Especialista em desenvolvimento de software, Clarissa Luz lança livro sobre segurança, criação de ferramentas e procedimentos para reduzir e administrar situações de risco.
Como reduzir e administrar os riscos, a partir de ações de especificação, implantação e manutenção de controles físicos, tecnológicos, administrativos e humanos – tudo isso com foco na garantia da segurança. Esse é o tema do livro “Centro de Certificação Digital – Construção, Administração e Manutenção”, da especialista em desenvolvimento de software Clarissa Pinto da Luz.
A obra ajuda a suprir uma lacuna na bibliografia sobre o assunto, tornando-se uma fonte de consulta e um guia importante para qualquer Datacenter.
Clarissa é “cria do Serpro”, como ela mesma faz questão de frisar. Começou sua carreira na área de desenvolvimento de sistemas, onde permaneceu por 20 anos. Em 2000, assumiu a gerência do Centro de Certificação Digital do Serpro.
A obra ajuda a suprir uma lacuna na bibliografia sobre o assunto, tornando-se uma fonte de consulta e um guia importante para qualquer Datacenter.
Clarissa é “cria do Serpro”, como ela mesma faz questão de frisar. Começou sua carreira na área de desenvolvimento de sistemas, onde permaneceu por 20 anos. Em 2000, assumiu a gerência do Centro de Certificação Digital do Serpro.
Dois anos depois, foi convidada a implementar o Centro de Certificação Digital (CCD) do Instituto Nacional de Tecnologia da Informação (ITI) em Brasília.
O ITI é a Autoridade Certificadora Raiz (AC-Raiz) da Infra-Estrutura de Chaves Públicas Brasileiras (ICP-Brasil). Na época, o ITI utilizava as instalações do Serpro (CCD-Serpro) para abrigar a Autoridade Certificadora Raiz Brasileira.
A idéia de escrever o livro surgiu de uma experiência prática: “Quando eu fui implantar o CCD-Serpro no Rio de Janeiro, em 2000, as literaturas disponíveis eram uma norma européia – BS7799 – e uma instrução normativa da antiga Secretaria da Receita Federal.
Depois de muitas pesquisas pelas prateleiras das grandes livrarias do Rio de Janeiro e de São Paulo, e também por sítios nacionais e estrangeiros na internet, não encontrei nenhum documento específico sobre o assunto”, lembra Clarissa.
Foi nessa época que percebeu que, quando o assunto era segurança da informação, o pensamento recorrente era segurança lógica. Sobre segurança física, segundo ela, até hoje pouco se tem de informação. “Sempre tive para mim que a informação só tem valor se for compartilhada".
A informação pertence ao mundo, é para todos. Mas foi só em meados de 2005, depois de ter implantado o CCD-ITI, que me veio a idéia de transformar o nosso manual de administração em um livro que pudesse estar disponível para o público”, completa.
GUIA PRÁTICO
“Centro de Certificação Digital – Construção, Administração e Manutenção” aborda a segurança como uma questão de procedimentos. Por isso, o livro é dirigido aos profissionais da área de tecnologia, tratando “da construção até a maneira de descartar um papel”. Segundo Clarissa, quanto mais consciente a implementação das medidas de segurança, a menos riscos a organização estará exposta.
"Quando eu fui implantar o ccd-serpro no rio de janeiro, em 2000, as literaturas disponíveis eram uma norma européia – bs7799 – e uma instrução normativa da antiga secretaria da receita federal. Depois de muitas pesquisas pelas prateleiras das grandes livrarias do rio de janeiro e de são paulo (...).
Renato Martini, diretor-presidente do ITI, classificou a obra como um “guia a estabelecer o passo a passo para a aderência exigida às resoluções da ICP-Brasil”, ou ainda um “guia prático de todo o processo de manutenção de segurança física de ambientes no sistema nacional de certificação digital, podendo ser estendido a outros tipos de datacenter”.
Clarissa dá dicas de como reduzir e administrar riscos. Segundo ela, não é incomum ouvirmos falar de organizações que perdem dados essenciais, por falhas no fornecimento de energia; ou comprometimento de servidores porque o sistema de climatização não suportou a carga térmica existente.
Renato Martini, diretor-presidente do ITI, classificou a obra como um “guia a estabelecer o passo a passo para a aderência exigida às resoluções da ICP-Brasil”, ou ainda um “guia prático de todo o processo de manutenção de segurança física de ambientes no sistema nacional de certificação digital, podendo ser estendido a outros tipos de datacenter”.
Clarissa dá dicas de como reduzir e administrar riscos. Segundo ela, não é incomum ouvirmos falar de organizações que perdem dados essenciais, por falhas no fornecimento de energia; ou comprometimento de servidores porque o sistema de climatização não suportou a carga térmica existente.
Por isso, a autora classifica como o requisito mais importante para um CCD, e para organizações de um modo geral, a alta disponibilidade do serviço. “Para isso, tão importante quanto a existência de redundância de alguns sistemas (como o sistema de energia e o sistema de climatização), é a implementação de rotinas de manutenção preventiva e preditiva (rotinas periódicas de testes dos componentes desses sistemas)”, explica.
FATOR HUMANO
A especialista destaca ainda alguns dos principais problemas com os quais se tem que lidar nessa área. “É sabido que, em Segurança da Informação (SI), o elo mais fraco é o ser humano. Isso porque os incidentes de segurança, em sua maioria, são causados por pessoas, de forma acidental ou proposital”, alerta Clarissa.
Para ela, o registro e a formalização de todos os procedimentos existentes no CCD são condições fundamentais para o sucesso. “Nenhum investimento realizado em Tecnologia da Informação (TI) terá retorno se o fator humano for tratado sem a devida relevância, com processos e procedimentos mal definidos e precariamente documentados, ou seja, quanto mais preparados estiverem os funcionários de uma organização, menos riscos ela correrá e mais segura será”, garante.
"É sabido que, em segurança da informação, o elo mais fraco é o ser humano. isso porque os incidentes de segurança, em sua maioria, são causados por pessoas, de forma acidental ou proposital.” Clarissa Pinto da Luz - especialista em desenvolvimento de software
O IMPROVÁVEL NÃO É IMPOSSÍVEL
“Por mais improvável que possa parecer uma situação, ela não é impossível”, esclarece Clarissa.
Por isso, a importância da existência de um Plano de Contingência e um Plano de Continuidade do Negócio como fatores de sucesso em caso de falha ou de sinistro.
Por isso, a importância da existência de um Plano de Contingência e um Plano de Continuidade do Negócio como fatores de sucesso em caso de falha ou de sinistro.
Há alguns casos em que falhas são possíveis. Por exemplo, para situações de falha humana, a equipe envolvida com aquele trabalho se responsabiliza pelas suas ações, por meio da assinatura de Termos de Responsabilidade (TR).
Esses termos, além do aspecto legal, servem como “alerta” para funcionários, visitantes e prestadores de serviços, sobre suas obrigações e possíveis sanções a que poderão estar sujeitos.
Para explicar casos externos, como sinistros ambientais, Clarissa lança mão de um exemplo: “No pior dos cenários, se houver um evento de grandes proporções no CCD-Serpro no Rio de Janeiro, impedindo qualquer tipo de acesso ao ambiente, imediatamente as equipes de contingência são acionadas e a rotina de produção é transferida para o portal de contingência em Brasília, até que haja o restabelecimento do portal principal”.
Todas essas situações são anteriormente previstas. A forma de administrá-las são tratadas nos planos de Contingência e de Continuidade de Negócios.
DESAFIOS
No livro, a autora fala, em diversos momentos, sobre desafios e até em “criar” desafios. Essa prática, segundo ela, faz parte da sua vida “sempre”.
Atualmente, consiste em “manter o CCD funcionando em ‘ponto de bala’ como se diz na gíria, ou seja, em total conformidade com a legislação”. O maior dos desafios, no entanto, vai além: “É conscientizar as pessoas sobre a necessidade do eterno cumprimento das regras de segurança”.
CENTRO DE CERTIFICAÇÃO DIGITAL
Centros de Certificação Digital são os ambientes onde estão abrigadas as Autoridades Certificadoras pertencentes à ICP-Brasil. A história do CCD tem estreita ligação com a Medida Provisória (MP) 2.200-2, de 24 de agosto 2001, que instituiu a Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil) – uma cadeia hierárquica e de confiança, que viabiliza a emissão de certificados digitais que permitem ao cidadão brasileiro realizar transações no meio eletrônico com segurança.
A partir da MP 2.200-2, foram elaborados os regulamentos que regem as atividades das entidades integrantes da ICP-Brasil, como as resoluções do Comitê Gestor e as Instruções Normativas (elaboradas pela AC-Raiz, com o caráter de suplementar as normas estabelecidas pelo Comitê Gestor).
Dentre os documentos que compõem a legislação da ICP-Brasil, dois se destacam para a implementação de um Centro de Certificação Digital (CCD).
Um é a Política de Segurança, que estabelece as diretrizes de segurança que deverão ser adotadas pelas entidades participantes da ICP-Brasil e onde elas fundamentarão o princípio da gestão da segurança, abrangendo todos os recursos humanos, administrativos e tecnológicos do CCD onde estará abrigada a Autoridade Certificadora.
O outro documento é a Declaração de Práticas de Certificação, que estabelece os requisitos mínimos obrigatoriamente observados pela Autoridade Certificadora integrante da ICP-Brasil. Este último descreve as práticas e procedimentos que devem ser empregados pelo Centro de Certificação Digital e demais áreas correlacionadas, na execução dos serviços de Autoridade Certificadora.
Resumidamente, um Centro de Certificação Digital é um ambiente de alta disponibilidade (24 x 7 x 365), com dispositivos e regras de segurança bem definidos, que visam garantir os requisitos básicos estabelecidos pela legislação.
SERVIÇO
Centro de Certificação Digital – Construção, Administração e ManutençãoClarissa P. da Luz
Rio de Janeiro: Ciência Moderna, 2008. 338 p.
(O livro pode ser encontrado na Livraria Cultura. Também à venda nos portais www.submarino.com.br, www.saraiva.com.br e www.lcm.com.br).
Fonte: Portal do SERPRO
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.