Segurança da Informação

Ξ Deixe um comentário

Segurança em TI – a consciência tem que estar acima da tecnologia – Parte 1

publicado por Uilson Souza

Saudações,

Tenho visto diversos posts, artigos e métodos que nos chamam a atenção para a questão da segurança em TI.

Nos últimos anos estou tendo o privilégio de lidar com profissionais do mais alto calibre que são experts nesse tema e muito tenho aprendido com eles.

Mas, por incrível que pareça, antes da questão da segurança em TI propriamente dita, temos que nos atentar para o que cada um de nós, profissionais de TI, estamos fazendo para conscientizar nossos usuários finais, nossos cliente e acima de tudo, a nós mesmos, sobre a importância desse tema e as conseqüências em não implementá-lo da melhor forma possível.

A segurança no trabalho, na escola, no trânsito, em casa e em TI, tem de ser levada em consideração primeiramente em nossa consciência, pois, somente a partir dela que o resto vem a tona e as coisas acontecem.

Quando não se leva o tema a sério, as coisas também acontecem, mas, da forma que jamais gostaríamos que acontecessem e aí fica complicado de se recuperar um ambiente, um prejuízo e até mesmo…uma vida.

A falta de segurança é notória nas ruas e mesmo com os altos impostos pagos somos vitimas da negligência de nossos líderes e os resultados na maioria das vezes trazem conseqüências desastrosas e irreparáveis.

Este que vos escreve, por diversas vezes foi vitima dessa negligência e creio que muitos que lêem este artigo também foram.

Nas escolas, podemos citar o caso trágico de Realengo onde uma mãe foi impedida de levar um lanche a sua filha, mas, um lunático armado pode, por várias vezes, adentrar ao local, estudar o dia a dia do estabelecimento e promover uma das maiores barbáries da história deste país.

Gostaria de dividir o tema em duas partes, sendo a primeira neste artigo e a segunda em outro que iremos publicar posteriormente.

A primeira parte trata da consciência que a própria área de TI deve ter com relação ao tema.

Em um belo dia, precisei efetuar uma migração em uma infra estrutura de proxies e o trabalho estava muito complicado com diversos erros e algo que levaria 2 horas no máximo, foi concluído em mais de 4.

O motivo? Alguém acessou os servidores e mexeu em tudo o que pôde mexer. Alterou configurações importantes e promoveu uma verdadeira tragédia na estrutura e aí, este que vos escreve, primeiro teve que limpar a sujeira, para depois fazer o que tinha que ser
feito.

A forma como essa infra estrutura estava bagunçada poderia causar a parada do acesso internet do cliente, afetando diversas áreas, diversos serviços que dependem desta infra e fatalmente implicaria em uma multa contratual por quebra de SLA (Service Level Agreement).

Minha empresa, ao invés de me pagar por duas horas extras, acabou me pagando por 4 horas.

Ótimo par ao meu bolso, péssimo para a imagem da empresa junto ao cliente, péssimo para a visão que o cliente poderia ter acerca da preocupação com a segurança que não foi mostrada neste caso.

A consciência da segurança em TI nesta prestação de serviço passa longe daquilo que pregamos e tentamos oferecer aos nossos clientes.

Consegui evitar que este problema causasse a parada no serviço e também conseguimos evitar que chegasse até o conhecimento de nosso cliente, mas, não consegui saber  quem fez essa “obra de arte”.

Sabem porque? Tudo isso se deve ao fato da equipe operacional usar um usuário genérico para acesso a estes servidores. Dessa forma, nunca iremos saber quem quase destruiu um projeto que me custou horas de planejamento, implementação e documentação.

A única coisa que pude fazer foi passar um email para a gerência explicando o caso e pedindo que fizessem a equipe entender a criticidade e importância deste ambiente.

Sugeri que fossem criados usuários individuais com direitos pré definidos para que somente as pessoas certas pudessem acessar o ambiente.

Pois bem, o caso ocorreu a mais de um mês atrás e até agora, nada foi feito. Talvez tomem providências quando algo muito complicado acontecer e cause problemas muito além do âmbito técnico.

Fica aqui a dica deste primeiro cenário:

  1. Servidores críticos não devem ser acessados facilmente por qualquer um
  2. Usuários genéricos jamais devem ser usados, pois, em casos como este poderemos identificar o autor da “obra de arte” e orientá-lo a fazer as coisas da forma correta, ou até impedir que ele volte a acessar o que não é de sua alçada.
  3. Crie contas individuais para cada analista da sua equipe e defina o papel de cada conta dentro dos mais variados ambientes de seu parque tecnológico. Faça com que somente as pessoas certas acessem o que precisem acessar…e não o que
    querem.
  4. Tenha uma vasta documentação do seu ambiente, pois, na pior das hipóteses você precisará destes documentos para fazer com que seu ambiente volte a operação da forma que era.
  5. Existe a extrema necessidade de fazer o profissional entender a importância de cada ambiente que administra. Dessa forma ele irá assimilar o porque dos diversos procedimentos de segurança tanto tecnológicos quanto administrativos que tendem a evitar dores de cabeça e até corte dessas cabeças.
  6.  Por último, porém, não menos importante. Faça o profissional ler e assinar um termos em que compromente a zelar pela
    segurança de tudo o que estiver acessando…esse é o primeiro passo antes de dar acesso a ele aos ambientes.

Uma situação que parece simples, mas, se não levada da forma correta, pode causar muitos problemas.

Outra ponto a tratar é a conscientização de nossos clientes sobre a extrema necessidade de se investir em segurança, mas, este é tema para a parte 2 deste artigo.

Abraços

Uilson

Autor

Formado em Tecnologia em Processamento de Dados pela UNIBAN. Analista de Projetos de TI, atua no design, planejamento e implementação de projetos de tecnologias Microsoft, tais como ISA Server, Forefront TMG, servidores Windows, Windows Clustering e Hyper-V. Também trabalhou como IT Specialist na IBM e como Consultor de TI em empresas como Alcoa, Credicard, Bradesco Seguros, Unilever, Caterpillar e Banco Merril Lynch. Profissional certificado como MCTS em ISA Server, participa do grupo MTAC (Microsoft Technical Audience Contributor), publica artigos técnicos em seu blog no endereço http://uilson76.wordpress.com e também no portal TechNet Wiki (http://social.technet.microsoft.com/wiki) Linkedin: http://www.linkedin.com/in/uilsonsouza Twitter - http://twitter.com/usouzajr

Uilson Souza

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes