Qual a diferença entre expor uma vulnerabilidade e invadir um site?

Qual a barreira que separa o legítimo direito de saber que as suas informações pessoais estão protegidas contra acesso não autorizado e invadir um site? O caso do colégio Bandeirantes (Vazam na Internet dados sigilosos de alunos de escola tradicional de SP, http://idgnow.com.br/internet/2015/03/19/vazam-na-internet-dados-sigilosos-de-alunos-de-escola-tradicional-de-sp/, acessado em 30/03/2015) é um claro exemplo de que o Brasil está atrasado em termos da segurança digital. Ao divulgar um vídeo sobre como acessar informações sobre os alunos, um estudante foi suspenso pela direção da escola sob a alegação de ter invadido o site do colégio. Os outros estudantes protestaram contra tal medida.

A primeira coisa que precisa ficar muito clara é que as informações sobre uma pessoa pertencem à esta pessoa e portanto os alunos deveriam ter o direito de acessar os comentários dos professores sobre eles. Se tal acesso é permitido pela escola aos pais então eles deveriam ter oferecido tais informações aos seus filhos ou deveriam ter exigido que os donos das informações tivessem acesso a elas.

Claramente, a falta de transparência gerou a curiosidade e incentivou o trabalho de pesquisa sobre como acessar. Ter divulgado um vídeo sobre como fazer o acesso, não pode ser considerado como o infringimento de qualquer norma e regulamento. Uma escola atenda ao seu dever de educar e proteger os alunos, teria visto o vídeo e corrigido imediatamente a porta aberta. Se o caso ganhou tal dimensão foi porque a escola tinha uma política de segurança falha. Qualquer um que armazene informações sobre terceiros tem a obrigação de manter práticas de segurança efetivas contra acesso não autorizado. Se a escola não tem condições de manter uma engenharia de segurança capacitada no seu quadro de funcionários então ele não deve disponibilizar informações sobre terceiros pela Internet.

O caso revela muito mais do que os artigos dizem. Os pais devem verificar as políticas de segurança para as informações acessíveis pela Internet. Foi demonstrada a capacitação de um aluno curioso, mas poderia muito bem ter ocorrido à malícia de um ataque de criminosos interessados nestas informações para fins ameaçadores. Por respeito aos envolvidos não vou revelar o que poderia ser feito com tais informações, mas posso assegurar que vários danos no mundo real poderiam ter sido causados.

Ao invés de suspender o aluno que divulgou o vídeo e enfrentar protestos, a escola deveria ter submetido para os seus alunos diversas aulas de segurança digital. Pode parecer inocente e inteligente, mas a escolha de divulgar um vídeo sobre como acessar as informações gerou uma exposição desnecessária da vida privada deles e poderia ter gerado problemas graves. É preciso instruir este aluno que ele deveria ter mostrado a falha de segurança para os seus pais imediatamente a sua descoberta e estes deveriam ter exigido uma correção imediata do problema ou a desconexão destes servidores da Internet. Ele colocou todos os alunos em situação de risco. Punir o aluno não é uma solução. A escola que deveria proteger os alunos falhou e deve assumir o seu erro.

O aluno que descobrir vulnerabilidade no site da escola deve informar os pais em primeiro lugar, porque eles precisam saber que a escola está falhando na segurança digital. Os pais devem exigir transparência na segurança digital através de auditorias externas e testes de invasão. Da mesma forma que a escola responde pela limpeza e segurança física dos alunos perante os pais e responsáveis, a segurança digital deve ser alvo de tais cuidados. Os alunos do Bandeirantes que estão acostumados com carros blindados e até escolta devem também ser acostumados com proteções no mundo virtual. Como a mesma falha pode estar presente em outras escolas seria adequado que toda a sociedade cobre auditórias e políticas de segurança das escolas que oferecem acesso as informações dos alunos pela Internet.

