fichamento caso IVK2.0docx

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Descrição: Estácio
UNIVERSIDADE ESTÁCIO DE SÁ
PÓS GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
JULIANO PEREIRA DA ROSA
Trabalho da disciplina Gestão de 
Projetos em Segurança da Informação,
Tutor: Prof. Luiz Roberto Martins Bastos
BRAGANÇA PAULISTA - SP
2016
Estudo de Caso :
GESTÃO DE PROJETOS EM SEGURANÇA DA INFORMAÇÃO
As Aventuras de um Diretor de TI
REFERÊNCIA: ROBERT D. AUSTIN, RICHARD L. NOLAN E SHANNON O’DONNEL. ESTUDO DE CASO HBR E COMENTÁRIO: As Aventuras de um Diretor de TI. Harvard Business Review 2009. ISBN-13: 978-1-4221-3040-73022BC.
RESUMO: A IVK Corporation, empresa de serviços financeiros de porte médio, começa uma recuperação após uma fase comercial frágil. O preço das ações caiu substancialmente enquanto os investidores ajustavam suas expectativas para o crescimento da firma. O novo CEO Carl Williams, assume e nomeia uma nova equipe de gestão. Jim Barton, o antigo diretor de Operações de Empréstimo, é nomeado CIO, ele não tem experiência nenhuma em TI. A história IVK Corporation e seu pessoal são ficcionais, entretanto o conteúdo é baseado nos anos de experiências que os autores tiveram com diversas empresas e gerentes.
Palavras Chave: Fichamento, Gestão de Segurança da Informação, Segurança da Informação.
Barton o novo CIO da IVK e ex diretor de operações de empréstimo, estava em uma reunião com Gary Geisler, diretor de planejamento e controle, e também de finanças de TI. Na última reunião de equipe de liderança o foco era a abordagem da empresa à alocação de recursos e maximização de retornos. Em TI, isso significava entender e aprimorar processos para descobrir quais projetos mereceriam investimento.
Em uma conversa com Paul Fenton Diretor de Infraestrutura e Operações, inclusive segurança de TI, Barton percebeu a preocupação de Fenton com John Cho o residente da segurança da IVK. Cho havia descoberto atividades incomuns nos logs IDS. John achava que provavelmente isso não é importante”. Entretanto Fenton sabia que não era fácil analisar um grande fluxo de dados em busca de irregularidades sistemáticas. Barton continuou a questionar sobre uma possível invasão e Fenton hesitou e sugeriu fechar as falhas de segurança que Cho considerava importante como um projeto de upgrade. Barton indagou sobre fechar todas as falhas, mas isto era impossível. Focar nas grandes prioridades e posterior nas pequenas, seria o caminho correto. Barton aprovou a ideia. Porém Fenton explicou que em conversa com Cho, o novo CIO deveria tomar as medidas para isso, em outrora duas tentativas de obter verbas para isso foram falhas. Davis o antigo CIO não havia progredido nisso. 
	Na reunião com Geisler, Barton citou o problema de Fenton e reforçou a ideia de realizar o projeto, Geisler incomodado, sugeriu um “caixa dois”(espécie de verba para quando os projetos importantes não eram aprovados) firmando ser para casos de crises, entretanto poderiam sobrar algo para o progresso do projeto de Cho. Barton não entendeu por que, não seguir o rito da empresa de aprovação do projeto, logo Geisler complementou a dificuldade de aprovação de projetos assim, uma vez que são projetos de prevenção a danos futuros e não de retorno de benefícios diretos ao cliente. Barton achou uma loucura, a falta de atenção a essa área. Geisler mostrou-lhe um projeto de rede onde eles integraram a rede da IVK junto a de outra empresa, mostrando que a manutenção das duas expõe a risco adicionais, Cho encontrou uma falha na segurança da empresa integrada, porém interpretaram apenas como uma opinião profissional, o projeto foi apresentado e rejeitado por 2 anos consecutivos. Barton achou um absurdo não financiarem um projeto tao importante e questionou se Davis havia apresentado, em resposta teve que apesar dos termos técnicos o projeto havia sido apresentado e compreensível. Barton disse que levaria o projeto novamente e explicar cada detalhe para enxergarem a realidade, Perguntou quem havia sido contra o projeto apresentado.
Geisler, respondeu que o próprio Barton havia sido o maior crítico do projeto e que um dos projetos de operações e empréstimo havia recebido a verba. Também afirmou que quase perderam Cho pelo fato de uma das críticas ser a natureza técnica da explicação e dizendo para voltar quando conseguissem a falar inglês, gerando uma piada que permaneceu por muito tempo na empresa. Barton se sentiu envergonhado e desculpou-se, posteriormente disse que precisaria melhorar a apresentação dos motivos para justificar os projetos de TI, colocando objetivos como não usar o caixa dois como opção e revisar e aprimorar os processos de alocação de orçamento em TI, analisando as prioridades. Ele também pensou em trabalhar com resumos dos processos anteriores, porém se algum problema acontecesse, tornaria-se uma brecha para advogados de querelantes em processos acionistas.
Barton encontrou-se com Maggie sua namorada e consultora, e em conversa num jantar, revelou que pediria a Carl (CEO da recuperação) o controle completo do orçamento de TI. Pois a unidade comercial desprezava investimento em infraestrutura, e com seu conhecimento em comercial era possível tomar decisões de investimento, corrigir problemas com a definição de prioridades.
Maggie então disse que a presença das pessoas da unidade comercial era vital, eles são quem sabem, como fazer melhor as coisas, como os processos devem funcionar quais riscos e trocas de recompensas estão dispostos a fazer. O ideal e que eles conheçam as alternativas, vantagens e detalhes, quais riscos vocês concordaram em aceitar e mitigar, assim trabalhando juntos. Ela também citou ser normal a dificuldade de fazer com que todo mundo se entenda e entre em acordo, mas a diferença estaria em uma vez que decisões fossem tomadas em conjunto, a responsabilidade também seria conjunta, envolvendo todos. 
Barton indagou se era uma verdadeira alternativa, ela então respondeu sobre a leitura de um sistema que foi introduzido na Volkswagen America, sobre o TI facilitar o processo e comercial definir as prioridades, processo de consenso, responsabilidade de consenso.
	Os processos são possuídos pelas unidades comerciais, contribuindo cada uma com um representante autorizado a tomar decisões. Isso livra a TI de serem os únicos responsáveis por todos os resultados, o que muda a atitude do gerente do comercial, que sabe que também está envolvido. Os processos também devem ser transparentes assim como as consequências de decisões para que o comercial intenda como funciona, deve estar passo a passo para que o comercial saiba o porque das decisões e aplicações em recursos. É necessário estar acessível fisicamente a todos em um lugar comum. Os participantes do projeto deverão ser lembrados de manter algum nivel de continuidade e foco no projeto.
	No dia seguinte Barton pediu para Geisler pesquisar sobre o conteudo da Volkswagem América. Geisler disse que o conteúdo era um processo anual de tres etapas, envolvendo as unidades comerciais e alinhando os custos da TI com a estratégia da empresa. Barton e Geisler começaram a debater e detalhar sobre as funcionalidades do modelo, qual o ciclo do processo, como tratavam as prioridades, detalhes das categorias dos projetos como:
	Obrigatório- (Precisam fazer devido a legislação);
	ROI – (Retorno sobre investimento de altos valores);
	Investimento de cria de opções- (Projetos OCI sem um ROI alto, onde objetivo são benefícios futuros);
Desenvolvimento de produto-(Uso de ROI para justificação de projetos pra investir, fazendo em sua maior parte, extensões incrementais a produtos existentes, nunca chegando a avanços inovadores ou investimentos em novas categorias.
Ao fim da reunião, Geisler deixou a sala e Barton iniciou as anotações, findando 3 propostas alternativas a equipe de liderança: 
	Assumir todo o orçamento de TI;
	Propor que antes de qualquer priorização ou alocação de recursos de TI, ele obtenha uma porcentagem exata definida do orçamento de TI;
	Tentar
corrigir o atual sistema baseado em comitê.
No dia da reunião, o novo gerente de operações de empréstimo não gostou da ideia, apresentada, ter controle total do orçamento, uma vez que tempo era prioridade, a urgência do projeto de consolidação da rede. Com o controle do orçamento, ele poderia começar o upgrade imediatamente. Mesmo sendo uma proposta temporária, era o necessário para posteriormente findar uma estrutura melhor e mais inclusiva de decisões de investimento e levar à discussão novamente.
Reflexão:
	No mínimo os processos de iniciação e planejamento, no caso da IVK poderia ser após o processo de execução, uma vez que ele já haviam integrado juntamente a People’s, cabendo somente monitoramento e controle no intuito de corrigir falhas.
	Sim, atribuir o controle de orçamentos de TI a outra área que tenha conhecimento de aplicação e que conheça abertamente os processos, é com certeza um modo e agilizar e melhorar investimentos no setor de TI assim como dividir os riscos de tomadas de decisões.
	Barton deveria ter seguido os conselhos de Maggie, o lado positivo, foi que ele conseguiu uma brecha através da medida temporária para sanar aquele problema de imediato, e posteriormente aplicar o insight que Maggie lhe deu. O lado Negativo seria não aprovar a proposta, mantendo o problema ainda existente na empresa, assim como assumindo total responsabilidade sobre as ações tomadas diante da posse dos orçamentos.
De acordo com o texto é possível prever que há uma grande falha Gestão de Governança de comunicação entre os setores da IVK, a falta de financiamento fez com que o projeto fosse implantado imaturamente, gerando falhas para possíveis explorações de vulnerabilidades. Classificar e estabelecer que os problemas de nível e prioridade alta devem ser sanados de imediato e os de nível e prioridade baixa posteriormente, torna um pouco mais ameno o problema que Barton enfrenta. O uso do ciclo PDCA faz se necessário, para a melhoria dos processos já implantados. A integração dos funcionários da unidade comercial como ativos importantes no projeto apresentado é essencial, detalhar tudo a estes ativos, desde o processo de iniciação até o de encerramento, chegar ao conhecimento dos Gestores e obter um retorno sobre o que e porque a IVK está investindo, mesmo que não seja de retorno financeiro imediato, mas o propósito seria mostrar que a imagem da empresa está sendo zelada, uma vez que processos bem definidos e implantados, minimizam a possibilidade de falhas. A apresentação de um Projeto de Continuidade de Negócios, e de extrema importância, outrora que ataques a empresas estão cada dia mais comum, mesmo que não seja para imediato devido a situação da IVK perante a fase instável que ela atravessa, faz se necessário no mínimo a apresentação deste projeto para futuras implementações, o mais rápido que possível.