Gestão de Ativos – A organização nas mãos da TI

Neste artigo apresentaremos todas as implicações que a falta de um sistema de gestão pode causar em uma organização e como a TI pode e deve participar diretamente neste tipo de trabalho, uma vez que é fundamental para redução de custos operacionais.

Gestão de ativos: Neste artigo apresentaremos aos leitores todas as implicações que a falta de um sistema de gestão pode causar em uma organização e como a TI pode e deve participar diretamente neste tipo de trabalho, uma vez que é fundamental para redução de custos operacionais, mitigação de uma série de riscos à segurança e aplicação das melhores práticas de mercado.

Em que situação o tema é útilo: A gestão de ativos não se trata apenas de uma tarefa para manter o ambiente de trabalho organizado, o que é muito importante também, mas é muito mais abrangente que isso. Fazer a gestão adequada de todos os ativos, especialmente os ativos relacionados à tecnologia, evita desperdícios com investimentos inapropriados, otimiza as atividades do negócio, permite a aderência a vários controles de normas de gestão, além de qualidade e segurança, fundamental em alguns casos para a sobrevivência da empresa em um mercado cada vez mais competitivo. Quando uma empresa não administra adequadamente seus ativos, é inevitável o aumento dos custos, que acabam parando no preço do seu produto final ou serviço.

A gestão patrimonial de ativos é um trabalho que identifica e cataloga os bens físicos de uma organização para averiguar se determinado ativo existe na empresa, se está em sua devida localização e se está sendo utilizado pelas pessoas corretas, dentro de um prazo de vida útil adequado.

Essa tarefa sempre esteve ligada aos departamentos Fiscal e Contábil de uma organização, responsáveis por inventariar todos os ativos físicos, fixando uma plaqueta com uma numeração sequencial associada a um documento contendo suas principais características. Tais plaquetas facilitam sua identificação, localização, tempo de garantia, condição de uso e também a identificação dos responsáveis pela sua utilização, conservação e manutenção. No entanto, hoje, parte destes ativos está relacionada com algum equipamento de tecnologia, seja um computador, um dispositivo de comunicação ou mesmo algo que até há pouco tempo era encontrado em grande parte no formato físico, impresso e palpável, e hoje cada vez mais em meios virtuais: a informação!

Aos poucos, os departamentos de TI estão assumindo a responsabilidade em manter a gestão patrimonial de uma empresa, pelo menos no que tange os ativos sob sua responsabilidade (que não são poucos) e também apoiando os departamentos Fiscal e Contábil com sistemas que facilitem essa árdua tarefa. Se a revista Infra Magazine realizasse, hoje, uma pesquisa com seus leitores que trabalham na área de TI sobre quais as atuais atribuições do seu departamento, dificilmente teríamos respostas completamente semelhantes. Isso porque, ao longo dos anos visitando empresas e instituições dos mais variados setores de nossa economia, sejam elas pequenas, médias ou grandes, o que se tem notado é uma crescente absorção de tarefas que até pouco tempo atrás eram de inteira responsabilidade de outros departamentos.

Entre algumas tarefas adicionadas na bagagem dos profissionais de TI, certamente encontraremos serviços como manutenção e suporte de recursos de telefonia, administração de sistemas de câmeras de vigilância, inventários e gestão de ativos. Todas estas tarefas eram obrigações de outros departamentos, mas aos poucos foram absorvidas pelo departamento de TI. É sobre este assunto que trataremos neste artigo.

As recomendações da Norma ISO 27002

Ter todas as informações detalhadas e principalmente atualizadas dos equipamentos de informática e softwares utilizados numa organização não só é uma prática necessária para a localização dos ativos espalhados muitas vezes em plantas geograficamente distantes, como também é um mecanismo que permite identificar possíveis fontes de desperdício de recursos mal ou subutilizados, ferramentas inadequadas para realização das atividades dos funcionários, depredação dos equipamentos e até fraudes ocasionadas por furtos e extravios muitas vezes cometidos pelos próprios colaboradores internos.

Também é muito importante reforçarmos que o departamento de TI não pode resumir os ativos a equipamentos de informática e softwares instalados no ambiente sob sua responsabilidade. É algo muito mais abrangente que envolve tudo o que pode ter ou fornecer um valor para uma organização, justamente porque a definição de um ativo na norma ABNT NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação é bem sucinta: Ativo: qualquer coisa que tenha valor para a organização. Portanto, o primeiro passo é localizar e identificar todos estes ativos, que podem estar representados em diversas formas de acordo com a ISO:

  1. Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
  2. Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
  3. Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
  4. Serviços: serviços de computação e comunicações, utilidades gerais, como aquecimento, iluminação, eletricidade e refrigeração;
  5. Pessoas e suas qualificações, habilidades e experiências;
  6. Intangíveis, tais como a reputação e a imagem da organização.

Como podemos notar na descrição dos tipos de ativos, fica compreensível entender os motivos que levaram a TI a assumir parcialmente a tarefa de inventariar e gerir estes itens, uma vez que boa parte deles necessita de conhecimentos técnicos para realizar a sua correta identificação, manutenção e em muitos casos a valorização estimada do ativo para a organização. Sem este apoio de especialistas da área de TI, a organização não terá condições de reduzir riscos, perdas financeiras ou ainda aplicar investimentos futuros de forma adequada.

A gestão de ativos é um elemento tão importante para o bom andamento das atividades de uma organização que há uma seção inteira destinada a este tema na principal norma para a gestão e organização da segurança das informações, ABNT NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação. São dois capítulos contendo cinco controles que direcionam as organizações quanto à proteção de seus ativos, os quais estão organizados na seguinte estrutura:

7. Gestão de ativos

Quando observamos esta estrutura, temos a impressão de que o que está sendo solicitado é trivial, básico em qualquer processo de levantamento em um inventário. Porém, ativos não se tratam apenas de equipamentos físicos, mas de algo mais complexo que muitas vezes não parece palpável, como a informação eletrônica ou até mesmo aspectos como conhecimento, expertise e habilidade de um funcionário, ou ainda a imagem que uma organização possui perante seus clientes e o mercado corporativo.

Além disso, a norma é clara em informar que não basta apenas inventariar os ativos, mas que cada ativo deve possuir seus(s) proprietário(s) identificado(s), que se apliquem regras para o uso correto destes ativos, que estes sejam classificados e que esta classificação seja facilmente consultada por aqueles que tiverem acesso ao ativo.

Resumindo, os controles da Gestão de Ativos prevista na norma recomendam:

Lendo o resumo, fica compreensível a limitação que outros departamentos possuem para realizar a gestão adequada dos ativos relacionados com tecnologia. Por isso, o envolvimento da TI tem sido cada vez maior. Seria possível escrever um novo artigo para cada um dos cinco pontos citados da norma, porém, como dito no início, o foco será voltado ao inventário dos ativos relacionados à tecnologia, pois este é o começo de tudo. Se esta etapa for mal realizada ou não for concluída, a organização não conseguirá dar prosseguimento nas demais recomendações da ISO relacionadas à Gestão de Ativos.

Descrevendo o cotidiano real de muitas empresas brasileiras, imagine a situação apresentada no próximo tópico – ou relembre-a, caso o leitor já tenha vivenciado algo semelhante.

Uma árdua tarefa – Inventário

Vamos supor o cenário de uma empresa do ramo de autopeças que está se reorganizando, prevendo um crescimento de suas operações nos próximos anos. Fazendo parte dessa reorganização está o trabalho de inventário de todos os seus ativos, o que inclui o seu parque informático composto aproximadamente por 50 estações de trabalho, 5 servidores, 12 impressoras, entre outros periféricos distribuídos em duas plantas: uma administrativa no centro e outra fabril, numa área industrial da mesma cidade.

A Diretoria solicita ao gestor de TI a apresentação de um relatório de todos os ativos físicos sob a responsabilidade de seu departamento no prazo de 15 dias. Minimamente, o relatório deve conter a descrição do item, sua localização, seu proprietário e seu estado, se está sendo utilizado ou se está desativado, e seu número de patrimônio.

Aproveitando o ensejo, o gestor de TI repassa à sua equipe a árdua tarefa, acrescentando alguns detalhes que devem ser incluídos durante o levantamento para uso do próprio departamento de TI, que já carecia de tais informações. Além da descrição, localização, proprietário, estado do ativo e do número de patrimônio, a equipe deverá obter informações como marca, modelo, número de série, e para os computadores, informações básicas de seu hardware e software. No caso dos softwares, as informações coletadas devem incluir o CD-KEY da licença para conferir se a empresa está fazendo uso de softwares piratas ou está com o número de licenças acima do que determina o contrato. Também se deve adicionar um campo de observações para o conjunto de computadores, monitores e seus periféricos, além da identificação de sua cor predominante, pois há muita reclamação de falta de padronização de ambientes, como salas com computadores e teclados pretos usados com monitores e mouses brancos.

Depois que os técnicos retornarem, todos os dados coletados deverão ser organizados em uma planilha para gerar informações relevantes e gráficos que serão usados no relatório sumário que será encaminhado à Diretoria.

Se para uma empresa com aproximadamente 60 hosts divididos em duas plantas, este já seria um trabalho que despenderia um grande esforço por parte da equipe técnica, imaginem então uma rede com 100, 500, 1000 hosts divididos em várias plantas, em diversas localidades. Isso tudo sem esquecermos que a equipe de TI sempre está atarefada com suas outras e incessantes atividades de rotina.

Para piorar a situação, parte de todo este monumental trabalho de coleta de informações não teria validade superior a um dia, pois quem garante que ao virar as costas os computadores continuarão com os mesmos softwares instalados ou que algum item de hardware não será alterado até a entrega do relatório?

Manter atualizado o inventário de itens tão dinâmicos como computadores que constantemente sofrem alterações de hardware e software fica completamente inviável se trabalharmos de forma manual, pois, na verdade, o que está sendo realizado não é a gestão destes ativos, mas uma fotografia do seu estado no momento da coleta de dados.

Quer outro argumento preocupante? Imagine que no meio desse processo ocorra uma denúncia anônima e a empresa seja fiscalizada por alguma associação de fabricantes de softwares contra pirataria, como a ABES (Associação Brasileira de Empresas de Software). Será que o gestor teria em mãos todas as licenças identificadas, incluindo o CD-KEY, contratos e notas fiscais?

E se ele tiver tais informações, será que elas estão atualizadas? Como garantir que a relação de softwares não foi modificada ao longo do tempo? Será que foram instalados softwares sem a ciência do departamento de TI, ou, pior, será que alguém na TI não fez uso de softwares piratas, na incumbência de resolver problemas rápidos, diante a estressante rotina de trabalho?

Tudo isso que apontamos aqui não é fantasia ou um mero exemplo para ilustrar o artigo. Esse cenário é muito comum no dia a dia de organizações que não possuem um planejamento para organizar a TI, pois sempre estão atarefados com as rotinas de suas atividades ou sem investimento adequado para permitir tal restruturação.

Existe solução para a TI?

Este artigo traz duas soluções que podem auxiliar a TI na gestão de todos os seus ativos e, em alguns casos, até auxiliar a gestão de outras áreas com ferramentas integradas que mostrarão que TI não é apenas um departamento que gera custos e cuja única função é prestar suporte técnico, mas para ser um braço estratégico a toda organização. Entre várias soluções disponíveis no mercado, apresentamos uma opção de software livre, conhecida como CACIC, e outra com licenciamento comercial chamado ADOTI. O destaque de ambas as soluções reside no fato de serem Tupiniquins, com origens muito interessantes que mostram o quanto o setor de tecnologia de nosso país pode ser levado a sério quando governos e instituições acadêmicas fomentam e apoiam desenvolvedores, empreendedores, professores e universitários, permitindo assim que novas ideias e melhorias possam ser apresentadas ao mercado corporativo.

CACIC

Com um nome bem sugestivo e criativo, o CACIC foi lançado em 2005 e tem sido motivo de orgulho para o Governo Federal por ser este o primeiro e também o mais conhecido software criado e desenvolvido em uma parceria com o Ministério do Planejamento, Orçamento e Gestão (MP), da Secretaria de Logística e Tecnologia da Informação (SLTI) e da Empresa de Tecnologia e Informações da Previdência Social (Dataprev).

CACIC é uma abreviação que traduz literalmente sua funcionalidade: Configurador Automático e Coletor de Informações Computacionais, ou seja, um sistema de inventário automatizado na rede. Hoje se encontra na versão 2.6 e vem apresentando muitas melhorias ao longo de seus sete anos de vida, com o apoio da Comunidade de desenvolvedores voluntários.

Segundo informações do Portal do Software Público, o CACIC possui atualmente cerca de 30.000 usuários entre instituições do setor público, empresas do setor privado e organizações não governamentais. Além de seu reconhecimento em território nacional, o software também é utilizado pelos governos de países como Argentina, Venezuela e Paraguai.

O seu desenvolvimento e sua implantação na rede são possíveis graças a um conjunto de outras ferramentas livres, como linguagens de programação: PHP, Perl, Python e Delphi e o sistema gerenciador de banco de dados MySQL. Seu funcionamento é baseado na comunicação de um agente instalado nos computadores que mantém comunicação com o servidor CACIC. Veja a Figura 1.

Figura 1. Arquitetura básica do CACIC série 2.x.

Como já citado, o CACIC passa por melhorias a cada nova versão, com a inclusão de novas funcionalidades. Além de coletar informações do hardware e do software dos computadores na rede automaticamente, a ferramenta hoje permite o cadastro de licenças de softwares, informações adicionais dos equipamentos físicos, como cadastro de dados patrimoniais, e até suporte remoto ao usuário.

Em resumo, o CACIC permite:

Por se tratar de um software livre com várias funcionalidades fundamentais no cumprimento das tarefas diárias das equipes de suporte, obviamente chama a atenção e cria expectativas para qualquer gestor de TI. No entanto, alguns fatores devem ser considerados antes de sua implementação, como assumir a implantação do sistema e eventuais problemas técnicos por conta da equipe interna, capacitar a equipe para desenvolvimento e manutenção da ferramenta, não ter prazo definido para resoluções de problemas técnicos e não ter garantias contratuais da continuidade do desenvolvimento do produto, por se tratar de um sistema aberto, que depende de colaboradores voluntários na comunidade. Assim, pode-se economizar em questão de licenciamento, mas acaba-se gastando com a equipe internamente, especialmente com capacitação técnica e suporte de terceiros.

ADOTI

O mercado corporativo também possui diversas soluções de excelente qualidade para auxiliar na gestão de ativos, porém algumas são consideradas no meio técnico como demasiadamente complexas, que se adaptam somente a organizações de grande porte, ou que podem destinar uma equipe apenas para assumir o seu gerenciamento. Algumas destas soluções, além de complexas, possuem elevados custos de licenciamento, implantação e operação, o que nos leva a entender as dificuldades de empresas do setor das PMEs (Pequenas e Médias e Empresas) e instituições governamentais que acabam abrindo mão deste tipo de ferramenta. Como muitas destas organizações não possuem mão de obra disponível para investir tempo e dinheiro para a capacitação de suas equipes, acabam por deixar de fazer uso de uma importante solução.

Para atender a essa grande demanda, surgem soluções que focam neste nicho do mercado, inclusive soluções nacionais, como é o caso do ADOTI. Trata-se de um sistema de gestão de ativos que, de forma similar ao CACIC, realiza a coleta de informações de hardware e software dos computadores na rede por meio de um agente instalado, mas com alguns diferenciais que permitem uma gestão muito mais abrangente dos ativos de TI, como coletar informações de dispositivos como switches, impressoras, thin-clients, roteadores e qualquer outro equipamento que possua o protocolo de comunicação SNMP (Simple Network Management Protocol). Também permite o cadastro de qualquer outro ativo físico que seja importante para a área de TI, tais como celulares, no-breaks, aparelhos de ar-condicionado, contratos e – por que não? – até pessoas.

Desenvolvido pela eSysTech, empresa nascida do trabalho conjunto de alunos e professores na incubadora da Universidade Federal Tecnológica do Paraná (UTFPR), a solução foi criada em 2002 diante uma demanda da Positivo Informática em atender os requisitos de licitações do governo que exigiam um sistema de inventário embarcado nos computadores. Na verdade, o nome ADOTI só veio a surgir em meados de 2009, pois até então o nome da solução era PNM (Positivo Network Manager). Foi assim até a sua abertura para o mercado, permitindo que organizações de todos os tamanhos pudessem ter em mãos uma solução CMDB (Configuration Management Database).

Entre suas diversas funcionalidades, destacamos as principais ferramentas que auxiliam as atividades das equipes de TI, sem maiores dificuldades na sua implantação e operação. Confira as descrições destas ferramentas a seguir:

Conclusão

Ainda teríamos uma série de ferramentas e possibilidades de suas aplicações a serem descritas tanto para a solução open source CACIC como para a solução licenciada ADOTI, mas o principal objetivo deste artigo foi apresentar os reais problemas que a falta de um sistema de gestão de ativos pode causar a uma empresa e principalmente ao departamento de TI, que hoje se vê responsável por trazer alguma resposta a esta questão. Dessa forma, apresentar estas soluções acessíveis a qualquer organização nos traz a satisfação de poder colaborar efetivamente para o desenvolvimento dos nossos leitores.

Mais importante do que escolher uma solução, é saber tirar dela o máximo proveito para que o investimento seja rapidamente ressarcido e principalmente reconhecido pelos demais setores da organização, de forma que possam entender que a TI está ali não apenas para consertar computadores e reinstalar sistemas, mas para prover soluções que auxiliem as atividades da organização e, por que não, contribuir com ferramentas que possam auxiliar na mitigação dos riscos à segurança da organização, garantir a disponibilidade dos recursos e também reduzir os custos operacionais. A TI precisa mostrar que esta área não é um ralo que apenas suga dinheiro na aquisição de equipamentos e softwares caríssimos, mas um apoio que pode sustentar todas as áreas na busca de melhores resultados.


Artigos relacionados