O “ecossistema” em que se figura a segurança da informação

Você já estudou o conceito de segurança da informação antes, mas, para contextualizar o tratamento de incidentes, precisamos revisar alguns tópicos que
fazem parte de todo o “ecossistema” em que se figura essa segurança. Tal sistema está representado no diagrama apresentado a seguir.

Dentro deste contexto complexo de relacionamentos (causas e efeitos), segurança da informação pode ser definida como “um conjunto de procedimentos cuja finalidade é a salvaguarda dos ativos de informação contra o seu uso ou exposição não autorizados”. Pode ser também o resultado de qualquer sistema de políticas e procedimentos administrativos utilizados para identificar, controlar e proteger as informações contra o uso não autorizado, em ações determinadas por ordens executivas ou estatutárias.” (TIPTON; KRAUSE, 2007).

Empresas digitais

Estamos entrando em uma era na qual os negócios emergentes são classificados
como “Empresas digitais”. Nessas, quase todas as relações significativas de negócios com os clientes, fornecedores e funcionários são disponibilizadas digitalmente, e todos os ativos-chave da corporação são gerenciados por meios digitais.

Neste cenário, os ativos de informação precisam ser protegidos segundo as
normas de segurança mais rígidas possíveis, de forma a evitar a ocorrência de
incidentes que possam interromper a continuidade dos negócios.

Data Centers

Os data centers podem ser considerados como uma usina de processamento das
informações organizacionais e, por isso, são a jóia da coroa a ser protegida.
Os paradigmas tecnológicos e as funcionalidades dos data centers sofreram
mudanças significativas desde o início da “era da informação”.

Os sistemas centralizados em mainframes, na década de 1960, migraram em grande escala para sistemas distribuídos a partir dos anos 1990. Com esse movimento, as questões relativas à segurança em data centers ficaram mais difíceis de gerenciar, uma vez que os alvos possíveis não se encontravam em um único ponto.

Com a difusão dos virtualizadores a partir da metade da primeira década do
século XXI, iniciou-se um movimento de retorno aos sistemas centralizados. Vários servidores virtuais passaram a executar tarefas diversas dentro de um único hospedeiro físico. Essa arquitetura tornou-se muito parecida com aquela proposta pelos antigos mainframes, os quais também evoluíram, e sua proposta hoje é a de consolidar os data centers usando, para isso, centenas de servidores virtuais em uma máquina extremamente potente em termos de recursos computacionais.

A Computação na Nuvem

Cloud Computing, ou “Computação em Nuvem”, utiliza a rede para conectar
usuários a recursos baseados em “nuvem”, ao contrário de recursos efetivamente  em sua posse (como o poder computacional do equipamento utilizado para realizar esta conexão). A “nuvem” pode ser acessada através de uma rede corporativa, da Internet, ou de ambas.

O provedor dos serviços em nuvem pode requisitar o poder computacional de
múltiplos computadores remotos na “nuvem” para completar uma tarefa, desde
tarefas pouco intensas como o processamento de texto ou tarefas mais intensas
como o backup de um grande volume de dados.

Características-chave da Computação em Nuvem:

  • Agilidade: menos tempo gasto suprindo necessidades em infraestrutura;
  • Custo reduzido: despesas com bens de capital são substituídas por despesas operacionais;
  • Escalabilidade: provisionamento dinâmico dos recursos adaptando os sistemas para picos de uso;
  • Independência de local e equipamento: sistemas acessados por browser em diferentes plataformas (PC, tablet, smartphone etc) e em qualquer lugar através da Internet;
  • Desempenho monitorado.
  • Manutenção facilitada: aplicações não precisam ser instaladas nos computadores de cada usuário. Maior facilidade de suporte e implementação de melhorias.

Importante: Do ponto de vista da segurança da informação, a Computação em
Nuvem apresenta características avançadas:

 

  • Maior confiabilidade: com o uso de servidores redundantes, se o serviço fica indisponível em um nó da grade de processamento, outros cobrem a demanda.
  • Backups automatizados testados e confiáveis.
  • Recuperação de incidentes e desastres com downtime mínimo.
  • Resiliência.

Infraestrutura de Desktops Virtuais

Atualmente, uma nova onda de centralização, ainda maior que a da primeira
década dos anos 2000, começa a ganhar o cenário dentro das estratégias dos
CIOs: trata-se da VDI, ou Virtual Desktop Infraestructure (Infraestrutura de
Desktops Virtuais). A técnica consiste em hospedar um sistema operacional de
desktop em uma máquina virtual rodando em um servidor central.

Conceitualmente, a VDI separa o ambiente de computação pessoal em desktop de uma máquina física e armazena a totalidade de programas, aplicações, processos e dados em um servidor central. Alguns modelos de máquinas de grande porte, como a linha System e Enterprise, da IBM conseguem virtualizar até 1.000 desktops usando uma única CPU física.

De imediato, essa abordagem apresenta vantagens em vários aspectos:

  • permite aos usuários acessarem seus ambientes virtualizados a partir de qualquer dispositivo com um browser web;
  • o provisionamento é simples e rápido;
  • o tempo de parada (downtime) é menor;
  • reduz o custo de licenciamentos;
  • aumenta o ciclo de atualizações de hardware;
  • reduz o custo do hardware necessário.

Importante: Do ponto de vista da segurança da informação, a gerência
centralizada de todos os ambientes dos usuários permite um controle
muito mais efetivo em relação a invasões, instalações indevidas,
ataques de vírus e outros incidentes.

De acordo com um relatório do Gartner Group, o mercado de VDI irá atingir 49
milhões de unidades de desktops em 2013, podendo, com isso, abranger 40% do
mercado mundial de computadores de PCs de uso profissional.

Ciclo de Maturidade da segurança da Informação

Pode-se afirmar que, em um cenário ideal, a continuidade dos negócios nunca
seria interrompida (zero downtime). Mas, para se chegar em um estágio destes,
várias fases devem ser vencidas em uma escalada das corporações rumo à
maturidade da segurança da informação. Arbitrariamente, podemos classificar
esses graus de maturidade em cinco fases, as quais se sucedem entre si e
encontram na sequência:

Maturidade zero – Fase do Descaso: a empresa não possui qualquer tipo
de proteção para seus ativos de informação. Provavelmente, tais ativos são
desconsiderados, ou considerados não críticos.

Maturidade 1 – Fase da Proteção: a empresa já considera seus ativos de
informação como um patrimônio importante e investe em tecnologia e em
equipamentos para protegê-los. Normalmente, os recursos humanos ainda não
possuem cultura de segurança da informação, e poucas políticas de proteção são adotadas formalmente.

Maturidade 2 – Fase da Capacidade de Recuperação: a empresa não só protege seus ativos de informação, como está preparada para a recuperação desses ativos em caso de algum incidente ou desastre. Existe uma cultura forte em relação às questões de proteção e ações para evitar riscos. As políticas são mandatórias, claras e bem documentadas. Sistemas de backup são executados regularmente. O tempo de recuperação é relativamente longo, pela ausência de um plano eficiente e bem testado. Os prejuízos podem ser elevados, com risco de comprometer a continuidade dos negócios.

Maturidade 3 – Fase da Capacidade de Continuidade: a empresa está preparada para, depois de recuperar-se de um incidente ou desastre em relação à proteção dos seus ativos, dar continuidade nos seus negócios em um tempo relativamente curto, sendo afetada de forma não disruptiva com o período de downtime. Data centers redundantes, com sistemas de backup síncronos, são utilizados.

Maturidade 4 – Fase da Resilência: a empresa não interrompe seu negócio,
mesmo durante a ocorrência do incidente ou desastre. Nessa fase, considera-se
que é um negócio resiliente. Resiliência é a propriedade intrínseca de um sistema
o qual continua funcionando mesmo em condições teoricamente muito adversas
ou desfavoráveis.

Todas essas fases e a ordem de sequência entre elas estão expressos na figura a seguir.

Um exemplo da falta de uma segurança da informação adequada é expresso na charge presente na sequência.

Os planos de contingência, recuperação de desastres e de incidentes se relacionam, em maior ou menor grau, com outros planos voltados a segurança de
TI nas organizações. A Tabela a seguir mostra os escopos e propósitos de cada um desses planos, segundo a norma NIST 800-34:

Tabela 1 – Propósito e escopo dos planos de emergência de segurança em TI

Plano Propósito Escopo
 Plano de Continuidade
do Negócio – Business
Continuity Plan (BCP)
 Descrever procedimentos para
manter as operações essenciais
enquanto se recupera de uma
ruptura significativa nos processos.
 Endereçado aos processos do
negócio; TI envolvida somente
como base no suporte para
os processos de negócio.
 Plano de Recuperação do
Negócio – Business Recovery
(or Resumption) Plan (BRP)
 Descreve os procedimentos para
recuperar as operações do negócio
imediatamente após um desastre.
 Direcionado aos processos do
negócio; não tem foco em TI,
a qual apenas deve suportar
os processos de negócio.
 Plano de Continuidade das Operações – Continuity of
Operations Plan (COOP)
 Provê procedimentos e
capacidades para manter as
funções essenciais e estratégicas
de uma organização em um site
alternativo por pelo menos 30 dias.
 Dirigido a um subconjunto
de uma organização o qual é
responsável pelas missões mais
críticas; usualmente escrito para
funcionar no nível das sedes das
empresas; não tem foco em TI.
 Plano de Continuidade
de Suporte/Plano de
Contingência de TI –
Continuity of Support Plan/
IT Contingency Plan
 Provê procedimentos e
capacidades para recuperar as
aplicações mais importantes ou
um sistema genérico de suporte.
 Igual ao plano de contingência
de TI; dirigido a rupturas no
sistema de TI; não é focado
em processos de negócio.
 Plano de Comunicação
de Crises – Crisis
Communications Plan
 Provê procedimentos para
disseminação de relatórios e boletins
sobre o estado das operações
para o público interno e externo.
 Dirigido para comunicação
somente; não tem foco em TI.
 Plano de Resposta para
Incidentes Cibernéticos –
Cyber Incident Response Plan
 Provê estratégias para detectar,
responder e limitar as consequências
de um incidente cibernético malicioso.
 Dirigido para a equipe de
resposta a incidentes de
segurança os quais afetem
os sistemas e/ou as redes.
 Plano de Recuperação
de Desastres – Disaster
Recovery Plan (DRP)
 Provê procedimentos detalhados
para facilitar a recuperação
das capacidades de operações
em um site alternativo.
 Muitas vezes focado em TI;
Limitado a rupturas maiores
com efeitos de longo prazo.
 Plano de Ocupação de
Emergência – Occupant
Emergency Plan (OEP)
 Provê procedimentos coordenados
para minimizar perdas humanas
e danos materiais, em resposta
a uma ameaça física.
 Focado nas pessoas e nos bens
materiais; não é procedimento
de negócio ou funcionalidades
de sistemas de TI.

Fonte: SCARFONE; GRACE; MASONE, (2008).

A inter-relação entre os diversos planos voltados à segurança pode ser melhor
visualizada na figura a seguir.

Referências
SCARFONE, K.; GRANCE, T.; MASONE, K. Computer security incident handling guide. Special Publication 800-61 Revision 1 – National Institute of Standards and Technology, 2008.
STALLINGS, W. Network security essentials. 4. ed. Pearson Education, 2007.
WALLACE, M.; WEBBER, L. The disaster recovery handbook: a step-by-step plan to ensure business continuity and protect vital operations, facilities, and assets – AMACOM – American Management Association, 2004.
JACKSON, C. B. The role of continuity planning in the enterprise risk management structure. In: TIPTON, H.; KRAUSE, M. Information security management handbook. 6. ed. Auerbach Publications, 2007. p. 1591.
DOUGHTY, K. Selecting the right business continuity strategy. In: TIPTON, H.; KRAUSE, M. Information security management handbook. 6. ed. Auerbach Publications, 2007. p. 1551.
TENNANT, Rich. The 5th wave. Disponível em: <http://www.the5thwave.com/cartoon/3530>. Acesso em: 10 de Out. 2011.

Autor: Fernando Cerutti

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *