Além da Recuperação: Rompendo a paralisia do legado

Parte 4 de uma série de 5 partes

Uma das maiores fontes de custo, capacidade prejudicada e agilidade reduzida em TI hoje em dia são certamente os sistemas de TI "legados". Não importa se são ambientes locais de 30 anos em bancos, telecomunicações ou ensino superior, ou start-ups baseadas em nuvem de 5 anos. Quase todo mundo tem alguns, e a natureza da besta é que esses sistemas costumam ser alguns dos mais críticos para os negócios.

Portanto, nas três primeiras partes desta série de cinco partes, falamos sobre como podemos melhorar nossos resultados de segurança ao longo do tempo, abordando os problemas que fazem com que os negócios (que incluem TI) introduzam riscos na organização.

Essa abordagem significa que tudo o que é novo será melhor do ponto de vista da qualidade e segurança do que o que veio antes. Isso inclui novos sistemas, mas também novos processos que melhoram a segurança dos sistemas existentes. Pense em um processo de aplicação de patches aprimorado ou em um melhor gerenciamento de identidade, por exemplo.

Mas e os sistemas legados que você tem agora que estão tão arraigados que não podem ser facilmente substituídos? E para quem as melhorias gerais do processo não farão uma grande diferença devido à sua natureza particular ou peculiar? Sistemas em que, devido a vários fatores, o risco comercial de corrigi-los é percebido como muito grande.

Rompendo nossa dependência de sistemas legados

Só para esclarecer, definirei vagamente ambientes “legados” como aqueles em que a funcionalidade [de segurança] pode não ser ideal para os requisitos da empresa devido à falta de planejamento ou previsão. Ou quando os elementos não foram criados com o suporte de longo prazo em mente, ou são tão mal documentados e complexos que fazer alterações neles é simplesmente muito arriscado devido à probabilidade de efeitos não intencionais.

Como esses ambientes geralmente suportam grande parte das principais funções de negócios, os custos adicionais de manter esses ambientes problemáticos vivos são considerados justificados. Substituí-los por soluções de manutenção mais fácil é simplesmente muito caro, em grande parte devido à necessidade de fazer engenharia reversa, entender e atenuar os riscos em uma eventual transição.

O fato de serem essenciais também significa que sua segurança é extremamente importante. No entanto, pelo mesmo motivo, eles são difíceis de atualizar, corrigir e proteger. As soluções modernas não se integram bem – pode ser como misturar óleo e água – e fazer alterações no código ou no sistema para habilitar recursos de segurança ou visibilidade geralmente é muito arriscado.

Os esforços para mudar os ambientes legados costumam encontrar forte resistência. As empresas estão preocupadas não apenas com o custo de tais mudanças, mas também com seu impacto potencial.

Deixando o medo para trás

É essa resistência, essa relutância, que faz com que a dependência técnica se torne uma bola de neve e se enraíze. E, uma vez que isso acontece, é muito difícil transferir esses ambientes. Em vez disso, criamos sistemas e processos caros e, muitas vezes, manuais em torno deles, tanto para protegê-los quanto para adicionar funcionalidades que poderiam e deveriam ser fornecidas pelo sistema principal que temos muito medo de tocar.

Mas e se pudéssemos nos livrar desse medo?

Embora a maioria das organizações use sua solução para armazenar uma cópia de seus dados e sistemas em caso de desastre, o fato é que elas estão sentadas em uma cópia de seu ambiente. E essa cópia está vivendo em sistemas de armazenamento que têm tecnologia incrível de entrada e saída de dados, além da otimização; sistemas capazes de executar esses dados e criar um gêmeo digital do seu ambiente.

Melhor ainda, a tecnologia de otimização em jogo introduz a possibilidade de Thin Digital Twins, que são cópias funcionalmente idênticas de seus sistemas usando apenas uma fração do armazenamento. Isso significa que, na verdade, você precisa de muito pouca capacidade para executar ambientes gêmeos muito grandes para testes e simulações.

Minha primeira introdução aos Thin Digital Twins foi no contexto de testes de penetração. A vantagem é que a maioria das organizações não faz testes de penetração minuciosamente e raramente testa totalmente seus sistemas de produção mais sensíveis quanto ao risco de interrupção, se é que os testam.

Mas e se, em vez disso, você tivesse uma réplica funcionalmente idêntica de todo o ambiente que pudesse ser usada, sem risco e sem impacto? Ele poderia ser testado completamente e com o que, de outra forma, poderia ser considerado uma ferocidade perigosa.

Você obteria resultados muito mais completos, com muito menos despesas de planejamento, porque a interrupção de um gêmeo não importa. Você não está alterando o ambiente armazenado. E com risco praticamente zero, o que é muito melhor do que até mesmo a abordagem de um atendimento diferenciado cuidadosamente planejado (e caro).

Além disso, os ambientes de teste ou preparação são frequentemente usados para testes de penetração, e esses ambientes não são, na verdade, verdadeiras réplicas funcionais de seus ambientes de produção. Um gêmeo real da produção sempre será mais preciso e terá menos probabilidade de deixar passar um problema crítico.

Rompendo o ciclo da paralisia

Mas e se aplicássemos os princípios acima para romper o ciclo de paralisia que cria e enraíza os ambientes legados?

A eliminação do medo e do risco de fazer alterações nesses ambientes pode nos levar a dissecar, testar e simular rapidamente as alterações nos sistemas legados. Isso nos permite reduzir drasticamente os requisitos de custo e tempo para retirar esses sistemas de um estado legado.

Do ponto de vista do cálculo de custos, ele muda as prioridades porque o que antes era muito caro agora pode se tornar uma opção mais barata do que o status quo. Isso significa que agora há motivação financeira (e suporte comercial) para corrigir os problemas legados com os quais estávamos sobrecarregados anteriormente.

Com a possibilidade de simular uma mudança de processo, uma mudança de configuração ou até mesmo a substituição de um sistema inteiro, aproveitando a réplica do nosso ambiente que fica em nossa infraestrutura de backup/recuperação, o tempo e o esforço necessários para consertar ou substituir o sistema por algo melhor é mais barato do que manter o antigo em funcionamento.

É claro que esses princípios são mais acentuados nos sistemas legados, mas podem ser usados em qualquer outro sistema ou mudança, sem falar nos testes agressivos. Tudo isso o ajuda a desbloquear, acelerar e reduzir drasticamente os custos de sua transformação de segurança.

Esses benefícios também não se limitam a melhorar a segurança. A funcionalidade de negócios também pode ser adicionada com mais facilidade, beneficiando ainda mais os negócios e os resultados.

Para recapitular, em edições anteriores desta série, introduzimos o fato de que a segurança sustentável e em melhoria contínua é um subproduto da qualidade que precisa ser implementado como parte de uma abordagem holística e estratégica.  E como os recursos de armazenamento e recuperação podem atuar como um facilitador e acelerador.

A capacidade de testar rapidamente e criar protótipos de um gêmeo digital perfeito do seu ambiente é outra maneira de acelerar ainda mais esse progresso. E a facilidade com que isso pode ser feito pode ter impactos significativos sobre os custos e, portanto, sobre a priorização financeira das atividades.

Isso torna mais provável que a melhor abordagem para o resultado final, mesmo no curto prazo, seja consertar as coisas corretamente agora. E, conforme discutimos em nossa última parte, esse tipo de justificativa financeira certamente obterá o apoio da empresa para sua transformação da segurança.

O que você faria com um gêmeo digital?

Deixarei para você algumas questões simples:

Se você pudesse gerar gêmeos digitais de qualquer sistema, ou até mesmo de todo o ambiente, e testar ou simular qualquer coisa com imprudência, de que forma faria isso?

O que lhe traria maior segurança ou melhoria de custos?

Que tipo de mudança você poderia promover?

Um bom motivo para refletir...

Junte-se a nós no próximo capítulo de nossa série, com uma análise mais aprofundada da futura lei DORA, que também vai além da recuperação.

Ler os artigos anteriores desta série

• Além da Recuperação: Além da Tecnologia, parte 1 de 5
• Além da Recuperação: Explorando o Problema, parte 2a de 5
• Além da Recuperação: Explorando o Problema, parte 2b de 5
• Além da Recuperação: O Dinheiro Fala Mais Alto, parte 3 de 5