Por Fausto Fernandes – TI Inside nº 50 – setembro de 2009

EMPRESA ESTÁ HÁ MAIS DE UM ANO SEM REGISTRAR QUALQUER INCIDENTE. COMO? SUBSTITUIU SOLUÇÕES CASEIRAS DE SEGURANÇA POR PACOTES DE MERCADO.

A rede de TI da Companhia do Metropolitano de São Paulo (Metrô-SP) conta com aproximadamente 8 mil usuários que utilizam 3 mil desktops, geram um fluxo de 30 mil e-mails por dia e mais de 4 mil conexões simultâneas em um ambiente operacional Windows 2003. Além disso, possui uma infraestrutura com 12 sites distribuídos na Região Metropolitana de São Paulo, interligados pela rede Intra-Gov (serviço de comunicação prestado pela Telefônica ao Governo do Estado).
As chances de invasão e a complexidade do gerenciamento da segurança desse ambiente são altas, sendo necessário uma solução igualmente à altura para proteger todo este ambiente. Tal operação era realizada pela própria equipe da instituição, que sentiu necessidade de terceirizar o sistema, já que as soluções caseiras utilizadas contra ataques externos se tornaram vulneráveis diante do aumento da violência virtual.
Em novembro de 2007, a companhia abriu um pregão eletrônico para dar início à reforma tecnológica. A Agtech, consultoria especializada em trabalhos de outsourcing, venceu a licitação para oferecer um serviço que inclua monitoração remota em regime 24x7 e uma solução de alta disponibilidade para ambiente Linux.
No primeiro mês do ano seguinte, a consultoria implantou outra solução, desta vez baseada em appliance (máquinas dedicadas e especificamente preparadas para segurança, que geram relatórios de acesso indicando quem acessou o quê e quando, filtro de conteúdo e categorização de sites), recursos de firewall e VPN (Virtual Private Network) para todos os usuários e o software Astaro Security Linux, além de redundância deste ambiente.

ZERO DE INCIDENTES
Marcos Antônio dos Santos, chefe do departamento de infraestrutura de TI do Metrô-SP, informa que desde a incorporação da nova plataforma nenhum incidente foi identificado. “Em mais de um ano e meio de contrato, não foi registrada qualquer ocorrência, nem indisponibilidade, e isso trouxe mais tranqüilidade para nós”, afirma.
O trabalho começou com a categorização de páginas antes do acesso livre aos colaboradores. Foram identificadas palavras-chaves para, a partir daí, bloquear ou liberar o acesso, levando em conta o tipo de trabalho realizado pelo colaborador. Como exemplo, páginas de bate-papo são proibidas a quase todos os departamentos, exceto para quem realmente necessita da ferramenta, Os operadores também não têm permissão de fazer download de arquivos e outros conteúdos, pois podem degradar a performance da rede e por em risco a sua integridade.

LOGIN ÚNICO
Para Santos, o que prova a efetividade da segurança da rede é a integração total dos sistemas. “O software de segurança conversa com a autenticação. Tudo o que é acessado está sendo logado, assim temos um controle maior do que acontece em nosso ambiente”, frisa. O executivo de negócios da Agtech, Marcelo Schiavo, complementa que o login é realizado na própria máquina, sendo necessária apenas uma autenticação. “A política de acesso é a mesma usada no Windows, o que traz mais agilidade ao funcionário”.
A proteção do ambiente Metronet (o nome da rede do Metrô) é feita pelo antivírus interno Norton, além do firewall contido no Astaro. O recurso permite o acesso somente a quem tem permissão, seja de dentro para fora da rede, ou vice-versa.
O contrato assinado vale por três anos, mas pode ser prorrogado por mais dois. Depois disso, uma outra licitação será aberta, cumprindo as exigências do Metrô-SP. Santos salienta que a solução adquirida protege a operação de gestão e não a operacional, que tem outra natureza e requisitos.