Notas sobre o funcionamento do site

Voltar à disposição inicial da página.

Restaurar

barra login

Segurança da Informação, Gestão do Risco e a Continuidade dos Processos de Negócio

General X


INTRODUÇÃO

 Isto da tecnologia também tem modas. Como em outros domínios, há que ter uma “atitude social conveniente”  (leia-se , embarcar na onda). E a onda, actualmente, é  afinar pelo diapasão de que a segurança da informação digital é sobretudo posta em causa exactamente por quem a produz ou a utiliza ou seja, pelos próprios colaboradores das organizações. Não vislumbro sequer por que razão assim é, mas o que é facto é que é moda. Perigosa, pois com certeza.

De facto, a qualidade de um qualquer sistema de segurança (incluindo claramente a da informação em suporte digital), é nem mais nem menos do que a qualidade do elo mais fraco desse sistema, o que é fácil de entender. O que significa que um sistema de segurança é um todo, e que todos (mas todos e não apenas um) os seus componentes devem ser adequadamente dimensionados para a ameaça previsível.

No fim de tudo, o desafio é o de perceber e reduzir o risco e  aumentar o poder de recuperação do negócio.

No centro de toda esta questão está, evidentemente, a INFORMAÇÃO. A Informação é, de facto, um activo corporativo insubstituível. Sem uma cópia dessa informação as perdas poderão ser irreversíveis e permanentes.

A informação contida nos diversos sistemas de uma Organização tem de ser entendida como um activo estratégico e, à medida que aumenta o valor dessa informação, a confiança e a qualidade das soluções de armazenamento tem de ter uma consideração especial. Não existe hoje qualquer dúvida de que o armazenamento da informação é o componente técnico principal de qualquer solução de continuidade da operação.

 

A EXPERIÊNCIA

O Planeamento da Continuidade dos Negócios envolve que se tenha em consideração:

O POTENCIAL DE RISCO

OS TRADE-OFF´s POSSÍVEIS

e , evidentemente

ALOCAÇÃO DE RECURSOS

O pensamento sobre O QUE ACONTECEU ou O QUE NÃO ACONTECEU, tem de ser substituído por métodos de avaliação DO QUE PODE ACONTECER,  e de QUÃO PROVÁVEL É QUE ACONTEÇA e, baseado nesta avaliação, decidir qual a melhor escolha sobre a infraestrutura tecnológica a implementar e sobre as tecnologias que protegerão a informação.

As decisões a tomar sobre as tecnologias que promoverão a CONTINUIDADE DO NEGÓCIO, terão de ter em conta o risco de interrupção do mesmo e as respectivas consequências. Não há um botão “On / Off” que permita avaliar se uma organização está segura ou em perigo. O risco de interrupção do negócio é uma questão de GRAU,    que pode variar entre a DISPONIBILIDADE ZERO ( em resultado de um evento catastrófico) e a DISPONIBILIDADE TOTAL (24 horas por dia, 7 dias por semana).

Os factores que beneficiam as operações – velocidade de processamento e de acesso à informação – eles próprios potenciam os riscos de intrusão, de fraude e de perturbação. As tecnologias têm estado há demasiado tempo sob o risco de intervenções maliciosas, de erros do utilizador, ou mesmo de desastres naturais ou provocados.

Nos anos recentes os sistemas de negócio  tornaram-se mais susceptíveis a estas ameaças, dado que os sistemas cada vez mais funcionam “Centrados em Rede” logo mais interdependentes e acessíveis a um cada vez maior número de indivíduos.

Por outro lado, o número de indivíduos capazes de dominar a computação tem também crescido exponencialmente e, ao mesmo tempo, as técnicas de intrusão são cada vez mais simples de utilizar e estão amplamente divulgadas na Internet e em outros media.

 

A INCERTEZA GERA COMPLEXIDADE

O tema do “Disaster Recovery” é um tema desconcertante, tantas as incertezas que carrega. A incerteza subjacente é a de tentar perceber se uma Organização está adequadamente protegida contra um sempre crescente número de ameaças. É que haverá sempre incerteza quanto aos tipos de ameaças, quanto ao seu dano potencial, e quanto à probabilidade da sua ocorrência.

Quais são as ameaças que são realmente importantes , e quais são inócuas ? Há incerteza quanto às vulnerabilidades, quanto à magnitude das perdas potenciais e, sobretudo, quanto às soluções que apresentarão o maior benefício.

A INCERTEZA é, portanto, o facto que torna complexas as decisões associadas ao “Disaster Recovery”. Em condições de incerteza, quer a racionalidade quer a utilização de métricas são essenciais ao processo de tomada de decisão.

Não existem “Best practices” (Melhores práticas) que eliminem inteiramente o risco, e nenhum perito que possa avaliar o futuro com absoluta certeza.

As Organizações podem contudo utilizar a ciência para definir um CONJUNTO DE PRINCÍPIOS para uma boa tomada de decisão relativamente aos seus investimentos. Usando estatísticas, as Organizações conseguirão resultados mais precisos.

 

AS EMOÇÕES ESCONDEM OS FACTOS

Além da complexidade causada por toda a incerteza, a  questão do “Disaster Recovery” transporta igualmente um problema emocional, dado que todos os acontecimentos catastróficos provocam emoções fortes. Catástrofes, como os acontecimentos de 11 de Setembro criam medo. E, em muitos domínios, as emoções provocam largo efeito sobre a capacidade de  julgamento e a tomada de decisão. Confiar na emoção pode conduzir a erros sérios de julgamento, quer sob a forma de um medo excessivo de pequenos riscos, quer negligenciando grandes riscos. É o caso em apreço, com que iniciámos este trabalho.

Uma aproximação quantitativa  à Continuidade do Negócio ajudará as organizações a entender o risco, medi-lo, e pesar as suas consequências.

A ciência conduz a maior precisão que a intuição ou o pressentimento, em que a inconsistência ou a miopia frequentemente prevalecem.

 

“BUSINESS CONTINUITY” EM LUGAR DE “DISASTER RECOVERY”

Nos últimos 10 ou 15 anos, uma mudança profunda nas características das Tecnologias de Informação, vem enfatizando a necessidade de acesso contínuo à informação. As Organizações integraram as Tecnologias de Informação no tecido das suas operações. Esta integração contribuiu para o crescimento exponencial da Internet e das Intranets, o que possibilitou a operação globalizada 24 horas sobre 24. As operações transcontinentais não apresentam fronteiras de tempo, e virtualmente eliminam as inerentes diferenças de fusos horários. Interrupções em aplicações chave para o negócio podem determinar impactos significativos no Volume de Negócios, na produtividade, e nos custos.

Os dirigentes reconhecem que o que é necessário é a capacidade de reassumir rapidamente ou mesmo instantãneamente a disponibilidade dos Sistemas de Informação, de seguida a qualquer interrupção. O uso da expressão “BUSINESS CONTINUITY” (com a sua sugestão de não interrupção), em lugar de “DISASTER RECOVERY” (a qual contém implícita a noção de recomeço gradual), enfatiza a importância desta mudança nas Tecnologias de Informação.

A “DISASTER RECOVERY” tradicional faz pensar em eventos catastróficos e pode parecer uma solução demasiado onerosa para ocorrências quase improváveis. Esta visão está-se modificando rapidamente, dado que cada vez mais se torna evidente que idênticas protecções podem eliminar as perturbações de curto prazo, que têm um impacto económico negativo e contínuo.

A acumulação e a frequência destas perturbações limitadas é tal que o seu custo agregado frequentemente excede o de ocorrências de maior impacto, mas mais raras. A maior parte das Organizações são relutantes em fazer grandes investimentos para prevenir acontecimentos raros e incertos.A muitos decisores parce não se retirar benefício tangível de uma abordagem centrada no “Disaster Recovery”. Pensam que se trata de um investimento que apenas traz “paz de espírito” e, investimentos em “paz de espírito” perdem relativamente àqueles que transportam benefícios tangíveis.

Todas as Organizações têm de ser capazes de recuperar de um desastre sempre que ele ocorra mas , de facto, o único elemento não substituível é a informação.

 

DESMISTIFICANDO A GESTÃO DO RISCO : ARMADILHAS

Vejamos algumas das armadilhas frequentes que haverá que evitar.

 

SEGURANÇA PERFEITA

Apenas alguns gestores de Tecnologias de Informação acreditam que o objectivo a alcançar é a SEGURANÇA PERFEITA. O que significa dizer que todas e quaisquer falhas de segurança são inaceitáveis. Ora a segurança perfeita é INFINITAMENTE CARA. Seja qual for a situação, haverá sempre alguma coisa mais que pode ser feita para melhorar a segurança. Além de estarmos perante uma “never ending story”, os recursos de facto, são limitados, como sabemos.

 

TRANCAS DE AÇO EM PAREDES DE PLADUR

Permitam-me agora usar uma imagem. Por exemplo, o gestor de segurança que nota a existência de uma porta de madeira que pode ser facilmente forçada.  A solução óbvia será substituí-la por uma porta em aço, com segredo, com um alarme, possívelmente um leitor magnétido de cartões e, quem sabe, uma câmara CCTV. Contudo, o gestor de segurança apenas se esqueceu que a porta de maneira estava colocada em paredes de pladur.

