Como muitos de vocês já sabem, na Bjumper, lançamos um novo canal de comunicação (Useful Talk), no qual pretendemos compartilhar a experiência e opiniões de especialistas que, de uma forma ou de outra, conhecem bem o setor das Infraestruturas Críticas..
Nesta primeira Useful Talk, conversamos com Oscar Fernández Gálvez sobre cibersegurança em Centros de Dados, principalmente no contexto das redes OT e IT..
Com este post, queremos apenas fornecer um resumo e uma visão do que foi discutido nesta Useful Talk; aproveito a oportunidade para informar que você pode assistir ao vídeo ou ao podcast completo em...
Video Completo Useful Takl Ciberseguridad en los Centros de Datos
A cibersegurança em Infraestruturas Críticas é um tema crucial para os centros de dados em toda a sua extensão, abrangendo muitos aspectos que não podem ser abordados nos 30 minutos desta conversa. No entanto, acreditamos que é um tópico muito interessante e começamos perguntando a Oscar sobre alguns pontos importantes a serem considerados ao falar sobre cibersegurança em Infraestruturas Críticas, especialmente nas redes OT e IT.
Oscar nos diz que um ponto-chave a ser considerado é a gestão das ameaças cibernéticas nos diferentes ativos dentro de cada Centro de Processamento de Dados (CPD). Algumas empresas gerenciam isso internamente, enquanto outras preferem a gestão terceirizada
IEle também menciona que nas redes OT não há uma tendência clara; as pessoas não estão convergindo ambas, preferindo gerenciar a segurança de forma independente, com pessoal e ferramentas diferentes. Vale ressaltar que historicamente, a cibersegurança em redes OT costumava ter menos controle em muitos casos, pois não estava conectada à internet.
A raíz de esta contestación y nuestra experiencia en Centros de Datos, le preguntamos a Dada essa resposta e nossa experiência em Centros de Dados, perguntamos a Oscar se é importante que ambas as redes (OT-IT) converjam para uma maior segurança e eficiência..
Com base em sua experiência, ele destaca a importância da segurança em todos os ativos das redes IT e OT. Embora geralmente tenhamos altos níveis de segurança em IT, devemos estar cientes de que, por exemplo, uma falha de segurança em OT pode permitir que um invasor acesse nosso Sistema de Gerenciamento de Edifícios (BMS) e coloque em risco nosso CPD, dependendo das configurações. Portanto, a convergência e a implementação de ferramentas de gerenciamento unificadas em todas as infraestruturas críticas são fundamentais, entre outras razões, para compartilhar todas as informações disponíveis..
do o que Oscar nos diz nos leva a fazer uma nova pergunta sobre os ativos e o que uma gestão inadequada do inventário pode implicar para a segurança da rede.
ANeste contexto, ele esclarece que a gestão abrangente do inventário é fundamental para a segurança do CPD, tanto em redes OT quanto IT. Dados como o próprio IP, portas, protocolos, serviços oferecidos, sistemas operacionais, versões, atualizações, etc., tornam a gestão de ativos do CPD um elemento diferenciador e determinante, contribuindo para a segurança do CPD.
É evidente que se tivéssemos que fazer esse trabalho manualmente, seria uma loucura, por isso devemos nos apoiar, na medida do possível, em ferramentas que nos permitam completar nosso inventário de ativos, desde a parte mais física do ativo, como a versão dos diferentes firmwares, até a parte lógica, como sistemas operacionais, aplicativos instalados, serviços oferecidos, certificados de segurança instalados, etc.
A partir da conversa e na tentativa de responder aos problemas dos diferentes departamentos dos CPDs, perguntamos a Oscar sobre a importância de unificar todos os elementos e processos em torno da segurança. Comentamos que até nos deparamos com a duplicidade de custos em vários departamentos, por não ter essa unificação..
Oscar nos explica que um dos problemas que ele tinha a esse respeito era a própria gestão dos ativos, um problema que crescia à medida que o próprio Data Center crescia; no início, ele gerenciava isso com Excel e Vision; essas ferramentas eram insuficientes para fornecer uma resposta adequada aos diferentes responsáveis sobre seus ativos e plataformas, então ele precisou de ferramentas de gerenciamento (tipo DCiM) para oferecer um serviço melhor, tanto para o cliente interno quanto externo, de maneira mais rápida e eficiente..
