O excesso dos Admins e a Automação do Data center

Andre Facciolli
Andre Facciolli

O mesmo processo que leva ao aprofundamento da digitalização dos negócios também ajuda a acelerar a automação dos processos de gestão de TI.

Assim, no ambiente digital, funcionários, clientes e fornecedores interagem de forma cada vez mais padronizada, através de aplicações de negócio desenvolvidas exatamente para garantir essa uniformidade de processos que é a base e o trampolim para a automação.

Mas se por um lado digitalizar significa “automatizar alguma coisa”, por outro, a informatização em massa promove a multiplicação de usuários e as aplicações nas redes de informação, o que leva a uma grande descentralização dos processos.

Com a descentralização, vem a difícil necessidade de atender a massas cada vez maiores de usuários, aplicações e múltiplas modalidades de dispositivos, tais como terminais de mesa, smartphones, POS ou até leitores de código no depósito ou chão de fábrica.

Para não retardar o fluxo de serviços nesse novo ambiente de demanda multifacetada, tornou-se necessário liberar os usuários para acessar um número incalculável de aplicações e outras facilidades de download, que são sempre fontes de desorganização e perigo de segurança, mas sem as quais o usuário final tem, muitas vezes, a sua eficiência reduzida.

Em outros termos, o novo ambiente de diversidade que atingiu as redes de dados pressionou cada vez mais o administrador a relativizar os níveis de centralização do processo. A questão que se colocou para ele era algo como: de que maneira não permitir a um desktop que ele instale uma aplicação gratuita, desses que existem aos milhares na web, uma vez que tal aplicação é essencial para a eficiência desse usuário no dia a dia do negócio? Como exemplo disso, podemos citar inúmeras aplicações indispensáveis, para tarefas tais como VoIP, CAD, encontros virtuais, editores gráficos etc.

E como negar a um alto executivo da empresa a livre entrada em áreas do sistema a que só os técnicos qualificados, detentores de senhas do tipo “admin” deveriam ter direito de acesso?

Essa necessidade de liberação de funções, associada à velocidade com que o data center cresce, levou a uma situação inusitada. Segundo estudos da Ovum, o usuário interno exemplar das empresas (e não necessariamente aquele usuário mal intencionado) é hoje o ponto de maior preocupação e sensação de vulnerabilidade por parte do CIO ou do gestor de segurança.

Pelos dados dessa pesquisa, em torno de 91% dos gestores de data center acreditam que esses usuários internos – especialmente os dotados de algum privilégio maior de acesso, como as referidas senhas “admin” ou assemelhadas, representam o maior ponto de vulnerabilidade de seus ambientes informacionais.

Por outro lado, segundo estudo do Gartner, 92% das vulnerabilidades críticas são mitigadas simplesmente removendo-se o máximo possível de “admin rights” de usuários.

Ainda segundo a pesquisa, hoje, cerca de 50% dos funcionários detêm alguma senha de privilégio que permite certas ações básicas (porém comprometedoras), como a de reconfigurar o perfil de segurança de um desktop. Além disso, 38% – um número realmente expressivo – são profissionais ou executivos não técnicos, de terceiro a primeiro escalão, que detêm privilégios de acesso suficiente para que possam tocar em áreas altamente críticas do sistema.

Para piorar o quadro, nada menos que 44% dos usuários internos são pessoas terceirizadas (o funcionário da operadora, o técnico da empresa de software, o instalador de um switch ou a técnico da empresa de outsourcing) que receberam privilégios temporários e, por um motivo quase sempre justificável, podem conhecer de perto as partes mais íntimas do data center.

Na visão da indústria de TI atualmente mais evoluída, essa doença congênita de concessão de privilégios é, paradoxalmente hoje, o motivo mais evidente da necessidade de mais automação, uma vez que a proliferação de “admins” acontece exatamente pela concessão de tarefas a indivíduos que, a seu livre arbítrio, definem ações que, não necessariamente, levem em conta a segurança e a vulnerabilidade dos sistemas.

Tanto é assim que, para 40% dos gestores de data center, o descontrole de usuários internos fragiliza principalmente as políticas de compliance, fato que demonstra a incompatibilidade entre a padronização de processos e o excesso de privilégios ao longo das redes de dados e aplicações de negócios.

Mas como intensificar a automação sem antes resolver essa enorme quantidade de pontas soltas, livres da visibilidade e do controle dos gestores? E quais os modelos factíveis para a automação diante da altíssima complexidade dos ambientes de transação, com sua multiplicidade de entidades, códigos, pessoas, processos e aplicações?

Só para exemplificar, em grandes empresas pode existir até uma aplicação de desktop para cada funcionário, sendo muitas delas não catalogadas. Como fazer a gestão dessa avassaladora quantidade de aplicações, sem pensar em automação e sem balizar a produtividade com a segurança?

Na visão do consultor americano Scott Johnston, encarar a questão dessa forma é o mesmo que pretender “ferver o oceano”. Segundo ele, o melhor caminho para a automação é exatamente ir por partes, começando por resolver os pontos “que causam dor”.

Com uma abordagem nessa linha (começando a automação exatamente pelo alinhamento e a uniformização dos processos de concessão e gestão de privilégio), a empresa brasileira NetBR fez uma aliança com a norte-americana Viewfinity e, juntas, criaram um modelo sustentável do processo de automação de gestão de aplicações, balizando a segurança e a produtividade.

Uma das bases de tal processo é o estrito controle das aplicações (classificando-as como “aplicações permitidas”, “não permitidas”, ou simplesmente “não classificadas” – as GreyLists) e aliando-se tal controle à gestão de direitos de admin.

O pressuposto é que, através de políticas corporativas, é possível definir e delimitar quais aplicações podem ser instaladas e executadas, sem travar o usuário pelo seu perfil de acesso, mas garantindo que suas ações serão controladas (naquilo que ele pode ou não pode fazer), além de auditadas e transparentes, de modo a se balizar a produtividade com a segurança.

Essa abordagem também propõe que os investimentos e as providências voltados para a obtenção e a manutenção da conformidade passem a convergir imediatamente com as políticas de automação, o que irá gerar duplo benéfico.

Em primeiro lugar, os investimentos em automação encontrarão justificativa imediata em uma matriz de budget já atuante e assimilada, que são exigências de marcos regulatórios de indústria, de governos e de mercados.

Em segundo lugar, porque a criação e a operação de controles estritos, exigidos pelo compliance, deixarão de acarretar os crescentes custos de mão de obra (além de agilizar o processo como um todo), substituindo essa variante de controle pelos gastos com automação. Com isso, haverá uma contenção do acúmulo de novos ativos e uma garantia de menor investimento futuro, além de garantir um compliance contínuo.

Essa eliminação paulatina do fator humano em processos de informação, que são cada vez mais rápidos e complexos é, em última instância, o ponto inicial e, ao mesmo tempo, a linha de chegada para o modelo de “compliance on automation”.

E descascar o grande e espinhoso abacaxi dos privilégios tem se demonstrado, claramente, um dos uses cases mais adequado para esse novo mergulho da TI.

E então, quer bater um papo e compartilhar nossos casos de uso?