Quando o Quadrante Gartner (não) é a melhor decisão

Dentre a imensidão de ‘casos de insucesso’ (lições aprendidas através da pior maneira possível), algumas decisões equivocadas continuam em voga, são atemporalmente recorrentes e, em parte delas, as dúvidas e questionamentos acabam sendo sempre os mesmos - quando não tomados ou decididos por uma única fonte.

Como a maior parte dos profissionais em posição de liderança envolvidos com compras, é comum recebermos ligações de fornecedores de soluções, contatos de algumas startups milagrosas, “vendedores de caixas-mágicas” e outros caixeiros viajantes que acabam aparecendo pelo caminho – cada um com seu marketing diferenciado e produto que, prometem, revolucionará em muito os seus problemas.

Num mundo onde velocidade e inovação são sobremaneira e humanamente violentos no quesito apresentação de novidades, é cada vez mais comum líderes e C-Levels recorrerem a atalhos que possam lhes ajudarem nas decisões do dia a dia. Um desses canais, é o amplamente conhecido, e por deveras não utilizado de forma completamente correta “Quadrante Mágico do Gartner”. Tão mágico que quase não precisa nem da senioridade do decisor/profissional - sic.

Acreditamos que a maioria dos leitores deva conhecer as “condições e atributos” necessários para que o fornecedor interessado possa configurar “dentro do quadro” (se não conhece recomendamos procurar, ler sobre, inclusive conversar com representantes de empresas que entraram e saíram do ranking). A intenção desta narrativa é fazer você pensar literalmente “out of the box”. Acredite, além de ser um exercício prazeroso você vai, no mínimo, expandir suas possibilidades, economizar dinheiro e melhorar seu TCO (veja dica extra sobre TCO no final do post), deixando bem feliz seu CFO e por tabela garantir a austeridade ao seu centro de custo.

Dia desses, um amigo de profissão procurou o autor deste post para pegar alguns insights sobre plataformas de Analytics (a dica aqui pode ser aplicada para qualquer plataforma). Adivinhem qual era, inicialmente, a escolha número 1 da proposta? Sim, era o cavalo mais adiantado no quartil superior direito do Gartner. A preocupação número 1 do interessado: medo de errar na escolha. Então, nos parece uma boa ideia transferir a responsabilidade da decisão para quem ganha para isso, tem textos mais elaborados sobre o conteúdo, especialistas e se por ventura tudo der errado, foi o Gartner quem sugeriu - é por isso que a gente paga (e caro) a assinatura, não é?

Não vamos entrar na discussão (outro caso de insucesso recorrente) em rereferenciar que a ferramenta deve ser a última escolha do projeto – sempre. Antes de tudo isso, você precisa avaliar todos os requisitos, arquiteturas, possibilidades de desenvolvimento e respectivos testes com opções de mercado. Primeiro você define a necessidade, e só depois qual ferramenta melhor a atende (e não o contrário, compra a ferramenta e tenta encontrar utilidade para ela). Apenas como referência e aproveitando o assunto (Analytics), uma ferramenta que é boa para o mundo financeiro pode não ser adequada para o mundo científico (a massa de dados, algoritmos, arredondamentos e funções mais elaboradas podem ser específicas ou em alguns casos até ausentes). Assim, um QlikView não atende todos os casos, nem muito menos um Tableau, OBIEE, Tibco, PowerBI, Superset, Pentaho, Hadoop, Metron ou similares. Cada um tem sua melhor aplicabilidade e isso está diretamente associado à sua “massa de amostras a serem processadas” e, claro, a seu principal problema a ser resolvido.

Mas voltando ao assunto principal, o interesse era atender com a melhor ferramenta disponível. Mas será que a melhor ferramenta é a melhor escolha para aquele momento da sua companhia? Na maioria das vezes, pode não ser. Para ilustrar a ocasião, iremos dimensionar aproximadamente qual era o objeto da conversa. Contratar uma “Plataforma de Análise de Vulnerabilidades” e outra para GRC para controlar e dar visibilidade aos assuntos dentro da companhia. Como mencionado, a opção1 era a Gartner1, em ambos os casos.

Pergunta única (racional e suficiente) para resolver o impasse: qual o nível de maturidade e visibilidade que você tem sobre o seu problema hoje? Resposta: muito baixa, limitada, quase zero.

Quem já trabalhou com análise de vulnerabilidades sabe que a quantidade de desvios, vulnerabilidades, riscos, sujeiras, falso-positivos e ajustes necessários são realmente espantosos no início do processo, e isso independe do tamanho de empresa (costumamos afirmar que os top15 são sempre os mesmos, só trocam de endereço/CNPJ). Sabe-se também que essas correções demandam tempo, esforço, investimento financeiro, comprometimento das equipes e na maioria dos casos mudanças profundas na cultura, nas pessoas e nos processos da companhia. Resumindo: fazendo um excelente dever de casa, você terá em média, no mínimo um (1) ano de trabalho e atividades de adequação recorrentes (neste caso específico, independente de você estiver usando a ferramenta comercial topo de linha ou alguma versão FOSS de ferramenta similar disponível).

Qual o X da questão? Considerando que temos maturidade baixa, não conhecemos o processo, que não vamos conseguir resolver dentro de um tempo estreito os principais problemas (geralmente um ano), porque investir de cara/de saída, alguns “milhares de dólares” numa ferramenta de ponta se eu posso ter uma saída similar (que vai demandar inicialmente esforço e custo inferior) usando, por exemplo, uma plataforma mais simples, mas ainda suficiente para a ocasião, suficiente para testar minhas hipóteses/processos e entender realmente qual a maturidade da companhia? Se considerar somente o primeiro ano (que você ainda estará tratando os problemas encontrados com a ferramenta secundária), em tempos de crise, a economia mensal/anual é sem dúvida bem expressiva.

Certeza? Vamos a experiência prática. Esse processo foi realizado em uma das igrejas em que um dos especialistas OMNI exorcizou alguns daemons, e não foi 1,5 ano, mas 2 anos com a ferramenta free e, podemos dizer que, ela cumpria muito bem seu papel. Depois, quando a maturidade chegou num nível interessante (e esse sempre será o gatilho para o próximo nível), com revisões e testes periódicos, revisão de procedimentos, processo conhecido e recorrente, correções e muitas “changes” com reduções de desvios consideráveis que podiam estampar capa das principais revistas sobre o assunto (mas por questões comerciais, claro, nunca o estamparão), recomendamos mudar para uma ferramenta 20% melhor, mesmo assim ainda longe do primeiro colocado do Gartner. E quanto tempo nós utilizamos essa segunda ferramenta? Muito, pelos menos uns 3 anos de uso e provavelmente ela ainda está servindo ao propósito esperado até os dias atuais. É claro que, em alguns casos, o nível de automatismo de ferramentas de entrada não é similar às principais ferramentas, mas nada que você não consiga resolver com automações internas ou associação de recursos humanos dedicados com custo inferior (ainda assim, mais econômico que o licenciamento da condição original).

Agora, imaginem se no primeiro ano tivéssemos optado pela ferramenta1? No exemplo anterior, foram 5 anos de licenciamento, com oscilações e custos de um ambiente que em tempos áureos chegou a 15.000+ ativos energizados (ou se preferirem, objetos gerenciados que é o nome técnico correto utilizado na literatura), mais de 200 trechos (ranges) de redes espalhados por dezenas de empresas pertencentes ao mesmo grupo.

A conversa e os exemplos seguiram para uma plataforma de BI, por um ambiente de vulnerabilidades, mas podem ser replicados para plataformas de monitoração, ferramentas de ticket request, plataformas completas de GRC, softwares de inventário, plataformas de virtualização, data minning ou quaisquer outros sistemas mais elaborados. Pense que, a graça dessa abordagem é que você pode organizar a casa, fazer testes, normalizar, aprimorar seus processos e preparar previamente todos os ativos envolvidos e dados intercambiáveis com um custo bem inferior, mais rápido e com resultado muito parecido.

Assim, costumamos estressar bastante essa máxima popular: “em terra de cego, quem tem um olho é rei”. De nada adianta a ferramenta ser topo de linha se a organização, processos e maturidade corporativa são rudimentares. Antes de comprar o colchão, avalie se têm a cama e se o estrado está em condições de receber o mais precioso componente do seu produto. A mesma lógica vale para SIEM (ver dica), BPM, SAP, IGA, ZDR ou plataformas de APT. Adicionalmente, use e abuse das recomendações e dicas deste post. No mínimo, seus próximos projetos terão dúvidas e questionamentos extras e mais inteligentes com seus fornecedores.

PS1: Curvas de TCO de soluções comerciais x FOSS, por exemplo, normalmente não consideram visão de médio-prazo (acima de 3 anos), visto que na seguinte onda de "refresh" da tecnologia (seja hardware ou software) inviabiliza financeiramente a métrica defendida nesse espaço de tempo maior quando pelos produtos comerciasi, quando comparado com outros produtos/licenciamentos. Faça essa análise com seus maiores/mais conhecidos fornecedores (de e-mail, virtualizadores (caso atual da VmWare pode ser útil), plataformas de SEC, sistemas operacionais etc.).

PS2: Na data original desta publicação (2017), não recomendaríamos a compra de um SIEM comercial de largada. Há “coisas” mais interessantes, menos custosas, mais robustas e muito mais abrangentes que fazem a mesma atividade com um custo 1/20 das soluções de ponta. É muito mais interessante hoje, por exemplo, construir um datamart específico e depois (do MDM e normalização) espetar sua ferramenta preferencial xLADP (seja um Excel, PowerBI, Apache SuperSet ou o poderosíssimo Hadoop). Uma observação extra é que MDM nesse contexto não é Mobile Device Management, mas um conceito bem mais antigo do acrônimo chamado de Master Data Management, muito utilizado na disciplina de governança de dados. Para mais informações sobre, consulte o Gartner DSG (Data Security Governance Framework) ou o DAMA DMBOK (Data Management Body of Knowledge).

PS3: Cuidado com ‘gestão baseada em capa de revista’. Na prática a teoria é bem diferente. O próprio Hype Cycle Gartner pode ser um conselheiro, ajudando-lhe a evitar “modismos” presente nas cristas das ondas. E para quem acha maravilhosa a dinâmica do Hype Cycle Gartner, recomendamos validar a base de Creative Destruction in Economics de Schumpeter (1883 - 1950). Se quiser que a Omni produza um artigo sobre esse ou outro assunto que lhe interesse, comente no post sobre o tema que avaliaremos. Boa Páscoa!