Com relação à duplicidade, Oscar destaca a importância de alinhar as pessoas com os processos, sendo necessário um trabalho de comunicação entre todos os departamentos e responsáveis; a mudança tecnológica e a abordagem de novas formas de gerenciar os processos são importantes, então Oscar considera essencial implantar uma ferramenta DCiM para gerenciamento abrangente.
Ele também fala sobre a importância de integrar os elementos dentro da infraestrutura desde o início, pois todos eles fazem parte de uma cadeia, onde existem elos mais fortes e mais fracos, que precisam ser claramente identificados para posterior análise e trabalho nos elos mais fracos, para que esses não se tornem pontos de falha.;
Nesse sentido, ele compartilha sua própria experiência na implementação do seu DCiM e menciona que:
Ele trabalhou bastante na topologia de rede do DCiM e nas comunicações, tanto nas redes WAN (conexões e acessos de redes remotas) quanto na LAN (identificação de redes, conexões e acessos necessários)..
Em termos de segurança de aplicativos, ele se concentrou na eliminação de acessos não autenticados para o envio de alertas e tarefas, entre outros.
Integrações com outros produtos, como ticketing, VMware e Hyper-V, foram igualmente asseguradas.
Quanto à rede OT, ele comenta que o BMS que suportava a rede do edifício teve que ser segurizado. Por exemplo, identificar redes, impor proibições de acessos do exterior para garantir que qualquer acesso fosse sempre feito do interior do edifício para evitar vulnerabilidades, foram algumas das tarefas e ações realizadas.
O BMS foi integrado ao DCiM, proporcionando uma visibilidade total da rede OT e IT.
Para Oscar, é crucial ter todos os elementos integrados na infraestrutura, pois todos fazem parte de uma cadeia, com elos mais fortes e mais fracos. Esses elos precisam ser identificados claramente para análise posterior, trabalhando nos elos mais fracos para que não se tornem possíveis pontos de falha.
Aproveitamos para perguntar a Oscar se ele acredita que o DCiM pode ajudar na tomada de decisões e, assim, antecipar possíveis falhas que possam ocorrer.
Oscar nos diz que a resposta é um pouco complicada, pois há mais fatores a serem considerados, embora ele assegure que um bom DCiM ajuda a ter todas as informações centralizadas, consolidadas e garantidas ao longo do tempo. Portanto, quanto mais informações tivermos integradas, nossas decisões serão mais adequadas em cada momento.
Continuamos nossa conversa e fazemos mais perguntas sobre consultas que nossos clientes nos fazem, relacionadas à necessidade de incorporar mais dispositivos IoT, sensores, réguas, etc., em suas redes OT. Perguntamos a Oscar sua opinião sobre o possível aumento de ameaças de segurança nas redes OT, à medida que essas redes se conectam cada vez mais à internet..
Com base na experiência acumulada, Oscar indica que os ataques internos se multiplicarão em relação aos externos. Já é uma realidade, mas em um futuro próximo, toda a rede de IoT e OT será um ponto muito importante a ser considerado, dada a grande implantação que está ocorrendo nesse sentido. Também observa que os níveis e condições de segurança podem não ser os mais adequados neste momento.
Ele continua nos dizendo que há uma grande quantidade de ativos legados que não estão mais atualizados e que são difíceis de gerenciar ao implementar medidas de segurança. Um percentual desses ativos não é mais seguro por diferentes motivos que precisariam ser analisados individualmente.
Essas redes, assim como as redes IT, têm uma grande quantidade de ativos com sistemas operacionais ou desenvolvimentos não suportados há muito tempo, por estarem fora do ciclo de vida do fabricante; por outro lado, há um grande percentual deles que não é seguro, começando pelo próprio hardware do ativo, além de muitas boas práticas para a manipulação desses ativos não serem aplicadas, como, por exemplo, não usar o bom senso durante instalações e configurações de produtos: "não é suficiente clicar em 'Next, Next, Next' para configurar e finalizar sem considerar, por exemplo, os acessos que foram concedidos, que credenciais estamos compartilhando, etc."
CEle também destaca que, nesse sentido e em relação às redes OT, existem muitas réguas em rack ou quadros elétricos que não são monitoradas ou gerenciadas. Esses são outros pontos de segurança pelos quais um CPD pode ser atacado.
De acordo com dados do Instituto Ponemon, "90% das empresas que usam tecnologias OT sofreram ciberataques nos últimos dois anos, dos quais 45% estão relacionados à própria maquinaria industrial".”.
Voltando à primeira pergunta, na qual discutimos se é melhor gerenciar internamente ou terceirizar os ativos, pedimos a opinião de Oscar sobre os possíveis riscos nas soluções de nuvem (Cloud - Enterprise), no que diz respeito ao monitoramento das infraestruturas OT..
Neste sentido, é mencionado que, independentemente do modo de gestão, há riscos associados aos ativos herdados (tanto IT quanto OT) que precisam ser resolvidos. Para dar alguns exemplos: acessos não autorizados, vulnerabilidades de sistemas não monitorados, infraestruturas precárias, falta de manutenção, riscos de perda de informações, etc. No entanto, é destacado que, na parte da nuvem, é crucial saber claramente o que é oferecido. É importante conhecer a segurança fornecida pelo provedor de nuvem e a segurança que podemos ter se o fizermos internamente. Um fator também a ser considerado são os custos de cada opção.
Continuamos conversando com Oscar, e ele destaca a importância dos acessos na segurança. Cada vez mais, o volume de informações sobre pessoas e o que isso implica em termos de proteção de dados é maior... Por esse motivo, pedimos sua opinião sobre quão seguros estão os dados nos Data Centers.
Logicamente, a pergunta daria muito conteúdo, e Oscar dá uma pequena pincelada e insiste na ideia da informação centralizada, consolidada e garantida ao longo do tempo. Isso nos permitirá gerenciar os dados mais críticos ou aqueles que mais nos preocupam. Uma parte importante é como definir as políticas de Regulamento Geral de Proteção de Dados (RGPD). Aqui, a comunicação entre os responsáveis pelo CPD e os responsáveis pela governança dos dados é importante para proteger e garantir todas essas informações..
Para concluir o resumo da entrevista, perguntamos a Oscar qual é sua opinião ou quais requisitos podem ser importantes ao incorporar uma infraestrutura crítica.DCiM.
Diante desta última pergunta, Oscar nos diz que começaria por entender qual papel o Data Center desempenha na organização, levando em consideração o tipo de empresa.
Ele continuaria realizando um estudo interno dos pontos de possível melhoria para alinhar a transformação digital do serviço do Data Center com os interesses da empresa.
As deficiências parciais identificadas poderiam ser resolvidas com táticas pontuais, sem a necessidade imediata de um DCiM, mas a evolução diária da transformação digital exigiria a criação de estratégias para alcançar os objetivos
Oscar destaca que o plano estratégico para essa transformação deve abranger os três pilares fundamentais: Tecnologia, Processos e Pessoas
Após desdobrar os requisitos desses pilares, seria necessário consultar o mercado para escolher dois pontos cruciais:
A tecnologia mais adequada e a escolha do parceiro tecnológico especializado, talvez a peça-chave para projetar uma solução que se alinhe perfeitamente à transformação planejada..
Esse parceiro tecnológico ideal deve demonstrar uma vasta experiência na integração de soluções DCIM de alta qualidade e ter um profundo entendimento de todos os atores envolvidos nos Centros de Dados, compreendendo suas necessidades específicas. O objetivo seria buscar a máxima otimização e automação dos processos.
Concluindo, Oscar expressa a gratidão a Oscar por sua contribuição ao setor e destaca que a equipe da Bjumper está à disposição dos responsáveis por infraestruturas críticas para resolver quaisquer dúvidas ou questões relacionadas à otimização e automação de infraestruturas críticas, sem qualquer compromisso por parte deles.
Let it work for you!