Alunos, governos e pais estão inseridos em um novo mundo. É preciso que todos entendam que segurança digital não é apenas um antivírus nos computadores. É preciso cobrar das escolas que elas apresentem proteções contra acessos não autorizados 24 horas por dia e 365 dias por anos. As escolas nacionais abrigam as futuras lideranças do Brasil. A divulgação de informações não autorizadas pode prejudicar a carreira destes jovens no futuro. O caso do colégio Bandeirantes é um dos primeiros com grande repercussão, no entanto não é o único. As escolas armazenam imagens de câmeras e diversas informações que pertencem aos alunos. Os pais e educadores da escola tem o pleno direito de acesso às estas informações para oferecer a melhor educação possível para os alunos. As escolas têm o dever de assegurar que apenas acessos autorizados sejam permitidos.

Gerenciamento financeiro do Service Desk - Básico

A crise econômica tem como virtude a revisão de práticas e atitudes operacionais. O ajuste fiscal do Brasil de 2015 é uma crise de tal dimensão que os seus efeitos não cabem no ano. Em 2016 e 2017, os brasileiros ainda estarão sentindo as consequências da crise de 2015. O Service Desk vem se movimentando com vigor na direção do gerenciamento financeiro no primeiro trimestre de 2015. Muitos estão encerrando a fase romântica da gestão por tentativa e erro e assumiram que precisam de números reais e concretos para oferecer melhorias para os seus clientes.

Dos questionamentos que tenho recebido, o mais frequente é como calcular o custo de um chamado. Alguns usam o ultrapassado método de usar as horas registradas em uma planilha para calcular o custo de um chamado. Em poucos segundos foi demonstrado para estes gestores os graves erros de tal procedimento. Não existiu necessidade de explicitar o resultado fracassado do modelo utilizado, porque todos já perceberam na boca do seu caixa que a bufunfa mingou.

A crise eliminou o efeito ilusório da circulação monetária no caixa do Service Desk e o expôs a dureza dos números. Um gestor resolveu justificar o uso da planilha de horas alegando que 80% dos custos da sua empresa eram referentes aos recursos humanos. Eu provei em alguns segundos que tal resultado é impossível diante da carga tributária brasileira. Como não tinha sentido avançar a análise em caso de falta de descumprimento da legislação nacional, eu expliquei que a vida é muito curta para passarmos uma grande parte com medo de fiscais da receita e trabalhistas. As vezes a proposta de negócio é inviável. Neste caso, o melhor a fazer é aprender mais sobre o Service Desk ou escolher atuar em uma área da atividade econômica mais básica.

Tipicamente uma empresa gasta 20 a 30% do seu custo total em comunicação, em torno de 20% em propaganda e marketing e ainda existem os custos da contabilidade, infraestrutura, impostos e etc. No caldeirão dos custos, uma empresa de Service Desk ou serviços gasta cerca de 60% do seu custo total em ações que não podem ser custeadas diretamente para um cliente ou serviço. Os gastos em propaganda e marketing são essenciais para que a empresa não fique refém de um único cliente. Mesmo que ele seja muito grande é um risco enorme.

A importância da propaganda e marketing é elevada em qualquer tipo e tamanho de negócio. No entanto, o básico da gestão diz que é preciso estar preparado contra imprevistos. Isto significa que é necessário fazer uma provisão contra devedores duvidosos. Os anos seguintes a 2015, vão ser marcados pela continuidade da crise. A real crise que é de confiança apenas começou e empresas de todos os portes estão entrando no perigoso balanço negativo.

Sempre que falo em estrutura empresarial aparecem os arautos do saber que dizem que os seus concorrentes não fazem nada disto e se ele fizer o que deve ser feito, ele vai ficar em desvantagem. Nas crises passadas também existiram tais argumentos. O resultado dos que insistiram na falta de lógica foi a falência. Alguns estão por aí porque saíram de atividades formais e foram para a ilegalidade da informalidade. Como nem todos querem viver com medo das fiscalizações, os que escutaram o bom senso agiram na hora certa e estão mais fortes.

Voltando à questão do custo do chamado, ficou bastante claro que o uso de planilhas de horas é um método caro e impreciso porque a maior parte do custo total de uma empresa de serviços está relacionada com gastos gerais da estrutura organizacional. Então, como alocar diretamente para um cliente a manutenção da infraestrutura de comunicação ou as despesas de propaganda e marketing? Como estabelecer comparações em horas gastas pelos funcionários na realização da mesma tarefa se as condições do ambiente operacional são completamente diferentes? Usar tais números para dimensionar treinamentos mostra um completo desconhecimento do que é realizado. Um atendente do Service Desk que gastou duas horas para consertar um servidor de correio eletrônico não necessariamente teve desempenho pior do que o atendente que gastou uma hora (metade do tempo) para consertar o mesmo servidor no mês passado.

A diferença de tempo entre um e outro é que o segundo pegou a documentação toda bagunçada após o trabalho do primeiro e teve que voltar passos para identificar o real problema do servidor e no final ele documentou tudo para ter certeza que o mesmo problema não iria acontecer de novos. Gestores que desconhecem TI acham que podem usar planilha de horas para medir desempenho, lucro ou necessidade de treinamento. Felizmente as crises vem tirando o espaço deste profissional e agora os gestores capacitados sabem que é preciso medir o desempenho dos serviços com seriedade.

O jeito mais fácil de medir o custo de um chamado é dividindo o custo total pela quantidade de chamados. O problema deste modelo é que ele desconsidera que chamados diferentes necessitam de recursos diferentes e portanto tem custos diferentes. Apesar do modelo funcionar bem em alguns raros casos, em geral ele é impreciso. A melhor forma de resolver o problema das diferenças é usar a estatística. É fácil perceber que as empresas de serviço têm entre três e cinco perfis diferentes de serviços. Cada um dos tipos tem característica e necessidade de recursos bem definida. Isto significa que é possível usar a média ponderada para calcular o custo de cada chamado. O resultado é muito mais preciso e menos oneroso do que o ultrapassado modelo de planilha de horas.

Para que as limitações do modelo de planilha de horas para medir lucro e desempenho dos atendentes do Service Desk fiquem claras vou usar um exemplo do mundo real. Foi a aberto um chamado para recuperação de um servidor de correio eletrônico. O técnico 1 gastou uma hora na sua recuperação. Seis meses depois foi aberto um novo chamado para a recuperação do mesmo servidor e o técnico 2 gastou dez horas na sua recuperação. Qual técnico teve melhor desempenho? Qual técnico gerou maior lucro para a empresa de serviços?

O gestor despreparado que usa o ultrapassado modelo de planilha de horas como ferramenta de gerenciamento vai gastar dinheiro do Service Desk treinamento o técnico 2 e vai afirmar que o primeiro chamado atendido pelo técnico 1 gerou maior lucro. O gestor capacitado que sabe que gerenciar é analisar o filme e não uma foto vai treinar o técnico 1 e parabenizar o técnico 2 pelo lucro gerado. Porque tanta diferença de avaliação. O detalhamento do caso explícita as razões. Os dois técnicos recebem o mesmo salário hora e o lucro só é real quando ele entra no caixa da empresa.

Como o técnico 1 sabe que é usada uma planilha de horas para medir o desempenho, então ele foi lá e encontrou uma solução de contorno para o problema sem identificar a sua causa raiz. Vários parâmetros do servidor foram alterados e ele não documentou as mudanças para poupar tempo e finalizar rapidamente o atendimento. Depois deste atendimento foram abertos diversos novos chamados para este servidor, sem identificação do problema porque as mudanças realizadas pelo técnico 1 não foram documentadas. Todos os técnicos repetiram o comportamento do técnico 1 e fechavam o chamado após um desligar e ligar do servidor. Todos queriam boas avaliações pelo rápido atendimento.

Na nova parada do servidor de correio eletrônico, o cliente já estava aborrecido e rejeitou a visita de todos os técnicos anteriores. Ele ordenou um técnico que resolva o problema em definitivo. O técnico 2 gastou dez horas no atendimento, porque ele inicialmente verificou todos os parâmetros do servidor e consertou e documentou a configuração. Depois ele identificou a causa raiz do problema e baixou a correção. Após esta visita o servidor funcionou por anos sem problemas.

O capacitado cliente fez uma revisão de todas as ordens de serviço realizadas e exigiu o estorno de todos os valores cobrados incluindo a visita do técnico 1. O lucro que gerente despreparado disse que conseguiu pela sua brilhante estratégia de usar a planilha de horas foi totalmente perdido pelo estorno exigido pelo cliente. Para não perder o contrato e ser processado, o Service Desk aceitou o estorno e o que era um lucro virou uma perda.

Quanto custa não planejar?

A copa do mundo de futebol no Brasil em 2014 foi um evento tão especial que ela é uma das raras situações onde é possível quantificar com precisão os benefícios do planejamento desenvolvido por um escritório de projetos. O artigo “Lucro da Fifa com Copa no Brasil atinge valor recorde” publicado no jornal Folha de São Paulo (http://www1.folha.uol.com.br/fsp/esporte/212849-lucro-da-fifa-com-copa-no-brasil-atinge-valor-recorde.shtml) no sábado 21 de março de 2015, revelou que a Fifa lucrou 8,4 bilhões de Reais com a realização da copa do mundo de futebol no Brasil. Como diria o “molusco mor”, nunca na história deste país a Fifa ganhou tanto dinheiro. O lucro foi bem maior que o da copa de 2010 na África do Sul (R$ 7,6 bi) e em 2006 na Alemanha (R$ 6,4 bi).

A FIFA planejou cuidadosamente este lucro desde o momento em que conquistou renúncias na arrecadação de impostos que caberiam à ela, parceiras, empreiteiras e afins de 1,1 bilhões de Reais no período de 2010 a 2014 apenas em impostos federais (Fonte: Tribunal de Contas da União). É impossível negar que o projeto da copa de 2014 foi muito bem planejado e executado pelos profissionais da Fifa.

O Brasil que apesar dos puxões de orelhas e chutes na retaguarda da FIFA, escolheu a estratégia do improviso para a realização da copa do mundo celebrada na celebre frase do ministro dos esportes da época de que o ápice de um casamento é o atraso da noiva, conquistou como resultado um enorme prejuízo financeiro. Em março de 2015, o prejuízo desde o fim da copa dos estádios de Brasília, Manaus e Cuiabá alcançou a cifra de 10 milhões de Reais. Como as perdas são mensais, a cada dia o prejuízo aumenta.

A falta de planejamento e gestão do projeto copa do mundo gerou a impressionante situação onde o mesmo país concedeu R$ 1,1 bilhão de isenção em impostos federais para a realização da copa vem no início do ano de 2015 (poucos meses após a copa) com um ajuste fiscal de aumento de impostos e tarifas públicas. Em outras palavras, os trabalhadores foram chamados para pagar a conta do improviso e falta de planejamento.

A consequência da ausência de um projeto para explorar oportunidades derivadas do evento pode ser vista no déficit recorde em transações correntes em 2014 de quase 91 bilhões de dólares. O resultado negativo da balança comercial de 2014 foi o pior desde o ano de 2001. Um bom plano teria aproveitado a oportunidades e gerado receitas recordes do turismo. Como diziam os membros da petelândia: “É tois na fita”.

Suporte nota dez

Existem diversas oportunidades de melhoria para o atendimento do suporte de Tecnologia de Informações e Comunicações (TI ou TIC). Os usuários estão cada vez mais descontentes. Os quatro principais motivos para a insatisfação dos usuários estão relacionados com a interação com os atendentes. O primeiro motivo é que o resultado de uma espera de horas pelo usuário por uma resposta. Estamos falando de uma experiência frustrante.

O segundo motivo está relacionado com a crença que basta pertencer a geração Z ou geração Millenium ou geração Y para ser um nativo digital e ser um especialista em computadores e equipamentos eletrônicos. O contato dos profissionais das gerações dos nativos digitais com os usuários mais velhos está extremamente empobrecido. Eles simplesmente assumem que tudo sabem e os usuários não entendem o que acontecendo e desligam o seu ouvido. Estes atendentes não escutam o que está sendo falado pelos usuários e por causa disto os defeitos se repetem diversas vezes.

A falta de capacidade auditiva impede que o problema seja reconhecido e resolvido. Em outras situações a central simplesmente não fala a mesma língua que os usuários. Os atendentes insistem em usar termos técnicos e jargões para esconder os erros e as falhas ocorridas. O terceiro motivo está relacionado com o foco do trabalho do atendimento. A equipe de suporte deve ajudar o usuário. Isto significa que prometer coisas impossíveis de entregar está fora do escopo de atuação da central de serviços. Estas promessas só atrapalham a vida do usuário.

