A Retomada do Aspecto Físico da Segurança de Informação: o PCN

29 de abril de 2016

Desde meados de 1999, com a proximidade do novo milênio, os responsáveis pelo setor de Tecnologia de Informação das empresas começaram a se preocupar com mais intensidade com o aspecto digital da sua segurança.

Rompida a barreira do novo milênio, onde pouco ou quase nenhum efeito foi sentido nos principais sistemas e aplicativos, a atenção se voltou para os riscos de invasões e contaminação por vírus digitais.

A anúncio de fatos como o sequestro de centenas de milhares de números de cartões de crédito de clientes em uma empresa e o reflexo do “Love Letter” nas empresas ao redor do mundo, intensificaram esta preocupação.

Após o evento do dia 11/09 no WTC, as empresas estão reconsiderando a importância que o aspecto da segurança física e as respectivas estratégias de contingência e recuperação podem ter para o seu funcionamento.

Seja em função do exemplo da empresa que possuía seu escritório em uma torre e seu local de recuperação em outra, ou pela outra que perdeu 700 funcionários de sua matriz, o resultado dos acontecimentos é um só: não basta antecipar os possíveis eventos.

O exercício da previsão deve beirar a paranóia, se desejamos garantir a continuidade da empresa, através do desenvolvimento de sua segurança.

No início de minhas atividades de consultoria, uma das maiores desculpas que ouvi de várias empresas, para justificarem a inexistência de um PCN para suas empresas era a ausência de eventos naturais que os justificassem, tais como terremotos, furacões,vulcões ou tsunamis (ondas de grandes dimensões).

A maioria destas pessoas não se conformava quando eu mostrava um gráfico desenvolvido pelo Gartner Group, indicando quais as origens de paradas de empresas nos EUA. Nele, os desastres naturais eram responsáveis por “apenas” 8% destas paradas corporativas. 80% dos eventos eram causados pelo conjuto de erro humano, falha de transmissão, dano em dispositivo (hardware) ou erro de aplicativo (crash). O restante (12%), era de origem “incerta”.

Quando começo a falar de análise de riscos em processos, a maioria das pessoas começa a me questionar, perguntando se eu não estou sendo interessadamente pessimista. E, invariavelmente, eu respondo com outra pergunta: se a empresa parar por causa de um risco que não foi considerado por opção, qual será o reflexo no seu currículo ?

Não faz muito tempo, fui consultado por uma empresa do segmento de telecomunicações, que solicitou uma análise de um PCN desenvolvido internamente, considerando-se como modelo o PCN da sua matriz norte-americana.

A empresa seguiu as estratégias de recuperação elaborados nos EUA, sem levar em conta as variáveis locais. Reservou locais em escritórios virtuais, assim como a matriz, mas não definiu quais funcionários ocupariam o espaço.

Definiu locais de back-up para seu call center, que foi construído numa razão de 1:4 (o call center original tem 200 posições, o back-up tem 50) e não definiu quais serão os 50 funcionários que irão ocupar o local.

Resumindo: a empresa se sente segura, por ter um PCN que foi auditado e aprovado pela matriz (não podendo ser diferente, uma vez que a estrutura era a mesma para ambas as instalações) mas que na verdade não foi submetido a testes e tampouco oferece a consistência de uma Análise de Impacto nos Negócios.

Em outras palavras: do plano final que a empresa possui hoje, apenas 50% deve ser efetivo. O restante, provavelmente irá atrapalhar, mais do que ajudar.

Costumo dizer que o PCN não é a panacéia para todos os males. Mas não é por isso que devemos menosprezar sua importância, frente à dispositivos de IDS (intrusion detection system) ou firewalls. Cada um, no conjunto de segurança de ambiente corporativo, cumpre seu respectivo papel.

E, como tal, não podemos considerar que o melhor exemplo de um possa substituir outro. Isto nos exporia a riscos desnecessários.

Muito se fala em segurança de dados e informações. Mas o que pouco se fala a respeito é que a espinha dorsal de toda e qualquer estrutura segura, é o bom senso. Não adianta querer substituí-lo com produtos de alto custo (o melhor firewall, na minha opinião, ainda é uma simples CPU com o OpenBSD instalado e configurado para agir como um), se não há planejamento que sustente sua utilização.