Por Marcelo Tavares de Santana [1]
Uma das principais ideias sobre tecnologia é esta ser qualquer coisa que estende a capacidade humana. A escrita é uma tecnologia que nos permitiu registrar nossas experiências e conhecimentos permitindo que outros possam continuar nossos estudos ao longo de diversas gerações; agricultura também é um exemplo de tecnologia. Apesar de tecnologias estarem muito associadas atualmente ao que é mecânico, eletrônico ou computacional, elas são primordialmente métodos manuais e/ou mentais, apesar de podermos automatizar muita coisa.
Quando tratamos de segurança, as principais tecnologias são métodos e boas práticas planejados por humanos e algumas vezes formalizados como normas, seja segurança predial, pessoal, digital etc. No caso das Tecnologias de Informação e Comunicação é comum encontrarmos um Plano de Continuidade de Negócios (PCN) divididos em subtópicos, aqui explicados de forma simplificada, como:
- Plano de Administração de Crises (PAC): define papéis e ações a serem atribuídas aos responsáveis que atuarão numa eventual crise;
- Plano de Continuidade Operacional (PCO): plano de funcionamento após incidentes de segurança e durante o tratamento de crises;
- Plano de Recuperação de Desastres (PRD): estabelece os métodos de recuperação operacional à normalidade no melhor tempo possível.
Não cabe tratarmos de todos os aspectos de um PCN nos nossos cuidados digitais, pois nossas vidas têm complexidade diferente de um ambiente de negócios, apesar de ser possível abstrairmos nossas rotinas domésticas como negócios, mas esses três subtópicos servem de base para práticas de fácil assimilação.
Pensando no PAC, somos nós mesmos os responsáveis pela administração da crise, sendo essa qualquer efeito de incidente de segurança previsto ou não num modelo de ameaças; veja mais sobre esse modelo em Criando um modelo de ameaças [2] ; pode-se ter pessoas de confiança para ajudar na administração da crise. Assim, o teu PAC é você mesmo e outras pessoas de confiança. O PCO no nosso dia-a-dia normalmente é ter redundância de recursos, por exemplo, ter a Carteira Nacional de Habilitação digital instalada no smartphone no caso de perda do documento impresso, ou conseguir fazer pagamentos via aplicativo caso o cartão bancário seja extraviado. Já o PRD pode ser um tanto custoso, pois pode envolver compra de equipamentos, e também restauração de dados, mas podemos por exemplo levar o equipamento mais caro conosco no caso de uma viagem e deixar a cópia de segurança em casa, que é o quê prefiro fazer, e assim, no caso de um furto na minha ausência, mantenho o notebook e perco o disco rígido externo. Uma preparação importante para incidentes é saber o caminho das informações para tratamento dos mesmos, por exemplo, estudar no site do banco onde fica a informação de contato para um bloqueio de cartão por telefone, assim fica mais fácil achar mesmo em situação de nervosismo; pode-se anotar em papel também, mas em caso de extravio é melhor ter conhecimento prévio de onde encontrar as informações.
Pensando nos aspectos de quem vai administrar, como continuar atividades durante um incidente e como sair da crise gerada pelo incidente, abaixo segue uma sugestão de lista de verificação mínima do que fazer pensando numa viagem ou longa ausência de casa (em parênteses uma associação com os subtópicos de PCN):
- três cópias do arquivo do chaveiro digital, pelo menos uma em nuvem (PCO);
- cópia de segurança completa dos equipamentos, preferencialmente duas cópias (PRD);
- definição de local de guarda de equipamentos, pode ser parentes ou amigos (PRD);
- definição de quem resolve determinados problemas, pode ser cônjuge (PAC);
- estudo de locais onde encontrar informações para eventuais bloqueios de cartão (PCO);
- estudo de roteiros de alterações de senhas de cartões ou serviços digitais (PRD);
- configuração de autenticação multi fatorial nos serviços digitais (PCO);
- simulação de incidentes (PCO/PRD).
Apesar de usar a palavra estudo, não se trata de algo demorado e que precisa ser amplamente documentado, podendo ser algo feito mentalmente e o mais rotineiro e confortável possível, sem perder qualidade de segurança de dados. O último tópico da lista merece uma atenção especial, onde devemos resgatar nosso modelo de ameaças. Pode-se desde fazer uma simulação deixando o cartão bancário um dia em casa (levando sempre um pouco de dinheiro no bolso), até fazer um exercício mental imaginando um incidente e como sair da crise gerada por ele. No caso de troca de senhas vale estudar os caminhos dessa troca, pois é possível haver mudança com as atualizações de programas ou sites dos serviços digitais.
Como nem sempre fazemos planos e/ou lista de verificação de viagem, de segurança etc. com um mês de antecedência, dessa vez a lista abaixo está como atividades, que podem ser realizadas uma por semana ou todas em poucos dias:
- Atividade 1: defina quem administrará crises para cada item de teu modelo de ameaças;
- Atividade 2: cheque equipamentos e funcionamento das cópias de seguranças;
- Atividade 3: revise seus métodos de uso e substituição de senhas fortes;
- Atividade 4: faça simulações, inclusive envolvendo terceiros quando necessário.
A última atividade sugere o envolvimento de terceiros e é boa para testarmos o tempo de recuperação também; por exemplo, se deixar o disco externo de cópia de segurança remota na casa de uma parente onde se gasta duas horas para ir e voltar, é importante passar por esse processo para ter a experiência e pensar no tempo de recuperação num eventual incidente de segurança. Último detalhe neste artigo: se possível, mantenha um fundo de reserva para comprar equipamentos novos onde os dados serão restaurados.
Faça as adaptações que achar necessário no teu plano de continuidade do dia-a-dia (digamos assim), de modo que seja efetivo e facilmente integrado às tuas rotinas. Desejemos que nunca seja necessário usar, mas se uma crise acontecer a gestão da mesma se torna mais fácil e reduz o impacto na nossa vida. Como a época de férias se aproxima, coloquem também esse plano nas tarefas de planejamento da viagem.
Bom verão a todos!
Notas:
[1] Professor de Ensino Básico, Técnico e Tecnológico do Instituto Federal de São Paulo