A segurança da informação tem sido um tema amplamente debatido nos últimos anos, senão décadas. A partir da segunda metade do século passado, os modelos de negócios e o próprio estilo de vida das pessoas tornou-se cada vez mais dependente de equipamentos eletrônicos e da informação digital.
Praticamente tudo o que fazemos hoje deixa um rastro de bits e bytes que pode ser usado de forma positiva ou negativa. Para as empresas, esses dados tornam-se um ativo fundamental e perdê-los pode resultar até no encerramento de suas atividades.
Naturalmente, isso gera a preocupação em garantir a segurança dessas informações, seja para proteção dos negócios ou das pessoas. Filmes e noticiários colocam muita ênfase na proteção lógica dos dados, mostrando com frequência hackers em uma luta glamurosa entre o bem e o mal. Nas empresas, termos como BCP (Business Continuity Plan) e DR (Disaster Recovery) são discutidos.
Mas, aqui cabe um alerta! No dia a dia dos negócios, tão importante quanto a proteção lógica é a proteção física, e esse tema nem sempre recebe a devida importância.
O que é necessário para garantir a segurança física da informação?
A segurança física da informação visa garantir a operação sem interrupções, o controle de acesso e a resiliência do ambiente. A infraestrutura digital deve responder de forma adequada e proteger os dados baseada nesses princípios:
– Segurança ambiental: orientada a proteger equipamentos de incidentes naturais, como enchentes, tempestades, tremores de terra; ou mesmo humanos, como greves, acidentes rodoviários, ou qualquer tipo de impacto que possibilite interrupção de serviços por perda da capacidade de operação da infraestrutura ou de acesso dos operadores, incluindo até mesmo a duplicidade de instalações, se necessário.
– Segurança de disponibilidade: relacionado a garantir meios redundantes de alimentação de energia, refrigeração de equipamentos, proteções contra incêndios, redundância de enlaces de transmissão de dados, incluindo infraestrutura de TI, como a redundância de componentes como storages, switchs, balanceadores, servidores, etc.
– Segurança física do perímetro: para garantir que apenas as equipes autorizadas tenham acesso a equipamentos e facilidades da infraestrutura.
O assunto parece simples e óbvio, mas não é. Existem diversas e diferentes certificações no mercado para alinhar e garantir as melhores práticas de segurança da infraestrutura. Algumas, inclusive, especializadas por setores de negócios.
Apenas falando em segurança de perímetro, por exemplo, podemos abrir o tema em diferentes subitens e processos:
– Gestão de requisição de acessos: com processos definidos e sistema de gestão e armazenamento do histórico de requisições, visa garantir que todos que tenham autorização para acessar a infraestrutura sejam validados e aprovados em seus motivos e capacidades.
– Autorização de entrada: esse é o controle básico de acesso na portaria, mas depende de que o passo anterior seja bem executado para saber quem deve ser autorizado. Demanda pulso firme para validar as informações e executar de forma correta a autorização de entrada.
– Recepção e encaminhamento: principalmente em infraestruturas mais complexas, como grandes data centers, nessa etapa, o visitante é recebido já dentro das instalações e levado até o ponto onde deve acessar ou trabalhar. Essa etapa evita que uma pessoa autorizada a executar um determinado serviço consiga acessar o ambiente todo e gerar incidentes em outros locais dentro das instalações.
– Controle e monitoramento do acesso: sensores biométricos, portas inteligentes com identificação de volume e peso de entrada e saída, câmeras e equipes de segurança devem ser usadas para evitar que alguém, por má intenção ou erro humano, retire ou coloque equipamentos na infraestrutura sem o devido controle.
– Controle de ciclo de vida dos equipamentos de TI: analisar o consumo esperado de energia desde a solicitação da entrada, utilizar tecnologias e automações de IOT, como RFID, para controlar a posição do equipamento dentro do data center, registrando e monitorando desde a entrada, o deploy, a utilização em operação e, posteriormente, todo o processo de desativação, com cleanup dos dados e destruição dos equipamentos de forma certificada e com menos impacto ambiental.
Quanto e como investir na segurança física da infraestrutura digital?
Uma infraestrutura digital segura pode demandar grandes volumes de investimentos. Podemos dizer que o céu é o limite, mas nunca será possível criar um ambiente imune a falhas.
O investimento em segurança física, então, será inversamente proporcional à dependência do negócio aos dados. Perder as fotos da última viagem pode deixar alguém muito triste, mas não vai tirar o almoço da mesa. Por outro lado, perder informação de clientes e faturamento pode representar o fechamento de um negócio. Um escritório de advocacia ficar sem acesso à internet por algumas horas pode dar muita dor de cabeça, mas um comércio eletrônico ficar fora do ar por alguns minutos tem impactos financeiros imediatos.
Dessa forma, o valor investido em segurança física e redundâncias da infraestrutura digital é normalmente diretamente proporcional aos volumes financeiros que transitam pelo negócio e inversamente proporcional ao tempo de recuperação aceitável.
Ou seja, quanto maior o volume de dinheiro operado, maior a preocupação com infraestrutura, vide o segmento financeiro. E quanto menos tempo o negócio aceita ficar inoperante, maior a preocupação com segurança, como vimos no exemplo do comércio eletrônico.
O custo, no entanto, não é o único impactante em uma infraestrutura segura. Tempo e experiência também contam. Construir paredes, estruturas de energia e ar-condicionado levam tempo. Definir processos e sistemas de controle demandam uma curva de aprendizagem.
Esse tempo pode ser difícil mensurar diretamente como o custo, mas pode ser monetizado como perda de oportunidades de negócios pelo atraso de entrada no mercado ou mesmo pelo tempo de exposição a riscos de negócios já existentes.
Um bom caminho para encurtar esses tempos ou adequar o cenário de caixa para os investimentos necessários em infraestrutura digital é contratar a infraestrutura como serviço de um fornecedor confiável de nuvens ou data center.
Esses fornecedores têm instalações e processos já em operação, certificações que atestam suas qualificações e um histórico de clientes e incidentes que permitiram validar e aprimorar os controles e redundâncias necessários para manter operações em níveis de confiabilidade que seriam inviáveis para outros empreendimentos.
Se a sua equipe de TI ainda se preocupa em saber se o gerador vai suportar a carga em uma falha de energia ou se a mídia LTO (Linear Tape-Open) ainda estará legível para recuperar o backup, talvez seja o momento de conhecer melhor os processos e funcionamento de um data center profissional para ajudá-lo a garantir a segurança de seu negócio. A Cirion tem as melhores estruturas de data center e rígidos protocolos de segurança, validados por uma série de certificações, sem contar com uma equipe altamente capacitada para apoiar a sua empresa no dia a dia.
Autor:
Heubert River
Head de Operações de Data Center, Cloud & Security,
Cirion Brasil
Possui mais de 20 anos de experiencia em posições de liderança em operações de data center com ambientes críticos e de altíssima capacidade e performance. É o responsável pela operação de Data Center da Cirion no Brasil desde 2013. MBA em governança de TI pela USP/IPT, possui diversas certificações técnicas e de metodologias além de vasta experiência internacional tendo liderado operações em mais de 10 países na América Latina, EUA e Inglaterra.