Negociologia é a nova forma de fazer negócio na “era digital”

A mudança no hábito de compra deve mudar como nunca antes por causa da tecnologia. Neste cenário, o varejo precisa aprender a fazer negócio. Trata-se da chamada negociologia. Entenda melhor!

 

Não importa a qual geração você pertença, mas é muito provável que algo significativo tenha mudado na forma como você comprava roupas, por exemplo, quando ainda era adolescente. Nos próximos anos, as mudanças serão ainda mais acentuadas.

Vivemos hoje a chamada quarta revolução industrial – a transformação digital de praticamente todos os aspectos de nossas vidas –, um fenômeno que já está redefinindo o varejo. Tecnologias como Internet of Things (IoT), Cloud, Big Data e Inteligência Artificial ainda não tiveram tempo de mostrar a revolução que irão realizar no dia a dia.

Essas tecnologias trarão enorme impacto na forma como consumimos. É urgente que todo varejista passe a conhecer conceitos como smart business e negociologia: o estudo dos recursos e técnicas disponíveis para que negócios se tornem mais tecnológicos e inteligentes. Como, afinal, utilizar os avanços tecnológicos para satisfazer os clientes e vender mais?

Em eventos de tecnologia, notamos cada vez mais a presença de executivos que não possuem qualquer relação com os setores de TI em suas corporações. Mesmo longe das funções técnicas, esses tomadores de decisão estão cientes do quanto é fundamental acompanhar as novidades da indústria 4.0 para não perderem espaço.

Crédito: Shutterstock

Aquele temor do passado de que o e-commerce mataria as lojas físicas era muito equivocado. Na verdade, os dois ambientes se complementam. Hoje, é comum que clientes comprem no site após visitarem algum estabelecimento ou vice-versa.

A junção de físico e digital tem nome e o termo pode causar estranheza a quem ainda não teve contato com ele, mas é muito provável que em breve esteja na boca de todo mundo. Trata-se do phygital (a mescla das palavras inglesas physic e digital). Um caso que ilustra bem o conceito é o da Amazon Bookstore. A livraria da gigante americana começou no on-line e migrou para lojas de endereço fixo, sem abandonar características do mundo virtual, como organização dos livros nas mesmas seções encontradas em sites, acesso a resenhas de leitores e reprodução de outras funcionalidades antes restritas à internet.

A Amazon é, provavelmente, a companhia que mais tem se notabilizado por explorar bem as novas tecnologias, não apenas em seu conhecido varejo on-line, mas também em lojas físicas. Chamou a atenção, recentemente, o início das atividades da Amazon Go, em Seatlle, um local onde não há caixas, atendentes ou filas. Os clientes que já possuem registro podem simplesmente entrar, adquirir um produto e levá-lo, com a cobrança totalmente feita por sensores. A agilidade do sistema é um marco.

A chave para o sucesso é utilizar essas tecnologias para proporcionar uma experiência ao consumidor, conseguir tratá-lo com uma abordagem personalizada. A aplicação de Big Data, por exemplo, é extremamente útil nesse sentido: imagine que, em um ambiente físico, seja possível imitar o que hoje ocorre somente no e-commerce e oferecer produtos aos clientes com base em suas preferências demonstradas em compras ou visitas anteriores à mesma loja. Uma maneira mais assertiva de oferecer o produto ideal e fidelizar o público.

Mais do que isso, podemos comemorar o fato de que as abomináveis filas também estão com os dias contados no comércio físico. Já sabemos que será cada vez mais comum realizar compras automatizadas (com pagamentos instantâneos) ou mesmo se beneficiar do sistema que hoje é utilizado em unidades da varejista americana Target, onde filas nunca ultrapassam um certo tamanho (pois sensores imediatamente liberam novos caixas para satisfazer à demanda, utilizando Inteligência Artificial e IoT. São aplicações que otimizam o tempo e ampliam as possibilidades para os clientes, além de garantir que os recursos de uma loja sejam aplicados de maneira coerente.

Outra cena “futurista” que deve se tornar realidade em breve: lojas sem estoques. Ambientes físicos não sofrerão com as limitações de espaço em suas prateleiras e os gastos para manter a reposição imediata de produtos nas vitrines. Os consumidores poderão entrar no estabelecimento em seu caminho para casa, fazer uma compra utilizando apenas recursos digitais e saber que não precisarão carregar nada, pois em algumas horas a encomenda será entregue em seu domicílio.

Há muito que se aprimorar nessa congruência entre mundo físico e virtual, mas os benefícios já podem ser usufruídos. No Brasil, o uso ainda é pouco desses mecanismos, o que apenas aumenta a vantagem de quem buscar conhecê-los melhor e aplicá-los.

 

Lawrence da Mata

oldiveoPor-que-as-soluções-de-CASB-devem-ser-a-próxima-prioridade-em-TI

Por que as soluções de CASB devem ser a próxima prioridade em TI?

No mundo onde a transformação digital vem exigindo que empresas coloquem uma parte crescente de seus dados críticos de negócio em cloud computing, não existe mais rede exclusivamente interna ou externa; a nuvem se tornou uma extensão da infraestrutura das empresas. E a segurança precisa seguir o mesmo caminho, seja para os dados, as aplicações ou os usuários.

Sabemos que dentro de uma organização, as tendências de shadow IT, BYOD e outras formas autônomas de consumo de serviços de TI devem considerar as perspectivas de risco de cada tipo de usuário. Quando a atividade do colaborador pode envolver práticas menos seguras, como expor dados sensíveis em redes sociais, o colaborador tende a contar com a sorte.

Por conta disso, a segurança da informação vem ganhando um novo aliado, chamado CASB (Cloud Access Security Brokers), uma ferramenta de software voltada para a segurança da informação do tráfego pela internet dentro do sistema na nuvem.

As soluções de CASB vem garantindo o devido controle e segurança, sem comprometer a agilidade do usuário de dispor das ferramentas que lhe forem mais úteis para geração de resultados ao negócio.

