Avaliação do Usuário

Estrela ativaEstrela ativaEstrela ativaEstrela ativaEstrela ativa
 

INTRODUÇÃO

Este desafio profissional tem o objetivo de avaliar os conhecimentos adquiridos nos estudos das disciplinas componentes do Módulo B do curso de MBA em Gestão de TI e compreende da análise de uma situação hipotética – uma situação problema de uma empresa que oferece serviços de Tecnologia da Informação.

De acordo com a problemática proposta, tal empresa oferece consultoria na implantação de Sistemas Integrados, vendendo os em módulos prontos sem a possibilidade de adaptação. No entanto, um grande cliente solicitou o serviço de consultoria em Sistemas ERP (Enterprise Resource Planning) desejando adaptar todos ou alguns módulos aos seus próprios modelos de negócio, apresentando, dessa forma, um desafio a empresa. Ainda nesse cenário, se inclui ainda o fato da empresa ter sofrido um ataque de Negação de Serviço (DoS – Denial of Service) comandado por um ex-funcionário.

Para alcançar o objetivo desse desafio, o problema será abordado em três etapas: na primeira etapa será estudado o atendimento ou não da solicitação do cliente de adaptar os módulos ERP aos seus negócios, na segunda etapa será abordado o ataque sofrido pela empresa, e na terceira etapa definiremos as ações a serem tomadas com relação ao autor do ataque à luz da legalidade. 

1. 1ª ETAPA - ADAPTAR OU NÃO OS MÓDULOS ERP

Um sistema ERP é um sistema de software integrado capaz de reunir em si todas as funções básicas de uma organização tais como produção, distribuição, vendas, finanças e gestão de recursos humanos. Cada uma dessas funções básicas que podemos chamar de funções de negócios principais se desdobra cada uma, em uma série de outras funcionalidades, apresentando uma lista considerável de outras funcionalidades, por exemplo, para a área de finanças encontramos: contas a pagar e receber, contabilidade e ativos, gestão de caixa, custo de produtos, análises de rentabilidade, etc. Cada uma dessas funcionalidades gerando muitas outras funções menores a serem implementadas.

Se deixando levar por uma análise superficial consideraremos lógica a implantação de um sistema ERP em toda organização, já que as vantagens advindas disso seriam os benefícios estratégicos e táticos, melhores decisões e também mais rápidas, entre outras tantas vantagens. Como não podia deixar de ser, isso não é tão simples como parece. A implantação de um sistema integrado explora toda a organização e em toda a sua dimensão. É um trabalho minucioso e complexo capaz de abalar os planos, processos e também as atividades mais elementares.

Mas, não é só isso. Há de se considerar duas possibilidades: a de vender e implantar o sistema composto de módulos prontos, já que um ERP se concentra em funções de negócio básicas da organização, e a possibilidade de atender o cliente e realizar a adaptação dos módulos aos processos de negócio do cliente. Na primeira, caso seja a possibilidade escolhida, o grande desafio será a de colocar em operação um sistema novo e fazê-lo se comunicar com a cultura organizacional da organização. Essa cultura precisará ser modificada, trabalhada no sentido de trazer toda essa bagagem para dentro de um sistema modular. Isso implica na mudança de hábitos, de atividades, e de até muitos processos já enraizados por todos os colaboradores. Sendo assim, eis alguns problemas que devem surgir aqui: definição de requisitos imprecisa, resistência por parte dos usuários, não conformidade dos dados, ou seja, o sistema como está pode não comportar corretamente os dados do negócio, má adequação de processos, entre outros muitos problemas.

Considerando a segunda possibilidade, a de atender o cliente e adaptar os módulos ao negócio, os fatores de causa de fracasso podem crescer exponencialmente, pois aqui se trata de alto nível de abstração do negócio, domínio de técnicas, gestão e conhecimentos diversos. Aqui se trata de traduzir a cultura da organização para um produto de software. Nesse nível se fala de custos muito altos, aplicação de especialistas de domínio, muito tempo de implementação e implantação.

A aceitação da implantação do ERP adaptado é uma decisão que deve ser tomada levando em considerações alguns fatores que podem afetar a empresa como um todo. Como dito antes, adaptar os módulos aos processos do negócio demandará conhecimento, habilidades, competências que até então, talvez, não estavam presentes na empresa, ou não estavam maduros. Será necessário uma equipe de projeto capaz de fazer com que um sistema de computador represente, quase que fielmente, os processos e as informações da empresa, e isso é uma tarefa que exige um nível de abstração e auto grau de especialização muito elevada. Uma infraestrutura completa também se faz necessário para suportar as mudanças e atender aos requisitos do negócio. Alguns fatores a serem atendidos e controlados para o sucesso desta implantação seriam: a gestão do projeto, a mudança de gestão, o alinhamento do negócio com o ERP, supervisão e planejamento. Como vantagens dessa decisão pode-se ressaltar o crescimento técnico da empresa em face da nova experiência que o desenvolvimento de módulos adaptados traria, a abertura de mercado por oferecer um novo serviço, equipes especializadas e motivadas a se desafiarem, entre muitas. Como desvantagens destacam-se a possibilidade de fracasso frente ao desconhecido, prejuízo oriundos da má aplicação do investimento, não conseguir alinhar os negócios com o sistema, entre muitos também.

