Seu Service Desk é seguro ou uma porta de entrada para os Hackers?

Hacker

Por muitos anos, algumas organizações puderam continuar seus negócios, ainda que tivessem pouco apoio da Tecnologia da Informação (TI). Hoje, a realidade é diferente: a Tecnologia da Informação é um fator crítico de sucesso para a organização. Em muitos casos, acaba sendo seu diferencial competitivo no mercado. Existem determinados ramos de negócio onde é quase impossível imaginá-los sem o apoio da TI.

A TI hoje é um parceiro estratégico e faz parte do negócio. Atualmente as decisões sobre os investimentos em TI são tratadas nas reuniões de planejamento estratégico pelo conselho administrativo da empresa. Não é mais possível tratar a TI isoladamente. A TI deixou de ser tratada por técnicos e passou a ser incorporada na estratégia da empresa para alcançar seus objetivos.

Em virtude deste cenário, a TI aparece com grande importância para o negócio da empresa. Vários frameworks e melhores práticas foram adotados, buscando a otimização de seus processos, redução de custos e riscos.

A evolução natural da TI: Service Desk

Com a maturidade, o setor de suporte evoluiu e o Service Desk tornou-se uma importante solução para a construção do conceito de gerenciamento de serviços. Além de ser o responsável pelo gerenciamento de todos os incidentes e requisições de serviço, estabelece um ponto de contato entre os usuários finais e a TI. Por este motivo, é preciso entender que a melhoria do serviço prestado através da estruturação de um Service Desk reflete diretamente na percepção de valor da TI, afinal, os usuários baseiam grande parte de suas percepções nas interações com o Service Desk.

O Service Desk promove, assim, maior acessibilidade à TI pelos usuários. Sendo assim, possuir um Service Desk é um caminho sem volta: quem ainda não possui um, está em processo de planejamento e implantação.

A segurança da informação no Service Desk

Os benefícios da estruturação do Service Desk vão além da percepção de valor pelo usuário. A estrutura de suporte fornece inputs para gerenciamento e organização de toda a área de TI. Dentre eles, podem ser destacados a melhoria no gerenciamento, o controle da infraestrutura e os processos envolvidos na padronização do atendimento.

Entretanto, para que esses benefícios sejam de fato alcançados, é necessário que a TI desenvolva algumas iniciativas de estruturação interna que consistem em fatores críticos para o sucesso de implementação do Service Desk.

Os consultores e as empresas especialistas desenvolveram diversos modelos que ajudam ao desenvolvimento de um Service Desk. Mas, ao meu ver, um aspecto ainda não foi tratado com o devido grau de importância: A Segurança da Informação.

Se o seu Service Desk será o ponto único de contato e seu catálogo de serviços disponível aos usuários, será que essa padronização não traz um risco? As informações estarão centralizadas e um único ataque, pode disponibilizar acesso a todas as informações.

Um caso prático: Edward Snowden

Edward Snowden
Créditos da imagem: Wired

Vocês lembram do Edward Snowden? Ele é um analista de sistemas, ex-administrador de sistemas da CIA e ex-contratado da NSA. Tornou-se conhecido por tornar públicos detalhes de vários programas que constituem o sistema de vigilância global da NSA. A revelação deu-se através dos jornais The Guardian e The Washington Post, dando detalhes da Vigilância Global de comunicações e tráfego de informações. Vários Programas eram responsáveis por essa vigilância, entre eles o programa de vigilância PRISM dos Estados Unidos. Em reação às revelações, o Governo dos Estados Unidos fez diversas acusações de crimes. Entre elas, roubo de propriedade do governo, comunicação não autorizada de informações de defesa nacional e comunicação intencional de informações classificadas como de inteligência para pessoa não autorizada.

Em junho de 2013, Edward Snowden, falando de seu trabalho para a NSA e dos motivos por que decidiu correr os riscos de revelar a existência dos programas de vigilância e espionagem mundial, disse:

“Eu sou apenas mais um cara que fica lá no dia a dia em um escritório, observa o que está acontecendo e diz: Isso é algo que não é para ser decidido por nós; o público precisa decidir se esses programas e políticas estão certos ou errados.”

Acusado de espionagem nos Estados Unidos, o técnico em informática, que se refugiou na Rússia, poderá ser condenado a 30 anos de prisão em seu país. Condenado por roubar e divulgar documentos secretos, que revelaram programas de espionagem de uma amplitude insuspeita até então.

A busca por um Service Desk seguro

Este caso é um dos maiores escândalos de vazamento de informações a nível mundial. Não foi feito por um espião ou um terrorista, mas por um simples analista de TI. Se olharmos para nossa organização, quantos analistas de TI possuem acessos privilegiados e irrestritos ao ambiente, sistemas e informações? Quantas contas estão compartilhadas, dificultando a aplicação de responsabilidade? Dificilmente a TI possui segregação de funções, integridade das trilhas de auditoria e transparência. Para piorar, a Virtualização e a Nuvem são vertentes mundiais, que podem potencializar os problemas.

A proteção de informações é fundamental para um service desk é seguro

A segurança da informação precisa ser estabelecida e tratada. É a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para uma organização. Características básicas como confidencialidade, integridade, disponibilidade e autenticidade, precisam ser discutidas no âmbito estratégico e trazidas para dentro do Service Desk. O conceito se aplica a todos os aspectos de proteção de informações e dados. Está ainda intimamente relacionado com a tecnologia, processos, ambiente e principalmente com as pessoas.

Trabalhar a segurança da informação não é uma responsabilidade da TI, mas da organização como um todo. Diversos departamentos precisam ser envolvidos: recursos humanos, financeiro, administrativo, etc.

Um Service Desk precisa possuir normas, políticas e procedimentos ligados à segurança da informação, além de um código de ética, que poderão ser estabelecidos por uma orientação para a prática. A própria família da NBR ISO 27000 é considerada um código de práticas e indicada para esse fim. O catálogo de serviços, precisa ser estabelecido em conjunto com uma política de classificação da informação. Quais as informações que precisam de uma validação (autenticidade) para ser repassada? Quais as conformidades legais, em relação a salvaguarda?


Vladimir Nunan é membro do “Field Advisory Board (FAB)”, conselho sobre Field Support do HDI no Brasil é formado pelos gestores das principais operações de Service Desk do Brasil.