O “ecossistema” em que se figura a segurança da informação

image_pdfimage_print

Você já estudou o conceito de segurança da informação antes, mas, para contextualizar o tratamento de incidentes, precisamos revisar alguns tópicos que
fazem parte de todo o “ecossistema” em que se figura essa segurança. Tal sistema está representado no diagrama apresentado a seguir.

Dentro deste contexto complexo de relacionamentos (causas e efeitos), segurança da informação pode ser definida como “um conjunto de procedimentos cuja finalidade é a salvaguarda dos ativos de informação contra o seu uso ou exposição não autorizados”. Pode ser também o resultado de qualquer sistema de políticas e procedimentos administrativos utilizados para identificar, controlar e proteger as informações contra o uso não autorizado, em ações determinadas por ordens executivas ou estatutárias.” (TIPTON; KRAUSE, 2007).

Empresas digitais

Estamos entrando em uma era na qual os negócios emergentes são classificados
como “Empresas digitais”. Nessas, quase todas as relações significativas de negócios com os clientes, fornecedores e funcionários são disponibilizadas digitalmente, e todos os ativos-chave da corporação são gerenciados por meios digitais.

Neste cenário, os ativos de informação precisam ser protegidos segundo as
normas de segurança mais rígidas possíveis, de forma a evitar a ocorrência de
incidentes que possam interromper a continuidade dos negócios.

Data Centers

Os data centers podem ser considerados como uma usina de processamento das
informações organizacionais e, por isso, são a jóia da coroa a ser protegida.
Os paradigmas tecnológicos e as funcionalidades dos data centers sofreram
mudanças significativas desde o início da “era da informação”.

Os sistemas centralizados em mainframes, na década de 1960, migraram em grande escala para sistemas distribuídos a partir dos anos 1990. Com esse movimento, as questões relativas à segurança em data centers ficaram mais difíceis de gerenciar, uma vez que os alvos possíveis não se encontravam em um único ponto.

Com a difusão dos virtualizadores a partir da metade da primeira década do
século XXI, iniciou-se um movimento de retorno aos sistemas centralizados. Vários servidores virtuais passaram a executar tarefas diversas dentro de um único hospedeiro físico. Essa arquitetura tornou-se muito parecida com aquela proposta pelos antigos mainframes, os quais também evoluíram, e sua proposta hoje é a de consolidar os data centers usando, para isso, centenas de servidores virtuais em uma máquina extremamente potente em termos de recursos computacionais.

A Computação na Nuvem

Cloud Computing, ou “Computação em Nuvem”, utiliza a rede para conectar
usuários a recursos baseados em “nuvem”, ao contrário de recursos efetivamente  em sua posse (como o poder computacional do equipamento utilizado para realizar esta conexão). A “nuvem” pode ser acessada através de uma rede corporativa, da Internet, ou de ambas.

O provedor dos serviços em nuvem pode requisitar o poder computacional de
múltiplos computadores remotos na “nuvem” para completar uma tarefa, desde
tarefas pouco intensas como o processamento de texto ou tarefas mais intensas
como o backup de um grande volume de dados.

Características-chave da Computação em Nuvem:

  • Agilidade: menos tempo gasto suprindo necessidades em infraestrutura;
  • Custo reduzido: despesas com bens de capital são substituídas por despesas operacionais;
  • Escalabilidade: provisionamento dinâmico dos recursos adaptando os sistemas para picos de uso;
  • Independência de local e equipamento: sistemas acessados por browser em diferentes plataformas (PC, tablet, smartphone etc) e em qualquer lugar através da Internet;
  • Desempenho monitorado.
  • Manutenção facilitada: aplicações não precisam ser instaladas nos computadores de cada usuário. Maior facilidade de suporte e implementação de melhorias.

Importante: Do ponto de vista da segurança da informação, a Computação em
Nuvem apresenta características avançadas:

 

  • Maior confiabilidade: com o uso de servidores redundantes, se o serviço fica indisponível em um nó da grade de processamento, outros cobrem a demanda.
  • Backups automatizados testados e confiáveis.
  • Recuperação de incidentes e desastres com downtime mínimo.
  • Resiliência.

Infraestrutura de Desktops Virtuais

Atualmente, uma nova onda de centralização, ainda maior que a da primeira
década dos anos 2000, começa a ganhar o cenário dentro das estratégias dos
CIOs: trata-se da VDI, ou Virtual Desktop Infraestructure (Infraestrutura de
Desktops Virtuais). A técnica consiste em hospedar um sistema operacional de
desktop em uma máquina virtual rodando em um servidor central.

Conceitualmente, a VDI separa o ambiente de computação pessoal em desktop de uma máquina física e armazena a totalidade de programas, aplicações, processos e dados em um servidor central. Alguns modelos de máquinas de grande porte, como a linha System e Enterprise, da IBM conseguem virtualizar até 1.000 desktops usando uma única CPU física.

De imediato, essa abordagem apresenta vantagens em vários aspectos:

  • permite aos usuários acessarem seus ambientes virtualizados a partir de qualquer dispositivo com um browser web;
  • o provisionamento é simples e rápido;
  • o tempo de parada (downtime) é menor;
  • reduz o custo de licenciamentos;
  • aumenta o ciclo de atualizações de hardware;
  • reduz o custo do hardware necessário.

Importante: Do ponto de vista da segurança da informação, a gerência
centralizada de todos os ambientes dos usuários permite um controle
muito mais efetivo em relação a invasões, instalações indevidas,
ataques de vírus e outros incidentes.

De acordo com um relatório do Gartner Group, o mercado de VDI irá atingir 49
milhões de unidades de desktops em 2013, podendo, com isso, abranger 40% do
mercado mundial de computadores de PCs de uso profissional.

Ciclo de Maturidade da segurança da Informação

Pode-se afirmar que, em um cenário ideal, a continuidade dos negócios nunca
seria interrompida (zero downtime). Mas, para se chegar em um estágio destes,
várias fases devem ser vencidas em uma escalada das corporações rumo à
maturidade da segurança da informação. Arbitrariamente, podemos classificar
esses graus de maturidade em cinco fases, as quais se sucedem entre si e
encontram na sequência:

Maturidade zero – Fase do Descaso: a empresa não possui qualquer tipo
de proteção para seus ativos de informação. Provavelmente, tais ativos são
desconsiderados, ou considerados não críticos.

Maturidade 1 – Fase da Proteção: a empresa já considera seus ativos de
informação como um patrimônio importante e investe em tecnologia e em
equipamentos para protegê-los. Normalmente, os recursos humanos ainda não
possuem cultura de segurança da informação, e poucas políticas de proteção são adotadas formalmente.

Maturidade 2 – Fase da Capacidade de Recuperação: a empresa não só protege seus ativos de informação, como está preparada para a recuperação desses ativos em caso de algum incidente ou desastre. Existe uma cultura forte em relação às questões de proteção e ações para evitar riscos. As políticas são mandatórias, claras e bem documentadas. Sistemas de backup são executados regularmente. O tempo de recuperação é relativamente longo, pela ausência de um plano eficiente e bem testado. Os prejuízos podem ser elevados, com risco de comprometer a continuidade dos negócios.

Maturidade 3 – Fase da Capacidade de Continuidade: a empresa está preparada para, depois de recuperar-se de um incidente ou desastre em relação à proteção dos seus ativos, dar continuidade nos seus negócios em um tempo relativamente curto, sendo afetada de forma não disruptiva com o período de downtime. Data centers redundantes, com sistemas de backup síncronos, são utilizados.

Maturidade 4 – Fase da Resilência: a empresa não interrompe seu negócio,
mesmo durante a ocorrência do incidente ou desastre. Nessa fase, considera-se
que é um negócio resiliente. Resiliência é a propriedade intrínseca de um sistema
o qual continua funcionando mesmo em condições teoricamente muito adversas
ou desfavoráveis.

Todas essas fases e a ordem de sequência entre elas estão expressos na figura a seguir.

Um exemplo da falta de uma segurança da informação adequada é expresso na charge presente na sequência.

Os planos de contingência, recuperação de desastres e de incidentes se relacionam, em maior ou menor grau, com outros planos voltados a segurança de
TI nas organizações. A Tabela a seguir mostra os escopos e propósitos de cada um desses planos, segundo a norma NIST 800-34:

Tabela 1 – Propósito e escopo dos planos de emergência de segurança em TI

Plano Propósito Escopo
 Plano de Continuidade
do Negócio – Business
Continuity Plan (BCP)
 Descrever procedimentos para
manter as operações essenciais
enquanto se recupera de uma
ruptura significativa nos processos.
 Endereçado aos processos do
negócio; TI envolvida somente
como base no suporte para
os processos de negócio.
 Plano de Recuperação do
Negócio – Business Recovery
(or Resumption) Plan (BRP)
 Descreve os procedimentos para
recuperar as operações do negócio
imediatamente após um desastre.
 Direcionado aos processos do
negócio; não tem foco em TI,
a qual apenas deve suportar
os processos de negócio.
 Plano de Continuidade das Operações – Continuity of
Operations Plan (COOP)
 Provê procedimentos e
capacidades para manter as
funções essenciais e estratégicas
de uma organização em um site
alternativo por pelo menos 30 dias.
 Dirigido a um subconjunto
de uma organização o qual é
responsável pelas missões mais
críticas; usualmente escrito para
funcionar no nível das sedes das
empresas; não tem foco em TI.
 Plano de Continuidade
de Suporte/Plano de
Contingência de TI –
Continuity of Support Plan/
IT Contingency Plan
 Provê procedimentos e
capacidades para recuperar as
aplicações mais importantes ou
um sistema genérico de suporte.
 Igual ao plano de contingência
de TI; dirigido a rupturas no
sistema de TI; não é focado
em processos de negócio.
 Plano de Comunicação
de Crises – Crisis
Communications Plan
 Provê procedimentos para
disseminação de relatórios e boletins
sobre o estado das operações
para o público interno e externo.
 Dirigido para comunicação
somente; não tem foco em TI.
 Plano de Resposta para
Incidentes Cibernéticos –
Cyber Incident Response Plan
 Provê estratégias para detectar,
responder e limitar as consequências
de um incidente cibernético malicioso.
 Dirigido para a equipe de
resposta a incidentes de
segurança os quais afetem
os sistemas e/ou as redes.
 Plano de Recuperação
de Desastres – Disaster
Recovery Plan (DRP)
 Provê procedimentos detalhados
para facilitar a recuperação
das capacidades de operações
em um site alternativo.
 Muitas vezes focado em TI;
Limitado a rupturas maiores
com efeitos de longo prazo.
 Plano de Ocupação de
Emergência – Occupant
Emergency Plan (OEP)
 Provê procedimentos coordenados
para minimizar perdas humanas
e danos materiais, em resposta
a uma ameaça física.
 Focado nas pessoas e nos bens
materiais; não é procedimento
de negócio ou funcionalidades
de sistemas de TI.

Fonte: SCARFONE; GRACE; MASONE, (2008).

A inter-relação entre os diversos planos voltados à segurança pode ser melhor
visualizada na figura a seguir.

Referências
SCARFONE, K.; GRANCE, T.; MASONE, K. Computer security incident handling guide. Special Publication 800-61 Revision 1 – National Institute of Standards and Technology, 2008.
STALLINGS, W. Network security essentials. 4. ed. Pearson Education, 2007.
WALLACE, M.; WEBBER, L. The disaster recovery handbook: a step-by-step plan to ensure business continuity and protect vital operations, facilities, and assets – AMACOM – American Management Association, 2004.
JACKSON, C. B. The role of continuity planning in the enterprise risk management structure. In: TIPTON, H.; KRAUSE, M. Information security management handbook. 6. ed. Auerbach Publications, 2007. p. 1591.
DOUGHTY, K. Selecting the right business continuity strategy. In: TIPTON, H.; KRAUSE, M. Information security management handbook. 6. ed. Auerbach Publications, 2007. p. 1551.
TENNANT, Rich. The 5th wave. Disponível em: <http://www.the5thwave.com/cartoon/3530>. Acesso em: 10 de Out. 2011.

Autor: Fernando Cerutti

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Tenho interesse por todas as áreas da informática, mas em especial em Gestão, Segurança da Informação, Ethical Hacking e Perícia Forense. Sempre disposto a receber sugestões de assuntos para criar uma postagem.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!