MESA REDONDA

:: Sobre o evento :: Eventos realizados :: Fale Conosco :: Anuncie

Storage: partes baratas, sistemas caros.

Dorival, da Serasa.
“Não podemos tratar a criptografia de forma emocional. No mainframe, a criptografia de algumas rotinas aumenta o processamento em 30%.”

Jorge, da GM.
“Com a virtualização, os custos do armazenamento ficam mais ou menos os mesmos, mas ela dá dinamismo, dá bons recursos de segurança.”

Luiz,
do Banco Volkswagen.
“Criar regras de armazenamento é a dificuldade. Se as regras de negócio não ficam claras, não conseguimos usar a tecnologia direito.”

Márcio,
da Melitta.
“As pessoas decidem até quando guardar um e-mail, e elas guardam até convites para almoço. Mas se eu ditasse uma regra, só resolveria o meu problema.”

Paulo,
do Unibanco.
“O custo do armazenamento fica embutido nos custos da área de TI. Mas a melhor prática é colocar
o custo do armazenamento nos
custos do projeto.”

O sistema de armazenamento é o pedaço mais palpável da indústria de informática, o mais mecânico. Ele ainda é construído com discos de metais com revestimento magnetizável, com fitas de plástico com revestimento magnetizável, com braços mecânicos e motores e polias de todos os tamanhos e tipos. Manejar as informações num sistema de armazenamento não difere muito de manejar as caixas num depósito: é difícil igual, mecânico igual, com exceção dos tempos. Dá para mudar os bytes de lugar mais depressa. Mas o número de bytes é imenso, 150 trilhões de bytes só na Serasa, e cresce 40% ao ano. Não é à toa que a gestão do sistema de armazenamento dos dados é complicada, como demonstram os CIOs nesta mesa-redonda.
O debate foi coordenado por Wilson Moherdaui, diretor editorial do Informática Hoje, e por Márcio Simões, diretor de redação. Participaram: Dorival Dourado Júnior, diretor de operações da Serasa. Jorge Eduardo Perez, diretor de segurança da GM. Luiz Hélio Munari, gerente de TI do Banco Volkswagen. Márcio Bechara Poletti, gerente de TI da Melitta. E Paulo Souto, superintendente de TI do Unibanco.

IH — Existe sistema de armazenamento ao mesmo tempo flexível, eficiente e seguro?

Luiz — Trabalho há 31 anos na Volkswagen, 25 deles na montadora e seis anos nos serviços financeiros do Banco Volkswagen. Mas sempre trabalhei no processamento de dados da área financeira: contas a pagar, a receber, contabilidade. Ou seja, onde os dados são essenciais e necessários. A história do armazenamento de informações mudou em 1991, com a Lei 8.218: os problemas e soluções começaram aí. De um lado, os fabricantes conseguiram mostrar soluções; já podemos comprar pen drives de 4, 5 gigabytes. De outro, a dificuldade é combinar as regras de armazenamento, junto ao usuário, com as necessidades futuras. É muito comum alguém pedir uma informação e justamente aquela não está guardada, ou não está cruzada, ou não está na mídia mais adequada para ser recuperada logo. Esse é o grande desafio.

IH — A pressão por tecnologia de armazenamento vem mais dos usuários ou mais das leis?

Luiz — As leis e normas impulsionaram as demandas internas. A partir dessa Lei 8.218, e depois da Instrução Normativa 86, somos obrigados a guardar tudo, da maneira como os fiscais do governo federal, estadual e municipal decidem. Existe um layout [arranjo das informações nos relatórios], mas de vez em quando os fiscais pedem as informações de outras maneiras. Tradução de layout é simples, mas exige tratamento dos dados. Na prevenção à fraude de crédito, é preciso guardar todas as informações.

IH — A segurança torna o sistema de armazenamento mais lento?

Luiz — A parte técnica está resolvida; conseguimos montar espelhamento dos dados e redundância de maneira barata e segura. Criar regras de armazenamento é a grande dificuldade. Se as regras de negócio não estão bem estabelecidas, não conseguimos usar a tecnologia direito. É quando ocorre o confronto com o gerente de riscos, com o pessoal da contabilidade, com os fiscais.

Paulo — O custo do armazenamento baixou muito, mas a demanda interna por armazenamento e por informação disponível aumentou muito mais. É até difícil medir a taxa de crescimento das informações armazenadas dentro da empresa. Existe tecnologia para armazenar de forma definitiva ou temporária, com a mídia que for, e existe tecnologia para movimentar trechos dos bancos de dados, tudo isso está bem solucionado pelos fabricantes.
O problema é que os sistemas de armazenamento vêm crescendo a taxas não-programadas. O nosso data warehouse [banco de dados central], por exemplo, cresce 40% ao ano. Os usuários têm a capacidade de armazenar dados, de decidir as regras de armazenamento; foge um pouco do nosso controle.
Então, essa é a questão: a tecnologia está mais barata, mas a necessidade é muito grande, então gastamos tanto quanto gastávamos antigamente.

Márcio — A gente até consegue resolver as informações estruturadas, mas a quantidade de informações não-estruturadas cresce muito mais. Os processos internos não evoluem no mesmo passo.

IH — Quais são os problemas principais com processos e usuários?

Paulo — Até uns anos atrás, os usuários pediam sistemas transacionais. Mas com as mudanças nas relações dentro da empresa, com as mudanças legais, com as demandas judiciais, precisamos reter mais informações, até para alimentar modelos matemáticos novos. Na dúvida, a área de TI guarda tudo.

Luiz — Quando falta informação, o responsável é o CIO. Quando o usuário recebe o fiscal, chama o primeiro da área de TI que passar por perto. Acho que o CIO tem a responsabilidade pelo armazenamento e pela integridade das informações, mas não pelo atendimento dos fiscais.

Paulo — Se o armazenamento fosse mais caro, essa questão seria tratada com mais detalhes. Não seria tratada só pela área de TI. Agora, a TI precisa discutir isso na empresa, dar prioridade ao assunto. Até porque a disponibilidade de equipamentos não é imediata, é quase tudo importado.

Dorival — Retomando a pergunta inicial, se podemos ser flexíveis, eficientes e seguros, então devemos. Agora, quando mexemos ou alteramos um desses vetores, automaticamente mexemos ou alteramos os outros dois. Cada um desses vetores está muito relacionado ao modelo de negócios da empresa, aos requisitos de negócio.
O custo tem baixado, se consideramos a densidade de armazenamento dos dados. Mas, se consideramos a solução de armazenamento como um todo, o custo tem subido, porque os subsistemas de armazenamento são mais inteligentes. O que ganhamos com a densidade, gastamos com os sistemas de gerenciamento.
Contas de TCO [custo total de propriedade] são complicadas. Conforme o modelo de negócios, precisamos definir a política de armazenamento, com que idade cada tipo de arquivo vai para cada tipo de mídia. Os sistemas têm de ser inteligentes o suficiente para saber onde estão esses dados.
Temos bancos de dados transacionais de alto volume, com um tipo de abordagem. E todo documento que entra num guichê da Serasa, em qualquer lugar do Brasil, é digitalizado; é outra tecnologia, com outra abordagem.
Com e-mail, por exemplo, não dá para privilegiar todo mundo. Temos de escolher, definir regras abrangentes. A segurança é importante: em que momento fazemos a cópia? Essa cópia deve ser feita em tempo real ou não? Isso tudo consome recursos de comunicação.

Luiz — Discutimos mais com o pessoal de riscos. O estatístico quer fazer o trabalho dele, e acha que, do outro lado, os dados devem estar guardados como ele acha que deveriam ter sido guardados há cinco anos, mas, na verdade, naquela época nem capturávamos o dado

IH — E como justificar os custos e os riscos de guardar tudo ou guardar só uma parte?

Paulo — Em geral, o custo do armazenamento está embutido nos custos da área de TI. A melhor prática hoje é colocar o custo do armazenamento, e do processamento também, nos custos do projeto. Sem esses dois custos, e mais o custo da replicação dos dados, o retorno de muitos projetos fica excelente.
Este ano, começamos a incluir todos os custos de armazenamento e de processamento nos projetos.

Luiz — Hoje, os projetos estão mais detalhados. Mas ainda não encontramos quando podemos descartar a informação que acabamos de conseguir. Ninguém arrisca colocar essa informação no papel.

Jorge — Na GM, todo tipo de custo vem embutido no projeto, fica aparente, temos metodologia para isso; porque todo orçamento de TI, aparente ou não, vem da área de negócios. Quando tudo fica claro para a área de negócios, ajuda a conscientizar o usuário, ele aprende o custo dos pedidos que faz, aprende as conseqüências de criar um sistema.
O custo do armazenamento realmente tem caído, mas precisamos de cada vez mais velocidade. As empresas estão se tornando globais, então alguém usa um sistema na África do Sul, mas ele está hospedado aqui.
Algumas regras da Sarbanes-Oxley dão de quatro a seis horas para recuperar uma informação: não basta dizer que temos a informação armazenada, temos de mostrá-la. Temos de armazenar alguma coisa: mas quanto custa armazenar essa informação? E quanto tempo eu levo para identificar e recuperar essa informação? E quanto custa manter essa informação num sistema? Ou seja, precisamos de políticas, precisamos entender o ciclo de vida das informações. Se é rápido de armazenar e rápido de recuperar, o preço do sistema sobe, não importa se o preço do megabyte é bem baixinho.
Um dos grandes problemas do armazenamento: colocamos informações nos sistemas, mas não tiramos. Então, usamos na GM conceitos da contabilidade: temos informação ativa, passiva e até passiva da passiva... Tiramos informações da base ativa, mais rápida, e passamos para as bases passivas, em que o acesso não é mais em tempo real.
Mas essas bases passivas dão manutenção. No dia em que precisarmos da informação, será que o layout da base continua o mesmo? Será que ninguém mudou um processo, mudou a hierarquia da base de dados, e o sistema não consegue mais recuperar um cartucho?
Nas questões trabalhistas, os dados precisam ficar guardados 30 anos.

Dorival — Um outro ponto importante: como a tecnologia evolui muito rápido, compramos uma família de produtos hoje e, daqui a dois anos, quando vamos fazer a expansão, fica mais caro fazer a expansão com produtos da mesma família do que comprar produtos de uma família nova.
E temos outra coisa relevante: ambientes mistos, com mainframe e plataforma baixa. E aí vem o pessoal e lança um negócio chamado virtualização.
Na teoria, a virtualização é perfeita no laboratório, mas não é fácil compartilhar o mesmo aparelho com o mainframe e a plataforma baixa. Mesmo os fornecedores, os donos da tecnologia, não entendem direito as conseqüências.

Márcio — Com as informações estruturadas, do ERP, na Melitta nós fomos buscar o dono da informação. Quem é o responsável pelas informações de crédito? O gerente da área de crédito e cobrança tem de cuidar da política de retenção das informações, dos aspectos de segurança. Informações não-estruturadas são um problema maior — até que ponto um e-mail vai ser guardado é uma decisão da pessoa, não do CIO. Chegamos a abrir caixas de correio, e as pessoas guardam dados, e não informações: elas guardam convites para almoço e agendamento de reuniões. E não adianta eu ditar uma regra: isso só resolveria o meu problema. Às vezes, uma secretária tem realmente muita informação importante para guardar. Mas algumas pessoas nunca limpam a caixa de e-mail. É um dilema.

IH — Qual o papel do usuário na gestão dos sistemas de armazenamento?

Paulo — O usuário ajuda a entender os métodos de retenção de cada informação e o SLA de cada método de retenção.

Jorge — E segurança da informação é o usuário. Segurança da informação, em essência, é gerência de riscos, e o risco aumenta quando falta o treinamento dos usuários.

IH — Técnicas de virtualização não ajudam a TI a prestar bons serviços aos usuários?

Luiz — Está acontecendo um fato interessante. Entregamos laptops para os funcionários, mas os discos dos laptops estão cada vez maiores. Agora, estamos num movimento inverso, entregando thin clients [computadores com o mínimo possível de recursos], para tirar do usuário a capacidade de armazenamento que ele tem. A partir desse momento, ele vai nos responsabilizar: “Já que é assim, me garanta as informações no momento certo”.

Jorge — Na GM, temos um caso de sucesso com a virtualização. Mas virtualização não dá ganhos financeiros em pouco tempo — ela dá dinamismo, conseguimos responder para o usuário de negócios praticamente de um dia para o outro. Os custos ficam mais ou menos os mesmos. E tem bons recursos de segurança. Por exemplo: todo o nosso atendimento ao cliente será feito pela Atento, e o pessoal da Atento vai acessar os sistemas Windows da GM. É um problema, quando um funcionário não-GM acessa sistemas da GM. A virtualização resolve isso: o pessoal da Atento continua na Atento, e acessa os sistemas que eu permito que acessem como se estivessem na GM, mas sem estar na rede da GM.

Dorival — Eu tenho 150 terabytes na Serasa, então, qualquer tecnologia que vá mexer nisso precisa ser muito bem avaliada e testada. Os custos de um armazenamento assim são altíssimos, e não há muita margem de manobra.

Paulo — O próprio fornecedor vai conhecer bem o teu caso quando os problemas aparecem, quando a gente encontra incompatibilidades entre as várias camadas de software. Aí o fornecedor vem e diz: essa função funciona, mas só na versão tal do CICS. Só que ninguém muda assim a versão do CICS, isso é um projeto para mais de ano.

IH — A criptografia simplifica a gestão e melhora a segurança?

Jorge — O que determina o que deve ser criptografado é a política de segurança, ou de controladoria, ou corporativa. Na GM, chegamos a criptografar todas as informações que iam para o backup. Isso é custoso e aumentou significativamente o tempo de recuperação das informações. Não podemos aplicar a criptografia só porque o auditor vai perguntar se tem criptografia.

IH — Os auditores perguntam se tem criptografia?

Jorge — Perguntam. Mas temos informações críticas para a GM que precisam sair da GM. Por exemplo, a fábrica de Gravataí não tem estoque, é just in time, o carro vai sendo montado com as peças chegando. Se esse processo fica mais lento, diminui a produção. Eu criptografo o canal de transmissão, e só criptografo a informação do outro lado se ela for guardada, se ela residir no sistema do fornecedor.
Toda vez que falo de criptografia, o pessoal já começa a olhar o relógio, olhar de lado, custa caro, demanda conhecimentos a mais na operação, demanda vários processos a mais. O que acontece se eu perco uma chave? Como socorro alguém que perdeu uma senha e a criptografia está baseada nessa senha? No fim, o auditor segue um receituário, baseado no nosso modelo de negócios, aprovado por uma empresa de consultoria, para saber se estamos seguros ou não. Falar de criptografia significa falar do fluxo de informações para o seu negócio, e falar da segurança da informação em cada parte desse fluxo.

Luiz — Não se criptografa, necessariamente, uma base inteira. Um campo sim, o campo da senha do cliente, por exemplo. Criptografamos os dados armazenados nos notebooks da empresa, mais por precaução, em caso de roubo. Dentro da empresa, às vezes é preferível proteger a informação por meio de senhas de acesso, controles do acesso.

Dorival — Não podemos tratar a criptografia de forma emocional, achando que, se estiver criptografado, está seguro. A criptografia consome recursos de processamento, é trabalhosa para quem toma conta.
Em alguns dos bancos de dados da Serasa, a criptografia é aplicada no armazenamento, no processamento e em qualquer processo de transferência. Mas são casos específicos, avaliados com muito critério, porque o custo operacional da criptografia é alto: e é alto em todos os sentidos, porque é um custo composto. Em algumas rotinas de mainframe, por exemplo, as rotinas criptografadas aumentam o processamento em 30%. Tem rotinas que, se a gente criptografa, dobra o tempo de execução.

Jorge — Se a gente aplicar uma chave criptográfica mais pesada, chega a triplicar o espaço necessário para o armazenamento.

IH — Existe uma cruzada de combate às ilhas de informação, às bases de dados criadas e mantidas pelos próprios usuários?

Jorge — Ah, sim, existe.

Luiz — Em qualquer área de TI, a lista de projetos a entregar é enorme. Por pressa, alguns usuários contratam uns programadores que conhecem o Microsoft Access, que conhecem Excel, e montam um sistema. O usuário diz que esse sistema não tem importância, não é corporativo. Até o dia em que vira corporativo, e aí eu preciso integrar essa base de dados no data wharehouse.

Jorge — O pessoal de TI também gera algumas dessas coisas. Ele monta um sistema de business intelligence, mas é o usuário final quem vai usar aquilo, e não é bem o que o usuário queria. Então ele tira informações do business intelligence e coloca em planilhas Excel, e aí vira um ciclo vicioso.

Paulo — Mas a TI precisa entender também que ela não tem a capacidade de atender todas as demandas dos usuários, e às vezes nem deve. Às vezes, se a TI trouxer uma base de dados de uma área de negócios, vai ver que não vale a pena. Mas não podemos fechar os olhos para essas ilhas. Se é melhor para a empresa manter a ilha, nós, da TI, criamos as condições mínimas de segurança, rastreabilidade, backup, até fornecemos o técnico para cuidar da ilha, porque assim ele pelo menos segue metodologia.

5 subir