Até o final e 2018, 50% das organizações com mais de 2.500 usuários estarão com uma plataforma de CASB para controlar o uso dos produtos mantidos como SaaS (Software as a Service), afirma o Gartner. Ainda de acordo com a consultoria, em 2020, 85% das maiores empresas usarão um produto de CASB. Desta forma, a camada de segurança não precisa estar por padrão incluída no ambiente de Cloud, mas ele precisa estar pronto para ambientes que usem CASB.

Como o tema “Segurança da Informação” ganhou muita importância nos últimos tempos, notamos que independentemente do modelo de Cloud escolhido, ele tem que possuir mecanismos que protejam a autenticação para acessar o painel de gerenciamento.

É comum encontrarmos hackers descobrindo o usuário responsável pela administração das máquinas em Cloud e pedir resgate para devolver o acesso e não apagar ou danificar as máquinas virtuais que foram criadas. Tem-se assim, perdas financeiras reais. É importante ter um ambiente de contingência e um plano bem detalhado e ensaiada com simulações periódicas para recompor de forma rápida o ambiente em Cloud.

 

Um mercado em crescimento

Os aplicativos de Software-as-a-Service (SaaS), cada vez mais difundidos nas empresas, oferecem novos desafios às equipes de segurança com visibilidade e opções de controle limitadas. O CASB responde a um requerimento crítico dos CSOs, que é aplicar as políticas de monitoramento e gerenciamento de riscos por toda a gama de serviços na nuvem utilizados pela empresa.

Nos próximos anos, espera-se que o CASB seja o principal mecanismo de segurança da informação que trafega pelo sistema na nuvem. Recentemente, já é possível identificar novos produtos disponíveis conforme o grau de maturidade de cloud, seja ela pública ou privada.

Segundo dados do Gartner, em 2020, 80% dos negócios envolvendo CASB farão parte de uma plataforma que integrará firewall, secure web gateway (SWG) e web application firewall (WAF). Ainda de acordo com o levantamento, o CASB é a única garantia de segurança quando o assunto é computação em nuvem. Ao final de 2016, ao menos 25% das empresas irão adotá-lo.

 

Principais funcionalidades do CASB

Dentre os principais mecanismos utilizados pelo CASB podemos mencionar:

 

Controle de políticas de acesso: trata-se de uma ampla gama de regras que visam ser utilizadas no controle de acesso.

 

Controle de autenticação – busca verificar a identidade digital do usuário. Existem diversos modos de autenticação:

  • Token – atualmente, o mecanismo de segurança mais conhecido e utilizado no mercado, o token cria uma senha única do usuário, garantindo a integridade do acesso. Existem diversas formas de token, porém a mais relevante se apresenta no formato de software.
  • Single sign-on – o usuário utilizará o mesmo log in para todos os aplicativos e dispositivos. Com isso, os custos de TI são reduzidos, porque implicam em menos chamados no help desk em função do único usuário. Além disso, permite a redução do tempo de reentrada de senhas com a mesma identidade.
  • Criptografia – fundamental para que as informações críticas dos usuários estejam preservadas.

 

Controle de Workflow do compliance – Consiste em um painel de alertas que mostra as atividades ocorridas fora do previsto, gerando maior controle sobre como os colaboradores estão aptos a seguir o fluxo estabelecido pela organização.

 

Log – Garante que cada atividade suspeita ou com sucesso seja gravada para avaliação posterior.

 

Prevenção contra malware – O CASB também possui uma heurística capaz de identificar e eliminar os diversos aplicativos prejudiciais ao sistema da empresa, usuários mal-intencionados e links maliciosos e faz varreduras em todo o sistema na nuvem, além de manter o setor de TI da empresa ciente de possibilidades reais de ataques cibernéticos.

 

Integração com o DLP (Digital Light Processing): o DLP é uma ferramenta de segurança que, quando integrada ao CASB, aumenta o poder sobre o uso de um determinado aplicativo, ao controlar, por meio de um dispositivo óptico, o uso de um software.

 

Ação em tempo real

O CASB executa esses monitoramentos e correções de forma constante e sem interrupções, a fim de fornecer relatórios atualizados sobre a segurança das informações, aplicativos utilizados no sistema na nuvem e infrações às políticas de segurança da empresa, entre outras informações.

O empreendedor, ao acessar o CASB, poderá acompanhar e monitorar informações já existentes antes da implantação desse sistema de segurança, tendo conhecimento do tráfego das informações, possível disseminação de vírus, compras não autorizadas e identidade do usuário, além de incorporar essas informações ao seu banco de dados.

 

CASB, uma ferramenta adicional

Escolher o fornecedor certo implica em mitigar muitos riscos de segurança na nuvem. Os CASBs não devem ser vistos como um substituto para os firewalls e outros recursos de segurança existentes para proteção, mas sim como uma ferramenta adicional. Hoje, ele está se tornando essencial, ao permitir o nível mais profundo de visibilidade, investigando as ações individuais dos usuários por meio do seu uso e determinando o tipo de ameaça que a organização poderá enfrentar.

Tudo vai depender do nível de maturidade da sua empresa com relação à nuvem.

 

Com os serviços de segurança do UOL DIVEO, sua empresa pode encontrar diversos serviços que buscam a continuidade do negócio e proteção de informações dos clientes.

Os serviços vão desde DDoS Protection, um pilar para sustentar a disponibilidade dos seus serviços, e evitar perdas financeiras importantíssimas, até a proteção específica para a aplicação Web, por meio do Web Application Firewall (WAF), um produto destinado a aplicações web, protegendo-as contra ataques à sua aplicação exposta à internet, deixando seu acesso mais rápido ou auxiliando na defesa contra o furto de informações existentes nas bases de dados usada pela sua aplicação.

Não basta ter uma infraestrutura confiável ou hardwares tecnicamente reconhecidos pelo mercado, é importante considerar o apoio de uma equipe especializada em ciberataques (cyberattack). Entre em contato e consulte-nos.

