Lei Carolina Dieckmann. Já atualizou sua política?

              

                Primeiramente, devo agradecer ao Casal Leandro e Danyelle Pereira que apoiaram na revisão do texto. O Leandro sendo um Administrador de Redes Sênior validou os temas técnicos de TI. Sua esposa, a Dra. Danyelle, nos apoiou com os termos e conotações jurídicas. Espero que o texto possa aclarar um pouco mais sobre esta nova lei. 

Foi sancionada por nossa Presidente a Lei 12.737/2012, mais conhecida como a lei “Lei Carolina Dieckmann”. Sendo a primeira lei orientada a crimes na internet, esta foi criada pelo Deputado Paulo Teixeira (PT/SP). Há alguns itens polêmicos no texto, entretanto a legislação não traz detalhamentos profundos e técnicos no conceito de segurança da informação. Diante deste cenário, abrangeremos de forma sucinta o principal aspecto da Lei, quais sejam “Política e Governança” dos processos de TI – Tecnologia da Informação.

Primeiramente, vejamos o que realmente a lei visualiza como ato criminoso:

”Art.154-A – Invadir dispositivo de Informática alheio, conectado ou não a rede de computadores, mediante a violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagens ilícitas.

Pena: detenção, de 3(três) meses a 1 (um)ano, e multa

Art. 154-A.3 – Se da Invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais, ou industriais, informações sigilosas,  assim definidas em Lei ou controle de remoto não autorizado do dispositivo invadido.” ¹

Esclareço, desde já, que não sou Advogado, mas lendo o texto publicado em uma coluna da UOL o autor da lei, deixa claro que:

"Se um documento confidencial, por exemplo, não for guardado com o devido cuidado [e for deixado exposto em cima de uma mesa], a lei não protegerá o titular deste documento e não considerará o documento como confidencial. Por conseguinte, a pessoa que tiver acesso não será considerada detratora." ²

Ótimo, pelo texto acima não temos responsabilidade nisso... Será?

                Na prática, a área de TI é responsável pelos dados e consequentemente pelas informações corporativas ou até mesmo pessoais que estão armazenadas na companhia. Pode ocorrer de fato de não invadirmos informações ou sermos os “criminosos virtuais”. É válido uma atenção e ajustes nas políticas de suporte ou segurança da informação. Citarei alguns serviços ou situações que podem ser calibradas.

Vamos partir desta premissa:

“Até que você prove que não é culpado, você é o suspeito”....

Significa que, os dados estão sob a gestão da área de TI ou de um determinado analista. Se alguém por algum motivo adquiri as informações e as usufrui de maneira indevida e não registra “logs” ou evidências que comprove que foi ele o executor, o acusado neste momento torna-se o analista ou a TI, que é a detentora das informações.

                Política de Segurança da Informação – Antes de ingressarmos nos itens mais técnicos do dia-dia, temos que pensar se sua empresa possui uma política de segurança da informação e se já a possui, validar seu processo de atualização. Para as empresas de Outsourcing ou prestadores de serviços alocados, sempre fica uma dúvida, se o prestador de serviço deve seguir as políticas do cliente somente ou da empresa no qual ele é contratado. No caso, devemos seguir as duas.

                As políticas servem como um elo entre a camada estratégica e operacional, gerando principalmente consistência operacional na entrega do serviço. Os profissionais devem registrar sua leitura e compreensão com regularidade.

Os contratos de prestação de serviços(Outsourcing) – É válido que os contratos de prestação de serviço já venham com alguma seção validando principalmente as informações e dados em que o cliente é responsável e aqueles que o prestador de serviço é responsável pela segurança.

Exemplos: Os dados de backup de informações dos clientes:

·         Onde serão armazenadas?

·         Quem é responsável pela gestão dos acessos?

·         Possui Log para rastrear ações neste diretório.

·         Processo e política de Backup. Possuem responsáveis e log para consultar ações de consultas nos Backups?

·         Quais os cuidados para o armazenamento das informações.

É comum ver dados de clientes sendo armazenados em mídias como “Storages” móveis, HD externo ou máquinas sem a devida políticas de acessos. Todavia, nestes casos devemos rever os conceitos e analisar qual a melhor forma de diminuir as chances da responsabilização criminal abordada pela Lei aos profissionais de TI. Para tanto, convidamos você leitor a refletir sobre os pontos abaixo relacionados:

Acesso Remoto - Todas as suas ferramentas de acesso remoto possuem a opção onde o cliente atua autorizando a conexão? Não podemos esquecer que existem ferramentas de acesso remotas silenciosas, se existe esta modalidade de suporte, ela guarda logs?

Check-list – É comum que os analistas de “field support” tenham um “check-list” para que o colaborador valide o suporte fornecido. Mas esta validação de fato ocorre após os acessos as informações. Pelo texto, é importante que tenhamos uma autorização prévia do acesso. Esta autorização pode estar expressa na política, contrato, chamado ou até mesmo no check-list.

Estoque e armazenamento das mídias de backup – Como dissemos acima, é comum visualizar analistas armazenando as informações em mídias que muitas delas são móveis ou sem qualquer tipo de restrição. Neste caso, apontamos que o mais crítico de tudo é a rastreabilidade. Expomos isto, porque, podemos ser os mais honestos da companhia e repudiarmos qualquer tipo de processo antiético, mas se realizarmos o backup do cliente em um HD externo e deixarmos em cima da mesa no final do turno e . O que acontece, se uma outra pessoa com má fé adquiri e subtrai estes dados e usufrui de forma indevida? Pergunta: conseguiremos comprovar que não fomos nós os causadores da má ação?

Assim, sugerimos que a política para backup de dados, tenha sempre que possível, orientações para armazenar os dados em servidores com acessos restritos.

Há outros cuidados e temas técnicos que poderíamos discutir neste artigo, mas o que devemos nos preocupar principalmente é o ajuste nas políticas e uma conscientização geral da equipe sobre os cuidados das informações no suporte do dia-dia, ainda mais nos dias de hoje em que as pessoas possuem maior liberdade para guardar arquivos pessoais em dispositivos corporativos e arquivos corporativos em dispositivos pessoais.

1.        http://pt.wikipedia.org/wiki/Lei_Carolina_Dieckmann

2.        http://tecnologia.uol.com.br/noticias/redacao/2013/04/24/lei-carolina-dieckmann-so-vale-para-eletronicos-com-sistema-de-seguranca.htm

3.    (http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=32532&sid=18#.UkNnb9yZ3s4

4.        http://olhardigital.uol.com.br/noticia/-lei-carolina-dieckmann-entra-em-vigor-entenda-o-que-muda/33515

5.        http://convergenciadigital.uol.com.br/inf/dou_121203.pdf

6.        http://olhardigital.uol.com.br/noticia/internet-brasileira-ganha-rg-o-autorregulador/33588

A1, A2 e A3 – Mas que gestão do conhecimento, uma ferramenta financeira para centro de suporte

Introdução

Este artigo foi desenvolvido utilizando como base um projeto realizado algum tempo atrás onde tive participação ativa. O projeto consistia em elevar a taxa de solução do primeiro nível e consequentemente eleva a satisfação de nosso cliente, naquela oportunidade tínhamos o desafio de elevar a taxa de solução de 20% para 90% em Infraestrutura. Este desafio foi declarado de modo claro que o grande objetivo era apenas a elevação de solução de primeiro Nível. 

        Foi uma equipe multifuncional de aproximadamente 8 pessoas, que após horas e horas de trabalho árduo conseguimos atingir o objetivo. Hoje, com aproximadamente 10 anos na área, acredito que foi o melhor projeto que participei em relação a estrutura de uma Base de conhecimento.

       Agora, quando falamos de uma ferramenta financeira, é que este conceito traz enormes ganhos a operação, isto destacarei adiante.

Conceito

O A1, A2 e A3 é um conceito simples, porém possui uma complexidade para implementar. O simples é que cada categoria de chamado deve ter um rótulo, descrevemos estes abaixo:

• A1 – Um chamado ou uma categoria de Serviço que deve ser resolvida em primeiro Nível.

• A2 – Um chamado ou uma categoria de Serviço que gera dúvida em relação a sua solução. Estas dúvidas, geralmente estão vinculadas a políticas, acessos ou a conhecimento.

• A3 – Um chamado ou uma categoria de Serviço que deve ser resolvida por um nível superior de suporte.

Estes rótulos são adicionados no catálogo de serviços ou lista de categorizações e consequentemente incluídos na ferramenta de chamados. Na ferramenta, deve-se apresentar um indicador claro na tela do analista sobre qual é o tipo de chamado que ele está tratando. 

Catálogo de Serviços

Para que este modelo(A1,A2 e A3) funcione corretamente é necessário que tenha um catálogo de serviços ou uma lista de categoria bem formatada.

Com posse a esta lista de categoria construída, se faz necessário, adicionar apenas um campo elegendo entre estas três opções mencionadas. Para esta etapa de eleição das categorias, um membro extremamente conhecedor do catálogo e da operação deve estar a disposição da etapa ou projeto.

Caso seu centro de suporte, não tenha as categorias estabelecidas ou não estão conforme gostaria, aproveite e revise o catálogo já adicionando este conceito.

Adicionando o método

Com posse do catálogo criado e atualizado com todas as categorias A1,A2 e A3, deve-se encaminhar para a atualização da ferramenta.

Este item, não envolve somente uma mudança no banco de dados, envolve também atualização da ergonomia da tela. Por isso, outro membro conhecedor da ferramenta se faz necessário. É importante, dentro deste tópico, não se esquecer de registrar a mudança e respeitar o modelo ITIL.

Se houver um ambiente de teste, acredito que será extremamente importante para simulações.

Antes de encerrar este item, para o time de ferramentas sugiro criar mais dois recursos. Acesso a extração da massa por este campo e uma visualização(“view”) onde o líder possa ver em tempo real os chamados. 

Ex: chamado A1 pode ser encaminhado ao segundo nível? Não, não pode, para que isso seja visualizado rapidamente, uma regra de e-mail ou um painel pode ser realizado.

Comunicação

Por mais simples que seja este conceito, a comunicação e a mudança de alguma rotina para os analistas pode trazer resultados indesejáveis e atrapalhar seu projeto.

Sugiro reuniões com a equipe e diversos comunicados antes da mudança. Entenda, que é natural analistas não aceitarem mudanças. Neste caso, e no projeto que estive envolvido o líder possuía uma regra de e-mail que assim que um chamado A1 era distribuído para filas de segundo nível, um e-mail era encaminhado.

Base de Conhecimento e KCS

É  natural que para garantir que todos os chamados A1 fiquem no primeiro nível, uma excelente base de conhecimento deve ser montada e atualizada, caso contrário o projeto não terá êxito, porque os analistas tentarão resolver aquilo que não possuem prática, o resultado disso será o TMA elevado, nível de serviço maior, aumento da taxa de abandono e maior custo da operação.

Entrando um pouco mais nos conceitos do KCS, um bom sistema de busca ou até mesmo dentro da ferramenta a categorização dos serviços se estiverem relacionadas ao procedimento o ganho no TMA e na qualidade do Serviço será expressivo.

 

Controle e relatórios

O relatório neste projeto ou conceito serve mais do que controle, ele serve para garantir o sucesso da implantação.

Listei abaixo estes dois relatórios importantíssimos:

Grafico 1

Grafico 2

Gráfico 1

O primeiro gráfico aponta o quanto de A1, A2 e A3 o N1 e o N2 está encerrando. Vamos debater sobre este gráfico:

• Se há solução de A3 no primeiro nível, significa que um A3 pode ser migrado para A1 e o analista pode ser reconhecido por isto. Ou até mesmo, o analista classificou o chamado errado.

• O A1 para o N1 deve chegar próximo de 100%, se estiver em 90% ou 80%, significa que há um potencial desperdiçado e um valor em dinheiro que passou pelas mãos do N1 e está onerando a fila do N2.

• O N2 por sua vez deve ficar com quase 100% de A3. Se não, novamente voltamos ao item anterior.

• A2 deve ficar menor que 10% do volume de chamados, mas isto é relativo a maturidade do processo de implantação. Naturalmente, no começo do projeto, este item pode chegar facilmente nos 30% ou 40%.

Gráfico 2

• A tendência de A3 resolvidos no N2 deve ser projeta para gerar uma linha descendente. Isso porque o conhecimento deve ser transferido para o primeiro nível. Assim, quanto mais a linha de A3 se projetar para baixo, melhor está sendo a transferência de conhecimento. Este conceito se aplica ao inverso para a linha de A1. Quanto maior a ascensão da linha de A1, melhor está sendo feita a transferência de conhecimento.

• A linha de A2, deve ocorrer um esforço para ter uma descendência ou uma queda, isso porque um chamado A2 não tem dono, é um incógnita no centro de suporte. Muitas vezes estas categorias são dividas. Situação “x” é A1 e situação “y” vira A3. E assim, a linha de A2 acaba caindo.

• Apenas um item interessante neste gráfico que falaremos adiante. A diferença entre as linhas A1 e A2 significa a economia gerada na operação.

Passagem do Conhecimento

Reuniões regulares devem ser realizadas para passagem de conhecimento e para realização eficiente desta reunião o representante do N1 que poderá media-la. Isso, porque geralmente é interesse no N1 em aumentar sua taxa de solução.

Mas o que eu considero mais relevante nesta etapa, é que a passagem do conhecimento deve ser “pautada” pelo gráfico de “Paretto”. Incialmente e com mais intensidade pelas categorias A2, em paralelo pode ser seguida pelo “Paretto” de A3.

Durante as reuniões, deve se ter um conhecimento claro que a passagem de conhecimento é benéfica  mas respeitando alguns itens de segurança. 

     Como exemplo: Um analista de N1 que não possui capacitação possui acesso a realizar querys no banco de dados de forma aberta. 

       Neste caso o risco é maior que o ganho de conhecimento. Mas se tivermos 2000 onde se faz necessário o uso de uma “query”. Não podemos criar um aplicativo que limita o uso das instruções? Ou não podemos capacitar apenas o líder ou o ponto focal para realização deste item dentro do N1? 

    São perguntas feitas e que as respostas estão na cultura da empresa e representada muitas vezes pelo gerente de IT. Outro item relevante, é que a maioria dos contratos são calculados por chamados resolvidos. Ou seja, ganha-se quanto mais chamados solucionados. 

    Em minha opinião, não está correto trabalhar desta maneira, pois assim, a troca de conhecimento não será feita de maneira efetiva, isso porque quem ceder o conhecimento irá perder valor no contrato.

ROI

Depois de montada todo o projeto é a hora de mostrar seu valor. Neste caso, é muito simples. O gestor pode passar o custo por cada nível de suporte, mas caso não o tenha, pode ser feito um cálculo aproximado de diferença de custo.

Para entendimento:

O Piso aproximado de um Técnico de suporte Jr em SP(SindPD) = 1300R$.

Aplica-se impostos, taxas e benefícios(estimativa de mercado) = +90%.

Custo aproximado de um analista de N1 em SP = 2470 R$

A operação possui 5000 Chamados e 12 analistas do N1.

O custo aproximado por chamado atendido no N1 = 6 R$

Se um analista de N2 possui um salário médio de 3000 R$

Aplica-se impostos, taxas e benefícios(estimativa de mercado) = +90%.

Custo aproximado de um analista de N2 = 5700 R$

A operação N2 recebe 50% dos chamados abertos (2500)

Há 4 analistas de N2.

O custo aproximado somente do analista N2 é de: 9 R$

Porém, o N1 fez o primeiro atendimento então o custo de um chamado de N2 é: (9+6)=15 R$

O valor do chamado encerrado em N2 é 150% mais caro.

No gráfico 2, onde a média de chamados é aproximadamente de 150 chamados, com a inversão do conhecimento para o N1 a operação economizou algo em torno de 350R$ ou 2 R$ por chamado.

Assim, podemos compreender que além de atribuirmos qualidade na operação. Maximizamos o valor do centro de suporte. 

Não deixem de seguir este Blog.Estamos postando as novidades de mercado que pode lhe ajudar em seu dia-dia.

Projeto de lei de Terceirização 4330/2004

Projeto de lei de Terceirização 4330/2004

Quais são os efeitos para a área de TI com a regulamentação da Lei de Terceirização?

1.       Entendimento

Para começarmos, devemos entender que a proposta de lei, apresentada ao congresso visa regulamentar as lei de terceirização do país. O projeto de lei 4330/2004 é polêmica porque muda um dos pilares sobre a terceirização no país.

2.       Polêmica

A polêmica consiste no que consideramos como atividade meio e atividade fim. Explico melhor:

        Atividade meio – são aquelas atividades que dão suporte para as atividades fim. Hoje, há a possibilidade de terceirizar no mercado os serviços como: Segurança, manutenção, Limpeza, logística, representantes de Turismo e lógico o time de TI.

        Atividade Fim – É considerado atividade fim, aquelas atividades que entregam o serviço ou o produto e que faz parte da estratégia da empresa. Como exemplo , citor algumas atividades:

Em um banco, os caixas e os gerentes não podem ser terceirizados. Este mesmo exemplo pode ser aplicado a uma metalúrgica ou em uma montadora de carros, onde a linha de produção não pode ser terceirizada.

        A polêmica reside neste item. Com a nova lei será possível terceirizar as atividades fim. Ou seja, podemos agora com a aprovação da lei terceirizar os caixas, gerente de um banco? Sim, agora será possível.

3.       Porque muitos são contra a lei?

Neste caso, destaco 2 pontos principais como: “Pejotização” e as convenções trabalhistas.

Embora a lei não altera questões da CLT e que isso significa que mesmo terceirizando, os direitos da consolidação das leis do trabalho, “podem ficar” asseguradas. A questão sobre as convenções trabalhistas que citei como destaque, há a possibilidade de sindicatos tradicionais e com grande influência nos setores, podem perder força e consequentemente alguns trabalhadores podem perder alguns benefícios adquiridos em convenção coletiva caso ocorra a terceirização e a mudança de sindicato.

Mas o que analisei com grande preocupação e isso ocorrem com muita frequência na área de TI é a “Pejotização”. Explico melhor... A “Pejotização” é quando um colaborador aceita ser uma Pessoa Jurídica, ela a pessoa,  é a empresa e neste caso a CLT não se aplica e na maioria das vezes, não há vinculo com sindicatos que de certa forma garantem alguns benefícios em convenção coletiva. Como empresa, o empregado negocia seus serviços diretamente com a empresa.

Isso significa que uma empresa, pode ter diretores, gerentes e vários setores com vinculo terceirizado? Parcialmente sim. A lei aprovada, permite que um serviço apenas e que este seja especializado tenha um vinculo terceirizado, mas não é clara neste ponto e abre brechas neste caso.

4.       E porque muitos são a favor?

Basicamente e escutando o pronunciamento do presidente da Fiesp Paulo Skaf e que ontem dia 07/04 esteve em Brasília fazendo coro a aprovação da Lei, afirma que as empresas ficarão mais seguras na contratação, uma vez que as regras sobre terceirização dos serviços ficará mais clara. Neste ponto, não posso deixar de negar, pode-se abrir mais vagas no país.

Em nosso mercado de TI, visualizamos com muita frequência nossos empregos escaparem para outros países, estes mercados geralmente possuem leis mais simples e que regularmente traz preços mais competitivos. No Brasil, muitos tentam identificar diferenciais qualitativos para que as grandes empresas invistam em nossos profissionais. Concordo que temos qualidade, mas infelizmente a burocracia e o preço pesam na decisão.  Dar uma chacoalhada e simplificar, pode ser um caminho para incentivar o emprego e fornecer uma via aos empregadores.

5.       O mercado vai virar de cabeça para baixo?

Sinceramente, temos que lembrar o compromisso das empresas é com os seus clientes e as empresas de capital aberto, o compromisso é com os acionistas e com seus clientes. O que quero passar adiante é a importância que o planejamento estratégico nas empresas, isso é o que conta e quando há uma terceirização desenfreada e sem planejamento, certamente haverá um preço caro na qualidade de um produto manufaturado ou de um serviço.

Acredito que hoje quando vamos às compras para fazer uma torta, podemos escolher os melhores ingredientes ou os mais baratos. Quem escolhe é você e quem também coloca a torta a mesa é você.

 Pacheco