Arquitetura e Segurança da Informação
Hoje a Tecnologia da Informação (TI) é fundamental para a competitividade das empresas. Por este motivo, profissionais desta área têm a responsabilidade de tomar decisões de arquitetura que não coloquem o negócio em risco. Por mais elaboradas que sejam as soluções, uma grande ameaça à reputação e continuidade de uma organização surge quando neste processo não se pensa na segurança da informação.
Para entendermos o impacto da arquitetura no negócio, cito o framework TOGAF, criado pelo consórcio global The Open Group, que define 3 conceitos chave:
- Building Blocks: são modelos (blocos) para reutilização em soluções
- Arquitetura Alvo: é a desejada para o negócio
- Arquiteturas de Transição: são implementações de soluções intermediárias, devido às restrições, até chegar na arquitetura alvo
Os Building Blocks são coletados de soluções anteriores que funcionaram, mas podem não ter atendido aos requisitos de segurança da informação da organização. Portanto é preciso avaliar cada um neste quesito antes de adotá-los no repositório (Enterprise Continuum) ou revisá-los neste local sempre que as necessidades deste tópico mudem.
Da mesma forma, é preciso atenção com as Arquiteturas Alvo e de Transição, principalmente esta última que ocorre por restrições de escopo, custo ou prazo. Sendo assim, deve-se procurar alinhamento sobre os requisitos de segurança da informação da organização com os stakesholders e com o escritório de projetos (PMO).
Pensando em arquitetura orientada à serviços (SOA), segundo o modelo SOA Governance Vitality Model (SGVM), também criado pelo The Open Group, algumas empresas podem adotar em sua governança o conceito de exceção arquitetural. Esta ocorre devido à dispensa, normalmente decidida por um comitê, em seguir os padrões arquiteturais para uma solução proposta. Neste caso, cria-se, na verdade, uma transição a ser reavaliada periodicamente sobre a manutenção da dispensa ou retrabalho para adequá-la aos padrões. Note que, como se trata de exceção, pode não atender aos requisitos de segurança da informação da organização, devendo esta questão ser levada ao comitê e tentar encurtar o prazo de reavaliação, caso realmente seja deferida a dispensa.
Exemplificando o que os profissionais devem avaliar nas soluções propostas, podemos citar:
- Segurança dos protocolos de transmissão
- Segurança dos dados armazenados (por exemplo, evitar plain text)
- Configurações de firewall
- Exposição e autenticação de serviços (SOA)
- Controle de permissão de acesso (por exemplo, configuração automática no IDM)
Tendo tudo isto em mente, vemos que é possível e essencial pensar em segurança da informação nos processos e projetos que envolvam arquitetura de TI. A adoção destas medidas deve ser contínua e reforçada pelos sponsors para que ajudem a mitigar e, possivelmente, eliminar riscos ao negócio.