Início > GRC, Negócios, Segurança da Informação, Tecnologia > Gestão de incidentes, integração e o ‘Risco Apagão’

Gestão de incidentes, integração e o ‘Risco Apagão’

Introdução

Após muita especulação sobre o apagão, a única certeza que temos é que existe risco de novo apagão no futuro.

Gerenciar incidentes significa, contornar a situação (reduzindo ou eliminando o impacto), notificar as partes interessadas e determinar a sua causa. Em parte, é como realizar uma autópsia. Um dos objetivos é descobrir a causa do incidente para evitar que ele aconteça novamente. E assim como uma autópsia, dependendo do incidente, uma perícia, ou investigação, pode ser necessária para identificar o responsável pelo evento. Seja como for, o ideal é saber a causa e, se for o caso, gerar uma recomendação para que não se repita.

Há uma reportagem bem interessante, no site da Folha Online, que explica o sistema elétrico brasileiro e o impacto da falta de energia elétrica no país. Há também uma matéria, do G1, que tenta entender o que o investidor estrangeiro pode estar achando desse incidente. Há uma preocupação com os investimentos, assim como questionei no meu post sobre a matéria da revista inglesa The Economist.

Vamos ao que interessa

Em entrevista recente ao G1, Raphael Mandarino Jr., diretor-geral do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional (GSI) da Presidência da República, nos presenteou com as seguintes frases:

“Nosso atraso tecnológico ajuda. Nossos sistemas de estrutura não estão interligados. Ficam fora da internet”, diz Mandarino. “Um hacker habilidoso pode entrar no local e fazer alguma coisa, mas pela internet acho muito improvável.” Ele disse ainda: “Não temos nenhuma notícia de um ataque mais sério além da pichação (alteração de página por criminosos) no site do ONS (Operador Nacional do Sistema Elétrico), que remete a uma fragilidade da rede a que o gestor não estava atento”. Quanto à pichação do site do ONS, Mandarino disse ainda: “A maioria dessas pichações são vulnerabilidades cujas correções são conhecidas, mas não foram aplicadas. É desagradável para a imagem do órgão invadido. Mostra uma fragilidade do gestor daquela rede”.

Concordo que a rede operacional deve estar completamente isolada da Internet. A RSFN (Rede do Sistema Financeiro Nacional) possui um domínio público mas conta com uma série de controles que restringem quem pode se conectar. Apesar do isolamento deve haver canais de comunicação internos, privados e seguros, para permitir o gerenciamento e monitoração dos sistemas. Afinal, se ataques às redes operacionais das instituições não fossem possíveis ou se elas fossem todas completamente isoladas, guerras cibernéticas ainda seriam ficção.

Depois de ler essa entrevista e sabendo que 1.195 sites do governo foram invadidos neste ano, fiquei com a seguinte sensação (torço para estar errado):

Conclusão

Estamos entre a cruz e a espada. Se os sistemas de tecnologia da informação não estão interligados, o gerenciamento e a monitoração se tornam mais difíceis. Se os sistemas estão interligados, corremos o risco de invasão por falta de gestão adequada de Segurança da Informação. O mesmo ocorre com o sistema elétrico: o sistema, que atualmente está interligado, falhou e derrubou o fornecimento de energia em 10 estados brasileiros.

Podemos dizer que a mesma integração que acelera processos e reduz custos também pode trazer prejuízos e acelerar os ataques e vazamentos de informação, por exemplo. É justamente aí que entra a (in)Segurança da Informação. Fazendo uma analogia, seria o mesmo que uma organização utilizar um único login e senha para um usuário acessar seu e-mail, a rede corporativa, a intranet, faça acesso remoto, etc. Parece ótimo. No entanto, se este usuário utilizar uma senha fraca ou de fácil dedução, um hacker ou usuário mal intencionado poderá ter acesso a todas essas informações após descobrir uma única senha. Em outro exemplo, é muito mais fácil roubar terabytes de informação de uma biblioteca virtual do que tentar sair pela porta da frente com toneladas de livros.

Para finalizar: a minha maior preocupação é estarmos no meio da reta acima. O meio me parece uma área de interseção, onde há uma integração meia boca junto com uma segurança inadequada. Esse é o pior dos dois mundos.

Anúncios
  1. 2 . dezembro . 2009 às 9:39 AM

    É, meu amigo, estamos entre a cruz e a espada. A mesma tecnologia que nos ajuda ajuda também nossos algozes. Avançamos em um lado e retrocedemos em outro. A possibilidade de crimes na Internet são ilimitadas e isso é assustador.

    É por causa de artigos importantes como esse que eu acho importante divulgar seu blog. Não apenas incluí seu link no Blog do Rodrigo Guedes ( http://rodrigoguedes.wordpress.com/ ) como também postei uma recomendação no Twitter ( @Rodrigo_Guedes ). Mais uma vez você está de parabéns! Abraço.

  1. 18 . dezembro . 2009 às 3:47 AM

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: