A segurança física dos ambientes lógicos: como as tecnologias expandem a proteção de dados

Reunindo os executivos Pedro Oscar Viotto, superintendente de Segurança Física e Gestão Estratégica do Banco Bradesco e diretor setorial do Comitê Executivo de Segurança Bancária da Febraban; Steferson Mello, gerente de Infraestrutura de Redes/Telecom, gerente de Projetos de TI e líder de Infraestrutura de TI da Alcoa, Heubert River, diretor das Operações de Data Center, Nuvem e Segurança da Cirion Technologies Brasil, Rodrigo Radaieski, diretor de Serviços da Ascenty e José Renato Mello Gonçalves, presidente da NEC no Brasil, e mediado pelo jornalista Daniel Gonzales, apresentador da Rádio Eldorado FM, o painel foi realizado na Japan House, em São Paulo. A seguir, você acompanha os principais destaques dessa conversa.

Desafios para o banco

No caso de um grande banco, como o Bradesco, há enormes quantidades de dados que passam e ficam armazenadas em ambientes físicos, que devem receber cuidado e atenção máximos para evitar situações como ataques, vazamentos, fraudes, etc.

Segundo Viotto, do Bradesco, “é motivo de muita preocupação, de muita atenção por parte das empresas a questão de proteção de data centers, redes de dados, sala de servidores e demais ambientes de acesso restrito”.

“No Bradesco”, afirma o executivo, “sempre tratamos o tema com muita atenção. Além da matriz do banco na Cidade de Deus (Osasco, na Grande São Paulo) e alguns outros prédios administrativos, nós temos mais de 6.500 pontos em que levamos os serviços e produtos à população do País, e sempre temos lá, no mínimo, uma pequena sala de servidor”.

Além das dimensões do sistema do banco, Viotto destacou as possíveis ligações dos ataques lógicos, que segundo ele muitas vezes são antecedidos por um acesso físico a determinado ambiente. “E daí nós temos que nos preocupar, independentemente do tamanho. É lógico que nós vamos sempre levar em consideração a criticidade daquele ambiente, seja um datacenter ou uma mini sala de servidor”.

No caso dos grandes ambientes, a proteção envolve, segundo o executivo, o conceito de cercas perimetrais. “Nós temos uma série de sensores que controlam o ambiente, e acompanhamos o monitoramento e as ações de abertura. Também dispomos de sistemas de CFTV (circuito de TV fechado), com verificações constantes e permanentes por uma equipe de segurança que faz o monitoramento”.

Entre as outras tecnologias, o executivo cita ainda “a implantação de sensores biométricos para identificação de pessoas”, identificando apenas colaboradores e visitantes estritamente autorizados e evitando burlas. “Vemos isso com importância máxima, inclusive na questão das tecnologias que estão surgindo”.

Leia mais: Como fintechs e bancos tradicionais estão transformando o mercado financeiro

Controle nos ambientes industriais

Stephenson Melo, gerente de Infraestrutura de redes da Alcoa, multinacional norte-americana do setor de alumínio, falou sobre os principais desafios das políticas de segurança que contemplem os ambientes físicos dos dados no cenário industrial.

“Nós temos esse foco de utilizar datacenters globais como solução, mas nós também temos os nossos datacenters, nossas salas de computadores nas principais plantas, nas indústrias onde temos presença, como no caso de São Luiz (MA), onde a sala de computação requer todo um controle estrito de acesso”, explica. “Caso isso não seja bem realizado, pode-se abrir uma brecha de segurança que permita às pessoas acessem a nossa rede. Isso pode causar problemas e ser desastroso para a operação da empresa. Então, nós temos também o desafio de garantir a segurança da operação”, avalia.

De acordo com o executivo, “a segurança da operação tem uma questão realmente importante de controle de perímetro, controle de segurança”. “Então, a gente tem trabalhado cada vez mais, evoluindo com parceiros para desenvolver soluções ou trazer soluções que possam atender e melhorar essa parte de controle.
Essas soluções passam por identificar e mitigar tentativas de ataques e invasões, inclusive de modo físico, destaca Melo. “Há um trabalho muito forte da equipe de segurança corporativa global no sentido de desenvolver técnicas para que as pessoas dentro da Alcoa, saibam como agir, estejam treinadas também a reconhecer o que é verídico”.

