COMPUTERWORLD - O portal voz do mercado de TI e Comunicação

Mario Faria *

“Nada é mais difícil de executar, mais duvidoso de ter êxito ou mais perigoso de manejar do que dar início a uma nova ordem de coisas” – Nicolau Maquiavel

Em meu último artigo sobre Social CRM, publicado aqui na CIO Magazine, explorei alguns pontos que um gestor precisa saber antes de seguir adiante com um projeto.

Depois de tê-los discutido extensivamente com meu amigo Paulo, Diretor de Marketing de uma empresa de bens de consumo, ele decidiu dar um próximo passo e começar o projeto.

Excelente e sábia decisão, só que apenas necessária, e de forma alguma suficiente para que o projeto do Paulo venha a ser um sucesso. Para complicar ainda mais, poucos são os benchmarks existentes para o Paulo estudar e analisar o que vai funcionar e o que pode dar errado.

Um projeto de Social CRM permitirá que uma empresa consiga entender alguns dos hábitos dos seus clientes, conhecer sua rede de relacionamentos e determinar qual o seu nível de influência nas comunidades que participa. Assim, integrando este monitoramento com seus sistemas tradicionais de CRM, será possível estabelecer correlações entre o comportamento deste cliente nas mídias sociais digitais e como, quando e onde ele consome seus produtos ou serviços. Desta forma, a empresa poderá trazer para este cliente uma melhor e mais eficaz experiência no relacionamento, aumentando suas receitas e, acima de tudo, melhorando suas margens.

Resolvi apresentar alguns passos iniciais que deveriam ser seguidos para que o projeto tenha sucesso desde o seu momento inicial.

1- Defina quais são os objetivos do projeto
O ditado popular diz que se você não sabe para onde vai, qualquer caminho serve. Todo objetivo deve ser simples de ser explicado, compreendido por todos os envolvidos e mensurável. Só leve o projeto adiante se, antes de iniciar, os objetivos satisfizerem estas regras. Em toda escolha futura, lembre-se dos objetivos antes de decidir.

2- Conheça, nos detalhes, quais são as capacidades atuais da sua empresa e seu nível de maturidade com iniciativas de CRM
Com isto, você conseguirá ter uma visão muito clara na hora de dividir as responsabilidades da execução com as pessoas que farão parte da equipe do projeto e o quanto precisará ser investido em capacitação. Ainda, será extremamente útil na escolha dos parceiros que precisarão ser contratados, pois dificilmente você conseguirá levar adiante sem ajuda externa.

3- Crie um plano com ações de curto, médio e longo prazo, levando em conta pessoas, processos e tecnologia
São 3 os pilares desta iniciativa que envolverá diversas áreas em uma empresa. Um projeto de Social CRM irá exigir uma mudança no modo de agir dos vários grupos envolvidos. Seguindo uma estratégia por fases, permitirá que estas mudanças sejam absorvidas por todos mais facilmente, com benefícios já alcançados mais rapidamente.

4- Analise as soluções de tecnologia e serviços existentes no mercado, em suas potencialidades e limitações
Sem tecnologia, esta iniciativa não vai ter sucesso. Existem várias opções gratuitas, porém as melhores são pagas. Busque apoio de um prestador de serviços que conheça os detalhes de funcionamento e operação destes produto. E procure não economizar demais, pois o barato poderá lhe custar o sucesso do projeto.

5- Estabeleça quais serão as métricas de sucesso, olhando para o retorno do investimento em termos financeiros
Como exemplo, suponha que sua empresa tenha criado um novo vídeo de um produto já existente e postado no YouTube. Ele foi assistido por algumas milhares de vezes num período de 6 meses. Excelente, parabéns. Só que ser visto várias vezes não deve ser o objetivo e, menos ainda, é retorno de investimento. Estabeleça que a métrica de sucesso seja aumentar o ticket médio de compras de 10% para pelo menos 20% das atuais clientes mulheres classe A e B que morem nos estados de SP, RJ e PR, durante os 3 primeiros meses. O objetivo do vídeo no YouTube é causar este impacto. Para saber o retorno, é calcular o quanto de lucro sua empresa terá com as vendas adicionais que serão realizadas.

6- Procure mapear todos os riscos que poderão levar ao insucesso desta iniciativa
Conhecendo-os antecipadamente, irá ajudar em uma série de escolhas que serão realizadas durante a execução. E lembre-se de reavaliar o plano com o passar do tempo e as lições aprendidas, para evitar percalços. Lembre-se que um projeto de Social CRM consome recursos (tempo das pessoas envolvidas, dinheiro e tecnologia), ativos que nenhuma empresa hoje pode ignorar.

(*) Mario Faria é professor do MBA de Marketing e Estratégia da Business School São Paulo e consultor (mario.faria@prof.bsp.edu.br)

Por Douglas Rivero, da SonicWALL *

Firewalls tradicionais fazem simples bloqueios a ameaças e invasões. Mas um firewall pode e deve fazer muito mais do que isso. Devem agregar serviços antivírus, anti-spam, prevenção contra invasões, filtragem de conteúdo e muitos outros recursos.

