Eduardo M Fagundes

Artigos

Coletânea de artigos técnicos e reflexões de Eduardo M. Fagundes publicados entre 2011 e 2017

Assine a Newsletter no Linkedin

Tag: ams

  • Novas Tecnologias e Práticas para a Segurança da Informação

    A abrangência da segurança da informação vai muita além da detecção e eliminação de vírus, controle de acessos indevidos, assinaturas digitais, criptografia e classificação das informações. Os principais ativos organizacionais definidos pelo modelo de governança corporativa, tem a informação como seu principal fundamento. A prosperidade das organizações tem relação direta com a forma como as informações são interpretadas e utilizadas. As características da informação são: confidencialidade, integridade e disponibilidade. Toda informação tem um ciclo de vida: manuseio, armazenamento, transporte e descarte. O grande desafio da gestão eficiente dos negócios é se antecipar aos eventos de quebra de segurança das informações.

    Acontecimentos recentes de espionagem de chamadas telefônicas da Chanceler da Alemanha Angela Merkel, divulgação de informações confidenciais por Edward Snowden e inúmeras invasões de sites de empresas conhecidas com roubos de dados, incluindo instituições financeiras, têm mostrado a importância das empresas administrarem, cuidadosamente, seus dados. As consequências de uma má administração dos dados podem ser catastróficas.

    No passado era difícil monitorar e analisar grandes volumes de dados por restrições das tecnologias de hardware e limitações dos softwares. Atualmente, com as tecnologias “in-memory” de armazenamento de dados, big data, ferramentas de análise avançada de dados em ambientes escaláveis de infraestrutura dos data centers, como Cloud Computing, é possível melhorar os controles dos processos e detectar fraudes em seu estágio inicial.

    Pequenos desvios do comportamento dos dados podem indicar a existência de uma fraude na organização. Com as novas tecnologias é possível correlacionar vários parâmetros com milhares de dados e analisar, em tempo real, o comportamento dos consumidores, dos processos, econômicos, de transações eletrônicas, entre outras.

    Os principais componentes de uma estratégia de segurança da informação são:

    • Prevenção – ações de planejamento e implantação de processos robustos e avaliação contínua em tempo real para reduzir o risco de ameaças e vulnerabilidades, intervindo e bloqueando um ataque sem causar danos ao sistema;
    • Detecção – abordagens para identificar comportamentos anômalos e descobrir intrusões, detectar códigos maliciosos e outras atividades ou eventos que possam interromper o fornecimento de energia elétrica e coletar evidências das tentativas de ataques para a contínua reavaliação do sistema e ações legais contra os agressores;
    • Resposta – aplicação de ações imediatas para evitar os efeitos de um incidente, incluindo salvar vidas, proteção da propriedade e atender às necessidades básicas da população;
    • Recuperação – coordenar a execução do plano de recuperação dos locais e instalações afetadas pelo ataque, reconstituindo as operações para os clientes no menor prazo possível.

    O crescimento do uso de dispositivos remotos com tecnologia Internet of Things fará aumentar, consideravelmente, o volume de dados manipulados, transportados e armazenados. Isso cria novas oportunidades de negócios e facilidades para as pessoas e empresas. Entretanto, aumentam os riscos de fraudes e violação de privacidade.

    Um exemplo é a substituição dos medidores analógicos de consumo de energia por medidores eletrônicos. Os benefícios são imensos para as distribuidoras de energia, com reduções significativas de custos operacionais e aumento do conhecimento do perfil dos consumidores. Será possível saber quando o consumidor ligou o ferro elétrico ou a máquina de lavar roupas. Nessa aplicação, deve-se monitorar, continuamente, a existência de fraudes e proteção das informações dos consumidores.

    A monitoração desse novo ambiente de negócios requer novas práticas de gestão e novas funcionalidades de softwares. Nesse novo cenário, os processos de negócios devem considerar controles internos para detectar quebra da segurança da informação.

    Desta forma, a visão de gestão da segurança da informação deve envolver, diretamente, os processos de negócios e seus gestores devem compartilhar a responsabilidade com a áreas de tecnologia da informação da empresa.

    A nova plataforma tecnológica de segurança da informação deve considerar modelos de gestão, análise de risco, conformidade com a legislação e normas internas, gestão de ativos, gestão de portfólios de projetos, técnicas de melhoria contínua de processo, big data, ferramentas avançadas de análise de dados, além dos softwares de segurança tradicionais.

    Apresento a seguir um conjunto de softwares e modelos de gestão para o novo ambiente de segurança da informação:

    • GRCGovernance, Risk Management and Compliance – Software que gerencia funções de trabalho como: controles e mapeamento de políticas; rotinas de trabalhos (workflows); funções de pesquisa; repositório de dados; avaliações de risco e painéis de controle (dashboards);
    • SIEMSecurity Information Event Management – software de gerenciamento centralizado para armazenar dados de segurança (informações de registros e eventos apenas) para simplificar o gerenciamento de incidentes de segurança e a emissão de relatórios de conformidade;
    • AMSAsset Management System – software de gerenciamento de ativos tangíveis e intangíveis para gestão de todo o ciclo de vida do ativo (concepção, construção, comissionamento, operação, manutenção, reparação, modificação, substituição e descarte);
    • PPMPortfolio Project Management – software de gestão centralizada de grupos de projetos, auxiliando a determinar o mix ideal de recursos para a entrega e melhorar as metas operacionais e financeiras de uma organização, respeitando as restrições impostas pelos clientes, objetivos de negócios e estratégias;
    • Six-Sigma – metodologia de melhoria contínua de processos com o objetivo de eliminar falhas através do uso de um conjunto de técnicas e ferramentas estatísticas;
    • Softwares de Segurança – conjunto de software para proteção e monitoração da segurança: firewalls, antivírus, criptografia, gestão de identidade, governança e gerenciamento de interfaces de dados entre sistemas internos e externos;
    • Testes de Conformidade – comissionamento da infraestrutura tecnologia com testes integrados de software para garantir a conformidade das especificações e reduzir a incidência de erros no sistema;
    • Big Data – tecnologia para armazenamento de grandes volumes de dados com grande velocidade de acesso;
    • Advanced Data Analytics – ferramentas de análise avançada de dados para prever eventos e comportamentos futuros, auxiliando na definição de novas estratégias de negócios e identificação de potenciais problemas nos processos e fraudes.

