Foram R$ 3,8 mi para aprimorar auditoria.
O Serviço Federal de Processamento de Dados (SERPRO), empresa pública de TIC da América Latina, responsável por rodar os sistemas de core-business do Governo Federal, implantou uma solução de monitoramento e auditoria de acesso aos dados e aplicações de seu ambiente de mainframe.
Com investimento de R$ 3,8 milhões definidos em licitação pública, a solução foi desenvolvida nos dois Centros de Dados do órgão, em Brasília e em São Paulo, numa parceria entre as equipes do órgão e a empresa Escala Informática, consultoria de tecnologia orientada a negócios.
Com apoio da solução, os responsáveis pela segurança e auditoria de TI da instituição conseguem definir e gerenciar as políticas de acesso seguidas pelos milhares de usuários internos e externos da rede do Governo Federal, de modo a assegurar a integridade dos dados e impedir o uso de aplicações críticas por usuários não autorizados.
A solução oferece também relatórios históricos ou em “tempo real” dos acessos, para rastreabilidade das ações de cada um dos usuários, além de dispor de alarmes para acionar mecanismos automáticos ou ações humanas de controle contra tentativas de acesso não autorizado a dados contidos no mainframe ou contra o uso irregular de recursos propiciados pelas aplicações.
Para desenvolver a solução, a equipe da consultoria lançou mão dos recursos oferecidos pela plataforma IBM zSecure, suíte orientada para a administração e segurança de ambientes de mainframe, focada em atividades de controle e auditoria. A fornecedora empregou a sua própria solução Almada, ferramenta associadas ao zSecure, que acompanham o movimento de logs no ambiente de dados Adabas, permitindo o monitoramento em tempo real sobre todos os acessos.
Esta solução garante nível de conformidade com as normas internacionais de governança e de controle de risco, além dos requisitos de transparência sobre as condições de manejo de dados de interesse público.
Antes da adoção da solução Almada, a auditoria dos acessos dependia dos recursos tradicionais do próprio sistema operacional do mainframe e do ambiente de dados Adabas usado pelo órgão. De acordo com Roberto Cruz, gerente de projetos do SERPRO, esse modelo garantia apenas ações reativas e tinha pouca flexibilidade para desenvolver controles automáticos.
“Quando detectávamos algum procedimento incorreto, era necessário operar com os complexos recursos do sistema operacional para rastrear a origem do acesso e identificar o seu autor, mas este rastreamento ocorria sempre depois de tais ações já terem produzido prejuízos para o ambiente”, afirma Cruz.
Com a implantação, o monitoramento e análise das ocorrências podem ser realizados em tempo real e novos mecanismos preventivos podem ser desenvolvidos com muito mais facilidade pelas equipes de TI do órgão.
A solução administra toda a base de identidades de acesso (IDs) que usam os recursos da rede, tanto de forma individual quanto em grupo, realiza backup automático e organizado de todas as ações dos usuários, além de fornecer históricos de acesso com todo o tipo de abordagem solicitado pelos gestores de TI do SERPRO ou por profissionais de auditoria.
Ainda segundo Cruz, foi possível integrar os recursos do zSecure ao legado de dados Adabas, trazendo flexibilidade e a atualização para um dos sistemas cruciais. “Valorizamos ao máximo os investimentos já realizados para explorar as funcionalidades do que já tínhamos e era compatível com as plataformas mais avançadas que existem no mercado, por isso a opção pelo zSecure”.
Com 11 mil funcionários e mais de 40 mil computadores internos e externos ligados à sua rede, o SERPRO é responsável pelo desenvolvimento e produção de todo o sistema informatizado de coleta e processamento de impostos (ReceitaNet), de controle do Comércio Exterior (Siscomex), da folha de pagamentos do Governo (Siape), e dos sistemas do Denatran, além de dezenas de outras aplicações de missão crítica da Administração Pública Federal.
Para Udi Shani, VP da Escala, a solução de controle e auditoria de acessos do SERPRO mostra o preocupação do Estado brasileiro na preservação do sigilo e segurança de informações. “Se faz cada vez mais necessário eliminar brechas para o uso indiscriminado ou anônimo das informações dos cidadãos e das empresas que estão sob custódia do poder público”, analisa o executivo.
