação imprecisa ou uma avaliação de impacto incompleta.
  • Volume de retrabalho em aplicações ou infra-estrutura causado pela especificação inadequada de mudanças.
  • Percentual de mudanças que seguem o processo formal de controle de mudanças.

Como em qualquer processo, é vital que todas as atividades gerem um resultado formal, rastreável e auditável.

Espera-se que, fruto da implementação destas atividades, tenhamos os seguintes resultados:

  • Uma abordagem padronizada e consensual para avaliação de impactos de forma eficiente e eficaz.
  • Expectativas formalmente definidas para impactos de mudanças, emergenciais ou não, baseadas nos riscos do negócio e em medições de desempenho.
  • Procedimentos consistentes de mudança, emergenciais ou não.
  • Uma abordagem padronizada e consensual para documentação das mudanças.
  • Mudanças revisadas e aprovadas de forma consistente e coordenada.
  • Procedimentos consistentes para mudanças e documentação.

Como fazem os tubarões, as empresas estão em constante movimento. Planejar, ponderar e agir com lucidez são requisitos para que decisões emotivas não nos levem ao fracasso.

Por: Ricardo Castro, CISA CFE, Gerente de Auditoria Interna da Kroton Educacional S/A, Presidente da ISACA Capítulo São Paulo e professor do MBA em Gestão de Riscos e Controles Internos da Faculdade Trevisan

[*] PDCA é um ciclo de desenvolvimento que tem foco na melhoria contínua, aplicado para se atingir resultados dentro de um sistema de gestão e pode ser utilizado em qualquer empresa de forma a garantir o sucesso nos negócios, independente da área de atuação da empresa.

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.