Quando falamos em Segurança da Informação, imaginamos diversos métodos e técnicas trabalhadas com o intuito de atingir o maior nível de segurança possível. Um destes, que acredito ser primordial, é uma infraestrutura bem planejada que atenda às necessidades.
Um bom exemplo foi o modelo de infraestrutura criado para os Jogos Olímpicos Rio2016, palestrado no evento “RoadSec-SP 2016” por um dos líderes do time de Cyber Security responsável pelos jogos, Bruno Moraes. Um evento de grande magnitude que, durante o período de 5 a 21 de agosto, foi o foco de atenção de todo o mundo.
Para atender e garantir a segurança dos jogos, a missão era desafiadora. O evento, além da visibilidade mundial, possuía também informações (cronometragem, resultados e difusão da informação) que não poderiam estar suscetíveis a falhas de segurança. Como ilustrou o próprio Bruno, não seria possível, por exemplo, pedir ao Usain Bolt que corresse novamente devido a uma falha sistêmica. Além dos principais controles de segurança implementados, ainda foi planejada e desenvolvida uma infraestrutura específica, basicamente dividida em:
Rede de Jogos: Uma rede 100% dedicada aos dados dos jogos (cronometragem, resultados e difusão da informação). Fisicamente separada das demais, sem acesso à internet para parte dos usuários e com inúmeros controles de segurança para proteger a realização do evento. O isolamento e o anonimato de envolvidos nessa rede foram algumas das estratégias adotadas para garantir seu funcionamento.
Rede corporativa: Uma rede totalmente segregada, similar a uma rede corporativa tradicional, e responsável por sustentar a organização do Comitê Rio2016. Possuía duas estruturas básicas: rede de internet para os clientes (jornalistas e atletas) e outra dedicada para acesso à internet no período do evento. Considerada uma rede complexa do ponto de vista de segurança por conta da quantidade de equipamentos e dispositivos contaminados de atletas e jornalistas. A missão ali era evitar que um equipamento contaminado infectasse os demais. Uma das técnicas foi evitar comunicação lateral na rede entre os dispositivos, permitindo-os sair apenas para internet.
Estrutura na nuvem: Responsável por armazenar os principais sites do evento como, por exemplo, site de resultados (um dos sites mais acessados no Brasil) e o site de vendas de ingressos. Ambos geravam uma preocupação muito grande devido ao potencial de fraude. Por isso, fisicamente estavam distribuídos e replicados em diferentes datacenters, espalhados no Brasil e em mais quatro continentes. Essa medida foi necessária visto que o volume de dados trafegado nesses sites causaria um colapso no sistema de internet do Brasil.
Claro que, além dessas estruturas, foram adotadas diversas medidas como a estratégia dos testes contínuos, que inclui a gestão de conscientização dos usuários e os resultados dos três Cyber War Games executados com intuito de preparação dos times de segurança para os piores cenários. Mas a base está na infraestrutura. Fazendo um comparativo, ela seria o chassi do carro. E um carro sem um chassi bem desenvolvido não é um bom carro, por mais que tenha um excelente motor.
Dessa forma, podemos concluir que o primeiro passo ao se investir em Segurança é a infraestrutura. A partir daí, sim, podemos planejar campanhas de conscientização, definir técnicas e escolher as ferramentas a serem utilizadas.
