Permissões e Acessos, Negócio x TI

O assunto de hoje tem sido cada vez mais recorrente nas organizações e provocam, pelo menos na TI, a necessidade do debate dos benefícios, impactos, papéis e responsabilidades de cada um dos envolvidos e até fazer com que cruzemos a linha da zona de conforto e do "sempre foi assim".

Cada vez mais os sistemas de hoje em dia são mais flexíveis, customizáveis, configuráveis e os usuários tem percebido isso. A nova geração de aplicativos Internet, Mobile e sistemas modernos do tipo "drag n drop", WYSIWYG (What you see is what you get), Codeless e faça você mesmo, tem fortalecido os usuários na possibilidade de poder adaptar e extrair do sistema tudo que ele oferece sem a necessidade de serem expert em informática. Muitas vezes esses sistemas e aplicativos dão possibilidade de conexões com banco de dados, integrações, entre outras funções e no passado dependiam de alguém com um pouco mais de conhecimento de TI para conseguir configurar, operar, manter e evoluir.

Com isso, quando voltamos para o nosso mundo corporativo, a TI começa a ser cobrada a responder uma serie de perguntas que até os anos de 2010, vinham muito baseadas em "querências" dos usuários, mas hoje algumas começam a vir com mais fundamentos e com usuários menos crus, como:

• Posso ter acesso direto ao banco de dados para desenvolver meus relatórios?
• Posso criar campos ou telas customizadas no meu ERP, já que existe essa funcionalidade?
• Posso ter acesso completo no ambiente de Desenvolvimento e Homologação para testar novas idéias?
• Posso criar tarefas e relatórios com agendamento programado sem depender de TI?
• Posso baixar esse sistema e instalar no meu micro localmente?
• ...

Acho saudável esses questionamentos, mas salvo raras organizações onde os usuários tem um conhecimento sólido de TI, impacto de suas ações e noções dos controles que normalmente são de nossa responsabilidade como, Sox, Segregação de Função, Documentação, Segurança da Informação e ITIL, dificilmente os usuários tem a visão do real e completo impacto de terem esses acessos.

Claro que para cada pergunta acima existe uma maneira de resolver, seja com ferramentas de TI, processos ou treinamento. Acredito que a discussão é sempre proveitosa e cabe a TI demonstrar aos usuários o peso de cada decisão e acesso que tiverem, usando sempre um linguajar acessível para que eles entendam e nos suportem, sem ficar nos escondendo em definições e no modelo de operação que normalmente a TI usa para defender seu espaço ou justificar sua existência.

Um bom exercício que a nova TI deve fazer, muitas vezes utilizando o papel dos analistas de negócio, é pensar também nos benefícios que cada acesso poderia trazer para a organização ser mais ágil e independente, sem colocar a segurança da informação, integridade e exposição para auditorias em risco. Claro que todo o processo deve ser documentado e atualizado para garantir sua manutenção, transparência e facilidade de novas implementações com o menor impacto possível para os próprios usuários.

Enfim, cada organização deve avaliar sua maturidade tanto de TI em abrir mão de algumas restrições quanto do negócio de assumi-las.

Como está a sua?

Marco Pitoco