 

uoldiveo-Black-Friday: como o varejo tem se preparado para suportar a alta demanda

Black Friday: como o varejo tem se preparado para suportar a alta demanda

No ano passado, a Black Friday rendeu ao varejo online R$ 1,9 bilhão de faturamento em apenas 24 horas, segundo dados apurados pela Ebit. Em um único dia foram feitos mais de 2,92 milhões de pedidos, com tíquete médio de R$ 653 por compra. Com a crise econômica dando sinais de recuperação, a expectativa é que a data mantenha sua trajetória ascendente, com desempenho ainda melhor este ano.

A boa notícia vem acompanhada de alguns alertas de precaução. Para as empresas tirarem o máximo de proveito da Black Friday é preciso preparar a estrutura de TI para encarar o pico de acessos e de demandas computacionais em um curto período de tempo. As maiores dificuldades enfrentadas pelas companhias de varejo online estão ligadas ao datacenter, uma vez que eles nem sempre são estruturados para lidar com o volume tão alto de transações simultâneas.

Para evitar surpresas de última hora, o varejo tem se preparado com meses de antecedência, justamente para conseguir realizar todos os testes e desenhar uma previsão de possíveis falhas, antes do período crítico.

 

Veja quais são os principais pontos de atenção:

 

  • Adapte sua estrutura

As empresas precisam ter consciência de que necessitam de uma infraestrutura elástica para suportar os picos de acesso em datas especiais, sobretudo na Black Friday.

O uso de servidor em nuvem pode ajudar a evitar quedas e indisponibilidades do site durante grandes demandas, mas só a cloud não resolve, porque parte dela também depende de infraestrutura. A tecnologia de suas aplicações vai dizer até que ponto você poderá usufruir da escalabilidade oferecida pela nuvem.

 

  • Realize Teste de Estresse

O Teste de Estresse consiste em checar se a plataforma na qual a loja virtual está instalada suportará o maior número de acessos e se a própria loja está preparada para lidar com um grande volume de vendas em um curto espaço de tempo, gerenciando prevenção de fraudes, emissão de notas fiscais, embalagem dos produtos vendidos e toda a operação logística.

Para isso, tenha em mão informações sobre performance, estabilidade ou funcionalidades que precisarão ser testadas.

No caso de performance e estabilidade, você submeterá o ambiente a um pico de atividade, onde o objetivo é ver o limite da infraestrutura montada. Já no caso da funcionalidade, o objetivo é saber se tudo está funcionando de acordo com o que foi especificado.

Tenha bem definido o desenho da arquitetura do ambiente, os componentes que fazem parte desta arquitetura (rede, servidores, aplicação e usuários), produtos e aplicações que serão testadas, se a carga na qual o ambiente foi montado deverá atender as demandas e, o mais importante: a quantidade estimada de usuários que vão acessar este ambiente na Black Friday.

 

  • Verifique os serviços de suporte

Cheque com a plataforma quais os serviços de suporte que os fornecedores vão praticar no dia “D”. Geralmente, quem fornece infraestrutura e datacenter cria força-tarefa com uma equipe especial que fica 24 horas à disposição, porque sabem que nesse dia tudo vai ter utilização bem superior à média. Vale a pena verificar com seus fornecedores quais são os planos para suportar o pico de atividade na Black Friday.

É importante contar com uma capacidade maior de processamento e memória do datacenter, exclusivamente para a data. O objetivo é evitar que o serviço pare ao chegar no limite, descartando os pedidos que não consiga processar. Essa condição é denominada “on demand”, criada para situações nas quais o lojista sabe que vai ter um pico de vendas.

 

  • Invista em uma análise de transação robusta

Utilize um processador de pagamentos que realize uma excelente análise de todas as transações corretamente.  Com o aumento das vendas no seu site, mais análises de transações serão necessárias e alguns serviços de análise de risco do tipo automática, feita por software, podem bloquear transações legítimas em função de inconsistências no sistema. E como nessa época o número de transações é maior, o risco de bloqueio de transação também aumenta.

É recomendável que sua empresa tenha uma equipe focada em verificar a legitimidade das transações. Talvez seja necessário repensar a forma como as transações são analisadas para que não as vendas não sejam perdidas e nem sejam vítimas de golpes.

 

  • Conheça a capacidade de seu ambiente

Por fim, tenha em mente que você precisa saber exatamente o quanto seu ambiente consegue escalar. É possível traçar estratégias de acordo com seu nível de escalabilidade, evitando picos repentinos. Uma outra possibilidade é distribuir a campanha ao longo do mês, em vez de apostar tudo em um único dia e deixar os clientes a ver navios.

 

Não se esqueça: este é um trabalho constante que envolve ações estruturadas que devem ser programadas ao longo de 12 meses. Caso contrário, fica a lacuna que pode ser ocupada pelo concorrente, que se preparou antes de você. Nós podemos ajudar a sua empresa a fazer isso. Consulte-nos!

 

Alexis Rockenbach

 

Como lidar com a geração Z como consumidores e colaboradores

Como lidar com a geração Z como consumidores e colaboradores

Outro dia assisti uma apresentação sobre a geração Z. Que é justamente a geração que já nasceu neste mundo conectado. Ela não viveu a transição do advento da Internet, onde percebeu-se claramente o mundo antes e depois da Rede.

 

As referências são as de estar conectado à todos em real time e de também executar cinco tarefas simultaneamente. Não há limite!

 

Por mais que imaginemos que essa geração é muito reservada e focada em seu mundo, estudos indicam que é a mais antenada e comunicativa. Porém, usa a tecnologia a seu favor. Tem centenas, para não dizer milhares de amigos virtuais e estão a todo o tempo falando em grupos.

 

É uma geração que não tem preconceito algum, aceita e respeita as pessoas como elas são, não questionando suas posições sociais, políticas e muito menos suas opções sexuais.

 

Como lidar com essa geração como consumidoras ou colegas de trabalho?

