Nem todas as ameaças hackers unidas são tão perigosas e ameaçadoras perto da fúria da “Mãe Natureza”. Como os eventos climáticos têm se tornado um fator crítico para a sobrevivência dos negócios nas organizações.
Nestes últimos anos acompanhamos inúmeras ocorrências causadas por eventos naturais que têm cada vez mais levado caos às cidades tanto no Brasil quanto ao redor do mundo, causando enormes prejuízos materiais e em muitos casos, perdas com valor imensurável como a vida. E em meio a todo este caos, muitas empresas também estão sentindo diretamente as consequências destes eventos, que acabam se agravando conforme percebemos a falta de investimentos preventivos por parte do governo e da falta de preparo interno das empresas em sua infraestrutura como também na capacitação de suas equipes de colaboradores.
Leio muitos artigos e participo de eventos de Segurança da Informação que tratam desde assuntos puramente técnicos como invasão de redes, disseminação de malwares, vulnerabilidades de sistemas e ataques hackers como também questões relacionadas a fatores humanos como fraudes, roubo de ativos, erros operacionais, treinamentos e conscientização. Porém poucas vezes li, assisti ou debati com colegas da área questões relacionadas às ameaças climáticas e como elas podem afetar os negócios de uma empresa de forma equivalente ou muitas vezes até mais prejudicial do que as consequências de uma falha técnica ou humana.
Notem que estou pontuando especificamente neste artigo o termo ‘ameaças climáticas’ e não ‘ameaças ambientais’, pois a questão relacionada aos riscos provenientes do ambiente são mais abrangentes e já são tratadas e debatidas nas avaliações de riscos com base em normas como ‘ABNT NBR ISO/IEC 27002 – Código de Prática para a Gestão da Segurança da Informação’ que cita em sua versão de 2013, um pequeno trecho sobre esta questão na seção ‘1.Segurança física e do ambiente’ – 11.1.4.Proteção contra ameaças externas e do meio ambiente’, dividindo as ameaças entre naturais ou perturbações causadas pelo homem. Vamos ver um trecho deste controle da ISO 27002:
Controle: Convém que seja projetada e aplicada proteção física contra desastres naturais, ataques maliciosos ou acidentes.
Diretrizes para implementação: Convém que orientações de especialistas sejam obtidas sobre como evitar danos oriundos de fogo, inundação, terremoto, explosão, manifestações civis e outras formas de desastre natural ou provocado pela natureza;
Percebam que a norma nos dá informações gerais do que devemos nos proteger, mas sem detalhar como isso pode ser feito e sem explicar em detalhes como estes eventos podem afetar a segurança das informações de uma organização. Às vezes vejo profissionais ignorando fatores tão comuns e rotineiros como enchentes em São Paulo, por entenderem que a sua empresa não está diretamente exposta a este tipo de evento, porém se esquecem de fatores indiretos que podem interferir na continuidade dos negócios do mesmo jeito.
O prédio pode estar localizado em um local alto, como por exemplo, a Avenida Paulista. Neste caso a empresa realmente não está sujeita a sofrer com alagamentos provenientes de uma enxurrada de água e lama, porém indiretamente ela é sim afetada por tal evento. Vamos imaginar um cenário típico da São Paulo: Uma enchente alaga as principais vias de tráfego como as marginais, paralisa a operação das linhas de trens e reduz a velocidade do metrô, causando enormes engarrafamentos com carros, ônibus e caminhões. Com isso os principais funcionários da empresa não conseguem se locomover a até prédio da Avenida Paulista, paralisando a operação de diversos departamentos estratégicos e consequentemente causando perda de negócios.
Do que adiantou ter toda a redundância na infraestrutura de TI com no-breaks, geradores, servidores espelhados e links redundantes se não há pessoas que possam estar ali operando os sistemas suportados por este incrível ambiente? Não que todo este investimento não seja importante, muito pelo contrário, são fundamentais, pois na verdade também de nada adianta ter a melhor equipe reunida no prédio se elas não tiverem disponibilidade de ferramentas para realizarem suas tarefas. Hoje em quase toda organização, os sistemas computadorizados são as ferramentas essenciais do negócio e dependem de uma infraestrutura de rede para comunicação clientes e fornecedores.
Para validar a importância deste ponto de vista, basta entender que um evento climático pode gerar consequências catastróficas ao ponto de causar problemas que afetem tanto a parte técnica, quanto humana e ambiental. Uma forte tempestade pode causar panes elétricas danificando todo um conjunto de equipamentos, além de causar transtornos como as enchentes, inviabilizando a chegada dos funcionários necessários para a continuidade das atividades de uma organização ou ainda gerando grandes estragos no ambiente físico de uma empresa, seja com alagamentos que danifiquem os ativos ou desmoronamentos que abalem a estrutura do prédio, quando este estiver em local suscetível a este tipo de ocorrência.
Como não podemos evitar estes eventos climáticos e na maioria dos casos não podemos contar com a prevenção por parte dos órgãos públicos responsáveis pela limpeza de rios e córregos, recuperação de encostas, podas de árvores entre muitas outras tarefas que reduziriam os impactos destes eventos, nós como profissionais da área de segurança devemos mapear através da análise de riscos todas as ameaças que a organização está exposta direta e indiretamente e que possam ocorrer por uma questão técnica, humana ou ambiental.
Algumas empresas que eu visitei em meus trabalhos apresentavam o seu Plano de Continuidade de Negócio que entre uma série de procedimentos técnicos para manter a disponibilidade de suas principais atividades, continha um procedimento exclusivo para aplicar em situações em que a locomoção de determinados profissionais estivesse comprometida por uma enchente, uma greve ou mesmo alguma outra catástrofe que afetasse a região em torno da empresa. O documento descrevia passo a passo o que um determinado profissional deveria fazer, com quem se comunicar e para onde se dirigir, dentro de um determinado intervalo de tempo. Isso só foi possível porque a organização avaliou os riscos aos quais ela estava exposta e viu muito além de vulnerabilidades técnicas ou falhas humanas.
Para termos uma ideia dos impactos que um temporal pode causar, confira estes números de um levantamento realizado pela Federação das Indústrias do Estado do Rio de Janeiro – FIERJ nas empresas da região Serrana após a catástrofe causada pelas fortes chuvas em Janeiro de 2011:
Das 278 empresas, 172 sofreram algum impacto pelas chuvas:
- Entre os principais problemas, as empresas destacaram:
- 83,2% sem energia elétrica;
- 73,4% sem linhas telefônicas;
- 67,6% redução da jornada de trabalho;
- 2% enfrentaram alagamentos em torno;
- 21,4% enfrentaram alagamentos internos.
Entre as principais consequências, as empresas informaram que:
- 92,3% registraram ausências de funcionários da produção;
- 41,9% registraram ausências de funcionários da administração;
- 70,3% tiveram estoques afetados pelos alagamentos.
Além disso, a estimativa média de retorno às atividades era de 27 dias. Imaginem ficar quase 1 mês sem poder trabalhar normalmente e neste caso com o agravante do trauma causado por tal evento, pois aproximadamente 1.500 pessoas perderam suas vidas (entre mortos e desaparecidos) e mais de 30.000 desabrigados. Praticamente todos na região perderam alguém conhecido ou tiveram suas casas afetadas com o desastre.
Notem como eventos climáticos são fatores ameaçadores a qualquer Plano de Continuidade dos Negócios, ao ponto que todo um investimento de contingência de infraestrutura pode não valer de nada. Pior é quando me deparo com gestores que gostam de estampar grandes marcas de tecnologia no rack da TI, com caríssimos appliances para controlar o acesso à rede ou o backup, além de complexos sistemas de gestão de segurança, todos acomodados em salas que não serviriam de nada em um cenário como este.
Por isso, antes de sair por ai cotando firewalls, sistemas de backup, reformando a sala dos servidores com biometria e vidros blindados, faça uma análise dos riscos reais que a empresa está exposta para não acabar deixando escorrer pelo ralo todo o dinheiro investido no projeto na primeira parada inesperada. Cada empresa, cada negócio tem sua realidade e as áreas de TI e SI devem compreender isso. Às vezes a empresa que trabalha com tradução e digitalização de documentos não necessita de um cluster de firewall com links redundantes com um custo estratosférico, pois se ela ficar sem Internet por algumas horas o seu negócio não é afetado, em contrapartida, se um alagamento atingir a sala onde estão armazenados a documentação em papel de seus clientes e todos os seus equipamentos como scanners e impressoras, poderá resultar no seu fim. É um exemplo hipotético, mas que serve para ilustrar que neste caso o que importa é o negócio da empresa e não a TI. A TI é a base para o bom andamento do negócio, mas não é o negócio em si na maioria dos casos. Nesta empresa de digitalização, o ativo mais valioso são os documentos impressos dos clientes e equipamentos específicos de impressão e digitalização.
Além do que já citamos como falta de investimentos preventivos por parte do governo e da falta de preparo das organizações, carecemos de profissionais de TI/SI com uma visão mais abrangente quando falamos de riscos ao negócio. Há muita preocupação com tecnologia, só que está tecnologia depende muito da capacitação de quem vai operá-la e principalmente do meio físico em que estará alicerçada.
E olha que nós brasileiros temos que agradecer à Deus por não termos aqui vulcões, furações, tsunamis e ainda não ter caído um meteoro de grande proporção como aconteceu na Rússia alguns anos atrás. Imaginem o impacto destes eventos aqui no Brasil… eu hein!
Fontes consultadas: Revista Segurança Digital
Imagens: Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec