Profissionais TI - Pra quem respira informação

Se você é novo/a (menos de 22 anos) e deseja atuar na área de Segurança da Informação, recomendo pesquisar no Google sobre o ataque de 11 de setembro de 2001 antes de ler o conteúdo abaixo.

Em 11 de setembro de 2001, o mundo ficou estarrecido com o atentado que ocasionou a queda das Torres Gêmeas em Nova York. Muitas vidas foram perdidas e muitas famílias foram repentinamente desfeitas. As empresas que estavam ali sediadas tiveram seus negócios instantaneamente paralisados e, em algumas delas, nunca mais eles puderam ser retomados. Também ocorreram falências por conta do atentado.

Você sabe o por quê? Dependência da TI!

Toda organização que, de alguma forma, depende de algum nível de infraestrutura de tecnologia da informação (TI), como computadores conectados a uma rede, acesso à internet, informações guardadas em repositórios eletrônicos, etc, precisa tomar certos cuidados para que as informações vitais à continuidade dos seus negócios sejam devidamente preservadas, especialmente no caso de catástrofes.

“Ah, ela está falando isso por causa de vírus, porque um computador pode falhar, ou até mesmo por conta de uma invasão ocasionada por hackers em computadores da empresa, por exemplo”.

Você pode estar pensando que é por isso. É verdade que isso procede, mas não é só por isso. Note que nada disso aconteceu às Torres Gêmeas.

À época do atentado, lembro-me que li diversas reportagens sobre o que aconteceu com a cidade e, sobretudo, com as empresas que ali funcionavam. Como na ocasião eu estava trabalhando na área de Segurança da Informação, o assunto me interessava profundamente, pois queria saber como as organizações estavam fazendo para se recuperar.

Os dois edifícios abrigavam instituições americanas e várias multinacionais, tais como bancos e seguradoras, canais de televisão, empresas de tecnologia da informação, de transporte aéreo, etc. Portanto, pode-se perceber pelo tipo de empresas listadas, o quanto elas dependiam da tecnologia para realizar seus negócios. Agora, imagine o cenário: de repente toda a infraestrutura do seu empreendimento, em questão de segundos, é destruída. Pior ainda, vidas são perdidas. O prejuízo financeiro é alto, mas ainda possível de ser minorado. E o prejuízo dos recursos humanos, das vidas que se foram? Não há como rapidamente se refazer.

É aí que a Segurança da Informação presta seu papel mais valioso

Na prevenção e na mitigação dos riscos de perda de informação. É claro que imaginar que aviões poderiam algum dia ocasionar a queda dos prédios é um risco que eu diria ser de probabilidade baixa de ocorrer. Contudo, quando aconteceu, foi de alto impacto. Além disso, eu imaginava que algumas dessas organizações já se preocupavam com os riscos de incêndio e mesmo atentados. Porque ambos já haviam acontecido lá alguns anos antes. Você sabia disso?

Acabei confirmando que algumas empresas conseguiram se recuperar porque tinham se preparado para o pior. Havia planos de continuidade de negócios organizados para diversos cenários. Os funcionários também foram orientados e treinados previamente sobre como reagir em casos de emergência. Havia políticas de salvaguarda das informações (backups) que eram efetivamente praticadas. E, para o pior dos cenários catastróficos, havia até mesmo um segunda unidade de TI, prontinha para funcionar a qualquer momento, caso o centro principal falhasse. Como acabou realmente acontecendo.

As organizações que assim procederam puderam sobreviver. Claro que tiveram prejuízo imediato, mas isso foi minorado por conta das ações tomadas. Tomadas no tempo certo, porque isso também foi determinante. Outras, embora até tivessem planos e políticas de Segurança da Informação escritas, não os revisavam ou não usavam práticas que contribuíssem para mitigar os riscos.

E, quais foram então as consequências disso? Descobri que algumas organizações levaram dias para se recuperar e outras que, infelizmente, como não se precaveram, acabaram falindo.

Outras fecharam as suas portas simplesmente porque não havia como repor, de um dia para o outro, centenas de pessoas que trabalhavam em uma mesma empresa! Portanto, a lição que o atentado deixou, pelo menos no que se refere à Segurança da Informação, é bem clara: prevenir ainda realmente é melhor do que remediar.

Novamente, você pode estar pensando:

“Ah, mas a minha realidade é outra. A minha empresa é pequena, não precisa dessa parafernália toda! Quanto exagero!”

Cuidado com essa visão simplista e reducionista: as ameaças à Segurança da Informação estão por aí a todo momento, para empresas de qualquer porte e em qualquer lugar do mundo.

Inclusive há um fator, na minha opinião, o mais difícil de ser combatido: o humano.

Funcionários sem treinamento adequado para operar computadores ou lidar com informações de caráter estratégico ou sigiloso, podem ocasionar perdas ou até colocar em risco os negócios da organização.

É muito comum também executivos e proprietários das empresas cometerem esses erros. Não foram poucas as vezes que vi em saguões de aeroportos e em táxis, membros da alta direção falando em seus celulares, em alto e bom tom, sobre informações que deveriam estar apenas restritas ao âmbito da organização.

Já soube, inclusive, de um caso em que um gerente falava ao celular sobre informações confidenciais enquanto esperava o seu avião chegar. Sentado ao seu lado, sem que ele se desse conta ou soubesse, estava o seu concorrente, prestando atenção em tudo! Há ainda o caso do gerente que soube que ia ser demitido naquele mesmo dia, através do motorista de táxi que ficava no ponto em frente à sua empresa.

Você nunca tinha pensando nisso, não? Nem eu. Parece paranoia, coisa de filmes de espionagem ou ficção científica, mas hoje em dia, em mercados cada vez mais globalizados e competitivos, é bom rever seus conceitos e estar preparado para lidar com essas ameaças.

Mas, como lidar então com tudo isso, de uma forma mais organizada e estruturada? Que pontos devemos realmente focar nossa atenção?

Para saber mais, não perca o próximo artigo, no qual será tratada a norma NBR ISO/IEC 27002, Código de Prática para a Gestão da Segurança da Informação.