    Investimentos em segurança da informação não devem ser atribuídos apenas para a área de TI. As áreas de negócios devem considerar a revisão de seus processos e incluir mecanismos de prevenção, detecção, resposta e recuperação das informações de negócios. Novas tecnologias e práticas de monitoração devem ser implementadas para evitar fraudes e quebras de segurança. Os investimentos em segurança podem ser utilizados para planejamento estratégico de Marketing para a definição de novos produtos e modelos de negócios, aproveitando a tecnologia de Big Data e as ferramentas avançadas de análise de dados.

     

     

     

  • O impacto das bandeiras tarifárias no custo dos data centers

    A partir de Janeiro de 2014 o custo da energia no Brasil para o consumidor final irá variar acompanhando o custo da geração no sistema integrado de energia. A energia é cobrada por unidades de quilowatt/hora (R$/kWh) e depende da forma de geração: hídrica, térmica, eólica ou solar. Atualmente, o maior custo é a da energia térmica chegando a R$350/MW, enquanto a hídrica varia de R$91/MW a R$125/MW, a eólica por R$110/MW e solar por R$126/MW. O custo médio da energia depende da quantidade de energia gerada por cada fonte durante o dia.

    O Operador Nacional do Sistema (ONS) é o órgão responsável pela coordenação e controle da operação das instalações de geração e transmissão de energia elétrica no Sistema Integrado Nacional (SIN), sob a fiscalização da Agência Nacional de Energia Elétrica (Aneel). O ONS é quem determina quais fontes de geração devem ser acionadas durante o dia para garantir a quantidade suficiente de energia para atender a demanda em diferentes horários do dia.

    Usando modelos matemáticos é determinado a melhor matriz de fornecimento de energia. Em situações onde os reservatórios de água das hidrelétricas estão cheios, a preferência é o uso de energia hídrica. Em tempos de estiagem é necessários acionar as termoelétricas, elevando custo da geração. A geração de energia eólica e solar atendem uma pequena parcela da energia.

    Até 2013, o custo de geração refletia no bolso do consumidor residencial, indústria e comercial apenas de quatro em quatro anos nas revisões tarifárias da concessionária de distribuição de energia da sua região. A partir de 2014, o custo será repassado mensalmente para o consumidor na conta de energia através das bandeiras tarifárias: branca, amarela ou vermelha.

    A bandeira branca significa que o sistema elétrico está operando de forma normal. A bandeira amarela significa atenção e será acrescido na conta de energia R$1,5 por cada 100kWh consumido. A bandeira vermelha indica uma situação crítica e será acrescido R$3,00 por cada 100kWh consumido. Isso trará um impacto significativo na indústria, principalmente em empresas que usam intensivamente energia.

    No caso dos data centers, a energia constitui a maior parcela de custo das despesas operacionais (OPEX). Como a tarifa de energia pode variar mensalmente, dificilmente será possível refletir no preço dos produtos e serviços de contratados de médio e longo prazo. Isso irá refletir no fluxo de caixa das empresas.

    Uma das formas de blindar os custos é comprar energia no mercado livre de energia elétrica. O mercado livre de energia permite que empresas que consomem acima de 500MWh possam comprar energia diretamente de uma fonte gerador de energia. Atualmente, entre 500MWh a 3.000MWh de fontes renováveis e acima de 3.000MWh de qualquer fonte. Esse cenário poderá mudar com novas normas regulatórias da Aneel beneficiando médios consumidores de energia.

    Dentro desse contexto torna-se imperativo que os data centers revisem sua estratégia de consumo de energia. Os maiores ofensores são os equipamentos e o sistema de refrigeração. A métrica que melhor indica a otimização do uso de energia elétrica é o PUE (Power Usage Effectiveness). O PUE é a relação do consumo total de energia pela energia consumida pelos equipamentos de TI.

    O grande desafio dos data centers é atingir valores próximos a um. Os data centers da Google estão com o PUE de 1,3 e são referência internacional. Reduzir o PUE, além de reduzir o custo da energia reduz também a emissão de gases do efeito, importante para a preservação do meio ambiente.

    Para atingir o objetivo de reduzir o PUE é essencial controlar de forma integrada todos os ativos da instalação, temperatura do ambiente interno, acionamento do grupo de geradores internos e os equipamentos de refrigeração.

    Os data centers devem adotar duas iniciativas, a primeira incluir técnicas mais sofisticadas de melhoria contínua de processos e uma ferramenta para gerenciar os ativos.

    A melhor técnica de melhoria contínua é o Six-sigma com um framework e ferramentas que assegura a análise, planejamento, execução e acompanhamento dos resultados. O Six-sigma ajudará na tomada de decisão para a empresa migrar do mercado cativo de energia para o mercado livre, por exemplo.

    Softwares de DCIM (Data Center Infrastructure Management) com funcionalidades de gestão de ativos (AMS, Asset Management System) são as melhores alternativas para conseguir uma operação otimizada do Data Center.