 

São extremamente criativas e liberais, o que facilita o contato. Agora, o mundo delas é bastante agitado e instável. Não tem nenhum problema em mudar de ideia, desde que seja convencido para tal.

 

Agora, essa visão pluralista e desapegada de bens materiais, os fazem um consumidor essencialmente de serviços. Por exemplo, não estão preocupados em ter um carro, mas sim em se locomoverem de forma prática, eficiente e o mais barato possível. Assim, serviços como Uber ou Airbnb (para alugarem um quarto), dentre outros exemplos, atendem bem.

 

Essa geração valoriza os serviços digitais disponíveis na rede e estão mais propensos a consumi-los. E por entenderem esse mundo conectado, podem ajudar as empresas a desenvolverem aplicativos e ou serviços de uma maneira geral, para esse mundo novo. E quem sabe, produtos e serviços que atenderão à nova geração que virá – talvez chamada geração Alpha!

 

Gil Torquato

 

Ambiente de DR: sua empresa está realmente preparada?

Como a maioria dos profissionais de TI sabem, ambiente de contingência ou ambiente de DR (Disaster Recovery) é a infraestrutura que entrará em uso caso um problema grave ocorra por causa de incêndios, enchentes, quedas de energia, erro humano ou caso um malware/ransonware prejudique os servidores ou um datacenter. O ambiente de DR  permitirá que a empresa se mantenha em funcionamento enquanto o problema no ambiente produtivo está sendo solucionado.

Entendido o que é um ambiente de DR, precisamos ter em mente que não é consenso entre muitos gestores se devemos usar ou não usar um ambiente de DR, já que na maior parte do tempo ele não será usado. Mas esta não é a pergunta correta a ser feita. Eles deveriam estar se perguntando “qual será o prejuízo que a minha empresa terá se tivermos uma parada inesperada em algum sistema crítico para o negócio?

A palavra prejuízo neste texto nos leva a refletir sobre diversos aspectos. Dentre eles podemos citar danos à imagem, impacto na reputação do ambiente, perda de clientes, penalidades para o fechamento de contratos, riscos de ciberataques, ausência de treinamento para uma recuperação rápida e muitos outros pesadelos que tiram o sono de qualquer diretor financeiro.

De acordo com a empresa BackBox, especializada em backup e recuperações, 50% de todos os negócios já tiveram algum desastre ruim o bastante para interromper alguma aplicação, sendo 18,5 horas a média para o tempo de inatividade de uma aplicação (downtime). A mesma empresa afirma que pequenos negócios podem enfrentar perdas de US$ 8.000,00 por hora, enquanto empresas médias sofrem perdas entre US$74,000 a US$90,000 por hora. Já empresas de grande porte podem ter perdas que variam de US$700,000 a até US$800,000 por hora que a aplicação crítica ficou sem funcionar.

O estudo da BackBox aponta que cerca de 81% das paralizações duram pelo menos um dia e apenas 35% das pequenas empresas possuem planos de recuperação contra desastres. É impressionante observar que 75% das empresas pesquisadas informaram que seus planos contra paradas inesperadas (desastres) são inadequados. Comecei a me questionar quais passos estariam sendo desenhados de maneira errada?

Insatisfeito com os números, decidi examinar o que revelava o relatório “The State Of Disaster Recovery Preparedness 2017”, feito com a participação da Forrester Research e  o Disaster Recovery Journal. O relatório mostra diversos estudos, envolvendo estratégias para Continuidade de Negócio (BC-Business Continuity) e Recuperação de Desastres (DR-Disaster Recovery). O relatório entrevistou 73 tomadores de decisão, mostrando que:

Note que 45% (34%+11%) dos entrevistados não estão contentes com suas estratégias e sentem-se inseguros. Se realmente uma falha em seus sistemas críticos ocorrer estará em risco não só o impacto nos negócios, mas a reputação e a carreira de todos os responsáveis.

A mesma pesquisa revela que diversos motivos foram revelados para a criação de um ambiente para DR dentre eles podemos citar: competitividade e necessidade de permanecer online, motivos legais, custos das próprias empresas paradas, elevação de riscos naturais ou riscos causados pelo homem, elevação da disponibilidade de uma aplicação crítica, responsabilidade legal, ambiente de DR identificado como prioridade máxima pela diretoria.

Independente do motivo, desenvolver uma estratégia para a contratação de um ambiente de contingência é inevitável para qualquer empresa. Mas se a justificativa for custos, basta olharmos os valores que serão gastos com os prejuízos de uma parada inesperada em um ambiente crítico. Claramente estes custos são superiores do que os custos da grande maioria dos ambientes de contingência. É esta conta que os responsáveis pelo negócio de uma instituição devem fazer, sendo o papel dos gerentes de infraestrutura primordial para que esta visão seja considerada pela diretoria.

Ok, vamos assumir que a contratação do ambiente de DR é prioritária e foi aprovada pela diretoria, é importante destacar que frequentemente um ambiente de Backup é confundido com um ambiente de DR e isto pode trazer sérias complicações.

Pode-se dizer que Backup é a cópia de dados em um disco, fita ou em um ambiente de Cloud e o retorno desta informação em caso de necessidade pode ser muito longo e o tempo cíclico para elaborar a atualização dos dados tende a ser muito longo. Outro ponto importante é o baixo uso de automação, além de grande carga de horas da equipe de TI para guiar a recuperação do ambiente produtivo. Resumindo: muito suor e elevada possibilidade para grandes perdas financeiras.

Se imaginarmos os conceitos ligados a um ambiente de DR, veremos que o tempo entre replicações ou atualização das informações é chamado de RPO (Recovery Point Objective) e que o tempo para recuperar as informações e ativar o ambiente ou recuperar a aplicação prejudicada é chamado de RTO (Recovery Time Objective). Nem sempre isto é compreendido pelas empresas e o resultado é um projeto incompleto ou confuso. Importante destacar que:

 

“Não existem melhores práticas para serem usadas, tudo vai depender do negócio de cada empresa.”

