Eduardo M Fagundes

Artigos

Coletânea de artigos técnicos e reflexões de Eduardo M. Fagundes publicados entre 2011 e 2017

Assine a Newsletter no Linkedin

Autor: Eduardo Fagundes

  • Governança de Identidade e Acesso (IAG)

    Usuários com excessivos privilégios e direitos de acesso podem causar um enorme estrago na segurança de uma organização. A gestão de identidade e soluções de governança de identidade devem fornecem recursos para gerenciar as identidades dos usuários e o que cada usuários pode acessar com base no seu papel e responsabilidades dentro da organização. Dentro do conceito de “needs to know”, ou seja, ter acesso apenas aos dados que são necessários para o bom desempenho de sua função.

    A Governança de Identidade e Acesso (Identity and acess governance, IAG) é definido com um processo para requerer, aprovar, certificar e auditar os acessos às aplicações, dados e outros serviços de TI. Também, como um processo de segurança e inteligência de negócios (BI) de como as identificações são criadas, certificadas e gerenciadas dentro das políticas e perfil dos funcionários. As ferramentas de software e serviços de IAG devem estar integradas com as ferramentas de administração e provisionamento de acessos (IAM, Identity and Access Management).

    figura-identity-and-access-governance

    A figura acima mostra a plataforma de governança de acesso (IAG) e a plataforma de administração e provisionamento (IAM). Para assegurar o compliance é importante que as duas solução sejam integradas e os processos de efetivação de acesso e controle sejam automáticos.

    No gerenciamento de identidade (IdM), dentro da plataforma de administração e provisionamento, inclui-se a gestão dos acessos dos indivíduos, suas autenticações, autorizações e seus privilégios de acesso aos sistemas de informações dentro dos limites definidos pela organização. Fazem parte do IdM as tecnologias e serviços relacionados ao gerenciamento do Active Directory, prestadores de serviços, provedores de identidade, Web Services, controle de acesso, Identidades Digitais, gerenciamento de senhas, single sign-on, tokens de segurança, serviços de token de segurança (STS), Workflows, OpenID, WS-Security, WS-Trust, SAML 2.0, OAuth e RBAC.

    O mercado de IAG evoluiu bastante entre 2004 e 2006 em resposta as necessidade das empresas na área de regulação, principalmente para atender exigências da SoX (Lei americana Sarbanes-Oxley). Questões graves de compliance eram a segregação de funções e o processo de solicitação, aprovação e certificação dos acessos às aplicações, dados e serviços de TI. A complexidade para a gestão de uma grande quantidade de atributos de segurança exigia ferramentas robustas de governança.

    Com a evolução desse mercado novas facilidades foram incorporadas aos produtos. Novos métodos de oferta de IAG, incluindo a modalidade de software como serviço (SaaS), começam a ser testadas. Começam a ser explorados recursos de controle de acessos para smartphones e tablets.

    Produtos de gestão de acesso e inteligência (IAI, Identity and Access Intelligence) oferecem avançadas funções de design, análise de comportamento, análise forense, relatórios e outras funções analíticas. A coleta de dados de identidade e acessos para a análise e correlação de dados têm se expandido para incluir a entrada de informações sobre segurança e gerenciamento de eventos (SIEM, security information and event management), prevenção de perdas (DLP, data loss prevention) e outras ferramentas de segurança.

    O que observamos é a convergência da governança e administração para uma única solução. Desta forma, as empresas que estiverem buscando uma solução de IAG devem considerar um fornecedor que tenha a habilidade de integrar todas as facilidades requeridas pelas modernas práticas de governança e administração de identidade e acesso. Isso inclui a demanda de controle para aplicações que estão hospedadas em ambientes Cloud Computing, novas práticas de negócios que requerem uso intensivo de contratados e acúmulos de funções do pessoal interno.

    Uma solução completa deve reduzir os custos de compliance, eliminar as deficiências de pontos de auditoria, acelerar a liberação de acesso às informações de negócios, gerenciar os acessos em ambiente Cloud Computing.

    Como todas as soluções de segurança, um projeto de identidade e governança de acesso não é barato. Os preços são definidos por usuários ou por processadores (PVU, Processor Value Unit). Entretanto, a justificativa para um projeto de IAG deve considerar a avalição de risco de acessos não autorizados e perda de informações. Essas análises devem oferecer a justificativa para a aprovação de um projeto de IAG.

  • Benefícios da Virtualização do I/O

    Um dos maiores desafios dos data centers é maximizar o uso de sua infraestrutura para reduzir custos. Isso inclui a redução do alto consumo de energia, que reflete diretamente no PUE (Power Usage Effectiveness), parâmetro que mede o uso eficiente de energia. Uma situação típica nos data centers é o uso desbalanceado de seus sistemas de disco. Normalmente, um sistema de armazenado (storage) está associado a um ou mais servidores de aplicação, ligados através de conexões físicas. Isso torna ineficiente a utilização da capacidade de armazenamento dos discos. Veja a figura abaixo que mostra a utilização do espaço em disco de grandes data centers da Europa e Estados Unidos. Notem que a média de utilização é de 36%, porém existe um desbalanceamento de utilização.

    figura-utilizacao-de-espaco-em-disco-io-virtualization

    Uma solução para simplificar o gerenciamento, reduzir os custos e melhorar o desempenho é fazer a virtualização do I/O (input/output) do ambiente criando em camadas superiores protocolos de alto nível para abstrair as camadas das conexões físicas. Em outras palavras, os servidores de aplicação passam a utilizar um protocolo único e virtual de I/O, independente do sistema de armazenamento, permitindo que os arquivos possam ser alocados em diferentes volumes de disco maximizando o uso de todos os discos da instalação.

    A tecnologia de virtualização do I/O permite que os adaptadores físicos apareçam como adaptadores virtuais vNICs (virtual network interface card) e vHBAs (virtual host bus adapters). Adaptadores virtuais são desenhados para serem compatíveis com sistemas operacionais, hypervisors e aplicações. Para os sistemas de comunicação eles aparecem como cartões de interfaces normais.

    Na visão do ambiente físico, a virtualização do I/O substitui as várias conexões de I/O físicas por um único cabo que permite o transporte compartilhado de dados para todas as redes e sistemas de armazenado.

    Os principais benefícios são:

    • Agilidade no gerenciamento dos recursos de armazenamento de disco e conexões de rede (NIC e HBA);
    • Redução de custos, com o melhor aproveitamento do sistema de armazenado e redução da complexidade de conexões físicas;
    • Redução do número de cabos e cartões de interfaces de I/O;
    • Aumento da densidade de processamento, permitindo instalar mais servidores em um rack.

    A principio essa solução se aplica a qualquer data center, porém deve se avaliar as características de cada aplicação. Uma aplicação de missão crítica, talvez continue a justificar o uso de conexões físicas e sistemas de armazenamento dedicados para garantir o desempenho.

  • Técnica para priorizar projetos de inovação

    Uma pergunta que recebo com frequência é como priorizar os projetos na elaboração de um portfólio de inovação. Vamos chamar cada projeto de inovação como um Acelerador de Valor (AV). Independente da indústria temos que responder as seguintes perguntas:

    • Quão boa é essa estratégia?
    • Quanta receita esse AV poderá adicionar?
    • Qual o grau de diferenciação e inédita é esse AV?
    • Quão sustentável é esse AV?
    • Temos recursos para investir nesse AV?
    • Temos pessoal e habilidades para implementar esse AV?
    • Temos confiança e experiência para fazer isso?
    • Quão fácil é esse AV para ser feito?
    • O investimento para fazer esse AV é baixo?
    • Podemos arcar com o custo do fracasso?

    Essas perguntas devem ser respondidas pelo grupo que está avaliando os aceleradores de valor e devem chegar a um consenso. Para facilitar a priorização devemos atribuir pesos para cada pergunta. Esses pesos podem variar de empresa para empresa. A soma ponderada das respostas as perguntas definirão e classificaram os aceleradores de valor. Veja uma tabela exemplo: (clique na tabela para ampliar)

    tabela-priorizacao-de-aceleradores-de-valor

  • Quais setores da economia brasileira precisam se mover mais rapidamente, para evitar possíveis impactos graves causados por inovações disruptivas?

    Quais setores da economia brasileira precisam se mover mais rapidamente, para evitar possíveis impactos graves causados por inovações disruptivas?

    Como vimos todos os setores estão ameaçados. Essa é a dinâmica do mercado. No caso brasileiro, vejo a maior ameaça é a substituição das matérias primas que exportamos por novos materiais. Atualmente, o equilíbrio da nossa balança comercial é conseguida pelas exportações de commodities, como o minério de ferro. Se alguém conseguir produzir um material sintético que elimine a necessidade do minério de ferro podemos ter dificuldades. Veja o caso do cobre e do alumínio. Atualmente, as linhas de transmissão de energia e telefonia utilizam o cobre e alumínio como condutor. Estima-se que em 2017 teremos mais de 1 bilhão usuários de telefonia móvel através de IP (VoIP) e cresce o número de empresas e residências (algumas através de cooperativas de moradores) utilizando microgeração de energia. Isso poderá reduzir a necessidade do cobre e alumínio, fazendo cair o seu preço no mercado internacional.

    Uma iniciativa disruptiva pode estar vinculada a um país. Veja o caso da China, o pais em si gerou uma disrupção através do custo baixo de sua mão de obra, controle cambial e flexibilização da legislação. A Índia aproveitou o estouro da bolha da Internet e a brutal redução dos custos de telecomunicações por fibra ótica para avançar no mercado de call centers e TI. Hoje existem sinais de aproximação entre a Coréia do Sul e Norte para uma, antes inimaginável, unificação. Imagine combinar a tecnologia da Coréia do Sul com o custo baixo da mão de obra e riquezas da Coréia do Norte. O Brasil tem que criar a sua própria iniciativa disruptiva: infraestrutura, educação, saúde, tributos e flexibilização das leis trabalhistas.

  • Como as empresas devem se posicionar em relação à busca estratégica pela inovação?

    Como as empresas devem se posicionar em relação à busca estratégica pela inovação?

    Primeiro devem criar uma cultura de inovação. Devem rever seu atual portfólio de produtos e avaliar quais que devem ter sua curva de valor (avaliação de atributos dos produtos) revista para atuar em outros mercados e novos consumidores. Desenvolver protótipos e testá-los no mercado. Devem criar novas métricas de desempenho para produtos disruptivos para dar chance de observação. Produtos disruptivos não geram receitas iguais aos produtos estrela das empresas. (no site www.efagundes.com tem um curso online gratuito que mostra o processo de identificação e desenvolvimento de produtos disruptivos).

    É previsto para 2020 que o Brasil terá o seu bônus demográfico, momento onde a maior parte da população será economicamente ativa. Isso trará um aumento de demanda bastante grande e precisaremos de produtos para esses novos consumidores (intrinsecamente conectados na Internet). Em 2030, a população brasileira se manterá estável. Atualmente, o nosso índice de natalidade é de 1,7 por família. O envelhecimento da população gerará a necessidade de novos produtos para essa parcela da população. Parando para pensar, faltam 7 anos para 2020 e 17 anos para 2030. Ou seja, as empresas já devem ter seus planos de negócios prontos para atender seus clientes nesse período.

  • Que mercados e segmentos da economia estão mais “ameaçados” pelas inovações disruptivas?

    Que mercados e segmentos da economia estão mais “ameaçados” pela potencial chegada de inovações disruptivas? Quais ramos de negócios devem ser mudados radicalmente nos próximos anos por conta dessas inovações?

    Todos mercados estão ameaçados. Estou avaliando um produto de uma startup americana que promete exames de sangue por US$1 através de um equipamento portátil conectado ao iPhone. Imagine o impacto nos laboratórios de análises clinicas. Outro produto que estamos envolvidos, também americano, promete produzir lâmpadas LED de alta intensidade por US$5 para iluminação residencial. Os cremes dentais com componentes para clareamento dos dentes, eliminando os tratamentos em consultórios dentários. O carro indiano de US$2.000. A massificação dos óculos da Google que encontrará milhares de aplicações que necessitam de transmissão ao vivo de imagem.

    Como o uso cada vez maior de smartphones vários serviços serão migrados para aplicações móveis. Um que deverá crescer é o uso do smartphone para pagamentos, substituindo os cartões de plástico.

    No setor de energia as mudanças serão grandes. Hoje na Califórnia (Estados Unidos) 10% das mansões não estão conectadas a rede pública de eletricidade, geram sua própria energia. No Brasil, existem 1 milhão de casas sem energia. A queda de preços de painéis fotovoltaicos e outras soluções de conservação e armazenamento de energia podem levar eletricidade para as populações carentes com custos reduzidos. Isso poderá evitar o investimento em linhas de transmissão de energia e a adoção de solução de geração de energia local. As concessionárias de energia estão implantando o “Smart Grid”, sistema de rede inteligentes, que permitirá a criação de pacotes de tarifas de consumo de energia como os da telefonia móvel.

    O preço de microprocessadores de baixo desempenho para sensores está por volta de US$3 no mercado internacional. Isso permitirá que os equipamentos domésticos e industriais possam interagir através da “Internet of Things” (IoT), Internet das Coisas. Novas aplicações serão desenvolvidas com essa tecnologia. Por exemplo, os equipamentos domésticos poderão ser programados para serem desligados, seletivamente, quando o consumo de energia ultrapassar o plano contratado.

    Cresce o número de americanos que estão cancelando as assinaturas de TV a cabo. Só no segundo trimestre de 2012 foram 400.000 cancelamentos. Essas pessoas estão migrando para serviços de vídeo mais baratos como o da Netflix, que tem 30% do tráfego de Internet nos Estados Unidos, Amazon.com, Google TV e o gratuito Youtube.

  • A economia brasileira é terreno fértil para esse tipo de inovação disruptiva?

    De maneira geral, como as empresas brasileiras estão lidando com a inovação disruptiva e seus conceitos relacionados? A economia brasileira é terreno fértil para esse tipo de inovação?

    O Brasil tem um enorme potencial para produtos e serviços disruptivos. Com o crescimento da renda da população, principalmente das classes menos favorecidas, cresce o desejo por produtos adotados pelas classes mais privilegiadas. Por exemplo, o sonho de consumo de muitos pessoas é ter um iPad ou um Galaxy. Com preços acima de R$1.000 é inviável para a maioria das pessoas das classes C, D e E. Entretanto, se o preço fosse significativamente menor muitas pessoas comprariam, mesmo com recursos mais limitados. A Índia está fabricando e vendendo tablets a partir de US$55 (imagine o tamanho do mercado só na Índia). Existem tablets no Brasil com preços que variam entre R$200 e R$300 nas lojas de importados populares. Os fabricantes nacionais (Positivo, Digibras e Philco, por exemplo) produzem tablets com preços similares aos de marcas de reputação internacional. Com isso, a competição fica muito difícil para os produtos nacionais. Acredito que estamos perdendo oportunidades nessa área e em outras por falta de iniciativas dos empresários de buscarem condições junto ao Governo e fornecedores para viabilizar produtos mais simples e baratos.

    Outra oportunidade que acabamos perdendo foi a de smartphones de mais de um chip. O mercado de celulares no Brasil se caracteriza pelo uso do serviço pré-pago. A competição entre as operadoras fez cair o preço das chamadas entre clientes da mesma operadora. Isso fez que as pessoas comprassem vários celulares (ou chips) para falar com suas comunidades de amigos. Outro dia vi um smartphone de 4 chips, wi-fi, acesso as redes sociais, Skype, câmera por R$299,00. Esse smartphone, através do Skype, permite ligações internacionais a custo extremamente baixo. Infelizmente, o produto não é nacional.

    Acredito que existam extraordinárias oportunidades para desenvolvermos produtos disruptivos para mais de 90% da população brasileira, precisamos identificar quais os produtos de desejo e desenvolvermos produtos similares com recursos essenciais para mercados de não-consumidores a preços baixo.

  • Gerenciamento da Disponibilidade

    Gerenciar a disponibilidade dos serviços de TI é fundamental para avaliar se os objetivos do negócios estão sendo atendidos de acordo com os níveis de serviços (SLA) assinados. Normalmente, a disponibilidade é calculada pela média do período negociado no SLA. Considera-se o período onde possa haver impacto nos negócios da empresa. Ou seja, se um empresa tem suas atividades entre 9 horas e 18 horas deve-se considerar esse período para calculo da disponibilidade.

    Uma questão interessante é definir o período de disponibilidade para empresas que operam 24 horas, 7 dias por semana. Uma falha pode ocorrer por falta de recursos da infraestrutura em horários de maior acesso de clientes. Se considerarmos o período de 24 horas essa falha poderá não ter demonstrar o impacto nos negócios da empresa. Desta forma, mesmo para serviços que operam ininterruptamente deve-se estabelecer os períodos que representam maior impacto nos negócios.

    O calculo para a disponibilidade é

    Disponibilidade = (( TST – DT ) / TST) * 100, onde TST é o tempo total do serviço no período e DT é o tempo de indisponibilidade.

    Para se calcular o custo do tempo de indisponibilidade podemos utilizar a seguinte formula:

    Custo da Indisponibilidade = (DT x U x PU) + (DT x LBR) + OT + S, onde DT é o tempo de indisponibilidade, U é o número de usuário afetados, PU é o total dos custos médios por usuário afetado, LBR é perda de receita por hora, OT é a quantidade de horas extras para recuperar o trabalho (se aplicável) e S são outros custos da operação.

    Dependendo dos custos de indisponibilidade é mandatório um forte plano de continuidade de negócios para não prejudicar o desempenho da empresa e a satisfação dos clientes.