Isso porque a maior parte do tráfego que passa por um firewall não é baseada em ameaças, mas em aplicativos e dados. Essa realidade deu origem a aplicativos de inteligência e controle que conseguem proteger, gerenciar e controlar dados e aplicativos que passam pelo firewall.

Esses aplicativos de inteligência e controle não apenas bloqueiam as ameaças de rede como também podem dedicar capacidade para aplicações críticas ao funcionamento da empresa ou sensíveis à latência, como o Live Meeting, por exemplo.

Podem também restringir aplicativos que diminuem a produtividade, como o YouTube. Tudo isso com base no grupo de usuários, hora do dia ou tipo de dispositivo móvel.

O recurso inspeção profunda de pacotes (Reassembly-Free Deep Packet Inspection) identifica e controla navegadores não autorizados, sites Web 2.0, clientes IM e arquivos EXE, PIF, SRC ou VBS, assim como aplicativos P2P que evoluam de forma dinâmica.

Os aplicativos de inteligência, por sua vez, conseguem identificar e controlar aplicativos independentemente da porta, protocolo, plataforma ou mesmo criptografia SSL.

O acesso a sites de vídeo streaming, como youtube.com, pode ser útil, mas o problema é que muitas vezes as pessoas abusam do privilégio. Bloquear o site pode resolver o problema. A melhor solução, no entanto, é limitar a banda para os sites de vídeo streaming.

Diante dessas questões, seguem 10 dicas do que um firewall deve fazer:

1. ■ Gerenciar o vídeo streaming
É importante ter uma política para limitar o streaming de aplicativos de vídeo. É possível aplicar restrições de banda para o trânsito com o cabeçalho relacionado ao youtube.com. É possível também limitar a banda para esses aplicativos em horas específicas ao longo do dia, como por exemplo, entre 9h e 17h.

2. ■ Gerenciar a banda por grupo
É importante aplicar restrições de banda para sites como o youtube.com. Mas se o seu CEO ou o seu CFO reclamar que os “vídeos sobre negócios” que ele assiste todo dia estão muito lentos, será possível remover algumas das restrições de banda para todos e criar gestão de banda baseada em grupos de pessoas.

3. ■ Webmail e perda de dados
É comum que sua proteção anti-spam detecte e bloqueie um e-mail normal de saída que contenha “informações confidenciais” da empresa.

O que acontecerá, porém, se o funcionário usar um serviço de webmail como Yahoo ou Gmail para enviar “informações confidencias” da empresa? É fundamental contar com uma política para bloquear todos os e-mails com “informações confidenciais” da companhia.

4. ■ Controle de uso de aplicativos
A fim de controlar o uso de aplicativos, é válido fazer a verificação física dos sistemas todos os dias para ver se alguém está usando o navegador IE6.

Também se deve montar um script para checar o sistema de cada pessoa para ver se alguém está usando o IE6 e assegurar-se de que todo o sistema seja checado diariamente. Para isso, é desejável criar uma política de segurança que englobe todo o ambiente e parar de se preocupar.

5. ■ Negar upload FTP
Você criou um site FTP para a troca de grandes arquivos com um dos seus parceiros de negócios e quer se certificar de que somente o gerente do projeto na empresa parceira – e ninguém mais – pode fazer upload de arquivos. É possível fazer isso com a criação de uma política para permitir uploads FTP somente para algumas pessoas.

6. ■ Controlar aplicativos P2P
Problema 1: aplicativos Peer-To-Peer (P2P) podem roubar banda e trazer com eles arquivos maliciosos de todos os tipos. Problema 2: A criação de aplicativos P2P ou mudanças simples a aplicativos P2P existentes. Para isso, é importante ter uma política para detectar aplicativos P2P de forma geral.

7. ■ Gerenciar o áudio streaming
Sites de mídia streaming e de streaming de rádio consomem largura de banda preciosa, mas há motivos comerciais legítimos para acessar tais sites.

Existem duas maneiras de lidar com esse desafio. Controle através de uma lista de assinatura pré-definida e a criação de uma política para limitar o streaming de aplicativos de áudio.

8. ■ Priorizar a aplicação de banda
Hoje em dia, muitos aplicativos essenciais para o desempenho, como o Live Meeting, Salesforce.com e SharePoint, são baseados em nuvem ou estão distribuídos em redes geograficamente dispersas.

Assegurar que esses aplicativos tenham prioridade para receberem a banda que precisam pode aumentar a produtividade da empresa. Por isso, é importante desenvolver uma política para dar prioridade na banda a esses aplicativos de desempenho.