Essas soluções passam por identificar e mitigar tentativas de ataques e invasões, inclusive de modo físico, destaca Melo. “Há um trabalho muito forte da equipe de segurança corporativa global no sentido de desenvolver técnicas para que as pessoas dentro da Alcoa, saibam como agir, estejam treinadas também a reconhecer o que é verídico”.

Data Centers realizam inúmeras verificações

Helbert River, diretor das Operações de Data Center, Nuvem e Segurança da Cirion, uma empresa que é service provider de soluções de data center, afirma que existe uma missão crítica muito grande na proteção da nuvem, já que a empresa tem, como clientes, diversos outros tipos de negócios que ajuda a operar.

“A disponibilidade é fundamental. Então, trabalhamos segurança com quatro camadas”, explica, detalhando cada uma delas. “A primeira camada é o que nós chamamos de camada ambiental, ou seja, onde está localizado o datacenter - quais as condições climatológicas do local, se ali está propenso a enchentes e terremotos”. Ainda há adicionalmente, segundo ele, preocupações no tocante ao uso de energias limpas, com suas respectivas certificações, métricas e medidas, que assegurem a segurança de todo o sistema.

“A segunda camada que nós tratamos é a camada da disponibilidade: garantir infraestrutura robusta no lugar robusto, que permita aos nossos clientes operar ‘24 por 7’ nestes ambientes - por exemplo, na hora em que um cliente ou usuário final vai acessar um streaming à noite, aquilo tem que estar funcionando, independentemente de ser na madrugada e de qual o tipo de negócio que estiver operando lá dentro”, explica. “Então, para a segurança de ter disponibilidade, nós falamos aí de equipamentos: fornecimento de energia elétrica, fornecimento de ar-condicionado segurança contra incêndio, tudo isso também monitorado e acompanhado com certificações que definem a operação”

A próxima camada é a da segurança lógica, define Heubert. “Estou com datacenter, operando num ambiente estável. Tenho disponibilidade agora. Como eu começo a proteger as pessoas que vão acessar remotamente esse ambiente para os ambientes dos nossos clientes de forma segura e estável? Existem “n” ferramentas, no mercado, que também estamos acompanhando por certificações que definem e tentam dar um norte para essa proteção, porque é uma luta constante. Quando nós falamos de segurança lógica, você tem que garantir que aquela pessoa que está acessando o dado, pode naquele momento copiar ou transmitir esse dado. Para monitorar isso, existem ferramentas de localização e criptografia que ajudam os nossos clientes a ter essa proteção”, detalha o executivo.

A quarta e última camada, de acordo com ele, é a da segurança física - “talvez a mais importante” - conforme Heubert.

Neste ponto, revela ele, a Cirion trabalha com cinco níveis de segurança: "Isso garante que na hora em que uma pessoa vai acessar aquele equipamento, ela passou por checagens desde a primeira solicitação de entrada aos datacenters”.

Segundo ele, “são feitas validações usando ferramentas que afastam qualquer risco de phishing”, desde a chegada da solicitação à portaria da empresa. “Depois da recepção, é feita uma nova validação. Uma vez validado, nós chamamos um segurança e ele acompanha a pessoa até a porta do datacenter, na porta do datacenter, onde é realizada outra verificação. Lá, o cliente ou a pessoa que estiver nos visitando passa por uma inspeção de biometria, para termos certeza de que a pessoa que saiu da recepção e passou lá na portaria é a mesma que está entrando no datacenter”.

Adicionalmente, segundo Heuber, os seguranças é que liberam o acesso ao rack de equipamentos, e todos são instruídos a verificar se as pessoas que estão trabalhando nestes locais não deixaram nada conectado aos equipamentos quando concluírem suas atividades”.

Rodrigo Radaieski, diretor de Serviços da Ascenty, outra empresa provedora de infraestrutura de data centers no Brasil, classifica como “essencial” a preocupação com a segurança física desses ambientes.

“Ela é um dos insumos, na verdade, de um datacenter. Então a gente, além da questão de energia, refrigeração, etc, diz que a segurança física, é um dos itens mais importantes. Um data center tem uma circulação grande de pessoas durante o dia, então a gente tem clientes, fornecedores, fornecedores dos nossos clientes, etc, o que dá ao ponto uma dimensão muito importante”.