O quarto motivo está diretamente relacionado com o modelo de contratação dos funcionários da central. Pessoas insatisfeitas não são capazes de resolver as necessidades dos usuários de forma satisfatória. Um aumento da quantidade de trabalho que gere sobrecarga resulta em atendentes desmotivados e usuários insatisfeitos. Para que os funcionários possam ser cobrados pelo desempenho é preciso que as metas sejam claras e alcançáveis. A satisfação dos usuários do suporte só acontece quando as promessas são entregues. Para as necessidades fora da capacidade de atendimento da central de serviços é preciso deixar claro que um projeto especifico será desenvolvido solicitando recursos adicionais.

Modismos

A área de TI no brasil é cheia de Modismos que propõem soluções que não resolvem e buscam apenas confrontar com as alternativas existentes. Desde 1993, eu venho presenciando um confronto entre metodologia ágil e cascata para o desenvolvimento de programas. Mais recentemente foi incorporado o DevOps nesta batalha. Nada tenho contra o DevOps e outras técnicas da metodologia ágil. Elas são boas funcionam bem e resolvem muitos problemas. Eu uso no meu dia a dia e sei do enorme valor delas.

No entanto elas não são capazes de corrigir falhas estruturais na ti brasileira. A dura realidade é que nem a metodologia ágil, nem a cascata são capazes de resolver o grave problema de qualificação da mão de obra nacional. A velocidade das mudanças nos negócios é enorme e exige um desenvolvimento cada vez mais rápido. No entanto, o desenvolvimento brasileiro ainda comete o mesmo erro por quase três décadas. Os profissionais de TI pouco ou nada conhecem sobre o negócio e por isto o processo de captura dos requisitos dos projetos é muito falho.

Em geral, a captura dos requisitos de um software é feita de uma forma apressada e amadora. Normalmente, existe a pretensão de estabelecer entre usuário e desenvolvedor sem conhecimento do negócio um canal de comunicação de duas ou três horas para os requisitos. O resultado final desta pratica é um documento horizontal com uma infinidade de requisitos e sem nenhuma verticalidade. Verticalidade significa profundidade na especificação de cada uma das funcionalidades e horizontalidade reflete a quantidade de funcionalidades. Como nem sempre todas as funcionalidades solicitadas são úteis, o desenvolvedor sai deste encontro sem saber o que vai desenvolver e o usuário acha que fez a sua parte no trabalho.

Nem metodologia ágil, nem a cascata, nem o DevOps, nem qualquer outro método é capaz de corrigir tal distorção. As empresas querem maior velocidade no desenvolvimento de software, mas não querem investir o tempo correto no projeto. Iniciar um desenvolvimento com uma enorme quantidade de funcionalidades que em geral são inúteis como requisito do projeto é pedir para fracassar. Por isto, tantos falam que o método a b ou c não funciona. É preciso elencar as prioridades e aprofundar a descrição das funcionalidades. Isto é feito através do function e code description. Apenas depois desta etapa é que é possível trabalhar eficientemente com uma metodologia de desenvolvimento. Eu já usei este procedimento várias vezes e posso atestar que o resultado final é muito bom desde que exista coerência.

O function description é o documento onde todas as funcionalidades do software são descritas com clareza e profundidade. A leitura deste documento pelo desenvolvedor faz com que ele entenda exatamente o que está sendo solicitado. O code description descreve como o código será desenvolvido. Neste documento são elencadas as prioridades das funcionalidades em função das necessidades do negócio. Este é ponto de partida para quebrar o projeto em unidades funcionais menores independentes que podem serem entregues em prazos menores. O code descrition é a linha base para as famosas trocas entre usuários e desenvolvedores. O pleno regime de trocas aumenta a velocidade das entregas porque o que é mais importante ou mais estratégico é entregue antes para a operação do negócio. Não existe perda de tempo em trabalhos irrelevantes para o negócio e novas funcionalidades podem ser incorporadas ao projeto sem impactar o custo qualidade e prazo do projeto. Neste caso, a matriz de prioridade permite trocar funcionalidades, atividades e etc. para que o objetivo de negócio seja alcançado.