Gestão de riscos é um assunto muito presente e importante quando se fala em Segurança da Informação. A partir de uma análise, são mapeados os principais processos de negócio de uma organização e seus respectivos riscos. Mediante a classificação desses riscos, a alta cúpula da organização pode tomar decisões sobre o tratamento que será dado a eles.

Quais são essas possíveis tratativas e o que a Alta Disponibilidade e a Contingência têm a ver com isso? Quais são as principais diferenças entre HA (High Availability/Alta Disponibilidade) e DR (Disaster Recovery/Contingência) do ponto de vista da gestão de riscos? Qual a real importância e a aplicação da gestão de riscos em Segurança da Informação? É o que este artigo propõe-se a responder.

O que é Gestão de Riscos em Segurança da Informação?

Em primeiro lugar, a gestão de riscos em Segurança da Informação é a adoção de políticas e protocolos visando sempre a um equilíbrio entre os riscos identificados e possíveis impactos que eles podem trazer à organização. Nesse sentido, o termo gestão é bem apropriado, pois transmite a ideia de que não é uma extinção dos riscos, mas sim uma tomada de decisão sobre eles.

Lidar com riscos, em geral, é um processo custoso, faz-se primeiro um esforço para identificar os processos críticos para o negócio, em seguida, são apontadas as potenciais situações que podem prejudicar o seu funcionamento: os riscos. Com os processos críticos e respectivos riscos definidos, estes são classificados por níveis de probabilidade de que aconteçam e de impacto para o negócio, no caso de ocorrerem. Todo esse procedimento é realizado para que os responsáveis pela Segurança da Informação tenham uma boa visibilidade para mapear a situação e tomar as devidas decisões.

A Gestão de Riscos é realmente necessária?

Uma vez entendida a gestão de riscos em Segurança da Informação, é possível perceber que esta prática é custosa para a empresa – tanto financeiramente quanto na alocação de recursos humanos. Deste modo, é natural que surjam questionamentos: qual a real importância dessa gestão? Ela é realmente necessária? A resposta é sim. Além de ser um componente fundamental para a eficiência da Segurança da Informação e, consequentemente, para a saúde do negócio, a gestão de riscos é requisito e ponto central em diversas normas que as empresas buscam obter a fim de atenderem a exigências do governo, conseguirem abrir o capital e até mesmo passar segurança e confiabilidade para os seus clientes.

ISO 27000, PCI e SOX são alguns exemplos de normas que tornam a gestão de risco um ponto-chave, pois essas normas visam atestar que as organizações que as seguem apropriadamente têm as suas informações devidamente seguras e à prova de incidentes e eventualidades que, em outros cenários, poderiam violar a integridade, disponibilidade, confidencialidade, autenticidade ou legalidade das informações por elas mantidas. 

Voltando ao procedimento da gestão de riscos, uma vez definidos os processos críticos e os riscos, é necessário que se definam tratativas para lidar com eles. É aí que entram a HA e a DR, cujos conceitos relacionados ao senhasegura já foi explicando no artigo “Cluster: descubra, o que é, quais existem e por que ele é importante para a sua empresa”, portanto, e não será aprofundado neste texto. 

Como funciona a Alta Disponibilidade?

A Alta Disponibilidade é uma arquitetura que consiste em ter um ou mais servidores operando paralelamente ao principal. Neste cenário, os servidores adicionais são funcionais e dividem a carga de trabalho com o servidor principal. Ou seja, em um cenário de HA, os recursos designados para continuidade do negócio não estão obsoletos em stand-by, de prontidão para assumir caso algo ocorra com os recursos principais, eles são utilizados simultaneamente. Se, eventualmente, o principal encontrar problemas, os demais automaticamente assumirão a sua carga e não haverá perda de dados nem qualquer indisponibilidade. Haverá, sim, um ganho de produtividade.

E a Contingência?

Já no cenário de Contingência, o servidor (ou servidores) de DR mantém continuamente uma cópia dos dados do servidor principal, mas sem trabalhar com ele, permanecendo apenas de prontidão para assumir, através de uma virada, se algum imprevisto ocorrer ao primeiro. A vantagem desse modelo tende a ser o custo, uma vez que, em geral, é dispendioso manter um cenário de HA. 

Nesse sentido, uma das vantagens da modularidade do senhasegura é a facilidade em implementar essas arquiteturas com baixo custo. 

O que o senhasegura pode fazer pela sua empresa?

Existem diversas arquiteturas homologadas e disponíveis para funcionamento do senhasegura: da mais simples com um servidor de produção e uma contingência a arquiteturas mais complexas, como vários servidores em HA de hardware e software em produção e contingência com HA e DR. O custo para implementar a arquitetura que mais se adequa ao negócio, com o senhasegura, não é alto, pois o sistema pode ser virtualizado e apresenta uma grande gama de compatibilidade. Para aqueles que têm uma maior necessidade de manter a ininterrupção dos sistemas, o senhasegura disponibiliza a Alta Disponibilidade de hardware, que consiste em um appliance conectado através de um heartbeat com outro, programado para assumir caso qualquer defeito de hardware venha a afetar o primeiro.

Usando a combinação ideal de Altas Disponibilidades, de hardware e de software, além de Contingências, o senhasegura acaba se tornando um sistema ainda mais robusto e resiliente, preparado para lidar com riscos e vulnerabilidades aos processos críticos de nossos clientes.

Além dos recursos citados, caso o interesse esteja em satisfazer alguma das normas e certificações supracitadas, é importante mencionar que o senhasegura dispõe de outras facilidades, como auditoria integral de todo o parque através do cofre, que facilitam – e muito – na aprovação em auditorias internas e externas, assim como na obtenção dessas normas.