Para ele, o uso de alta tecnologia para as checagens começa já na recepção do cliente. “Muitas vezes, ela não pode ser demorada. Então, todas as checagens precisam acontecer de uma forma muito ágil, muito rápida, garantindo toda essa segurança. A tecnologia ajuda bastante nisso, nessa identificação correta, e aí eu diria que são 3 itens que funcionam como grandes pilares da segurança: os processos, as pessoas e a tecnologia. Sem isso funcionar de forma muito forte e muito bem integrada, certamente teremos um problema de segurança”.

Leia mais: Como garantir a operacionalidade de um data center em todos os períodos do ano

A visão do orquestrador

José Renato Melo Gonçalves, presidente da NEC no Brasil, comentou o tema, em primeiro lugar, sob a perspectiva dos usuários e consumidores. “É muito bom sabermos que os nossos dados estão protegidos em todos esses locais, em todos esses provedores de cloud. Particularmente, um banco, um datacenter, uma indústria, todos têm uma coisa em comum: uma brecha de segurança, qualquer falha vai trazer um prejuízo, algo inimaginável para o negócio das empresas”.

Para Gonçalves, é nesse ponto que está a importância de um integrador de tecnologias como a NEC.

O executivo destaca que as tecnologias nas quais a empresa detém enorme expertise, e que são reconhecidas como as melhores do mundo, são passíveis de integração nas políticas de proteção física dos ambientes. “Todas as soluções de biometria, que são reconhecidas internacionalmente, podem ser associadas. Sensores, câmeras, tudo isso tem que estar funcionando como uma orquestra, de forma harmônica e sem falhas”.

Para José Renato, nem mesmo um pequeno equipamento deve apresentar falha, sob pena de grande vulnerabilidade daquela empresa. “Você pode ter um acesso a um único sensor e isso representar um risco muito grande para a empresa. Então, temos que olhar isso de uma maneira holística e garantir que realmente todo o processo esteja coberto, nos mais altos níveis de padrão de segurança”.

Tecnologia como aliada e o papel do 5G

Hoje, avanços na área da biometria para identificação já contemplam, por exemplo, sistemas altamente confiáveis de leitura facial, leitura de íris e até de veias e vasos sanguíneos, além de biometria de voz.

Existem, ainda, câmeras dotadas de softwares inteligentes que realizam análise de vídeo em tempo real e informam caso haja uma pessoa em um lugar, por exemplo, onde ela não deveria estar, ou mesmo se alguém abandonou algum pacote ou volume em local indevido.
Junto com essas inovações, temos ainda a perspectiva, muito em breve, da expansão das redes de altíssima velocidade (5G), inclusive as privativas. Todos esses pontos vão facilitar a expansão de sistemas ainda mais eficientes de segurança física nas empresas.

Falando das tecnologias mais utilizadas, Pedro Viotto, do Bradesco, comentou quais são as empregadas pelo banco na proteção de seus perímetros críticos.

“No respeito à biometria, já usamos há muito tempo em nossos sistemas de caixas eletrônicos, e em nosso datacenter nós já fazemos isso para ambientes restritos, porque nós precisamos sempre certificar de que todas as pessoas que acessam aquele ambiente estavam autorizados naquele momento. Há pessoas que têm uma autorização permanente para determinados períodos, mas nós temos ainda os fornecedores que vão esporadicamente, então é importante saber muito bem quem é aquela pessoa que acessou em determinado processo. É lógico que essas novas tecnologias, como a de reconhecimento facial, vão melhorar esse processo de autorização”.

Segundo Viotto, as redes 5G terão grande importância nesse processo. “Pelas características do nosso negócio, nós não podemos nos esquecer de que vivemos num país continental com dimensões continentais e que em certas regiões há grandes dificuldades de comunicação”, afirma. “Uma rede eficiente vai nos permitir fazer uma análise permanente sobre o que está acontecendo em certo local e mandar uma informação para que a gente possa fazer uma segurança preditiva, estabelecendo cercas virtuais, sem que pequenos detalhes escapem ao olhar humano. O Bradesco tem caminhado muito nesse sentido de acompanhar o que está surgindo de novo no mercado”.

Neste processo, afirma ele, todos os novos processos de segurança são avaliados e testados para não interferir no negócio. “Então, a gente vê com bastante satisfação esse desenvolvimento que está surgindo, essas novas tecnologias que vão aumentar os nossos meios de segurança”.

Ouça: Start Eldorado#204: Nos caminhos do 5G

Conectividade em áreas afastadas

Steferson Melo, da Alcoa, falou em seguida sobre a proteção de ambientes operacionais e de como a empresa trabalha com um plano estratégico para trazer tecnologias e inovações para dentro de casa.

“O nosso foco é não trazer tecnologia apenas por ser tecnologia, e sim trazer a tecnologia que vai dar valor ao negócio sem afetar a operação do negócio, trabalhando na parte de segurança patrimonial”, diz. “Nossos projetos são no sentido de ampliar esse controle de perímetro e ter mais inteligência, inclusive para garantir que as pessoas que vão acessar aqueles ambientes elas estejam autorizadas e que isso tudo seja monitorado.

Neste sentido, o especialista indicou que tecnologias como câmeras capazes de realizar leituras biométricas e crachás inteligentes para controle de acesso estão nos focos da empresa.

"Estamos pensando em explorar esses equipamentos de forma que tragam benefícios até mesmo em nossas fábricas. Quanto aos crachás, também usando-os para aplicações efetivas de controle de perímetro. Por exemplo, em uma área de mineração, para identificar quem está lá e se a pessoa está corretamente ali, inclusive em situações de emergência”.

A expansão na adoção de redes móveis privativas também aparece entre as prioridades da companhia.

“A nossa indústria tem focado muito também nessa parte da tecnologia wireless como potencializadora de grandes benefícios. Hoje nós temos um foco grande no LTE privado por conta de características de infraestrutura onde nós estamos presentes. Por exemplo, em operações de mineração de bauxita no interior do Pará, dentro da selva amazônica, um local onde a infraestrutura de telecomunicações é mais complexa. Com uma rede de 5G privada eu consigo ampliar o alcance de conectividade, colocar mais câmeras, mais sensores, ter essa essa parte de crachás inteligentes ajudando no controle de perímetro e na operação da planta”.

IoT para aumentar a segurança

Heubert River, da Cirion, detalhou que a empresa já adota tecnologia de internet das coisas (IoT) em um sistema capaz de “refletir” em tempo real o monitoramento de todos os equipamentos que ficam em um datacenter, dentro de um conceito semelhante ao de “gêmeos digitais” – a recriação virtual de um ambiente real.

“Chegamos a ter 4.000 entradas e saídas de equipamento por mês, são movimentações no nosso complexo muito grandes, e temos alguns com 12, 14 salas operacionais”, explica. “Então, acompanhamos esse movimento dos equipamentos desde a hora que chegam de uma portaria, identificamos a pessoa, depois aquele equipamento vai para um estoque e após isso vai para uma sala. O cliente pode pedir para mover para outra sala. Então, esse sistema cria uma identidade. E nós estamos falando de um volume financeiro expressivo, pois em uma sala de datacenter facilmente, você tem milhões de dólares em equipamentos - e considerando os negócios do cliente, são outros milhões”.

O monitoramento inteligente adotado pela empresa, segundo Heubert, emite notificações e ainda acompanha o tempo de instalação de cada equipamento quando ele é instalado ou desinstalado, avisando no caso de qualquer fato fora do padrão – e o executivo afirma esperar uma latência muito reduzida com a expansão do 5G.

Rede de proteção

Com 34 data centers em quatro países diferentes da América Latina, a Ascenty se apoia muito na tecnologia para atender a todo esse volume de pessoas, garantindo os processos e as seguranças, segundo Rodrigo Radaieski, diretor da empresa.

“Um ambiente de datacenter certamente vai ter mais de 100 câmeras, sensores e tecnologias associadas de monitoramento de vídeo que permitam a detecção de ameaças”, diz. “Por exemplo, uma movimentação fora do nosso perímetro físico, perto da nossa cerca, perto do nosso muro, é bastante utilizada. Na medida em que os sistemas detectam uma ameaça, eles indicam a câmera para o operador e a partir dali ele assume o processo para seguir com a com a notificação”.
A rede de proteção da empresa conta ainda com sensores de movimento e dispositivos de áudio, que notificam a pessoa que se aproxima sem autorização de um perímetro vigiado.

“As nossas câmeras já permitem a gente fazer o reconhecimento biométrico, saber se a pessoa que está lá é uma pessoa autorizada, fazendo a integração com o nosso sistema de acesso, então saber se o crachá dela foi autorizado, que crachá que ela utilizou. Realizando o rastreamento, sabemos exatamente todos os caminhos pelos quais a pessoa passou e onde houve acesso. A tecnologia nos apoia muito nisso”.

Para o futuro, Rodrigo também aposta no 5G como habilitador de uma estrutura ainda melhor. “Ele irá nos entregar uma infraestrutura maior, mais capacitada de conectividade, para que esses dados que precisam trafegar numa velocidade muito rápida e com uma quantidade grande de de informação, sejam trafegados de uma forma muito mais rápida, inclusive possibilitando um monitoramento remoto centralizado de todos os nossos datacenters”.

Inovação e tecnologia a serviço dos negócios

José Renato Gonçalves, da NEC, acrescentou que as tecnologias estão disponíveis para os negócios no sentido de aperfeiçoar as proteções.

“Existe uma gama de soluções que, na verdade, começa desde o 5G até algumas voltadas para biometria, pelas quais hoje a NEC é reconhecida internacionalmente. Tem um órgão nos Estados Unidos, chamado NIST (National Institute of Standards and Technology), similar ao nosso Inmetro daqui, que já conferiu à NEC uma série de reconhecimentos, como melhor motor de biometria, reconhecimento facial e reconhecimento digital.

José Renato trouxe alguns exemplos de aplicações reais em clientes de tecnologias fornecidas pela empresa, por exemplo em aeroportos.

Outro case de sucesso, esse no exterior, está implementado e funcionando no Aeroporto de Atlanta (Estados Unidos) em parceria com a Delta e a Sky Alliance. “Isso possibilita um processo 100% digital desde o check-in até a entrada no avião 100% digital, somente por biometria, passando pelo despacho de mala, imigração até a entrada no avião” – o que é especialmente importante após a biometria estabelecer novas regras de distanciamento e contato mínimo. “Hoje, os motores biométricos da NEC”, diz José Renato, “conseguem identificar, por exemplo, pessoas com máscara, peruca, bigode. A tecnologia realmente conseguiu evoluir muito em função das necessidades às quais tivemos que nos adaptar”.

E não para por aí, de acordo com o presidente da NEC. “Existem outras tecnologias biométricas de desenvolvimento, como leitura de íris, vasos sanguíneos, etc. Estamos pesquisando inclusive uma que é auricular – pela qual é emitido um som e lida a frequência que o ouvido de cada pessoa o devolve, o que é de cada um”, detalha. “Então, é uma outra maneira de biometria, isso já existe e está aí para ser usado”.

A importância das pessoas

Tecnologia de pouco – ou nada – vale se ela não for aplicada pelas pessoas e manejada por pessoas. No caso das preocupações em torno da proteção de perímetros, os colaboradores devem estar plenamente treinados e engajados com os processos. Afinal, nada é totalmente, 100% automatizado ou robotizado.

Para Vioto, do Bradesco, a questão passa pela certificação dentro da chamada ISO 27000, norma internacional que estabelece vários pontos de segurança corporativa e na qual a instituição vem se aprimorando desde 2009. “A ISO 27000 é algo importante porque ela te leva a um processo de melhoria contínua, certificando o grau de maturidade da cultura da segurança dentro da organização”, diz.

Isso ocorre, conforme o executivo, com “treinamentos constantes das equipes”. “Nós temos a tecnologia, mas ela não basta se nós não tivermos pessoas preparadas para operá-la. Neste processo, temos treinamentos que são periódicos trimestrais, semestrais, para que as pessoas possam sempre estar relembrando dos procedimentos que elas devem cumprir, seja aquele pessoal que faz o monitoramento de imagens, seja o pessoal que faz a liberação de acesso. Nós fazemos também testes de aderência periodicamente para ver se aquilo que foi estabelecido realmente vem sendo observado por todos os envolvidos no processo. Sabemos que uma pequena vulnerabilidade, por menor que seja, pode representar grandes riscos e grandes perdas”.

Melo, da Alcoa, destaca uma preocupação semelhante em treinar periodicamente colaboradores e gestores de segurança. “Trabalhamos muito forte para que os usuários sejam preparados e saibam como reagir ou reconhecer possíveis riscos. Pessoas despreparadas, sem conhecimento adequado, podem gerar um problema, financeiro, operacional para uma fábrica e para a empresa”.

Leia também: Em busca talentos: Como atrair profissionais preparados para o mercado

Esse treinamento, segundo ele, envolve até mesmo técnicas de reconhecimento de phishing entre os colaboradores com acesso a redes segregadas e dados sigilosos da empresa.

“O ponto realmente é que as pessoas estejam bem treinadas e sejam pessoas capacitadas para operar e atuar. Então, realmente é um trabalho forte para que as pessoas tenham habilidades e conhecimentos para operar corretamente as tecnologias, porque tecnologia a gente tem bastante realmente disponível”, considera. “Acho que o fator humano é o que talvez interfere bastante em gerar risco, muitas vezes porque se você não criar um processo corretamente, não tiver processos auditáveis, regras de compliance, não consegue fazer com que isso tudo trabalhe com uma certa harmonia”.

Heubert, da Cirion, e Radaieski, da Ascenty, destacaram em primeiro lugar o procedimento estrito que as empresas realizam nos casos de descarte de equipamentos usados e que chegaram ao fim de sua vida útil, seguindo uma série de normas para se assegurar de que nenhum dado ou informação remanescente ficou presente ali. A tecnologia de controle perimetral também é uma ferramenta poderosa para que se dê a destinação correta a esses aparelhos, evitando desvios inclusive durante os trajetos.

Falando de pessoas, Heubert destaca que o “clima organizacional é fundamental quando se trabalha em ambientes de operações de data center, que naturalmente são muito críticos.

‘‘Para você conseguir manter essa tensão em um nível de profissionalismo que a gente exige, temos que trabalhar com um clima organizacional muito bom. Então, realizamos constantemente um processo com as lideranças, de treinamento contínuo, assim como os funcionários passam por constantes reciclagens”. Situações de problemas pessoais dos colaboradores também são monitoradas constantemente pelo setor de RH, diz o executivo, para que seja assegurada total centralidade nas funções.

Rodrigo, da Ascenty, estabelece que na empresa é feito de forma contínua o treinamento dos colaboradores e sua reciclagem, “inclusive na medida em que a gente abre novos datacenters”.

“O monitoramento constante das pessoas, também pelos seus gestores, pelo RH, é um é um item muito importante. A gente pode ter eventualmente um desvio de caráter. Precisamos identificar isso rapidamente para que a pessoa não tenha acesso a informações privilegiadas”.

A empresa, de acordo com ele, faz simulados periódicos, inclusive não avisados aos funcionários, nos quais é simulado um ataque ou uma ameaça, “como alguém tentando entrar sem autorização no datacenter para vermos como que as pessoas estão reagindo e medindo o nosso tempo de reação”, explica o executivo.

“Dentro das lições aprendidas, a meta é melhorar e revisar os nossos processos que precisam estar em constante revisão e reciclagem”.

Por fim, José Renato, da NEC, afirma que as pessoas devem sempre ser vistas como peças centrais dos processos de transformação digital. “E, se elas não estiverem treinadas dentro do processo, naquela tecnologia que a gente está implementando, não funciona”.

Processos constantes de aprimoramento, pesquisa e desenvolvimento, segundo ele, são fundamentais - e a empresa faz grandes investimentos anuais nos colaboradores para que estejam em linha com as tecnologias mais novas e avançadas disponíveis.

“Temos hoje mais de 64.000 patentes de tecnologia, o que dá uma ideia do nível de pesquisa e desenvolvimento em que a NEC investe”.

Esse papel também surge com força na atuação da multinacional japonesa como integradora. “Nossos times têm que estar realmente muito sintonizados com os negócios dos nossos clientes, então aí nós temos um papel fundamental. Como integrador, não somente como um provedor de tecnologia – entendendo o processo, a cultura das empresas, para que possamos implementar ali a melhor tecnologia da melhor maneira possível, para que realmente isso seja efetivo”.