Segurança da Informação


Murphy no país das maravilhas.

Que nossa percepção da realidade é limitada, isso já não tenho mais dúvidas. Mas surpreendente mesmo, é a nossa capacidade de enxerga-la sob a lente distorcida dos nossos desejos. Pense: todos os dias acordamos sem nos darmos conta que este dia, poderia ser o último de nossas vidas (oohh!). É claro que ninguém gosta dessa idéia. Quem suportaria ter que conviver com a maldição de saber, sem poder mudar seu fatídico destino, o dia e a hora de sua morte?

Assim, em prol de uma vida mais saudável, criamos, como mecanismos inconscientes de defesa, a idéia de que nada de mal jamais poderia nos acontecer e, desta forma, tocamos nossas vidas em frente:

Nada, absolutamente nada vai dar errado!

“O acaso vai me proteger enquanto eu andar distraído ” 1.

Criamos o otimismo, este lenitivo que usamos diariamente, como forma de auxílio para superar as vicissitudes que a vida usa para nos forjar homens e mulheres mais fortes. Como forma de ampliar essa idéia e personificar este sentimento, muitos são pragmáticos e não hesitam em evocar a Deus à resolver para eles seus problemas pessoais:

“Deus, por favor, me ajude!”

Finalmente, há sempre a opção de largar o leme do barco e simplesmente deixar as coisas se resolverem por si mesmo:

“Deixo a vida me levar, vida leva eu” 2.

Em um mundo recheado de problemas, tendemos à diluir a realidade com doses generosas de nossos íntimos desejos otimistas. Em meio ao vácuo que existe entre a realidade concreta e o país das maravilhas que é a realidade imaginada, eis que surge, como um profeta do pessimismo: Murphy, esse monstro ignóbil da racionalidade, alardeando e assuntando as pobres criaturas humanas com suas leis:

"Se alguma coisa pode dar errado ...dará" 3.

Como ele nos adverte e, principalmente, após o que aconteceu nos Estados Unidos há alguns anos, podemos constatar que GRANDES PROBLEMAS podem ser causados pelo desprezo ou esquecimento do que por vezes chamamos de pequenos detalhes.

1 Titãs, Epitáfio, composição: João Ubaldo Viera
2 Zeca Pagodinho, Deixa a Vida me Levar, Composição: Serginho Meriti
3 Lei de Murphy

No caso específico do 11 de Setembro, com uso de pequenos estiletes não detectados pelos sistemas de segurança nos aeroportos americanos, homens conseguiram seqüestrar aviões e causar uma das maiores catástrofes de nossa história. A falha de pequenas peças, ainda hoje, derrubam foguetes espaciais; e pedaços de ferro na pista de decolagem de um concorde já causaram a morte de mais de 100 pessoas.

Infelizmente coisas ruins acontecem ...

Chamo a atenção para os fatos acima por uma simples questão: a vida continua! Para que os negócios das empresas também continuem é preciso que se mude a mentalidade dos executivos que ainda insistem em deixar de lado, ou, para última hora, a questão da continuidade de negócios só por acharem que nada de mal poderia acontecer.

Para complicar, existe uma confusão conceitual grande em torno do tema: a semântica da língua portuguesa nos leva a confundir contingência, recuperação de desastres e continuidade de negócios.

Embora similares, cada conceito encerra uma idéia distinta. Vejamos:

Plano de Continuidade de Negócios O Plano de Continuidade de Negócios tem o foco na manutenção das funções críticas do negócio de uma organização durante e após a ocorrência de um sinistro. Geralmente contém o plano de recuperação de desastres e o plano de contingência TI Foco em processos de negócio: questões relacionadas aos ativos de TI somente abordadas no que se relaciona a sua importância para os processos críticos de negócio
Plano de Recuperação de Desastres Fornece procedimentos detalhados para a recuperação das facilidades de TI em sites alternativos em caso de desastres Foco em ativos de TI e sinistros com efeitos de longo prazo
Plano de Contingência Fornece procedimentos e capacidades necessárias para a recuperação de uma aplicação específica ou sistemas complexos Foco em interrupções nos sistemas de TI com efeitos de curto prazo

Para resolver o problema é preciso que, primeiro, haja patrocínio e interesse genuíno (além das aparências) da alta gerência da sua companhia em tratar o problema.

Criar e manter um plano de continuidade de negócios ajudará a entender o quanto cada processo de negócio pode ficar inoperante sem afetar de forma crítica a sobrevivência da empresa.

Por outro lado, nem todas as companhias irão chegar ao nível de excelência que é tratar a continuidade DO NEGÓCIO. Assim, em nível mínimo, deve-se pelo menos, pensar em tratar o que diz respeito aos sistemas de informação, focando a recuperação de ativos (hardware, software) que suportem os sistemas de informação críticos para a operação da empresa. Os contratos de prestação de serviços, como nos casos de outsourcing, devem tratar as expectativas de forma clara.

Deve haver também RESPONSABILIDADE na atualização constante desses planos e recursos disponíveis para que tudo funcione à contento. Regularmente, os procedimentos descritos neste plano deverão ser testados, através de simulação e os resultados, analisados criticamente, como meio de melhorar continuamente este documento.

Existem na internet milhares de modelos para construção desses planos. Eu sugiro uma visita ao site do NIST

É triste lembrar que grande parte das grandes e médias empresas fechariam definitivamente suas portas no caso da ocorrência de um sinistro. Anos de trabalho, muito dinheiro, e acima de tudo, empregos podem ser perdidos, alterando de forma dolorosa a vida das pessoas que dele dependem para sua sobrevivência.

Carlos Santanna - Security OfficerCarlos Santanna trabalha como Security Officer de uma multinacional.
carlos.santanna@internativa.com.br