Esteve exemplo ilustra um ponto importante.Uma gestão racional do risco implica uma consideração global, antes do estabelecimento de uma estratégia de gestão do risco, e da alocação de recursos limitados a medidas de segurança seleccionadas.

 

A CONCEPÇÃO ERRÓNEA DE VULNERABILIDADE

Alguns especialistas nestas matérias aderem à utilização das chamadas “Análises de Vulnerabilidade”. O conceito é que a avalição de uma infraestrutura de Tecnologias de Informação revelará as vulnerabilidades que há que proteger.

Para entender porque apenas a “Análise de Vulnerabilidade” não é uma base suficiente para uma correcta gestão do risco, atente-se no seguinte exemplo que, uma vez mais, se socorre de uma imagem.

O gestor de Tecnologias de Informação observa que a sua infraestrutura, localizada numa pequena cidade do interior,  não está protegida por um telhado à prova de queda de aeronaves. Isto cria uma vulnerabilidade, que serve como justificação para investir numa construção ultra forte.

O que, de facto, é um absurdo, já que aquela pequena cidade do interior não está perto qualquer aeródromo, nem é sobrevoada por rotas comerciais. Exactamente, mas notem que uma análise de vulnerabilidade cega não nos satisfaz. Cada um de nós terá feito certamente uma análise de risco perfeitamente informal, e terá concluído que a probabilidade de ocorrência desta ameaça é praticamente nula e que, portanto, aquela vulnerabilidade era irrelevante naquela pequena cidade do interior, mas talvez pudesse ser significativa para a infraestrutura de Tecnologias de Informação de um qualquer aeroporto.

 

INDO ALÉM DAS MELHORES PRÁTICAS

O conceito por detrás das “Melhores práticas” é o de que existe um conjunto de procedimentos que, uma vez seguidos, eliminam todos os riscos.

Em Setembro de 2002, o Homeland Security Office dos EUA publicou uma lista de 86 recomendações para aumentar a segurança das Tecnologias de Informação. Tratava-se de uma lista das “Melhores práticas” , omisso na resposta à questão “Quais devem ser implementadas numa dada situação”. Em 2003 um novo documento foi publicado, apenas com 60 recomendações.

Há duas falhas básicas na interpretação do conceito de “Melhores práticas” :

  1. Quem pode afirmar que um determinado conjunto de recomendações é, de facto, melhor que outros ? Como pode esperar-se que qualquer lista de recomendações possa ser melhor em todas as circunstâncias possíveis ? Certamente algumas recomendações serão esquecidas, e outras conduzirão ao desperdício de recursos.
  2. Dado que os recursos são sempre limitados, é essencial priorizar as recomendações. Mas nunca ninguém produziu um documento que explique como priorizar as “Melhores Práticas”. A razão desta omissão é simples; é impossível determinar um conjunto de regras de priorização, pela simples razão de que cada infraestrutura de Tecnologias de Informação tem o seu próprio, e único, conjunto de riscos associado.

 

MÉTODOS QUANTITATIVOS DE GESTÃO DO RISCO

No fundo, o objectivo de uma gestão de risco racional, é a optimização da alocação de recursos limitados às estruturas de segurança das Tecnologias de Informação. Tal apenas pode ser conseguido através de um balanceamento entre os CUSTOS ASSOCIADOS À REDUÇÃO DO RISCO  e  o MONTANTE DE REDUÇÃO DE PERDAS FUTURAS , que as medidas a implementar se espera poderem gerar.

É absurdo que um gestor de Tecnologias de Informação defenda junto de um Director Financeiro que lhe deverá ser atribuída uma grande alocação de recursos, dado que identificou uma grande exposição ao risco.  Ou seja, uma análise de risco meramente qualitativa é insuficiente como ferramente de gestão do risco.

As únicas técnicas que podem conduzir a decisões racionais, são de facto os procedimentos quantitativos de gestão do risco.A vantagem principal de uma aproximação quantitativa é a de que proporciona uma medida da magnitude e da probabilidade de ocorrência das ameaças, que pode ser utilizada numa análise custo-benefício entre alternativas possíveis. Nenhuma Organização consegue suportar idêntico nível de protecção para todas as funções, e para todos os seus activos. Dado que podem existir inúmeros eventos configurando uma ameaça, o que se trata é organizar um ranking desses acontecimentos pelo seu impacto económico relativo, o que permitirá uma melhor alocação de recursos finitos às áreas de maior prioridade.

Nisto, como afinal em tudo na vida, a aproximação fundamental decorre sobretudo do bom senso.

 

General X

Related Posts Plugin for WordPress, Blogger...

Posts relacionados:

Deixe um Comentário

 


Compression Plugin made by Web Hosting