• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    O que a guerra pode nos ensinar sobre segurança em mainframe?

    O ambiente de mainframe, ou Big Iron, continua a crescer a uma taxa de aproximadamente 5% ao ano de acordo com previsões recentes. Enquanto especialistas têm historicamente considerado o Mainframe como sendo o mais seguro ambiente de uma perspectiva de segurança cibernética, imagina-se se este “grande dinossauro” é capaz de lidar com os últimos desafios de segurança. Ao ver como o Mainframe se tornou o que é, e como sobreviveu a muitas guerras mercadológicas entre computadores, talvez tenhamos uma resposta.

    O passado…

    Estas gigantescas caixas chegaram ao mercado com a interessante chamada Faça Mainframes, não Guerra tocada pelos publicitários da Madison Avenue. A revolução dos computadores se tornou moda. Iniciando nos anos 50 e 60, isto durou até os anos 70 quando “menor se tornou melhor” foi a visão de marketing para introduzir computadores menores. O pensamento de perder o grande investimento que os sistemas em mainframe representavam e o valor de dados críticos, velocidade, capacidade e poder de processamento (entre outras coisas) fez com que grandes negócios ficassem com medo de se livrar dos mainframes. Essencialmente, computadores menores não podiam substituir os valiosos mainframes. Muitos ainda predisseram que os mainframes iriam desaparecer. eles ainda estão aqui. Estima-se que mais de 80% de todos os dados críticos de corporações estejam em mainframes.

    A parte de segurança da informação foi introduzida na forma de software de controle de acesso para estes mainframes. Tornou-se importante saber quem estava acessando o quê e quando. Outra “guerra” separada foi introduzida entre produtos de segurança concorrentes. Os sistemas operacionais não eram uma prioridade naquele ponto. Era uma época onde não havia economia global e desta forma nenhuma competição ferrenha para se obter dados de outras nações. Software de controle de acesso parecia ser a quantidade certa de segurança para aquela época.

    O presente…

    Agora é 2015. Guerra cibernética é o clamor da profissão de segurança da informação e de auditores também. Legislações como a Sarbanes-Oxley, PCI DSS, GLBA, e muitas outras requerem controles de segurança da informação específicos para TODOS os computadores. Organizações governos estão adicionando controles de segurança para fechar lacunas em sistemas computacionais por onde inimigos ou pessoas maliciosas internas poder invadir. Os sistemas operacionais de computadores menores estão inquestionavelmente sob ataque. O que as pessoas estão fazendo sobre o mainframe? Elas o esqueceram?

    Se você perguntar a várias pessoas se seu mainframe está protegido no mesmo padrão que o resto de seus ambientes computacionais, elas provavelmente responderão que não sabem. Até que ocorra uma violação, alguém realmente sabe quão bem um sistema está protegido? O fato é que já existem  violações reportadas de mainframe. A guerra já começou . Quantas pessoas sabem sobre ela? Quantas pessoas sabem que já existem ferramentas no mercado para se detectar e parar as últimas ameaças ao mainframe?

    …E o futuro da segurança em mainframe

    A guerra cibernética está aqui. Ela é real. Reportes de invasões acontecem todos os dias. Por quanto tempo organizações irão ignorar os perigos aos quais seus mainframes estão expostos? O conflito intencionalmente espalhado hoje é a “guerra” nos computadores de nossas nações e ela requer uma estratégia defensiva. A segurança da informação protege computadores contra ameaças internas e externas, e o uso de normas, preferencialmente aquelas vindas de organismos de padronização técnicos, podem ser a melhor estratégia para um programa de segurança da informação.

    A ISO 27001 é uma norma internacional que pode prover a estrutura de controles necessária para defender qualquer tipo de organização de ataques cibernéticos. Existem também outras normas que podem ser usadas para propósitos específicos: HIPAA é uma norma americana para Assistência Médica, enquanto a FISMA é uma opção para agências federais daquele país. Aconselhamento legal pode ser muito útil em orientar sobre quais legislações governam a organização para entendimento de requisitos de conformidade. Claro que gestores de TI, juntamente com executivos sênior, devem tomar uma decisão estratégica sobre quais destas estruturas seriam as mais apropriadas; uma vez que esta decisão tenha sido tomada, ele devem assegurar que a estrutura de controles que está mapeada para aquela norma esteja totalmente implementada.

    Por que as normas e estruturas são úteis? Lacunas são inevitáveis quando você não as usa. Qualquer furo na defesa de segurança tem o potencial de ser explorada  pelo inimigo, da mesma forma que na guerra. TODOS os computadores precisam ter o mesmo padrão de controles; mainframes não são exceção.  O desafio está em descobrir as vulnerabilidades no mainframe e fechar os furos onde o inimigo pode penetrar.  Implementando uma estrutura de controles identificaria quaisquer furos no ambiente de mainframe.

    A batalha prossegue

    Guerras são destrutivas. Mainframes têm sobrevivido a guerras de mercado por anos, mas podem eles sobreviver a guerra cibernética? O Big Iron pode sobreviver apenas com a implementação sistemática de controles de segurança; com um projeto estratégico, as batalhes de guerra cibernética podem ser travadas e vencidas. Um plano estratégico, para ser bem sucedido, deveria levar em conta as diferenças inerentes ao ambiente de qualquer organização. Uma boa estratégia ajudará a organização a tratar os riscos e prioridades na implementação de controles de forma a prover a melhor proteção pelo custo certo. Todo programa que mereça ser implementado merece ter uma estratégia. O plano de segurança para controles não é diferente.

    A mesma diligência que as organizações estão rigorosamente aplicando a sua computação distribuída deve agora se voltar em direção aos vulneráveis mainframes – antes que seja tarde. A batalha prossegue.

    Clique aqui para baixar um eBook gratuito 9 Steps to Cybersecurity que explica os passo necessários para proteger a informação crítica em uma organização.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Tag: #ISO 27001