Entendendo o verdadeiro impacto do gerenciamento de ativos

Sean Dawson: Olá, bem-vindo ao Cask Distillery Podcast, onde revelamos todo o potencial do ServiceNow com insights de especialistas e estratégias práticas, somente aqui no Cask Distillery Podcast. E hoje, vamos falar sobre ITAM e segurança. Construindo uma aliança forte que impulsiona o sucesso. 

Tenho Teri Bopst comigo, e gostaria de fazer uma rápida apresentação dela. Teri tem mais de 25 anos de experiência em TI. Ela tem 13 anos dedicados especificamente ao gerenciamento de ativos de TI e duas décadas de experiência em liderança. Ela é a diretora de gerenciamento de ativos de TI aqui na Cask. 

Bem-vinda, Teri, e obrigado por vir ao programa conosco. 

Teri Bobst: Obrigado, Sean. É ótimo estar aqui.

Sean Dawson: Oh, será um bom momento. Então, como mencionei anteriormente, vamos falar sobre o ITAM na segurança e sobre essa aliança que impulsiona o sucesso na plataforma e para as organizações. Mas, como geralmente gosto de fazer para nossos ouvintes, gostaria de ver se você poderia nos dar uma visão geral do gerenciamento de ativos de TI. Talvez eu adquira o hábito de chamá-lo de ITAM, como costumamos fazer, mas gostaria de dar uma olhada nisso para aqueles que talvez não estejam familiarizados, porque talvez haja aqueles que conheçam o ITAM pelo lado do ITSM, em que você lida basicamente com hardware ou Hardware Asset Management Pro, SAM Pro, todas essas coisas diferentes.

Mas eu gostaria de saber se você poderia dar uma visão geral rápida e de alto nível do que é ITAM. 

Teri Bobst: Sim, pode apostar, Sean. Portanto, o gerenciamento de ativos de TI - ou ITAM, vamos chamá-lo assim para encurtá-lo - é um programa fundamental para sua organização. Ele realmente interage com todos os departamentos de alguma forma. Ele começa com a compreensão do que você precisa para fazer negócios e abrange todo o hardware, software e serviços de TI. Portanto, é realmente saber o que você tem, onde está, quem ou como está sendo usado, quanto custa e entender o ciclo de vida completo desses ativos com o objetivo de manter seus ativos em uso durante todo o ciclo de vida.

Sabe como é, os ativos que ficam em uma prateleira ou gaveta custam dinheiro e introduzem riscos. E um programa ITAM sólido pode protegê-lo contra isso. 

Sean Dawson: Portanto, há um ROI muito bom por trás disso quando você começa a analisar esse material. Correto?

Teri Bobst: Com certeza. O gerenciamento de ativos de TI é provavelmente um dos lugares mais fáceis de comprovar um ROI, pois há muito custo envolvido quando se pensa em uma organização e em tudo o que ela compra relacionado à TI e em entender que você está realmente comprando o que precisa e que está sendo usado.

Sean Dawson: Está bem. Muito bem. Vamos abordar um pouco o lado da segurança, já que é sobre isso que estamos falando. Não apenas o ITAM como um todo, mas acho que é bom enquadrar isso no que é o ITAM. Então, como o ITAM ajuda a proteger a organização? 

Teri Bobst: Sim, então quero começar dizendo que, quando falamos de proteção no contexto do gerenciamento de ativos, isso realmente se refere a medidas proativas e estratégicas que são tomadas para proteger os ativos da sua organização, sejam eles digitais, físicos ou recursos. Portanto, a proteção não se limita apenas à segurança de TI, embora esse seja um componente importante. O ITAM realmente oferece proteção financeira, jurídica e operacional também.

Sean Dawson: Certo, vamos para o outro lado. Você pode falar um pouco sobre como a segurança protege os ativos? 

