Bom e velho discovery de software
O discovery e inventário de todo o software instalado no ambiente local de uma empresa já é uma tarefa árdua por si só. Mas pelo menos sabemos como e onde procurar, e os métodos são mais ou menos claros, na maioria dos casos. Há desktops e servidores, a parte fácil. Em seguida, há dispositivos móveis que tornam nossa tarefa um pouco mais complicada, mas o conceito ainda é fácil de entender – é tudo sobre descobrir software instalado e integrar múltiplas fontes de dados. Imaginem então o discovery e gestão de inventário SaaS, como fazer?
Mas a vida seria chata sem desafios, e para compensar isso, temos BYOD (“Bring-Your-Own-Device” ou para outros “Bring-Your-Own-Disater”), que agora é exacerbado pelo aumento do uso de software relacionado ao COVID em Home Office.
Se há software no meu computador doméstico que eu uso para fazer o meu trabalho, ele, na maioria dos casos, deve ser licenciado para a empresa para a qual trabalho, e a licença de uso deve permitir o uso comercial.
Então, que tal instalar o agente de inventário de software da empresa no meu próprio dispositivo? Isso não vai acontecer, desculpe. Esse é um exemplo de quando as ferramentas não são suficientes, e o uso de software e as políticas BYOD vêm para jogar, e vamos esperar que todos os funcionários as sigam rigorosamente. E como você monitora isso?
Ainda assim, é principalmente apenas uma leitura sobre software instalado. Está lá como uma imagem binária ou sendo executado em RAM. Está lá nos servidores, desktops, laptops, tablets e telefones.
Descoberta de assinaturas SaaS?
SaaS raramente vem com seu próprio modelo de licenciamento. E quando isso acontece, a presença do aplicativo nos dispositivos não significa necessariamente que há uma assinatura correspondente.
No discovery e inventário SaaS, estamos procurando o que um ex-colega meu costumava chamar de “ralos de dinheiro”. Para onde vai nosso dinheiro? Quais são as assinaturas que estamos pagando? Quem são os usuários?
Há duas maneiras de alcançar nosso objetivo. Uma delas é através da análise da atividade online dos funcionários, como por exemplo seus acessos. A outra é através da descoberta de todos os pagamentos relacionados ao SaaS (ou seja, assinaturas). Se você deseja ver todo o quadro, ambos desempenham seus papéis críticos, e nenhum deles deve ser negligenciado.
Acompanhamento de atividades online
As ferramentas de inventário devem, pelo menos, ser capazes de rastrear todas as atividades on-line antes de filtrar-las apenas para as classifica-las e relaciona-las ao SaaS, que é realizada na próxima etapa. Precisamos de uma maneira de ver tudo o que nossos usuários visitam online. O escopo de descoberta não se limita a HTTP(S). Pode haver aplicativos SaaS que também usam SSH, SFTP e outros protocolos.
As primeiras tentativas de fazer a discovery e inventário SaaS costumavam se concentrar em dispositivos apenas através de plugins do navegador. Dois fornecedores de ferramentas bem conhecidos ofereceram soluções que usavam um plugin do navegador Chrome como núcleo. As limitações são tão óbvias, não sei se tenho que explicá-las, mas aqui vai. Em primeiro lugar, você teria que restringir todos os seus usuários apenas ao Chrome, em todas as plataformas, que provavelmente são Windows e OSX, e talvez Linux(s). Isso exigiria a revogação de uma tonelada de direitos dos usuários para que eles não sejam capazes de instalar ou executar outros navegadores, remover ou desativar plugins do Chrome, usar o modo Incognito etc.
Há também aplicativos que se conectam diretamente aos serviços SaaS. Estes também não podem ser monitorados por um plugin Chrome, ou ferramentas simples de discovery e inventário SaaS.
O monitoramento baseado em dispositivos de clientes como desktops e laptops não deve ser completamente retirado da pauta, muito menos os projetos de Software Asset Management SAM. É uma peça valiosa de todo o quebra-cabeça. Então, o que podemos fazer? O monitoramento deve ser realizado de forma transparente para o usuário e independentemente dos navegadores ou aplicativos em uso, preferencialmente no nível de protocolo. Seria em uma forma de um proxy local, ou alguma escuta em IP – eu vou deixar isto para os técnicos. Uma coisa a ser lembrada, a questão de revogar os direitos administrativos ainda está de pé hoje em dia. Um usuário com privilégios elevados pode desativar praticamente tudo em seu dispositivo.
Voltando para dentro da organização, existem outros dispositivos, nos quais esse rastreamento é virtualmente impossível: Smart devices e thin clients. Com thin clients, se eles se conectam a uma solução de desktop remoto dentro da empresa ou em nuvem, ou digamos, no Microsoft Azure, o monitoramento das atividades pode ser realizado localmente por agentes instalados na solução de desktop remoto, usando boas práticas de gestão de ativos de software.
“Smart devices são mais difíceis de rastrear, e eu pessoalmente não conheço nenhuma solução que possa monitorar todas as atividades online em um dispositivo iOS ou Android”.
Não significa que não existam. Só significa que preciso fazer meu dever de casa. E se tal solução for encontrada, ela obviamente ficará restrita a dispositivos gerenciados pela organização. Você pode obrigar seus usuários a instalar rastreamento em seus dispositivos pessoais usados para o trabalho? Provavelmente. Isso depende. Como você define “uso para o trabalho”, e onde ele começa e termina?
Dentro da empresa, poderíamos abandonar tudo isso, e em vez disso implementar uma um muro proxy, estilo chinês, que espiona todo o tráfego. Mas teremos que lidar com conexões criptografadas de alguma forma. HTTPS sempre oculta URLs (ou seja, chamadas de aplicativos SaaS). Na maioria dos casos, ele até esconde os nomes dos servidores. Este último está mudando com a extensão HTTPS SNI sendo implantada em todos os lugares, mas não se pode garantir que todos os provedores SaaS exigirão e, portanto, habilitarão o SNI. Pode-se empregar uma forma de injeção man-in-the-middle no proxy, embora se deva considerar implicações legais disso, bem como que os provedores do SaaS possam detectá-lo e alertar o usuário, ou mesmo desativar totalmente o acesso aos servidores.
Enquanto eu estava digitando este artigo, um amigo meu interveio com “você pode monitorar atividades através dos consoles administrativos ou APIs do SaaS”. E eu tive que lembrá-lo que antes de monitorar quem e como alguém usa uma assinatura SaaS, você precisa saber o que monitorar. Ainda estamos falando sobre o estágio de descoberta, lembra?
Com toda a força de trabalho sendo forçada a trabalhar em casa agora, embora temporariamente, a maioria das conexões SaaS acontecem fora do perímetro da empresa, sem nenhum controle.
Então, como detectamos isso? A implementação pode ser assustadora, mas a ideia em si é simples…
Follow The Money
Se há uma assinatura SaaS, alguém terá que pagar por isso, e este alguém é você, ou seja, sua organização. Eu presumo que se você está pensando sobre a descoberta e gestão do SaaS, qfoi impulsionado por uma demanda de otimizar as despesas.
O problema com o SaaS é que ele não é um serviço de TI, pelo menos da maneira tradicional. Pessoas físicas, departamentos e empresas terceirizadas não necessariamente têm que ir ao departamento de TI para obtê-lo. O SaaS, a esse respeito, ultrapassou todos a TI “tradicional” em volume; tornou-se a própria TI sombra ou shadow IT.
Mas o dinheiro ainda é tirado do mesmo bolso: da organização.
O obstáculo a ser superado aqui é a qualidade do acompanhamento de despesas. Pense em apertar o controle sobre relatórios de despesas e contas de prestador de serviços (terceirizado). O SaaS pode estar intencionalmente ou involuntariamente escondido atrás de palavras genéricas como “Despesas de nuvem”, “despesas de TI”, até mesmo despesas de viagem (eu mesmo vi), incorporada na conta geral de serviços etc.
Sem a padronização do relatório de despesas baseado em políticas, esse tipo de rastreamento seria impossível de automatizar. Mas isso não significa que você não pode fazê-lo. Quando há vontade, há uma maneira. Se a otimização de custos for um dos objetivos dos executivos, use o poder deles para ajudá-lo a resolver isso.
Como selecionar uma ferramenta de discovery e inventário SaaS
Ao selecionar uma ferramenta, ou melhor, ferramentas de discovery e inventário SaaS, eu aconselharia a não procurar uma solução de bala de prata. Pense em toda a descoberta do SaaS como um quebra-cabeça, e ferramentas e políticas sendo suas peças.
Se a ferramenta existente só pode fazer o monitoramento baseado em plugin do Chrome, não há razão para não a utilizar. Se há um vendedor batendo na sua porta com uma solução de rastreamento de dispositivo inteligente, eles podem ter trazido outra peça do quebra-cabeça. Agora tudo que você precisa é integrá-los.
Mas mesmo antes disso, por favor, dê um passo atrás e pense em…
A META
Pense por que você está fazendo isso em primeiro lugar. Quais são seus objetivos, métricas, metas? Quem são seus melhores aliados na organização? Quem é executivo que mais se interessa? Aposto que será alguém responsável por otimizar o orçamento geral.
E se você ainda não começou sua jornada de um software de gestão do SaaS, e se você de alguma forma valoriza meu conselho, eu sugiro começar com a resposta para apenas uma pergunta: “Quanto o SaaS representa nas despesas da organização?”
Tag: saas software, gestão empresarial, inventário de rede, experiência de usuário, solução de gerenciamento, ativos de ti , estratégia corporativa, ativo fixo, unidades de medida, software para gestão, atendimento ao cliente, active directory, erp online, cadeia de suprimentos, suporte técnico, suporte remoto, bancos de dados, centro de custos, file transfer, vida útil, centro de recursos, responsabilidade social, código de barra, base em saas, rastreamento de dispositivo, dispositivos móveis