GD nas MPME-Governança e Gestão de dados nas micro, pequenas e médias empresas-Parte III.

Modificações de modelos e alterações de Arquitetura em PME-Daily data meetup

•       Alguns processos de controles sobre os dados, como modificações de modelos e alterações de arquiteturas também ficariam no radar da GD. Isso tudo poderia, por exemplo, ser discutido, em reuniões diárias/periódicas (data meetups), juntamente com o daily scrum, ou em frequências menores. Como nas PME´s  o daily scrum é quase uma reunião da empresa toda,  isso alcançaria os propósitos de se elevar o tema “dados” para um patamar mais “organizacional”. Os conceitos emergentes de DataOps tocam nesse ponto, visando justamente uma aproximação(no estilo DevOps), dos dados com a operação da empresa. Com relação aos padrões, provavelmente já há alguns definidos e as ações de GD focariam na sua documentação, divulgação, juntamente com um olhar conjunto sobre sua real adoção, numa espécie de QA de dados. Assim, neste contexto, perguntas sobre mudanças em processos de dados, em políticas de dados, em arquiteturas (novos tipos de clientes, novos tipos de serviços), em aspectos de segurança, compliance, etc seriam encaminhadas e discutidas. Tudo isso, repito, de forma enxuta. Essa visão rápida poderá trazer benefícios de se manter um controle sobre as ações, pendências e , mais importante, trazendo para a bancada o foco sobre os ativos de dados;

Compliance com agentes reguladores ou com aceleradoras /incubadoras

•       Sobre regulamentações demandadas no assunto “core business” da empresa PME/Startup(como gestão na área de saúde, energia elétrica, exigências do Banco Central, ou de qualquer entidade reguladora) torna-se fundamental a observação dos aspectos de “compliance”, ou exigências formais requeridas. A empresa PME ou startup também deve controlar os seus próprios aspectos de “compliance” ou regulação juntamente com a Aceleradora/Incubadora ou organismos assemelhados, por quem são controladas. Por exemplo, a área da Qualidade da Fumsoft, com 3 pessoas na equipe, controla as regras de regulação que devem ser observadas  com relação à Softex, Certics, CMMI Institute, Prefeitura  de BH e outras instituições com as quais a Fumsoft tem (teve) obrigações de prestação de contas(que são sempre feitas por envio de dados e informações), e claro, exigem desses elementos um certo grau de qualidade;

•       Embora não diretamente relacionado com busca por certificações nessas empresas, alguns frameworks existentes podem apoiar como referências de boas práticas de  governança/gestão  de dados: DMM (CMMI Institute-ISACA), DAMA-DMBOK®, ISO-8000, Governança Corporativa (COSO ERM); Governança de TI (ISACA-COBIT); Arquitetura Corporativa (Zachman Framework, TOGAF); Ciclo de vida de desenvolvimento de sistemas (Rational Unified Process, SWEBok); Melhoria do Processo de Desenvolvimento de Sistemas (MPSBr e CMMI); Gestão de Projetos (PRINCE II, PMI PMBOK); Gestão de Serviços de TI (ITIL, ISO 2000),etc.   

2)Arquitetura de dados em PME.

Aqui as empresas startups ou PME´s poderão pensar em documentos simplificados que ajudem no entendimento de pontos como:  

•       Mapeamento das principais Áreas, Processos e Dados do produto ou da PME;

•       Classificação simplificada dos dados  em: Dados Mestres, Transacionais, Referenciais, Funcionais e  Informacionais como forma de melhor entendê-los e explicá-los. Os dados informacionais, por exemplo, poderão abrigar as métricas fundamentais para as empresas startups/PME acompanharem os ciclos de seus produtos e as medidas de sua viabilidade. O DropBox, citado como exemplo de empresa que aplicou o conceito de Lean startup para desenvolver os ciclos de seu produto de armazenamento de dados, certamente manteve, durante seu “lean” repositórios com indicadores vitais, que transmitiam o alcance do produto minimamente viável. Certamente dados produziam indicadores sobre número de assinantes gratuitos, número de assinantes pagos, número de assinantes por convite de amigos, número de uploads efetuados, etc;

•       Manter a documentação dos dados num nível elevado(sem  exagero de detalhes) no início e depois ir melhorando gradativamente, na medida em que houver necessidade/recursos para fazê-lo. Porém lembre-se: detalhe somente no nível das necessidades e da praticidade compatível com os seus objetivos. Busque um equilíbrio entre a necessidade de documentar e gerir os dados da PME e o custo e tempo que isso implica. Principalmente numa empresa com escassez de recursos humanos. Procure encontrar um equilíbrio aqui;

