Segurança e armazenamento no topo das preocupações das empresas

Dois dos temas na ordem do dia nas TI são a segurança e o armazenamento. Muitas dezenas de especialistas nacionais procuram soluções para as suas preocupações no 4.o Encontro de Segurança de Sistemas de Informação.

Pedro Cerdeira, consultor, esteve presente no Congresso de Storage do IFE, para falar sobre as características, as arquitecturas e as tendências do mercado de storage.


 


Pedro Cerdeira explicou porque é relevante falar em storage. O storage permite gerir informação, proteger a informação e rentabilizar a infra-estrutura com vista a criar maiores vantagens competitivas, conhecer melhor os clientes, sustentar decisões, melhorar os processos internos e permitir menores custos de operação. Em suma, para melhorar o negócio.


 


Presente no 4.o Encontro de Segurança de Sistemas de Informação, organizado pelo IFE, explicou porque se deve implementar uma networked storage.


 


Em primeiro lugar devido a uma maior flexibilidade de acesso aos dados, na escalabilidade de aplicações e plataforma. Depois porque aumenta os níveis de serviços (disponibilidade de dados e aplicações, desempenho e performance e segurança.


 


A networked storage permite igualmente uma gestão eficaz, nomeadamente ao nível da consolidação dos servidores e de storage e da gestão centralizada.


 


Finalmente, “porque as empresas ganham tempo e foco no seu core business e porque, se poupa dinheiro”, disse o consultor. Uma networked storage permite também uma redução dos custos de infra-estrutura por melhor utilização da capacidade instalada.


 


Além disso, e ainda em termos de retorno do investimento, permite uma “geração de receita adicional por redução da paragem de aplicações e perda de informação, reduzindo ainda os custos com recursos humanos por melhor gestão.


 


Por seu lado, Luís Filipe Santos, da Computer Associates (CA), foi convidado a explicar se a segurança é um custo ou um investimento. Para o especialista não só é um investimento, como é um investimento rentável.


 


A segurança está relacionada com três questões indissociáveis: as pessoas, os serviços e a infra-estrutura transaccional.


 


No que diz respeito aos utilizadores é necessário gerir identidades, gerir acessos e ter a preocupação com a escalabilidade.


 


Ao nível dos serviços é necessário garantir a integridade da informação, dos acessos, garantindo em simultâneo a disponibilidade.


 


E finalmente, ao nível da infra-estrutura transaccional é importante que seja resistente às ameaças, permita a detecção de intrusão e possua uma plataforma de gestão comum.


 


O especialista sublinhou que existem actualmente novos paradigmas na segurança. Em primeiro lugar, actualmente a segurança não se trata apenas de bloquear o acesso a determinado site, é um elemento potenciador do negócio.


 


Assistisse igualmente a uma mudança cultural, porque a segurança de uma organização terá de passar a ser responsabilidade de todos.


 


Luís Filipe Santos explicou ainda que a “existência de várias ferramentas de análise complexas obriga a colocar novos desafios à gestão da segurança”.


 


Finalmente, em termos de mudança de paradigmas, referiu que a quantidade de point solutions nem sempre aumenta a segurança.


 


O desafio para os utilizadores passa por saber “quem são os utilizadores devidos, como os identifico, como posso gerir os utilizadores externos garantindo-lhes os acessos apropriados e como é que o consigo com a celeridade compatível com o meu negócio e ao custo mais baixo”, explicou Filipe Santos.


 


Relativamente aos serviços a CA apresentou as soluções que permitem proactivamente proteger os “assets” do negócio, estar de acordo com as regras de auditoria e com entidades reguladoras, garantir a disponibilidade da infra-estrutura, proteger contra ameaças internas e externas, responder de forma automática a ataques e ter forma de auditar permanentemente as potenciais vulnerabilidades.


 


Acima de tudo, Filipe Santos relembrou que deve existir uma convergência entre a segurança lógica e a segurança física. Para melhor implementar uma estratégia de segurança, Luís Filipe Santos sugeriu a “definição de uma estratégia de segurança orientada para as preocupações do negócio e a escolha de um parceiro/ service provider que efectue um estudo de ROI específico à organização”, concluiu.


 


Uma arquitectura de segurança deve ser composta por mais que tecnologia. Hugo Carvalho, responsável de informática do Sindicato Nacional dos Quadros e Técnicos Bancários, e Pedro Tavares Silva, security manager da Axa Portugal, apresentaram uma das formas possíveis de encarar uma arquitectura de segurança.


 


De acordo com estes especialistas, devem existir vários níveis na composição de uma estratégia de segurança: objectivos de alto nível, modelo organizacional, definição de níveis de confiança, catálogo de serviços, descrição do domínio, estrutura hierárquica da política de segurança.


 


Para exemplificar, um caso de segurança, Hugo Carvalho e Pedro Tavares Silva apresentaram um caso prático de uma empresa de brinquedos, líder de mercado, com um escritório central, fábricas e armazém.


 


Começaram por definir a arquitectura de segurança ao nível das tecnologias, do ambiente/contexto, da actividade, da organização, dos bens, das imposições legais e regulamentares e objectivos estratégicos da empresa.


 


Tendo em conta os objectivos de negócio, foram descritos os objectivos de segurança decorrentes.
Assim, a empresa pretende liderar o mercado e, entre 2003 e 2005 diversificar canais de distribuição, aumentar a facturação e reduzir custos.


 


Em termos de segurança, a empresa pretendia reduzir as perdas de confidencialidade, integridade e disponibilidade nos sistemas de informação para um nível aceitável, assegurar que a introdução de novos canais de distribuição não diminui o nível de segurança dos sistemas de informação, minorar o impacto das medidas de segurança sobre os processos e reduzir os custos de gestão das medidas de segurança.


 


Ao nível da organização, delinearam claramente as funções e responsabilidades relacionadas com a segurança e no que diz respeito aos níveis de confiança foram criados diferentes níveis para as pessoas, sistemas e ligações.


 


No caso das pessoas, foram escolhidos cinco níveis – privilegiado, interno, reservado, restrito e público -, consoante o tipo de pessoas desde os administradores dos sistemas de informação, passando pelos colaboradores, pessoal temporário, parceiros/fornecedores até ao cliente/público em geral.


 


No que diz respeito à listagem de serviços de segurança estratégicos e operacionais disponíveis, a empresa de brinquedos utilizou entre outros serviços anti-vírus, filtragem de conteúdos, controlo de acesso aplicacional, controlo de acesso de rede, comunicações seguras, entre outros.


 


Finalmente ao nível dos domínios a empresa foi decomposta em domínios com necessidades semelhantes de segurança (privado, geral, público) e ao nível dos documentos de segurança foram estruturados do nível estratégico ao operacional.


 


Tendo em conta este panorama, a empresa pretendia que os pequenos lojistas realizassem encomendas electrónicas via Internet.


 


Em termos de segurança, pretendiam “assegurar que a introdução de novos canais de distribuição não diminuiria o nível de segurança dos sistemas de informação”.


 


Assim, procedeu-se à identificação do proprietário da informação, à aprovação pelo responsável de segurança e à integração do novo processo nos macro-processos de segurança já existentes.


 


Foi definido que os lojistas, na condição de clientes, têm apenas acesso à informação do nível público e que uma vez registados poderão aceder a informação de nível restrito.


 


Ao nível dos serviços verificou-se ser necessário o controlo de acessos, cópias de segurança, entre outros. Finalmente foi criado um domínio novo (lojistas) com requisitos de segurança específicos e criada documentação com normas que especificam as ligações directas autorizadas.


 


Depois de explicar, em termos tecnológicos, como é que a solução foi implementada, os dois especialistas concluíram que “a arquitectura de segurança não implica revolução, mas que garante a evolução sustentada; que deve ser o ponto de partida para a concepção e implementação de processos e serviços; que deve ser implementável e suficientemente segura para o ambiente; que promove a consistência da segurança e que reduz o impacto negativo das soluções ad hoc e dos seus custos”.


 


Em suma, a arquitectura de segurança é um enabler que vai introduzir uma forma diferente de fazer o que já se fazia antes, podendo também servir de ponto de partida para instalar um sistema de segurança da empresa (mesmo ao nível físico).


 




Deixe um comentário

O seu email não será publicado