 

Em um ambiente envolvendo o conceito de Disaster Recovery (DR) veremos que é indispensável a presença de mecanismos para a automação, estejam eles ligados a replicação de informações ou estejam eles ligados a orquestração para que as máquinas e bancos de dados sejam ligados na ordem correta.  Resumindo: temos aqui baixíssimo suor usando ferramentas para obter mínimas perdas financeiras.

Com isto em mente, muitas empresas acreditam que é suficiente, mas isto é um grande engano. É necessário ter uma equipe bem treinada, sendo apoiada por um bom run book. Um run book é um documento com a sequência de procedimentos e rotinas que devem ser seguidas por cada equipe envolvida no ambiente de DR.

Para finalizar, vamos imaginar um ambiente produtivo virtualizado que necessita ser protegido com a presença de uma estrutura de DR operando em um Data Center remoto. Quais as atividades recomendadas para a construção deste ambiente?

  • Primeiro deve-se mapear todas as aplicações realmente críticas para o negócio, juntamente com o impacto caso estas aplicações parem inesperadamente o seu funcionamento;
  • Depois é importante analisar se as aplicações identificadas estão devidamente configuradas, sem a configuração excessiva de disco, processamento ou memória RAM;
  • Com a validação do size correto das aplicações, é necessário analisar o impacto financeiro. Quanto tempo o negócio aceita ficar com suas principais aplicações sem atividade? O resultado desta análise é a definição do RPO e RTO;
  • Definidos o RTO e RPO, basta criar o run book;
  • O quinto ponto é o mais importante, estando ele centrado em pessoas. Sendo necessário:

I. Nomear uma equipe multidisciplinar para a elaboração das atividades quando for decretado o uso do ambiente de DR. Importante considerar não só membros da equipe técnica, mas também membros da diretoria ou da equipe jurídica. Deve-se nomear uma pessoa que será a representação da empresa para elaborar comunicados aos jornalistas e a mídia eletrônica, reduzindo as perdas na imagem da instituição;

II. Capacitar e treinar a equipe para elaborar simulações validando as atividades contidas com testes de DR. O resultado dos testes deve gerar um relatório com todos os pontos de melhoria;

III. Com os resultados das simulações, a equipe deve elaborar testes de DR duas vezes no ano. O resultado dos testes deve gerar um relatório apontando as evidências de cada atividade feita proporcionando auxílio ao processo de auditoria ou aos investidores da empresa;

Tenha em mente que as atividades “a” e “b” possuem o objetivo de reduzir custos do ambiente de DR. Este ambiente deve impactar minimamente a equipe envolvida, sem abrir mão de transparência, simplicidade operacional e deve-se ter suporte de uma equipe externa devidamente capacitada sempre que necessário.

 

Denis Souza

 

Links Recomendados:

 

Qual é a nova posição do CIO na era digital?

Tenho me deparado muito com essa indagação: qual é a nova posição do CIO nesse mundo digital?

O mundo digital abre possibilidades enormes para todos os profissionais: marketing, vendas, mas especialmente para o executivo de TI.

Para continuar sendo importante, o CIO precisa deixar de ser visto como centro de custo e precisa passar a ser visto como gerador de receita.

Esta característica fica muito clara em pesquisas constantemente publicadas pelo Gartner que mostra que, especialmente em países latino-americanos, a otimização de custos está entre as principais preocupações destes profissionais. Questão importante, mas que não estão relacionadas a estratégias de crescimento de uma empresa.

Para assumir o papel de líder de inovação e impulsionador do negócio, o executivo deve encarar essa nova etapa como uma enorme oportunidade e não como uma ameaça a sua posição atual.

A grande vantagem que o CIO tem é o enorme conhecimento, muitas vezes acumulado por anos de aprendizado e prática, que os novatos ou os oriundos de outras áreas não possuem. A “mão na graxa” nessas horas faz a diferença para conectar o negócio com a tecnologia.

Nunca se abriu um universo tão amplo de oportunidades como na era digital.

Toda a indústria está se transformando, das tradicionais gravadoras de música, varejo e até bancos estão sendo reinventados. Aplicativos são criados a todo momento para alegria, e ao mesmo tempo, arrepio de muitos.

E é justamente nesse cenário que o CIO pode e deve ter papel fundamental.

Agora, a postura tem que seguir o mesmo ritmo das mudanças. O profissional além de continuar se aprimorando deve se desapegar do jeito antigo de fazer as coisas.

É preciso se manter atento às negociações de SLA que correspondem à qualidade adequada ao serviço prestado, acompanhe os resultados (KPI), que devem estar disponíveis na maioria das vezes em real time, mas acima de tudo se manter focado no negócio.

Se o CIO não fizer isso, certamente alguém da organização fará.

Boa sorte e conte conosco!

 

Do you WannaCry? Veja por que este ransomware é só a ponta do Iceberg

O tema ransomware não é nada novo, mas o que realmente significa? Podemos dizer que ransomware é um código malicioso usado por criminosos digitais para sequestrar dados e orquestrar ataques com o objetivo de desvio financeiro ou extorsão (cyber extorsão). O motivo para o ataque de ransomware é sempre monetário, onde a vítima é informada que o ataque está ocorrendo e é detalhadamente instruída de como o pagamento deve ser feito para obter sua as informações novamente. Importante deixar claro que não existe nenhuma garantia de que esta devolução vai realmente ser feita. Geralmente é usada moeda virtual (bitcoin) para proteger a identidade dos criminosos e dificultar o rastreamento do dinheiro pago.

