Quando a emenda fica pior que o soneto.
Quem um dia colocou em produção uma atualização de sistema e teve que voltar, com urgência, para a versão anterior? Essa situação, velha conhecida de quem trabalha ou já trabalhou com desenvolvimento de sistemas, ganha cada vez mais destaque devido à notória dependência dos negócios de recursos informatizados cada vez mais disponíveis.
Estudos indicam que um percentual significativo dos problemas que ameaçam a disponibilidade, a integridade e a aderência regulatória nos serviços críticos têm sua origem na execução inadequada e pouco planejada de mudanças. Resumindo: a TI vai de herói a vilã em alguns cliques.
O processo de Gestão de Mudanças têm impactos em virtualmente todos os recursos da TI, sejam eles humanos, infra-estrutura, informações ou aplicações. Da mesma forma, aspectos de eficiência, eficácia, integridade, disponibilidade e confiabilidade das informações (este último de forma secundária) podem ser afetados negativamente caso um processo formal e bem controlado não esteja implementado.
Na verdade se o processo de Gestão de Mudanças não está estruturado e constantemente aprimorado (no melhor entendimento do modelo PDCA[*]), provavelmente o departamento de TI entrará em um ciclo vicioso onde parte dos incidentes de segurança serão causados por ações oriundas da própria TI, e mesmo as ações corretivas podem ser a origem de novos incidentes.
A excelência na prestação e manutenção dos níveis de serviço conflita com a necessidade de constante alinhamento para atender a demanda da evolução do cenário de negócios, implementando novas soluções, aumentando a capacidade e criando novos controles. Conseqüentemente o volume e demanda por mudanças cresce na mesma proporção.
Assim, o processo de Gestão de Mudanças não deve ser uma cruzada individual da TI. O envolvimento e o apoio da área de negócio são vitais para o sucesso dessa empreitada. Logo, ao invés de voltar sua atenção à gestão de incidentes (apagando incêndios) a TI direciona seus esforços para a prevenção da ocorrência de incidentes.
A Gestão de Mudanças segundo o COBIT®
Segundo o modelo de boas práticas e controles da ISACA®, os controles sobre o processo da TI de Gerir Mudanças visam, de forma direta, a geração de soluções que reduzam defeitos e retrabalho, requisitos alinhados as estratégias de negócio de qualquer companhia. Para isso é preciso focar nos controles relacionados a avaliações de impacto, na autorização e implementação de todas as mudanças à infra-estrutura da TI e na implementação de soluções técnicas. Estas ações minimizam erros originados de requisições de mudança incompletas ou podem chegar a suspender uma implementação de mudanças não autorizadas.
A princípio todas as mudanças, previstas ou não, seriam contempladas em um processo de Gestão de Mudanças. Contudo, na maioria das vezes é impraticável tratar todas as mudanças dessa forma. Sinteticamente, podemos dizer que as principais atividades que envolvem a Gestão de Mudanças são:
- Monitoração e direcionamento do processo de mudança.
- Registro, avaliação e aceite ou rejeição das Requisições de Mudança (Request for Change ou simplesmente RFCs) recebidas.
- Classificação e priorização das mudanças junto aos Comitês de Negócio competentes para aprovação das RFCs.
- Coordenação do desenvolvimento e implementação da mudança.
- Avaliação dos resultados da mudança e encerramento do processo de mudança em caso de sucesso.
O processo em si de Gestão de Mudanças é subdividido em cinco atividades, a saber:
- Padrões e Procedimentos de Mudança formais para gerir de forma padronizada todas as solicitações (incluindo manutenção e patches) para mudanças em aplicações, procedimentos, processos, sistemas e parâmetros de serviço, em suas respectivas plataformas.
- Avaliação de Impacto, Priorização e Autorização de todas as requisições de mudança (RFCs) de forma estruturada para determinar o impacto nos sistemas em operação e suas funcionalidades. Além disso, garantir que todas as mudanças sejam categorizadas, priorizadas e, principalmente, autorizadas.
- Atendimento a Mudanças Emergenciais para definição, identificação, teste, documentação, avaliação e autorização de mudanças emergenciais que, eventualmente, não seguirão o processo pré-estabelecido de mudanças.
- Rastreamento de Status das Mudanças e Reporte automatizado ou não, informando as mudanças rejeitadas, status das alterações aprovadas, em avaliação, em andamento e das mudanças finalizadas.
- Encerramento e Documentação independente da mudança implementada.
Todas as mudanças, incluindo aplicação de patches e manutenções emergenciais, sejam relacionadas à infra-estrutura ou aplicações em ambiente de produção, devem ser formalmente geridas de maneira controlada. As mudanças (incluindo de procedimentos, processos, sistemas e parâmetros de serviço) são registradas, avaliadas e autorizadas antes de sua implementação e revisadas frente aos benefícios planejados com sua implementação. Essas etapas garantem certo conforto de que impactos negativos não afetem dois dos principais pilares da Segurança da Informação, a disponibilidade e a integridade do ambiente de produção.
Medindo a Eficiência dos Controles
A eficiência e a eficácia deste processo podem ser medidas pela implementação de alguns indicadores de desempenho, a saber:
- Número de falhas graves ou erros de dados causados por uma especificação imprecisa ou uma avaliação de impacto incompleta.
- Volume de retrabalho em aplicações ou infra-estrutura causado pela especificação inadequada de mudanças.
- Percentual de mudanças que seguem o processo formal de controle de mudanças.
Como em qualquer processo, é vital que todas as atividades gerem um resultado formal, rastreável e auditável.
Espera-se que, fruto da implementação destas atividades, tenhamos os seguintes resultados:
- Uma abordagem padronizada e consensual para avaliação de impactos de forma eficiente e eficaz.
- Expectativas formalmente definidas para impactos de mudanças, emergenciais ou não, baseadas nos riscos do negócio e em medições de desempenho.
- Procedimentos consistentes de mudança, emergenciais ou não.
- Uma abordagem padronizada e consensual para documentação das mudanças.
- Mudanças revisadas e aprovadas de forma consistente e coordenada.
- Procedimentos consistentes para mudanças e documentação.
Como fazem os tubarões, as empresas estão em constante movimento. Planejar, ponderar e agir com lucidez são requisitos para que decisões emotivas não nos levem ao fracasso.
Por: Ricardo Castro, CISA CFE, Gerente de Auditoria Interna da Kroton Educacional S/A, Presidente da ISACA Capítulo São Paulo e professor do MBA em Gestão de Riscos e Controles Internos da Faculdade Trevisan
[*] PDCA é um ciclo de desenvolvimento que tem foco na melhoria contínua, aplicado para se atingir resultados dentro de um sistema de gestão e pode ser utilizado em qualquer empresa de forma a garantir o sucesso nos negócios, independente da área de atuação da empresa.