•       Criação de esquemas simplificados de dados em ferramentas free (Bizagi, por ex). Podem se ater a um modelo conceitual mais simplificado, que sirva como base para os modelos físicos relacionais ou NOSQL;

•       Pensar na forma de implementar um  Glossário de negócios: Considere usar ferramentas existentes como Wikimidia, Excel; Google Docs, Google sites, Trello, etc para registras as definições de termos de negócios, de tal forma que os conceitos fiquem padronizados e entendidos por todos, e além disso, de forma “searchable”. O DMM faz menção direta ao Glossário de negócios e metadados, na sua categoria Governança de dados. O Glossário de negócios endereça os principais termos (de negócios)  da empresa e o processo de metadados foca nas visões de documentação dos dados nos planos lógico, físico e operacional. Uma PME deverá criar o seu Glossário de negócios como prioridade principal da ação de metadados. Os outros níveis de documentação dos próprios dados deverão se ater ao plano físico (em função do apoio das ferramentas) e , caso possível, no âmbito operacional e lógico.

3)Modelagem e Projetos de dados em PME

•       Analisar a pertinência de ter uma visão mais detalhada dos dados, com foco nos aplicativos em uso ou em desenvolvimento;

•       Separar as tecnologias de dados adotadas em : Relacional-Bancos NOSQL-Hadoop/MapReduce, ou processadores InStream (Spark,Splunk), para Big Data em tempo real. Você provavelmente usará uma ou mais delas;

•       Considerar a retenção de informação mínima sobre a tecnologia usada, principalmente no caso de “NOSQL”, com racional de objetivos e motivações de escolha daquela opção. Lembre-se que diferentemente do modelo relacional, que pode ser usado para uma variada gama de aplicações, os bancos NOSQL são mais especializados, com uma variedade de opções por tipos(Chave-valor, Multicolunar, Documentos, Grafos, etc). Portanto, antes de comprar/buscar um, faça a pergunta fundamental -Why(Por quê) eu preciso de um? Preciso de Escalabilidade?, Consistência? Disponibilidade? Volume?. Qual é o eu problema?

•       A representação gráfica, conceitual, lógica e física dos dados poderá ser feita de forma otimizada, escolhendo-se o devido nível de abstração que se deseja para cumprir a missão de transmitir informação para a equipe/empresa. Não documente por documentar, mas sim pelo seu potencial uso prático;

•       A documentação por ambiente, envolvendo objetos em Teste ou Produção é fundamental para se ter o princípio mínimo de gerência de configuração. Veja se isso cabe no seu oxigênio..

4)Armazenamento e Operações de dados em PME

•       Os padrões de operações de dados(backup, tipo, frequência, retenções/archiving), privacidade(quem pode fazer o quê, onde) também são pontos que podem ser discutidos no âmbito desta visão geral de gestão periódica, onde teríamos os meetups de dados, com freqüências e assuntos distribuídos, de acordo com a priorização dada. No caso de operações nas nuvens, o controle seria com o foco nos níveis de SLA, conforme discutido anteriormente. O DMM possui categorias próprias para tratar tanto Arquitetura quanto Operações de dados. Na arquitetura o foco vem juntamente com a visão sobre plataformas usadas. Nas operações de dados , o foco é sobre os requisitos e o ciclo de vida dos dados. Os requisitos de dados são necessários, por serem o ponto de partida, independentemente do porte das empresas. Já o detalhamento dos processos e de como os dados circulam por eles, exigiria mais maturidade e oxigênio de empresas com recursos limitados. Entretanto, algumas definições simplificadas, na forma gráfica, acerca de processos de negócios e de GD, bem como outros controles podem ser feitas em diagramas do Bizagi, uso do Trello, ou   Googledocs, Google sites, etc;  

•       Como já falado, deve-se ter uma documentação mínima do ambiente tecnológico de dados, com tipos e versões de SGBD´s ou equivalentes e com arquiteturas e camadas registradas; Se você estiver em Cloud, documente os recursos que você contratou em termos de Máquinas e processadores, memória, disco, banda, etc, conforme discutido anteriormente. Controle as aplicações de correções nos produtos envolvidos, garantindo a sua estabilidade. Se você estiver em Cloud, registre e garanta que o SLA do serviço está sendo cumprido;

•       Governe e cuide das políticas, processos e procedimentos de backup, recovery dos bancos, retenção de dados históricos, etc, assegurando a continuidade operacional dos serviços e os acordos definidos com seus usuários. Se você estiver em Cloud, registre e garanta que o SLA do serviço está sendo cumprido;

