As empresas têm sido forçadas a rápidas adaptações dos seus sistemas de informação de forma a satisfazer as necessidades do mercado, dos utilizadores ou mesmo devido a imposições legais, fiscais ou de segurança informática. Nos dias de hoje, as empresas necessitam de estar continuamente a atualizar e a monitorizar as suas infraestruturas (servidores, firewalls, rede, etc) e respetivos sistemas operativos, bem comunicar continuamente aos seus colaboradores e parceiros as melhores práticas de segurança informática. Esta comunicação deverá alertar para a necessidade da verificação dos domínios a partir dos quais se recebe um e-mail e/ou SMS, por forma a evitar esquemas de phishing ou de roubo de identidade, deverá promover a utilização de palavras passe seguras, que não sejam fáceis de adivinhar ou desencriptar, ou mesmo divulgar a proibição de instalar software não autorizado nos computadores da empresa. A segurança informática da sua empresa é tão forte quanto o seu elo mais fraco. Não existindo sistemas 100% seguros por vezes trata-se de identificar e mitigar os potenciais impactos que um elo mais fraco poderá ter em todo o sistema.
O contexto pandémico trouxe ainda profundas transformações, umas mais evidentes e imediatas (o aumento do comércio eletrónico e da frequência de ciber-ataques, por exemplo) e outras com impacto mais diferido, como as alterações profundas na forma de trabalhar.
Estas mudanças vieram colocar em evidência a necessidade de criação de Centros de Excelência (CoEs) que acompanhem em permanência a operação das aplicações mais críticas para a empresa, desde o seu desenvolvimento, estabelecendo as políticas e práticas de segurança, ao acompanhamento de passagens a produção e à realização de backups periódicos de informação, bem como à monitoração da operação do dia-a-dia.
Os CoEs têm ainda a responsabilidade de realizar periodicamente analises técnicas à arquitetura das aplicações e a sua integração no ecossistema aplicacional da empresa. Estas análises devem ser sempre articuladas com o departamento de cibersegurança, corrigido ou mitigando eventuais pontos de falha ou portas de entrada na organização que tenham sido identificados em auditorias de segurança.
Os CoEs podem ainda recomendar serviços de manutenção preventiva, evolutiva ou corretiva para aplicações específicas, normalmente acompanhados de serviços de desenvolvimento aplicacional. A manutenção preventiva foca-se na análise do histórico de incidentes, bem como das características específicas da infraestrutura e/ou de registo de logs da própria aplicação. Pode ser realizada manualmente, por um especialista neste tipo de temas, e/ou de uma forma automática com software específico, em alguns casos até com recurso a algoritmos de inteligência artificial. Para que seja colocada em prática é necessário olhar para os incidentes aplicacionais de uma forma mais estratégica e menos reativa, como normalmente acontece, bem como ter uma metodologia clara de como abordar o tema.
Também em situações críticas, por exemplo após um ataque cibernético grave, o conhecimento aplicacional que reside num CoE é normalmente crítico caso seja necessário reconstruir ou repor partes aplicacionais críticas para o negócio.
Por fim mas não menos importante, de referir que o trabalho dos CoEs deverá ser sempre baseado em metodologias específicas, alinhadas com as melhores práticas do mercado, que devem ser entendidas por toda a organização, por forma a que não colocar barreiras aos trabalhos necessários.
As aplicações críticas de negócios são a coluna dorsal das organizações e a vantagem competitiva nos negócios de hoje, não consiste tanto em saber quem é melhor, mas sim quem é mais rápido e ágil a adaptar-se a uma mudança de contexto. A abordagem baseada em CoEs permite às empresas focarem-se nas atividades core do seu negócio, como as vendas, o marketing ou o desenvolvimento de produto, e não se preocuparem com a manutenção aplicacional ou os impactos de ciberataques. Porque o negócio não pode parar.
Maycon Silva
Head of innovation Lab – askblue