 

O modelo padrão de funcionamento do ransomware baseia-se em mudar a senha do logon da vítima e criptografar o disco do computador infectado. Após esta atividade o computador é reiniciado com o objetivo de mostrar a mensagem indicando as instruções para pagamento. Segundo a Carbon Black, um importante fornecedor de hardwares e softwares de segurança, o ano de 2016 demonstrou um crescimento de 50% nos ataques de ransomware a industrias quando comparado ao ano de 2015. Empresas de manufaturas demonstraram um crescimento de 21,8% e empresas de energia e utilitários apresentaram um aumento de 16,4%. Este crescimento foi baseado em diversos fatores, dentre eles temos:

  • Grande quantidade de frameworks ou kits para desenvolvimento de variações de ransomware existentes ou para a criação de novas famílias de ransomware encontrados facilmente na Deep/Dark Web;
  • Uso a preços irrisórios de programas focados em Ransomware as a Service (RaaS) objetivando a elaboração de um ataque com pouquíssimo esforço;
  • Empresas continuam sem política para atualização de sistemas operacionais, deixando que funcionem com falhas muito antigas em seus ambientes;
  • Ausência de proteções adequadas para o correio eletrônico. Grande parte dos ataquem entram no ambiente corporativo pelo correio eletrônico iludindo o destinatário a abrir arquivos anexados ou a instalar aplicativos em seus computadores;
  • Não elaboração de treinamento dos usuários destacando as armadilhas dos criminosos cibernéticos ou mesmo a inexistência de política de segurança nos ambientes corporativos.

 

Infelizmente a tendência de 2016 foi mantida não só para ransomware, mas também para as ameaças disfarçadas, também conhecida como trojans. Segundo o relatório Desenvolvimento de ameaças de computador, elaborado pelo Kaspersky Lab, uns dos mais respeitados centros de estudos de ameaças digitais, foram identificadas 11 novas famílias de trojans e 55.679 novas modificações foram identificadas só no primeiro trimestre de 2017. Os maiores vetores de ataques são os navegadores Web, em segundo lugar o sistema operacional Android, em terceiro lugar estão os ataques focados em documentos do Microsoft Office. Os próximos vetores de ataques são as aplicações feitas com a linguagem de programação Java, aplicações envolvendo Adobe Flash e documentos em PDF.

 

Realmente o ano de 2017 foi a concretização de uma tendência de crescimento que começou em 2014. Época quando o número de dispositivos móveis começou a crescer assustadoramente em comparação com os anos anteriores e hoje não temos só a possibilidade de contaminar dispositivos móveis, mas também de atacar dispositivos ligados ao conceito de IoT. Segundo um estudo da GSMA Intelligence, o braço de pesquisa da GSMA, em 2020 teremos quase três quartos da população mundial conectada. Imagine o que aconteceria se estes dispositivos forem dominados por atacantes digitais.

 

E a cada ano as surpresas são mais devastadoras, estejam elas focadas em ransomware ou não. No final de 2016 vivenciamos o maior ataque digital deixando diversas empresa sem acesso internet atingindo 665Gbps de tráfego e mais de 130 milhões de pacotes por segundo para contaminar ambientes em mais de 164 países. Este ataque foi associado ao malware Mirai que envolveu mais de 500.000 dispositivos sob domínios dos atacantes digitais. O Brasil foi o segundo pais com maior concentração de computadores contaminados com o Mirai nesta época. A falha foi na ausência de procedimentos adequados que deveriam guiar a mudança da senha padrão dos usuários administrativos. Algo básico que deveria ser orientado de maneira automática pelos fabricantes de hardwares.

 

Muitas vezes para olhar o presente e validar o futuro devemos olhar para o passado. Em 2003, o mundo sofreu com o malware SQL Slammer, criado para explorar uma vulnerabilidade em ambientes Microsoft SQL Server 2000 desatualizados. No final de 2016 este ataque retornou a ocorrer com origem fundamentada nos países China, Vietnã, México e Ucrânia.

 

Com tudo isto em mente, como foi o ataque digital guiado pelo WannaCry criou cerca de 200.000 infecções em mais de 150 países e como ele continua a se espalhar? Primeiro precisamos observar que os computadores afetados exibiam mensagens com pedidos de resgate entre US$ 300 e US$ 600. O segundo elemento importante é que pesquisadores estimam a criação do WannaCry baseada na divulgação de uma vulnerabilidade (EternalBlue) pelo grupo de atacantes digitais Shadow Brokers. A vulnerabilidade possibilita a execução remota de código e foi corrida pela Microsoft em 14 de março de 2017 (MS17-010). Nesta época, a própria Microsoft considerou-a como crítica, afetando sistemas operacionais como Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1/8.1 TR, Windows Server 2012/2012 R2, Windows 10 e Windows Server 2016.

 

Sem dúvida que é um cenário mais do que crítico. Se olharmos com cuidado, veremos que existe algo em comum entre o os malwares SQL Slammer e o Mirai com o ransomware WannaCry. Vejo que além do componente humano, que por padrão adiciona centenas de falhas, existe a ausência de procedimentos para a análise e correção de vulnerabilidades. Observe que temos 14 anos desde a criação do SQL Slammer e o problema continua o mesmo, sendo tratado da mesma maneira por grande parte das empresas em diversos países ao redor do mundo. Esta é a verdadeira explicação de termos hoje algo tão devastador.

 

Por esta razão diversas empresas posicionadas na Espanha, Taiwan, Rússia, Portugal, Ucrânia, Turquia e Reino Unido foram afetadas pelo WannaCry. Segundo a própria Telefônica, 85% dos seus computadores em Madri foram contaminados, fazendo com que seus funcionários retornassem para casa a pedido da própria empresa. Imagine o prejuízo financeiro! Segundo o jornal valor Econômico, mais de 220 companhias com mais de 1,1mil computadores comprometidos foram alvo do WannaCry no Brasil.

 

Em 2014 escrevi um artigo descrevendo algumas ameaças presentes em SmartPhones e o mais incrível é que o discurso para a proteção pode ser aplicado ao cenário que temos hoje, mesmo sendo ele algo muito pior do que o existente em 2014. Segundo a Nokia Threat Intelligence Report, o mercado de malware para mobile banking está tão aquecido que cresceu 400% em 2016. Junte isto com a pesquisa da FGV mostrando que o Brasil já tem um smartphone para cada habitante (208 milhões de smartphones) e teremos um oceano de possibilidades para os terroristas digitais.

 

Se você está ainda não está preocupado com o WannaCry, deveria. E também deveria estar preocupado com o malware Adylkuzz, pois as previsões apontam para algo muito pior do que o WannaCry. Apesar de explorar as mesmas vulnerabilidades, o comportamento é diferente, não havendo bloqueio do acesso ao computador, usando o ambiente infectado como parte da sua botnet. Botnets podem conter centenas de milhares de computadores controlados remotamente com computadores prontos para responder a pedidos dos atacantes digitais.

 

Os desafios não são os mesmos, são bem maiores, mas os erros sim, são exatamente os mesmos cometidos no passado. Os erros cometidos pelas empresas de hoje são os mesmos cometidos a 14 anos atrás. Continuamos fornecendo artefatos, criando possibilidades gigantes para os atacantes digitais. Se você sente que vive em um momento de calmaria, possivelmente você se encontra no olho do furacão.  Vejo mais do que uma tempestade se aproximando, vejo um verdadeiro furação!

 

Denis Souza

 

Links indicados:

Ransomware móvel triplicou no primeiro trimestre de 2017

Ransomware e phishing estão no topo das ameaças corporativas

51% das empresas brasileiras foram vítimas de ataques ransomware no ano passado

O Adylkuzz é mais perigoso do que o WannaCry

Relatório sobre desenvolvimento de ameaças de computador

Grupo de atacantes ShadowBrokers

Prejuizo financeiro para as empresas com o WannaCry

Mais de 220 companhias são alvo de vírus no país

 

 

Como administrar melhor o tempo e prioridades

Nos dias atuais temos cada vez mais nos dedicado ao trabalho full time. Temos que nos policiar para não ficarmos o tempo todo olhando e-mails, redes sociais, através do celular, tablets etc..

O grande desafio que se coloca é como nesse mundo de informações e comunicação bidirecional, podemos selecionar o que de fato interessa.

Eu tenho um hábito de ler jornais todas as manhãs, primeiramente olho a 1ª. página para justamente selecionar as reportagens que me interessa. Depois vou direto nas seções que costumo ler diariamente.

Ora, essa mesma disciplina ao ler jornais, adoto ao selecionar as notícias que me interessam durante o dia. Entre uma reunião e outra, costumo olhar para o clipping de notícias para me atualizar.

Outra questão fundamental no dia a dia agitado que vivemos, é dar “prioridade ao prioritário”. Não perca tempo com questões periféricas ou de menor importância. Foque no que de fato interessa para o seu negócio.

Pense sempre antes de avaliar ou expor uma ideia em ser o mais sucinto possível, indo direto ao ponto. As vezes essa atitude pode ser interpretada como arrogante ou prepotente, mas nada mais é do que ganhar o que há de mais precioso: “tempo”.

Quando analisarmos oportunidades de negócio, aquisições ou novos produtos/serviços, buscamos sempre olhar benchmarks e trabalhar um business plan realista, mesmo porque se o negócio andar, certamente aquela base de informação e resultado previstos se tornarão metas a serem alcançadas objetivamente. Ou seja, essa mesma praticidade e realidade deve ser aplicada em avaliação de oportunidades.

A mensagem importante aqui é tente sempre se policiar para não desperdiçar tempo com coisas inúteis ou de pouca importância. Foque de fato naquilo que é fundamental e relevante, até para sobrar tempo para nós mesmos.

Como buscar mão de obra qualificada

Eis o grande desafio que todas as empresas enfrentam nos dias de hoje: mão de obra.

Além de não ser suficiente a quantidade de formandos – que para nossa indústria vem dos cursos de ciência da computação, engenharia, publicidade etc. – a qualidade dos recém-formados é cada vez mais deficiente no Brasil.

No UOL DIVEO temos resolvido, ou tentado resolver essa questão, por três caminhos: o primeiro é apoiarmos instituições educacionais com bolsa de estudos oferecidas diretamente a alunos que se encaixam no nosso perfil de necessidade profissional. O segundo, é de promovermos cursos, certificações e aperfeiçoamento profissional para nossos colaboradores, geralmente em parceria com os fornecedores. Esses cursos podem ser ministrados no Brasil ou no exterior. Outro caminho que adotamos é o de fazermos intenso treinamento interno através dos chamados multiplicadores (pessoas que foram treinadas e possuem perfil de replicadores de conhecimento, quer seja técnico ou comportamental). Ano passado treinamos mais de 50% de nosso corpo de profissionais.

Nos encontros anuais com todos os funcionários do UOL DIVEO aproveitamos para reforçar as mensagens de Missão, Visão e Valores da Companhia, que não deixa de ser uma forma de reforçar a identidade da empresa e de treinar nossos colaboradores.

O perfil dos profissionais, de todos os tipos de empresa, vem mudando absurdamente. Na nossa indústria então, a mudança é notória e visível, desde o visual mais casual de se vestir, fisionomia, até o mais importante a meu ver, que é o comportamento.

Apesar da escolaridade ser muito qualificada (superior completo/incompleto + pós-graduação representa 92% dos profissionais), a grande massa de colaboradores por ser jovem, requer um acompanhamento bastante próximo dos gestores, esses sim, mais maduros e experientes, para mantê-los motivados e comprometidos.

Outro dia li que a chamada geração Z – pessoas que nasceram na virada do milênio para cá – já representa 27% da população mundial. Estamos falando em 2 bilhões de habitantes com esse perfil. São pessoas muito mais “antenadas” e acostumadas em usar a tecnologia de forma natural e intuitiva. São menos apegadas a valores tradicionais e, portanto, mais abertas à consumirem o novo, não tendo amarras que as inibam de expor ideias e formas de agir e pensar.

Não tenha nenhuma dúvida que essa geração nos desafia a buscar formas de criar fidelização às companhias e motivação para execução de suas tarefas. Só mesmo estando muito próximo a elas conseguiremos evoluir nessa importante missão.