A não aceitação do projeto traria certo conforto, pois a empresa não precisaria investir em profissionais de outras áreas para tentar realizar algo novo, estranho a sua experiência, já que seu forte é justamente os módulos não adaptáveis. A possibilidade de sucesso seria maior. O temor, neste caso, seria a não satisfação do cliente que teria que se adaptar a um módulo pronto, fechado. Esse tipo de frustração não é bom pra uma empresa de tecnologia da informação.

2. O ATAQUE DoS

A empresa figurada na situação problema sofreu um ataque relacionado à segurança de redes, a chamada Negação de Serviços (Denial of Services, ou negação de serviços). Esse ataque se caracteriza pelo envio indiscriminado de requisitações feitas a um computador, no caso, o servidor web da empresa, por onde se comunicam muitas das informações das atividades e projetos da organização.

Após análise realizada, descobriu-se que o autor do ataque foi um ex-funcionário da empresa que, a partir do seu computador pessoal, se utilizou de computadores desprotegidos e ligados na Internet para lançar coordenadamente o ataque. O seu computador, denominado “master” fez com que os computadores da rede, denominados “agentes” realizassem solicitações ininterruptas ao servidor da empresa causando a queda do mesmo interrompendo os serviços prestados.

Como medida reativa, todo o serviço foi parado por um breve período com o fim de se estabelecer uma política de segurança que permita tratar esse tipo de ataque. Não existe uma fórmula mágica para evitar os ataques DoS, mas algumas estratégias de prevenção são válidas para tentar contê-lo. Na reinicialização, algumas estratégias foram implementadas:
  • A segurança dos computadores foi incrementada;
  • Realizadas atualizações necessárias;
  • Aplicação de filtros anti-spoofing;
  • Limitação da banda por tipo de tráfego;
  • Estabelecimento de um plano de contingência; e
  • Planejamento prévio dos procedimentos de resposta ao ataque.

É evidente que só as medidas técnicas não são suficientes para se prevenir de ataques como estes. Questões que envolvem políticas de segurança de TI, políticas humanas de relacionamento, e também a legislação a respeito do assunto podem e devem ser exploradas.

3. AÇÕES LEGAIS A RESPEITO DO ATAQUE

Existe uma lista considerável de categorias delitivas conhecidas atualmente. Como exemplo pode-se listar a cibergrilagem, o desvio de DNS – Domain Name System, fraudes eletrônicas, apropriação de chaves secretas, intrusão, falsidade de documentos eletrônicos, entre muitos. Mas, o que melhor tipifica o problema de invasão supramencionado é de sabotagem informática.

Segundo o conceito, sabotagem informática se caracteriza quando do atentado contra a funcionalidade de um sistema informático dirigido a danificar ou destruir sistemas eletrônicos, suas instalações, seus dados, informações, programas, ou ainda a interrupção, mesmo que parcial, de seu funcionamento. Neste ponto encontramos uma definição que melhor se adéqua ao fato ocorrido. Aos olhos da segurança de computadores, se faz necessário analisar os requisitos de confidencialidade, integridade e disponibilidade, sendo este último, o foco da questão, pois este designa um funcionamento e desempenho de sistema, de forma que esse se encontrará apto para o fornecimento de informações sempre que se fizer necessário. Este foi, sem dúvida, o alvo do autor do ataque DoS: causar danos sabotando o sistema e interrompendo-o a disponibilidade.

Para uma ação direta contra o autor, o ilícito da sabotagem informática será considerado. A questão é justamente sua legalidade perante o Código Penal Brasileiro, que ainda carece de atualização quanto a dispositivos relacionados a segurança de computadores. Há, no entanto, proposta de revisão do Código Penal, elaborada por uma comissão especial de juristas, incluindo na lei, penas específicas para casos de crimes cometidos com o uso da Internet. Basicamente são tipificados os crimes de intrusão e sabotagem informática. O dispositivo que se aplicaria para o caso está previsto no artigo 150-C (Sabotagem Informática) da proposta de lei: Interferir de qualquer forma, indevidamente ou sem autorização, contra a funcionalidade do sistema informático ou comunicação de dados informáticos, causando-lhe entrave, impedimento, interrupção ou perturbação grave, ainda que parcial.
Pena – prisão, de 1 (um) a 2 (dois) anos, e multa.

Seja social. Compartilhe!