9. ■ Bloquear documentos confidenciais
Em algumas empresas, os e-mails de saída não passam pelo sistema de segurança de e-mail ou aquele sistema não verifica o conteúdo dos anexos dos e-mails.

Em muitos casos, os anexos com “informações confidenciais” saem facilmente da empresa. Uma vez que o tráfego da rede de saída passa pelo seu firewall, você pode detectar e bloquear esses “dados em movimento”.

Por essa razão é recomendável criar uma política para bloquear anexos de e-mail que contenham a marcas d’água, como “informações confidenciais”.

10. ■ Bloquear arquivos proibidos e enviar a notificação
Seu firewall consegue bloquear:
• um arquivo EXE de ser abaixado de uma página (HTTP/HTTPS)
• um arquivo EXE enviado como anexo a um e-mail
• um arquivo EXE de ser transferido por FTP
• E arquivos PIF, SRC ou VBS? É preciso criar uma lista de tipos de arquivos proibidos e uma política eficaz para bloqueá-los.

* Gerente regional da SonicWALL América do Sul

* Denny Roger, da EPSEC *

Poucas horas após a implantação de um novo mecanismo de segurança da informação, funcionários buscam desesperadamente idéias para driblar o novo controle interno, desvalorizando as políticas e normas que devem ser seguida por todos.

Essa é a realidade na maioria das empresas. Mas vamos entender melhor os fatores que motivam essa guerra interna.

Fim do acesso

Diante de novas ameaças na internet e a baixa produtividade de alguns colaboradores, a diretoria de uma organização começou a agir. A ordem foi para bloquear todo e qualquer acesso as redes sociais. O caso aconteceu no ano passado.

O diretor de segurança da informação deixou claro para a equipe de consultores, da qual eu fazia parte, que não pretendia abrir exceções e que era necessário o monitoramento constante para identificarmos quais eram os colaboradores que tentariam burlar a nova regra.

Para tornar a situação mais complexa, o bloqueio às redes sociais foi feito sem a atualização da norma que trata da navegação da internet. Ou seja, os colaboradores não foram informados do bloqueio.

As primeiras reações

A medida foi recebida com surpresa e preocupação pelos colaboradores dessa organização. Nas primeiras duas horas foram registradas mais de 3.000 tentativas de acesso a redes sociais.

As ligações para o help desk tiveram um efeito explosivo. Foram 75 chamados referentes a dúvidas sobre a proibição de acesso as redes sociais.

Uma das funcionárias, infeliz com a nova medida, encontrou uma solução simples para burlar o bloqueio. Ela simplesmente forneceu o seu usuário e senha do Orkut para uma amiga que estava fora da empresa. A “ferramenta” utilizada para veicular a informação foi o e-mail corporativo.

A amiga acessava o Orkut, copiava todos os novos recados e colocava no e-mail. A funcionária recebia em seu e-mail corporativo a mensagem contendo todos os recados novos que estavam no Orkut. Usando o e-mail da empresa, ela respondia cada uma das mensagens. Depois a amiga acessava o Orkut para atualizar o perfil.

Nada de fotos por e-mail

Outra medida adotada pela organização foi o bloqueio de fotos anexadas ao e-mail corporativo. A diretriz foi determinada após a organização descobrir que boa parte dos e-mails armazenados no backup, nas estações de trabalho e nos servidores era, na verdade, fotos de casamento, de festas de aniversário dos filhos, carnaval, férias, fotos pornográficas etc.

Em outros termos, a empresa estava gastando dinheiro para fazer backup das fotos pessoais dos colaboradores. E não podemos esquecer da parte jurídica! Questões de invasão de privacidade, difamação e uso indevido da imagem também foram discutidas para efetivar o bloqueio de fotos via e-mail.

Mas, voltando ao assunto das redes sociais, a funcionária abriu um novo arquivo do Word, colou algumas fotos dela no documento, salvou tudo e anexou ao e-mail.

A amiga dela recebeu o “arquivo do Word” com as novas fotos, acessou o Orkut e atualizou a página de fotos.
Ações de segurança só poderão ter resultado após mudança comportamental

Não funcionou

Na prática, a solução não funcionou porque alguns funcionários continuaram usando os recursos da empresa para acesso às informações das redes sociais. No caso descrito, o e-mail corporativo foi a ferramenta utilizada para desvalorizar a política e normas de segurança da informação.

Casos semelhantes ocorrem todos os dias nas empresas brasileiras. Muitas organizações têm iniciativas isoladas, ou seja, um diretor decide, sozinho, criar algum tipo de controle sem consultar outros executivos.

A grande maioria das organizações encontra resistência a mudanças por parte dos seus colaboradores. É nessa hora que um comitê interdepartamental pode fazer toda a diferença.

Campanhas de conscientização sobre segurança da informação também são fundamentais. E não deixe de fora as medidas disciplinares para punir os funcionários ou prestadores de serviço que promovem uma verdadeira guerra contra a segurança da informação.

* Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense.