quinta-feira, 27 de outubro de 2016

A Governança de TI e os ilusionistas

Nos últimos anos eu venho recebendo uma grande quantidade de mensagens de profissionais enaltecendo os seus méritos nos projetos de governança de Tecnologia de Informações (TI) realizados pelo setor financeiro nacional. Todos destacaram que os sistemas são robustos com elevada disponibilidade e alto nível de segurança.  Muitos destacaram os papéis que eles desempenharam nos projetos de ITIL e COBIT dos bancos. Em geral estes profissionais que destacaram o enorme avanço da governança no setor financeiro alegavam que estavam sem tempo para responder as minhas perguntas sobre como os projetos foram executados. Eles preferiam alardear apenas palavras de ordem.

Lamentavelmente a realidade dos fatos é cruel contra os que vivem no mundo das ilusões. O artigo” MPF investiga 'erro' que custou R$ 1 bilhão à Caixa” (http://epocanegocios.globo.com/Empresa/noticia/2016/10/mpf-investiga-erro-que-custou-r-1-bilhao-ao-banco.html, acessado em 27/10/2016) revelou o altíssimo custo da fragilidade da governança de TI para os bancos brasileiros. Por um erro (ainda está sendo investigado se foi realmente erro) foi publicado (entre setembro de 2008 e agosto de 2009) na produção um aplicativo com falhas estruturais que gerou uma perda de 1 bilhão de reais para o banco. Caso a governança de TI estivesse tão avançada e madura como os terceiros de empresas terceirizadoras afirmavam existiriam mecanismos e processos que impediriam que este aplicativo fosse instalado e permanecesse no ambiente de produção. No mínimo existiriam relatórios de auditoria apontando o problema, os responsáveis, as soluções e quem determinou que um aplicativo com erro entrasse em produção.

Nada disto existe. Os pejotinhas não apontaram os problemas nos relatórios de auditoria. Os que olham os fatos com conhecimento e capacitação perguntam como foi possível ter tantos profissionais enaltecendo o pleno sucesso na adoção do COBIT e ITIL e inexistir a competência de gerenciamento das liberações? A competência é um item básico destas melhores práticas.

Os fatos mostram que que o corrido não é um fato isolado. Em 2016, o processo de migração dos clientes corporativos do HSBC para o Bradesco falhou e como consequências milhares de trabalhadores não receberam os seus salários na data correta. O artigo “Clientes que eram do HSBC têm salário atrasado com migração para Bradesco” (http://www1.folha.uol.com.br/mercado/2016/10/1824084-clientes-que-eram-do-hsbc-tem-salario-atrasado-com-migracao-para-bradesco.shtml, acessado em 27/10/2016) revelou um grande volume de falhas na migração das contas pessoas jurídicas. Não existiu um plano alternativo. O básico da governança exige que antes de publicar uma revisão de um software, que o mesmo seja testado em um ambiente isolado e controlado e depois que o mesmo seja simulado fora da produção em um ambiente que é a cópia fiel do ambiente de produção. No caso explicitado pelo artigo, A falha no processo de liberação de uma nova versão de aplicação ocorreu sem a execução de um plano de contingência contra falhas (assumindo que ele existisse). O erro ocorreu e quem foi chamado para pagar a conta foram os trabalhadores que ficaram sem os seus salários.


O artigo “Caixa Econômica Federal fica fora do ar em todo o país” (http://www1.folha.uol.com.br/mercado/2014/11/1544212-caixa-economica-federal-fica-fora-do-ar-em-todo-o-pais.shtml, acessado em 27/10/2016) é de 2014. Ele reforça que as fragilidades na governança de TI estão presente no sistema financeiro nacional há muito tempo e pouco ou nada vem sendo feito para eliminá-las.

O artigo “Brechas em sites do Bradesco e do Banco do Brasil expõem milhões de clientes” (http://www1.folha.uol.com.br/tec/2013/08/1331286-brechas-em-sites-do-bradesco-e-do-banco-do-brasil-expoem-milhoes.shtml, acessado em 27/10/2016) revelou que um jovem analista de sistemas identificou falhas de segurança nos sites do Banco do Brasil, do Bradesco, do serviço de pagamentos Moip e da Boa Vista Serviços (administradora do cadastro de devedores SCPC) que expuseram a privacidade dos clientes. Foi preciso a manifestação de uma pessoa de fora para que estas organizações descobrissem as suas graves vulnerabilidades de segurança. O básico da governança de TI afirma que devem ser realizados testes periódicos de segurança e que as falhas graves devem ser corrigidas imediatamente. Mais uma vez o sistema financeiro apresentou uma governança de TI frágil.

4 comentários:

  1. Estou no início de estudos sobre Governança em TI, e realmente parece que ainda não atingimos maturidade nessa área. Há muitos gurus (e vendem muito livros) mas poucos exemplos práticos de tais aplicações.

    ResponderExcluir
  2. Olá Ricardo,

    Acompanho seu blog a algum tempo e também estou iniciando a leitura de seu livro Governança de TI: A revolução.

    Trabalho e sempre trabalhei em pequenas empresas e nelas a pressão comercial para a liberação de uma nova versão de software faça com que as boas práticas sejam esquecidas. Talvez seja esta pressão quem também leve a tantas falhas nos sistemas bancários.

    Como você vê esta questão? Qual caminho sugere para contornar estas pressões?

    ResponderExcluir
    Respostas
    1. Prezado Sedentário,

      A pressão comercial existe em diversos lugares. Para citar empregas pequenas e grandes Ela existe na cozinha de um restaurante para entregar a comida rapidamente para os clientes e fazer a casa girar no almoço ou jantar, ela no vendedor de uma loja de bairro para que o cliente compre rapidamente, ela existe no consultório médico ou dentário, ela existe na cabeleireiro. ela existe em um grande laboratório que está desenvolvendo um novo remédio, Enfim esta pressão não é exclusividade de TI. Em todos estes lugares temos de um lado a pressa para entregar o produto ou o serviço e a qualidade da entrega. Não é difícil que fora da TI e sem a grande quantidade de livros de governança tal problema foi resolvido. A pressão da entrega é equalizada com a necessidade do cliente. No caso TI tá cheio de trabalhos falando o que fazer. Mesmo assim não é feito. O primeiro passo é uma mão de obra adequadamente qualificada.

      Excluir
  3. Mansur, gosto muito de ler seus artigos.
    Percebo após cada leitura ou café contigo, o quanto ainda tenho que aprender nesta vida profissional.
    Atuando na área de GRC agora, percebo o ilusionismo na prática, e também nas empresas anteriores que prestei consultoria, só não tinha esta visão do ilusionismo.
    Vejo que os projetos de COBIT e ITIL são como projetos das lixeiras coloridas dentro das empresas e depois um funcionário vem recolhe o lixo de cada lixeira e coloca em um único saco preto. Acabando de vez com o processo de reciclagem.

    ResponderExcluir