 

OpenShift e o Desafio dos Containers

Apresentando o Container

O primeiro ponto que precisamos entender é o tema Container. Podemos dizer que um Container é um isolamento de aplicações dentro de um sistema operacional, onde é possível individualizar diversas aplicações em uma mesma infraestrutura física compartilhando acesso internet, disco, processamento e memória. Ao usarmos Container conseguimos prover limites de isolamento para cada aplicação, ampliando não só a segurança do ambiente, mas também o desempenho das aplicações. Entretanto, você pode questionar: Denis, mas isto é o conceito de virtualização como eu já conheço! A resposta é um grande e sonoro “não”. Vamos aprofundar o tema para deixar mais claro, pois existem diferenças muito importantes para o nosso estudo.

Primeiro precisamos entender os motivos que estão fazendo com que o uso de Containers seja cada vez mais popular. Tenha em mente que quando fazemos uso da virtualização tradicional usamos um software chamado virtualizador (hypervisor), que é responsável pelo compartilhamento do hardware físico (memória, disco, processador, placa de rede, porta USB, etc) entre diversos sistemas operacionais (Guest OS/Máquina Virtual). Cada sistema operacional pode ser distinto (Windows, Linux, FreeBSD, etc), necessitando apenas manter a compatibilidade com a plataforma física selecionada que suporta este ambiente computacional.

Para compreender mais profundamente, considere o uso de uma máquina virtual, onde colocamos diversas aplicações. Imagine o que pode acontecer se uma aplicação for invadida, por exemplo? Neste cenário, todo o ambiente pode ser comprometido ou ainda o que aconteceria se uma aplicação apresentar um problema de desenvolvimento e consumir grande parte da memória deste servidor? Possivelmente teremos todas as outras aplicações prejudicadas.

Pensando ainda na maneira tradicional, como solucionaríamos este problema? Basta criar um ambiente com servidores redundantes contendo o mesmo virtualizador e configurar nele várias máquinas virtuais (VMs) separando as aplicações. Claro que o impacto negativo deste modelo é guiado principalmente pelo custo, principalmente se desenvolvermos um projeto onde o uso de sistemas operacionais exige licenciamento. Para materializar o que foi dito até o momento, observe o gráfico seguinte:

tabela

 

Note como é diferente o desenho de aplicações inseridas em VMs e aplicações projetadas para ambientes com Containers.  Se continuarmos a olhar para o tema “custo”, perceberemos que licenciamos apenas um sistema operacional e configuramos diversas aplicações individualizadas em quantos Containers forem necessários ou suportados pelo hardware usado. Vamos ampliar os horizontes este conceito para o ambiente de Cloud Pública ou Cloud Privada. Ao fazermos isto, perceberemos que é cada vez mais natural o uso de duas tecnologias importantes: Docker (https://www.docker.com/) e Kubernetes (http://kubernetes.io/).  Vamos estudá-los um pouco e identificar quais benefícios podemos encontrar neles.

 

Entendendo Docker, Kubernetes e OpenShift

Ponto 1: Docker é uma plataforma onde um Container é tratado como uma “imagem” contendo todos os elementos para o funcionamento de uma aplicação. Assim a ideia de compartilhar e colaborar muito usada por uma equipe de desenvolvedores é facilmente mantida.

Ponto 2: Docker consegue controlar atualizações, mapear as mudanças ou controlar de maneira automática todo o ciclo de vida de uma aplicação contida em uma imagem. Neste cenário não existe a preocupação em depositar uma aplicação em um ambiente de homologação e sofrer com problemas de funcionamento ao migrar para o ambiente de produção. O segredo é que tudo que é necessário para a aplicação funcionar está dentro do Container.

Ponto 3: E o que podemos falar a respeito do Kubernetes? É importante termos em mente que é inviável controlar manualmente o ciclo de vida de uma quantidade elevada de Containers devido a diversos fatores, dentre eles podemos citar a ordem com que eles são iniciados, por exemplo. É neste tema que entra o Kubernetes. O Google faz uso dele há mais de 15 anos para controlar as cargas de trabalhos (workloads) existentes em seus Data Centers. Desta forma podemos encontrar nele elementos como:

  • Controle da saúde de cada aplicação durante o processo de deploy, facilitando a identificação de problemas, possibilitando a reinicialização do Container que falhar, substituindo ou até reagendando um Container quando uma máquina virtual falhar;
  • Presença de Load Balance (Balanceador de Carga) para controlar o fluxo de acesso a aplicação duplicada;
  • Crescimento ou demolição automática da quantidade de réplicas de uma aplicação. Isto é feito com o controle da quantidade de Containers seguindo as regras previamente estabelecidas ou interagindo diretamente via linha de comando.
  • Crescimento horizontal da aplicação usando Containers;
  • Execução de tarefas usando arquivos em lotes para otimizar e automatizar atividades de maneira sequencial que normalmente seriam feitas por técnicos ou programadores (Batch).

Imagine se uníssemos em uma única plataforma todas as funcionalidades e benefícios do Docker com o Kubernetes. Claro que seria algo fantástico, mas será que realmente é possível? Tenho uma ótima notícia para você, esta pergunta já foi respondida com um grande “sim” pela Red Hat com a criação do OpenShift em 2013. O OpenShift posiciona-se como um PaaS (Plataforma como Serviço/Platform as a Service) permitindo simplificar o desenvolvimento, acrescentando ganho de escala nas aplicações em diversos tipos de ambientes e deixando mais simples o armazenamento de aplicações.

Para o UOL DIVEO introduzir o OpenShift em nossas atividades foi um caminho natural trilhado pela parceria de longa data com a Red Hat. Nossa experiência nos possibilita entender a necessidade de dinamismo em um mundo que segue com força para a transformação digital e nos capacita a desenvolver diversos modelos de projetos envolvendo OpenShift.

Esta parceria proporciona ganhos para os nossos clientes, pois permite um acesso direto ao suporte especializado e diferenciado, juntamente com treinamentos e certificações para nossa equipe, garantindo acesso às novidades e lançamentos da Red Hat com bastante antecedência.

 

Denis Souza

 

Links indicados: