Exercício - Governança de TI e SI

Prévia do material em texto

<p>Contexto: Vocês foram contratados pela ABC Company, mais conhecida como ABC, uma indústria tradicional do</p><p>setor de Agronegócio. A empresa passa por uma fase de grandes incertezas e dificuldades devido a crise no</p><p>segmento de negócio e o desconforto/desconfiança que as áreas possuem em relação a Tecnologia/Segurança da</p><p>Informação da empresa. A próxima reunião com os acionistas ditará os principais direcionamentos da organização</p><p>para os próximos anos e vocês necessitam orientar a empresa nos ajustes para solucionar os principais problemas</p><p>reportados. Em uma análise inicial os seguintes pontos foram identificados pela sua equipe de trabalho.</p><p>Visão sobre a Empresa ABC Company</p><p>A ABC Company é uma empresa cafeeira de origem familiar instalada no Sul de Minas na década de 90 e</p><p>desde 2019 (após 3 anos de realização de auditoria independente) passou a ser uma empresa de capital</p><p>aberto com ações negociadas na bolsa de valores brasileira.</p><p>Através de suas unidades espalhadas no interior de Minas Gerais (Sul do estado e Zona da Mata) e interior</p><p>de São Paulo, realiza o plantio, colheita e beneficiamento do café. O complexo da ABC, inicialmente era</p><p>formado por 3 grandes unidades localizadas próximo às cidades de Alfenas, Três Pontas e Muzambinho.</p><p>Em seu primeiro ano de atividades, processou 1,9 milhão de toneladas de café, e após sua ampliação,</p><p>programada para a safra 2022/2023, sua capacidade instalada aumentará gradativamente a cada safra,</p><p>até atingir sua capacidade plena em 2029/2030.</p><p>Atualmente, a ABC conta com uma força de trabalho de mais de 5.800 colaboradores, além de prestadores</p><p>de serviços. Pauta sua atuação na busca de implementação de processos modernos, tanto em tecnologias,</p><p>estrutura física quanto em métodos de operação e gestão.</p><p>O departamento de Tecnologia da Informação está se estruturando ao longo destes 4 anos para atender</p><p>à demanda da ABC. Até julho/23 a equipe era composta de 5 colaboradores, sendo dois analistas de</p><p>sistemas, um analista de sistemas/banco de dados, um analista de suporte e um coordenador da TI.</p><p>Neste período, diversos sistemas foram implementados e integrados, utilizando-se dos serviços de</p><p>consultorias externas, apoiados também pelos usuários-chave de cada módulo implementado. No</p><p>entanto, as áreas de negócio sofrem constantemente com dificuldades no que tange a relatórios, uma vez</p><p>que existem divergências significativas de uma área para outra referente a mesma informação o que</p><p>potencializa a insegurança das áreas em relação a veracidade dos dados.</p><p>Entre agosto/23 e jan/24, 3 dos 5 colaboradores foram substituídos, sendo que 1 por deficiência técnica</p><p>(atuava em suporte aos usuários e as reclamações sobre o mesmo eram constantes devido a falta de</p><p>retorno dos problemas) e 2 solicitaram desligamento por entenderem que o ambiente/empresa não</p><p>contribuía para a sua evolução profissional.</p><p>O coordenador responsável, relatou que possui dificuldades de comunicação junto a liderança da</p><p>Companhia. Ele salientou que tudo que submete para a diretoria em relação a investimentos é negado.</p><p>Adicionalmente, foi observado que existem inúmeras demandas de novos projetos que endereçam</p><p>necessidades conflitantes. Em dado momento a Empresa necessita de alta disponibilidade e, por outro</p><p>lado, preza pela guarda interna das informações internas. Foi constatado que os projetos não possuem</p><p>critérios de priorização e o acompanhamento é realizado apenas por TI.</p><p>Em relação a gestão de serviços de TI, o gerenciamento de chamados para a TI é realizado verbalmente</p><p>e/ou por e-mail para: suporte@abc.ind.br, destinado a todos os colaboradores do departamento. A</p><p>gestão é extremamente complexa devido à dificuldade de controle dos serviços pendentes e realizados;</p><p>dificuldade de rastrear todas as mensagens relativas ao chamado; falta de controle sobre os responsáveis</p><p>e tempo de atendimento. A área perde muito tempo na resolução de problemas. Há constante reclamação</p><p>das áreas de negócio pois todo problema por elas reportado, quando solucionado pela TI necessita ser</p><p>reaberto ou geralmente outra funcionalidade para de funcionar. Em entrevistas realizadas com a área de</p><p>Tecnologia, estes informaram que todos os indicadores informalmente estabelecidos possuem resultados</p><p>satisfatórios e que não há sinais de problemas até o momento.</p><p>No que tange a fornecedores, existe 2 considerados críticos responsáveis pela rede e banco de dados da</p><p>Empresa. Por se tratar de contratos antigos, estes são muito vagos e não possuem sinais claros de tempo</p><p>de prazo de atendimento e resposta.</p><p>Sob o aspecto de disponibilidade, a empresa realiza backups mensais dos seus principais arquivos e</p><p>sistemas críticos, estes backups são armazenados fisicamente em um armário localizado na sala de</p><p>servidores onde encontram-se os sistemas que estão em produção. Estes foram definidos pela área de TI</p><p>para todos os sistemas que ela acredita serem relevantes.</p><p>Um ponto importante que vale destacar é sobre as práticas de gestão dos sistemas da Companhia. A ABC</p><p>Company tem como premissa que todo usuário possui um contrato de trabalho que o obriga a zelar pelas</p><p>informações da empresa e por isso os acessos aos sistemas que cuidam principalmente do financeiro e da</p><p>contabilidade são irrestritos (todos possuem acesso de administração) partindo da confiança da empresa</p><p>nos empregados visto que a maioria foram contratados por indicação de pessoas da própria empresa.</p><p>Referente ao local de armazenamento dos sistemas, cabe destacar que existe uma sala onde a mesma é</p><p>protegida por fechadura convencional e que esta chave se encontra na posse do gestor responsável pela</p><p>área de TI. Não há sistemas de combate a incêndio e constantemente existem falhas elétricas que</p><p>desligam os servidores sendo necessário religa-los manualmente.</p><p>Adicionalmente ao cenário acima apresentado, recentemente a empresa identificou que foi vítima de</p><p>tentativa de invasão. Por limitação de recursos tecnológicos, não é possível garantir que dados foram</p><p>vazados visto que até o momento nenhum pedido de pagamento foi realizado. Sabe-se que por prática a</p><p>empresa adota compartilhamento de contas de usuário nas áreas de negócio e que perfis são geralmente</p><p>copiados.</p><p>Desafio: Tendo como base as informações recebidas, cada grupo deverá apresentar as principais ações</p><p>que julgam ser relevantes para elevar o nível de segurança e maturidade da área de TI. Vocês deverão</p><p>explicitar os seus planos (macros) no intuito de garantir os resultados da ABC no curto e médio prazo.</p><p>Vocês, no papel de consultores, terão uma reunião dentro de 45 min., junto com outras consultorias, para</p><p>apresentar uma abordagem aos diretores.</p>