Uma mentalidade que prioriza a nuvem
Como diretor de operações técnicas para tecnologia na Thoughtworks, Phillip Ibarrola é responsável por tornar os sistemas de TI da empresa mais eficientes, seguros e acessíveis aos funcionários. É uma função vital para a empresa global de consultoria de software, onde a produtividade dos funcionários está diretamente relacionada à receita: os ThoughtWorkers precisam ser capazes de trabalhar de forma segura em qualquer local.
O trabalho ficou mais descentralizado e distribuído geograficamente, a empresa cresceu, e os sistemas de TI da Thoughtworks mudaram significativamente. “Passamos de um ambiente tradicional hospedado no local para nos tornarmos uma organização que prioriza a nuvem”, diz Ibarrola. Os aplicativos e sistemas na nuvem permitem que a empresa expanda rapidamente para acompanhar um crescimento anual de 10% a 15% no número de funcionários enquanto economiza nos custos em comparação com o software tradicional. “Em 2011, pensávamos que a nuvem era o futuro do trabalho”, afirma ele, “e ainda achamos que a nuvem é o caminho que o mercado está seguindo”.
Como parte da transição para a nuvem, a Thoughtworks adotou a melhor abordagem tecnológica e quer aproveitar as ferramentas e os serviços certos de uma variedade de fornecedores. Com o tempo, a Thoughtworks deixou de usar exclusivamente Microsoft, desfazendo-se dos servidores Microsoft, diversificando sua pilha de aplicativos e adotando MacBooks para a maioria da sua força de trabalho.
Simplificar um ecossistema de TI complicado
Com menos dispositivos Microsoft e mais software na nuvem, a dependência que a Thoughtworks tinha do Active Directory (AD) estava se tornando um desafio. “O Microsoft AD estava virando uma parte menos importante e menos interessante da nossa infraestrutura”, diz Ibarrola. “Não estava evoluindo conosco.”
Isso resultou em um ambiente de TI complexo e oneroso. Por exemplo, todo o provisionamento era feito manualmente ou por meio de integrações personalizadas. “Estava tudo desorganizado”, conta Ibarrola. “Tínhamos muitos scripts de sincronização frágeis que vinculavam nossos sistemas ao nosso Active Directory. Era um processo ultrapassado e difícil de manter.” Os aplicativos que não têm o recurso de atribuição automática para novas contratações eram particularmente difíceis, pois costumavam ser gerenciados por diferentes grupos de negócios. Por causa disso, a equipe de TI precisou atuar como guarda de trânsito entre várias partes.
Se o AD não estivesse sincronizado ou os scripts não funcionassem corretamente, os administradores de TI empregavam muito tempo e esforço rastreando a causa raiz, enquanto os funcionários ficavam ociosos. “Se os nossos sistemas de autenticação não permitirem o acesso dos funcionários devido a uma falha no AD, isso se converterá em perdas monetárias reais: nosso pessoal não consegue abrir as folhas de ponto, cobrar clientes nem trabalhar”, diz Ibarrola, “porque não é possível acessar nenhum aplicativo essencial para os negócios”.
“Havia um risco significativo em relação ao Active Directory que não conseguiríamos controlar porque não temos a experiência nem podemos atrair a experiência”, ele continua.
Essa falta de conhecimento também deu origem a sérias preocupações de segurança. “Somos uma organização com 25 anos e um modelo de segurança de rede muito antigo”, diz Ibarrola. “Como não temos muita experiência com o Windows, provavelmente não tínhamos o melhor nível de monitoramento em nossos servidores do Active Directory. Assim, pessoas poderiam fazer ataques de força bruta internamente em nossos servidores do Active Directory, e não estaríamos cientes disso ou não saberíamos disso até que fosse tarde demais.”
Uma carga de suporte pesada
Para mitigar esses riscos, a Thoughtworks implantou a RSA como solução de autenticação multifatorial (MFA). Infelizmente, a RSA teve um impacto negativo na produtividade dos funcionários: mais de 35% dos tíquetes de suporte ao usuário estavam relacionados a problemas com tokens de segurança físicos da RSA. Os funcionários perderam um tempo significativo respondendo às solicitações de MFA e frequentemente ficavam sem acesso aos sistemas por mais de 30 minutos durante os ciclos de MFA e redefinição de senha.
Muitos funcionários da Thoughtworks trabalham remotamente usando laptops e dispositivos móveis, o que gerou mais preocupações. Por exemplo, quando a TI tentou estabelecer uma política de BYOD (Bring Your Own Device), Ibarrola se perguntou como BYOD e o gerenciamento de dispositivos móveis afetariam a cultura de confiança e abertura. Ibarrola e sua equipe estavam determinados a desenvolver uma estratégia móvel que protegesse dados importantes da empresa e do cliente e proporcionasse uma experiência do usuário positiva.
Em busca de uma empresa com padrões abertos
Ibarrola sabia que a TI não poderia dar suporte à organização em crescimento e sua estratégia existente sem mudanças significativas. Ele queria aproveitar o SaaS para reduzir a carga de suporte. “Migramos para a nuvem porque estávamos crescendo muito rápido e, com o software legado e local, nossa equipe interna de TI não conseguia acompanhar o crescimento”, explica Ibarrola.
A TI lidou primeiro com os principais aplicativos de produtividade da empresa. Ela migrou mais de 2.000 ThoughtWorkers do pacote empresarial local da Microsoft para o Google Apps. Depois, Ibarrola encarou o problema da complicada solução de MFA da RSA e a impossibilidade dos funcionários de acessar os aplicativos. Ibarrola buscou um sistema de gerenciamento de identidade melhor que aceitasse totalmente a mudança da empresa para a nuvem. “Tivemos que fazer algo para melhorar essa situação, não apenas para a TI, mas também para nossos usuários finais”, diz ele.
Ibarrola acreditava que usar padrões abertos era a melhor maneira de garantir a interoperabilidade, bem como a capacidade de usar os melhores aplicativos. “Estávamos procurando uma solução de login único que fosse compatível com padrões abertos e nos permitisse adotar a nuvem mais rapidamente”, afirmou ele.
A arquitetura na nuvem garante o gerenciamento de identidade seguro
Ibarrola escolheu o Okta Identity Cloud depois de avaliar várias soluções de gerenciamento de identidade e acesso. “A Okta foi, de longe, a melhor solução. Preencheu todos os requisitos e definitivamente tinha uma verdadeira arquitetura na nuvem.” Ibarrola também valorizou a flexibilidade da Adaptive MFA da Okta. “A maior vitória em termos de experiência do usuário com a Okta foi a autenticação multifatorial e a facilidade de configuração em comparação com nossa solução anterior.”
O Universal Directory da Okta permitiu que a equipe de TI da Thoughtworks implantasse um repositório de usuários flexível na nuvem para personalizar, organizar e gerenciar qualquer conjunto de atributos do usuário. Em seguida, a Thoughtworks implementou o Okta Lifecycle Management com Access Request Workflow para automatizar o processo de delegar solicitações de autoatendimento do provisionamento de aplicativos para os proprietários de negócios. “O resultado final é uma experiência do usuário melhor com tempo de resposta menor, menos obstáculos e menos transferências”, diz ele. E a TI não se sente mais uma intermediária entre usuários e proprietários do aplicativo de negócios, simplificando todo o processo.
Diminuir a dependência do AD
Com o Okta Identity Cloud instalado, Ibarrola e sua equipe viram que também poderiam remover o Microsoft Active Directory da infraestrutura. “Não queríamos mais depender do AD porque era vulnerável. Era uma área de risco, e tínhamos uma alternativa melhor”, conta ele. A remoção do AD não apenas simplificaria o ambiente geral de TI e fortaleceria a segurança, mas também reduziria os custos. “Esse foi um benefício adicional: removemos o AD do nosso contrato corporativo e reduzimos nossos gastos gerais com a Microsoft”, diz Ibarrola.
A estratégia de Ibarrola tinha duas partes. Primeiro, garantir que nenhum aplicativo ou outro recurso novo dependesse da infraestrutura do AD. “Isso tornou a transição viável”, diz Ibarrola. “Tivemos que estabelecer esse limite.”
Segundo, começar a substituir estrategicamente os componentes do Active Directory. Ibarrola e sua equipe identificaram todos os aplicativos e recursos, incluindo impressoras e redes, que dependiam do AD. “Depois de criar um catálogo muito bom, priorizamos e começamos essencialmente uma lista de alvos. Em seguida, começamos a desativá-los, um por um, e gradualmente fazer com que as pessoas parassem de depender do AD, afastando-as do Active Directory.”
A remoção do AD deve ser um processo planejado e considerado com cuidado, mas que, segundo Ibarrola, vale a pena. “Já percebemos os benefícios de não depender do AD para autenticação delegada”, declara Ibarrola. “Isso gerou menos ansiedade porque sabemos que o AD não é mais uma parte crítica da nossa infraestrutura.”
Equipamentos de rede e Wi-Fi são os únicos itens que ainda estão integrados ao AD, e Ibarrola espera que a Thoughtworks esteja totalmente sem o AD em seis meses.
Mais tempo, menos despesa
Hoje, a Thoughtworks tem mais de 100 apps na nuvem conectados à Okta. “Já faz algum tempo que adotamos uma abordagem que prioriza a nuvem para a maioria dos nossos principais serviços: usamos o G Suite pela primeira vez em 2008 e nos orgulhamos de ser os primeiros a adotar Okta, Zoom, Box e outros. Todas as ferramentas que permitem a colaboração em nosso ambiente de trabalho disperso serão gerenciadas na nuvem. É o futuro do trabalho.”
Com o Okta Lifecycle Management ativado para 16 apps, a Thoughtworks eliminou mais de 1.000 horas de integração, desligamento e solução de problemas manuais.
A integração se tornou muito mais previsível e menos propensa a erros. Quando novas contratações chegam no primeiro dia, os apps básicos estão sempre provisionados corretamente. Para proteger os dados e a propriedade intelectual, a TI agora pode suspender rapidamente o acesso quando um funcionário deixa a empresa, e a Thoughtworks também usa os relatórios da Okta para apoiar qualquer auditoria em potencial. O desligamento eficiente também traz benefícios de custo para aplicativos baseados na nuvem. “A remoção oportuna do acesso nos permite controlar os custos de licenças e assinaturas”, ressaltou Ibarrola.
Com a Okta Adaptive MFA, o total de tíquetes do suporte para redefinição de senha e de credenciais de MFA diminuiu 90%, o que representa uma economia de US$ 800 mil. Além disso, os usuários finais gastam muito menos tempo respondendo às solicitações de MFA com o Okta Verify with Push e uma estrutura de políticas flexível, representando uma melhoria de produtividade de mais de US$ 400 mil. A Thoughtworks também alcançou uma melhoria de segurança de US$ 200 mil.
A Okta também eliminou a onerosa manutenção de integração de 25 apps. A desativação da RSA resultou em uma economia adicional de US$ 50 mil. Além disso, a redução nas interrupções do sistema contribuiu para um aumento de produtividade de US$ 300 mil.
“Okta é o elemento mais importante de todas as nossas autenticações”, diz Ibarrola. “Temos muito mais confiança porque sabemos que a Okta tem todo o monitoramento e as análises prontos. Nossas senhas e nosso repositório de identidades principal estão na Okta. Saber que a equipe de especialistas da Okta os protege definitivamente é melhor do que poderíamos fazer internamente.”
Olhando para o futuro, Ibarrola está trabalhando para implementar o Advanced Server Access da Okta para os servidores Linux locais da Thoughtworks que restaram. “Tem sido ótimo tratar com a Okta, como parceira e fornecedora”, declara ele. “A empresa é transparente sobre o que está acontecendo e o que está por vir.”
Sobre a Thoughtworks
A Thoughtworks é uma empresa global de software com mais de 20 anos e uma comunidade apaixonada e orientada por objetivos que começou como um pequeno grupo em Chicago e se tornou uma empresa de mais de 7.000 pessoas em 43 escritórios em 14 países.