Teri Bobst: Sim, com certeza. Portanto, ter um programa de segurança sólido, você sabe, realmente protege seus ativos por meio de coisas como gerenciamento de problemas, incidentes de segurança, retenções legais. Na verdade, uma das maiores áreas é a proteção orientada à tecnologia. Portanto, pense em métodos de autenticação, controle de acesso, padrões de criptografia, firewalls, todas essas coisas que realmente protegem seus ativos e o que pode acontecer com eles, quem pode fazer login neles, certificando-se de que não estejam vulneráveis a explorações. Além disso, o gerenciamento de patches é uma área muito importante, pois é o que mantém o software atualizado e realmente o protege da vulnerabilidade de ter um software desatualizado. 

Sean Dawson: Está bem. E eu - então, outra coisa que eu estava pensando era em pensar na base. Ou seja, no ServiceNow, você tem o CSDM/CMDB. Como esses dados dão suporte ao seu programa ITAM, incluindo até mesmo as iniciativas de segurança da organização - como tudo isso se relaciona?

Teri Bobst: Sim. Portanto, um CMDB é fundamental para seu programa de gerenciamento de ativos. E o que geralmente tento explicar às pessoas sobre o que estamos falando é que o CI, que reside no seu CMDB - seu item de configuração - é, na verdade, toda a fase em uso do ciclo de vida do ativo. Portanto, quando falamos em abranger todo o ciclo de vida do ativo, isso vai desde o planejamento até o descarte, mas toda a fase de uso, que é onde você realmente obtém o valor do dinheiro que gastou em seus ativos, é monitorada e gerenciada por meio do CMDB.

Então, quem o está usando? Quem está se conectando a ele? Quais recursos estão, você sabe, disponíveis nesse ativo? Que software está instalado nele? Qual é o seu sistema operacional? Qual é o seu gerenciamento de patches? Todas essas informações vêm do seu CMDB e de um sólido programa de gerenciamento de configuração.

Sean Dawson: Certo. E você mencionou algo em que quero me aprofundar um pouco mais. Quando você fala sobre o ciclo de vida, acho que é bom que os ouvintes entendam a amplitude do ciclo de vida, porque sei que, quando eu gerenciava a TI no lado comercial da empresa, quando você pensa no ciclo de vida, "Ah, eu comprei. Tenho uma depreciação de cinco anos e depois preciso me desfazer dele."

Mas há muito mais do que isso para se pensar e considerar. Achei que seria bom para os ouvintes falar um pouco sobre o ciclo de vida, mesmo que ele não esteja especificamente relacionado à segurança. Achei que seria ótimo ter uma visão geral rápida para aqueles que pensam: "Ciclo de vida? O que é isso?" Você pode falar um pouco sobre isso e se aprofundar um pouco mais do que a minha visão geral de alto nível? 

Teri Bobst: Sim, com certeza. Essa é realmente uma das coisas que mais me entusiasma quando falamos sobre gerenciamento de ativos de TI. Esse é um programa muito orientado a processos. E, na verdade, os processos são os estágios do ciclo de vida. Na verdade, publiquei recentemente um blog que nossos espectadores podem acessar sobre como fazer o ITAM. Ele parte do meu ponto de vista de profissional para realmente ajudar as pessoas que não sabem o que é ITAM e como começar. E eu sempre recomendo que você comece entendendo o ciclo de vida. 

Portanto, a fase de planejamento. Você sabe: Do que eu preciso? Quais são os padrões que vou introduzir em meu ambiente? Onde vou comprá-los? Quanto custa? E passando para a solicitação, como isso estará disponível para os meus usuários? Como posso ter um método por meio do catálogo de serviços para que eles enviem essas solicitações? E depois, como faço para atender à solicitação?

Assim, com a sua equipe de compras, certifique-se de ter os fornecedores certos alinhados para realmente comprar esses ativos, certifique-se de ter a previsão certa para que possa aproveitar o orçamento para compras maiores e realmente ajude a protegê-lo financeiramente, pois você sabe do que precisa e pode obter mais poder de compra e negociação de seus fornecedores.

Naturalmente, você passa para a implementação. É quando você realmente o entrega ao usuário final ou ao seu data center. E agora ele começa a ser usado. E é aí que entra a parte do gerenciamento de configuração. Portanto, a maior parte do ciclo de vida do seu ativo deve estar sempre em uso. E esse deve ser sempre o seu objetivo. Como eu disse, é aí que você realmente obtém o valor dos gastos que está investindo nesses ativos. Portanto, ter sistemas de monitoramento sólidos que garantam que você saiba como, quem está usando, como está sendo usado, o que está instalado e se está em uso, certo? 

Portanto, se um ativo sumir, uma das primeiras maneiras de saber é que o sistema de monitoramento não o detectou. Portanto, esse laptop não é verificado há duas semanas. Onde está esse laptop? Todas essas são coisas realmente importantes e abrangem a proteção da sua organização de que estamos falando hoje. E depois, é claro, você também precisa gerenciar a disposição dos ativos. Esse é um componente importante: garantir que os dados sejam higienizados, que os ativos não saiam do seu ambiente e que possam conter dados pessoais, dados de RH ou apenas dados organizacionais.

Portanto, é importante ter processos sólidos de higienização de dados e, em seguida, o descarte. Então, quem são os meus fornecedores de descarte? Eles estão descartando esses dados de acordo com as diretrizes da EPA? Não queremos que nenhuma organização queira que seus ativos acabem em um aterro sanitário em algum lugar que não tenha sido descartado adequadamente. Portanto, certifique-se de que você conhece seus fornecedores, que eles são certificados e que você tem um contrato realmente sólido com eles. 

Sei que foi muita coisa, mas esse é realmente o ciclo de vida do ativo. É muito, e é muito importante entender. 

Sean Dawson: Sim. Acho que - obrigado por falar sobre isso. Foi uma pergunta carregada, porque eu sabia disso, mas queria que os ouvintes entendessem toda a amplitude dessa jornada, como ela é e o que devem considerar. Porque acho que, pelo menos para mim, como pessoa ou profissional de TI, às vezes tenho o hábito de simplificar demais alguma coisa. "Ah, estou apenas rastreando um ativo. Estou apenas inserindo." Há muito mais do que isso. Há governança. Há pensamento. Há decisões. Quem vai fazer o quê? Então, isso só acrescenta mais. 

Então, voltando a falar mais sobre o lado da segurança e a ligação com o ITAM, sei que há outras áreas na plataforma que tocamos, e eu gostaria de falar sobre cada uma delas, se possível. Então, um dos exemplos aqui seria o ITSM. Em sua opinião, como isso interage com o SecOps e o ITAM? 

Teri Bobst: Sim, portanto, o ITSM está intimamente ligado ao ITAM. Quando pensamos em incidentes, em como a organização vai trabalhar com esses incidentes, se eles precisarem ser escalados para incidentes de segurança, é muito importante entender o ativo sobre o qual o incidente está sendo relatado. A quem esse ativo está atribuído, onde está localizado. Se houver algum tipo de violação de dados, você precisa saber imediatamente de onde eles vieram. Onde eles estão? Portanto, isso está intimamente ligado ao gerenciamento de incidentes, além de criar eficiências no departamento de gerenciamento de serviços. Quando um usuário liga para resolver um problema com seus ativos, em vez de ter de tentar encontrar o número de série ou o código de serviço em um ativo, em plataformas como o ServiceNow, em que todos estão interligados, o agente da central de ajuda, o agente da central de serviços, pode saber imediatamente: "Ok, este é o ativo, porque foi atribuído a você, sobre o qual falaremos", e começar imediatamente a registrar o incidente no IC adequado para fins de rastreamento. 

Sean Dawson: Certo. Então, vamos para outra área. Vamos falar sobre o gerenciamento de operações de TI, ou ITOM. Como isso se relaciona com o ITAM? 

Teri Bobst: Sim, falamos um pouco sobre isso. Sabe, a ITOM está realmente gerenciando seu CMDB, entre muitas outras coisas. Descoberta de preparação de serviços, de modo que o ITOM e o ITAM realmente se complementam, porque você compra um ativo e, ao conversar com qualquer profissional de ativos, ele lhe dirá que o ativo vem em primeiro lugar. É assim que somos, porque é isso que você planeja e é isso que você compra. Mas se você não tiver um programa ITOM sólido que realmente lhe permita entender como esse ativo e esse item de configuração estão sendo usados, estará perdendo uma grande parte do ciclo de vida. É absolutamente fundamental saber que um IC é - eu sempre digo que é - há dois lados da mesma moeda: um ativo e um IC. E o IC é a parte que é usada para realmente fornecer o serviço comercial à sua organização. E todos os dados desse CI passam por um programa ITOM.

Sean Dawson: Correto. Boas ideias sobre isso. Então, a outra área, e isso pode ser uma surpresa para algumas pessoas, eu queria falar - fazer você falar um pouco sobre HRSD. Ou seja, a prestação de serviços de RH e como ela se vincula ao ITAM. 

Teri Bobst: Sim, essa é uma ótima opção. E provavelmente foi negligenciada até recentemente. Tenho visto um interesse muito maior em vincular o RH ao ITAM. E há um enorme benefício para a experiência do usuário ao vincular o RH ao programa ITAM. E quando falo em experiência do usuário, é a integração de novos usuários, garantindo que eles tenham as ferramentas de que precisam no primeiro dia para realizar seu trabalho.

Então, novamente, não se trata apenas da experiência do usuário, mas também da proteção operacional, porque você está protegendo a eficiência da sua organização. Sabe, não há nada pior do que contratar um novo funcionário e ele não ter os recursos de que precisa para trabalhar e ter que sentar e esperar por isso, sabe? Isso é uma perda de tempo para todos. Portanto, é possível acionar eventos de integração por meio do aplicativo de RH e ter a equipe de ITAM intimamente ligada a isso, juntamente com a prestação de serviços, para que você saiba que esse novo funcionário, o que ele vai precisar para fazer seu trabalho, será entregue a ele no primeiro dia, para que ele possa começar imediatamente a agregar o valor para o qual você o contratou.

Além disso, o RH também está intimamente ligado ao offboarding. E a integração não tem tanto a ver com a experiência do usuário, mas é realmente importante no aspecto da proteção, porque quando um funcionário é desligado, você precisa entender exatamente o que ele tem. Você precisa saber quais ativos e softwares ele tinha, para que possa iniciar eventos de recuperação contra eles, porque, no ambiente remoto em que trabalhamos hoje, esses ativos podem estar em um escritório em casa, e você não quer que eles sejam simplesmente deixados à solta. Você quer que eles sejam devolvidos à sua organização.

Uma grande parte da proteção financeira proporcionada por um programa ITM é a capacidade de recuperar esses ativos em tempo hábil, pois é provável que eles ainda tenham vida útil. Você quer recuperá-los. É preciso fazer a higienização dos dados para proteger tudo o que o funcionário possa ter armazenado no ativo e, em seguida, colocá-lo de volta no pool de ativos para que possa ser reimplantado. Dessa forma, você não está comprando um novo ativo porque recuperou um que pode ser imediatamente colocado de volta em uso. 

E o software também é um grande componente disso. As licenças de software são muito caras. As organizações gastam centenas de milhares, milhões de dólares em suas licenças de software. E se você não sabe que esse software não está mais sendo usado porque o funcionário foi desligado, você continuará comprando mais em vez de coletar essas licenças e reutilizá-las. 

Sean Dawson: Sim, isso é muito bom. Você está me deixando empolgado, porque tenho pensamentos que vou concluir aqui, mas são muitos os benefícios para uma organização ter um programa ITAM.

Então, enquanto você falava, uma coisa que me chamou a atenção e não - obviamente, eu já sei disso - é que o ITAM não se trata apenas de rastrear ativos. Há outras partes, e ela está ligada a muitas coisas. Eu realmente adoro isso. Mas eu queria falar sobre mais uma área que eu gostaria de abordar, que é, você sabe, o tópico da conversa é GRC. Portanto, governança, risco e conformidade, e como isso se encaixa na arena do ITAM. 

Teri Bobst: Sim, com certeza. Portanto, sempre que se fala em GRC, tudo gira em torno da compreensão de seu patrimônio de ativos, porque é aí que realmente entram os riscos e a conformidade. Portanto, você pode ter muitos órgãos reguladores aos quais precisa prestar contas. E, na verdade, tudo isso tem a ver com a compreensão de quais ativos estão sendo usados nas áreas que são regidas por essas questões regulatórias e de conformidade. Você sabe, a conformidade é muito importante no caso do software. Portanto, todo fornecedor de software tem um contrato de licença com ele, e esse contrato de licença geralmente determina como o software é usado e quantos direitos você tem para usá-lo.

Portanto, é muito importante ter um programa ITAM sólido e maduro para poder ter um programa GRC sólido. Eles são, você sabe, auditorias de software. Dizem que não é uma questão de "se", mas de "quando" uma organização será auditada. E isso não precisa ser assustador, porque se você tiver um programa ITAM e SAM realmente bom, poderá mostrar imediatamente ao fornecedor que está iniciando a auditoria: "Isso é o que eu comprei de você e é assim que está sendo usado. E quantas pessoas o estão usando e em quantos ativos ele está instalado". Assim, ele pode realmente transformar essa auditoria de pesadelo em um procedimento muito menos doloroso.

Sean Dawson: Sim, ótimo. Obrigado por analisar essa lista comigo. A última coisa que eu queria falar com você é que eu queria saber, do seu ponto de vista, como é a maturidade do ITAM. E o que os ouvintes precisam considerar? Então, como é a maturidade no gerenciamento de ativos de TI?

Teri Bobst: Sim, essa é uma ótima pergunta, Sean. A maturidade realmente começa com o início de seus processos. Então, como falamos, é preciso identificar os ciclos de vida, entender como é cada fase desses ciclos de vida em sua organização. Escrever os processos que realmente gerenciarão esses ciclos de vida.

E é por aí que você deve começar. E é por isso que escrevi o blog "How Do You Do ITAM", que é a razão pela qual o escrevi, porque pode ser muito assustador saber como começar um programa ITAM. Você simplesmente sabe que é algo que precisa fazer. E, provavelmente, você está conseguindo a adesão dos executivos nesse ponto, porque no clima econômico atual, entender como economizar dinheiro é uma das principais prioridades de todos os executivos. E, na verdade, o ITAM é uma espécie de farol luminoso que diz: "Ei, aqui, vocês estão gastando milhões de dólares. Vamos nos certificar de que isso está sendo bem gerenciado". 

Portanto, é fundamental começar a entender os processos e documentá-los. Não os tenha apenas em sua cabeça e pense que sabe quais são eles. Passe realmente pelo processo. É ótimo ter um parceiro que possa ajudar a guiá-lo nesse processo, como a nossa equipe aqui na Cask, porque somos muito praticantes nesse espaço e somos muito apaixonados pelo ITAM e por ajudar as organizações a atingir a maturidade do ITAM.

Portanto, a próxima coisa é realmente os dados. Os dados são o fator crítico no ITAM que realmente faz com que todas as outras organizações ou departamentos de que falamos possam começar a se beneficiar do ITAM. Portanto, é preciso ter dados confiáveis, porque a pior coisa é conseguir a adesão da equipe de segurança, talvez dizendo: "O ITAM é ótimo. Sabemos que vocês podem fornecer o que precisamos para ajudar a proteger esse ambiente". E então eles obtêm os dados, que são muito questionáveis. E isso definitivamente não é algo que você queira fazer. Portanto, é por isso que os processos são fundamentais para começar, pois são eles que o ajudarão a construir esse ponto de vista de dados maduros que realmente o levará a esse nível de maturidade otimizado, em que todos os outros departamentos podem depender dos dados de gerenciamento de ativos de TI. E então eles começarão a vir até você. A área jurídica é uma ótima área em que o ITAM se beneficia quando se fala de retenções legais ou coisas assustadoras como investigações, e você precisa ser capaz de proteger esses ativos rapidamente para que eles possam ser tratados em uma investigação, sabe, com um programa ITAM sólido e maduro. Há enormes benefícios para o departamento jurídico, o departamento financeiro e o RH. É algo realmente interminável. Ele atinge todos os aspectos de sua organização. 

Sean Dawson: Isso é bom. Isso foi muito esclarecedor. Obrigado por compartilhar tudo isso. E eu queria, pelo menos, abrir a palavra para você, caso tenha deixado passar algo ou algo que gostaria de acrescentar para os ouvintes que estão pensando em um programa ITAM. Se não, terminamos. Mas pensei em perguntar: há mais alguma coisa que você gostaria de dizer aos ouvintes sobre o ITAM e sobre essa aliança com a segurança ou o ITAM em geral?

Teri Bobst: Bem, acho que a principal coisa que quero que todos os nossos ouvintes entendam é que você precisa fazer o ITAM. Ele é fundamental para sua organização. Portanto, comece em algum lugar. A plataforma ServiceNow, é claro, é uma plataforma que une todas essas áreas. Portanto, ela realmente torna o processo perfeito - quando você fala em vincular-se ao IPSM, ao RH, ao ITOM ou às operações de segurança - ter essa plataforma única em que todas essas coisas estão presentes realmente simplificará muito o trabalho de amadurecimento do programa em toda a organização.

E, na verdade, sempre gosto de garantir que as pessoas entendam a amplitude do ITAM, que não se trata apenas de comprar ativos. Ela realmente tem um impacto significativo. Ela pode proteger sua organização por meio de aspectos financeiros, jurídicos, operacionais, de TI, de segurança, de RH. Sabe, aumenta a eficiência em todos os departamentos, o que, novamente, é uma proteção financeira para você, sabendo o que você tem, certificando-se de que não está comprando mais, certificando-se de que seus ativos estão em uso durante todo o seu ciclo de vida - esses são realmente os benefícios que você pode obter por meio de um programa ITAM. E, na verdade, quando pensamos sobre - sabe, eu digo que isso afeta todas as organizações, todos os departamentos, os computadores que usamos hoje. Eles são o gerenciamento de ativos de TI. Essas webcams que estamos usando com vídeo? Isso é gerenciamento de ativos de TI. O software que estamos usando para executar tudo em nossa empresa? Isso é ITAM. Na verdade, não importa se você está em um escritório, se está trabalhando em casa, se está em um local corporativo, tudo o que seus funcionários fazem no dia a dia inclui o gerenciamento de ativos de TI. 

Sean Dawson: Bem, obrigado por isso. Foi ótimo falar com você. E muito obrigado. Sei o quanto você é ocupado e que precisa tirar um tempo da sua agenda para conversar conosco aqui. Então, eu realmente agradeço. Obrigado, Teri. 

Teri Bobst: Muito bem. Obrigado, Sean. Isso é ótimo.

Sean Dawson: De nada. Então, uma coisa que quero pedir aos ouvintes é que temos algumas coisas que vocês podem fazer: primeiro, temos o "How Do You Do IT?". Desculpe-me. "How Do You Do ITAM?" em nosso blog. Então, dê uma olhada nesse artigo. Ele é excelente e detalha por escrito o que Teri estava falando aqui. Portanto, se quiser ter uma segunda visão do assunto, é um ótimo artigo para dar uma olhada. 

E, por último, você poderia nos fazer um favor e se inscrever no canal do YouTube? Isso basicamente ajuda o algoritmo e mostra que há valor. Se estiver obtendo valor com isso, basta clicar no botão Curtir. E se estiver ouvindo este artigo em qualquer uma das plataformas de podcast em que o publicamos, dê-nos uma avaliação. Diga-nos como estamos nos saindo. E se tiver alguma sugestão para nós, como sempre, avise-nos, faça um comentário, envie-nos um e-mail, o que quer que seja, diga-nos o que você quer ouvir.

Então é isso por hoje. Mais uma vez, obrigado, Teri. E falaremos com você mais tarde. Tchau, tchau.

Teri Bobst: Obrigado, Sean. Tchau.