5)Segurança de Dados em PME

•       A Segurança de dados é outro ponto da gestão de dados que as empresas startups e PME deverão observar com cuidado. Pesquisa da Verizon(2013) indica que esse tipo de empresa é a mais vulnerável dentre todas. Uma espécie de presa fácil para os hackers, segundo a pesquisa, dada à possível exposição e fragilidade, próprias das estruturas ainda em formação. Assim a Gestão e Governança de dados, nessas empresas passará por definições de Políticas de Segurança(Quem pode acessar o quê, onde e como, aspectos de ID e senhas, de troca de senhas,etc), de Criptografia, de Sync and Share (como DropBox/ Google Driver,com aspectos de granularidade, segurança,integração com dados on-premises,etc);

•       Pensar em registros históricos de problemas, breaches/invasões, quebras,etc, visando aumentar a camada de proteção.

•       Se a empresa estiver em cloud, vale a discussão anteriormente feita;

Referências:

•       Amazon Web Services. Disponível em aws.amazon.com.Acesso em : 01 mai 2016.

•       A Beginner´s guide to cloud computing. Disponível em www.itportal.com. Acesso em: 12 mai 2016.

•       DAMA-DMBOK®-Guide to the Data Development Body of Knowledge-First edition.

•       DAMA-DMBOK2-Framework-Março de 2014.

•       Data Management Maturity (DMM) Model-CMMI Institute-2014-version 1.0.

•       Governança Corporativa para pequenas e médias empresas”, Coordenação de Bernardo Portugal e organizado por Lúcia Zimmermann. Editora LTR.

•       What is cloud computing? A beginners guide. Microsoft Azure. Disponível em azure.microsoft.com.Acesso em: 15 mai 2016. 

GD nas MPME-Governança e Gestão de dados nas micro, pequenas e médias empresas-Parte II.

A seguir faremos uma análise de alguns conceitos de Gestão e Governança de dados, com o prisma das PME´s, centrada nos modelos do DAMA-DMBOK® e DMM(Data Management Maturity Model). Ao analisarmos cada um dos processos do diagrama DMBOK, com algumas incursões no DMM, observaremos pontos que poderão ser discutidos, simplificados e sugeridos para empresas menores, com recursos limitados. O importante é perceber que, por menor que seja a implementação efetuada /alcançada, algumas sementes de conceitos de GD permanecerão e poderão ser amplificadas em estágios subseqüentes, em novos ciclos de vida das empresas, que hoje são pequenas.

1)Governança de Dados em PME:

• Há obviamente recursos limitados para a formação de estruturas formais de GD, como definidas em empresas maiores. Isso poderá ser contornado pela distribuição de algumas funções de dados por entre os papéis envolvidos na startup ou PME, com a coordenação do principal(owner) da empresa. O grande fator aqui é o apoio explícito do dono e o entendimento de que os dados são importantes para a empresa que se prepara para crescer. Aos parceiros da empresa, a visão que de alguns minutos dedicados por semana, contribuirão para uma organização mais sólida e preparada para ser um pouco mais madura na gestão dos seus ativos de dados;
• Definir papéis objetivando o conceito de “governar dados” (sob sua responsabilidade) a fim de torná-lo um ativo documentado, conhecido e gerenciado. Uma estratégia simplificada de dados poderia ser discutida , por exemplo, via UAAI-Learning (ver publicação no SlideShare-Carlos Barbieri-UAAI Learning), aplicando os conceitos Oncotô-Proncovô, em termos de negócios e dos dados principais requeridos. Isso proporcionaria um envolvimento da empresa toda, com a geração de conhecimento e aprendizado sobre os dados. O DMM possui uma categoria para orientar na Estratégia de Dados.  Além do próprio processo de estratégia de gestão de dados, apontando os caminhos que a empresa deverá trilhar, há aspectos fundamentais de comunicação, de busca de patrocínio e de apoio financeiro. Em empresas menores, a proximidade da equipe com os “owners” é um elemento facilitador para a busca de apoio e convencimento da importância dos dados como elementos estratégicos de negócios;
• O entendimento dos P´s da GD ajuda a esclarecer e definir ações. Por exemplo, algumas Políticas poderão ser definidas para serem seguidas por todos. Começando pelas básicas, como Políticas de segurança e de operações de dados (backup, cloud, etc), a empresa estaria centrando em dois pontos que qualquer organização certamente precisa desenvolver, independentemente do tamanho. Pode-se pensar também em Procedimentos e Padrões simplificados.

GD em Cloud Computing-PME e outras

• Caso haja o uso provável de “Cloud Computing”, onde alocações de dados/arquivos ficam terceirizadas, a GD passa a ter um papel muito importante, ao definir sejaolíticas para esse novo ambiente. Esse ponto se aplica tanto para PME´s quanto para empresas de outro porte:
  • Deverão ser considerados os aspectos dos dados que irão se movimentar para a nuvem, seja nas cargas iniciais, seja nas movimentações de incrementos. Os aspectos de dados que serão considerados (in cloud) deverão levar em conta a sua criticidade (mestres, referenciais,transacionais,funcionais,etc), sua sensibilidade, envolvendo uma visão de risco, já que os dados estarão habitando fisicamente outras localizações;
  • Os tipos de cloud, onde estarão os dados, deverão ser considerados, em função dos aspectos de custos, operação e segurança dos dados anteriormente discutidos. Clouds públicas, privadas ou híbridas serão consideradas e Politicas serão definidas de acordo com as necessidades dos dados que serão migrados;
  • Gestores de dados(data stewardships), poderão ter Papéis diferentes quando se tratar de dados nas nuvens. Variações em aspectos de segurança, gerência de MDM, metadados etc poderão acontecer, devido à mudança de foco do ambiente de dados;
  • Aspectos de mudanças com relação a acesso de dados, permissões para tratar dados, criar analytics, e preparar dados, etc ensejarão Políticas que deverão estar associadas com os contratos dos provedores, casando regras e padrões a serem seguidos. 
  • A movimentação de dados para nuvem(outsourcing), pode implicar mudanças na estratégia de Data management das empresas. A GD deverá ter uma visão nítida sobre essas diferenças. Mudanças em Sistemas de ETC(Extração-Transformação-Carga), CDC(Change Data Capture) que atuarão na movimentação para Cloud deverão ser apontados e governados, sugerindo modificações nas operações de dados, um dos BOK. Aspectos de segurança, de qualidade, de MDM, de metadados, papeis adicionais de gestores da empresa e do provedor,etc deverão ser considerados nesse novo ambiente;
  • Os aspectos firmados de SLA deverão ser rigorosamente seguidos pela equipe de GD, a fim de analisar itens e métricas que eventualmente fugiram do nível acordado. O escritório de GD atuará com a área jurídica e a Governança corporativa da organização nesses quesitos;
  • Aspectos sobre que tipo de legislação se aplica aos dados, dependente de onde estão armazenados (localização dos Data Centers), é fundamental para se garantir a extensão da permissividade de acesso a informações. O Safe Harbor Principles, por exemplo, define exigências de proteção de dados de clientes da UE(União europeia) e de cidadãos suíços , com maior rigor, diferentemente do US Patriot Act , muito mais permissivo;
  • Um dos erros mais comuns cometidos nessa transposição de ambientes (de home para cloud) é que levando os dados para a nuvem, tudo estará 100%, exclusivamente em função do provedor. Pode não ser assim. O risco aqui é o cyber crime não pode ser negligenciado. Um pente fino dos requisitos de segurança oferecido pelo provedor é fundamental, garantindo como eles tenham responsabilidade sobre a segurança dos seus dados e a infraestrutura deles próprios. Uma máxima diz que o risco de ir para a cadeia é do CEO da empresa contratante e não dos donos da provedora de serviços de cloud;
  • Finalmente, alguns pontos e perguntas a serem consideradas, empacotados: Analisar como se dá a transportabilidade de dados e aplicações; Quão fácil é a importação(de volta) dos dados? Entender qual é a segurança física do data center contratado; Como os provedores protegem fisicamente os seus data centers? Como estão preparados os operadores e técnicos do data center contratado? Como é a segurança de operações e de acesso? Como são feitos os controles de acessos às máquinas físicas? Como são monitoradas em uptime;

Referências:

 Amazon Web Services. Disponível em aws.amazon.com.Acesso em : 01 mai 2016.

A Beginner´s guide to cloud computing. Disponível em www.itportal.com. Acesso em: 12 mai 2016.

 DAMA-DMBOK®-Guide to the Data Development Body of Knowledge-First edition.

 DAMA-DMBOK2-Framework-Março de 2014.

 Data Management Maturity (DMM) Model-CMMI Institute-2014-version 1.0.

 Governança Corporativa para pequenas e médias empresas”,  Coordenação de Bernardo Portugal e organizado por Lúcia  Zimmermann. Editora LTR.

 What is cloud computing? A beginners guide. Microsoft Azure.  Disponível em azure.microsoft.com.Acesso em: 15 mai 2016.