Sobre a recuperação de estações de trabalho

Há uma tendência que se tem observado, ao longo de muito tempo, e transversalmente às organizações, para valorizar a importância dos sistemas servidores em detrimento das estações de trabalho. Numa perspectiva de segurança, claro. E esta valorização traduz-se, na prática, na concentração de recursos em torno dos servidores, ao nível dos controlos de segurança, por um lado, e, por outro lado, nas medidas e procedimentos que são definidos, que são ensaiados, para recuperar os sistemas. Acima de tudo, para recuperar a informação guardada nos repositórios.

Até aqui, nada a acrescentar.

Mas há um aspecto que, na minha opinião, merece uma atenção especial. É o seguinte: numa organização pequena, ou mesmo média, em que o número total de equipamentos, incluindo as estações e os servidores, seja na ordem das poucas dezenas, o esforço de recuperação dos equipamentos numa situação de falha generalizada, é relativamente pequeno. Se for mesmo necessário instalar todas as máquinas, uma equipa pequena conseguirá fazê-lo em alguns dias, ou, no limite, mesmo-mesmo no limite, conseguirá fazê-lo numa semana ou em duas. Mas... e se forem centenas? Ou milhares? Imaginem que tinham que ser recuperadas dezenas de milhares de máquinas. Quanto tempo seria necessário para voltar a ter os sistemas no ar? Mais: para complicar um bocadinho o problema, imaginem que os servidores estavam concentrados em dois ou três locais mas que as estações estavam distribuídas, em grupos de poucas dezenas, numa extensão geográfica significativa. Estão a ver o problema? Os servidores eram recuperados em pouco tempo mas, na prática, não iriam ser utilizados por (quase) ninguém: sem estações de trabalho, os servidores seriam inúteis.

É por causa deste problema, um problema que pode afectar organizações com alguma dimensão, que continuo a insistir, sempre que a questão se levanta, na importância de reforçar os controlos das estações de trabalho, e na necessidade de definir e testar planos de recuperação destas máquinas, na eventualidade de serem destruídas. Ter até sistemas alternativos, num modelo diferente, no caso de ser necessário garantir, rapidamente, o acesso das estações a um conjunto de serviços críticos para o negócio.

A eventual destruição das estações pode acontecer como resultado de um acidente, uma acção inadvertida no seio das operações, como pode acontecer na sequência de um ataque cego e automático de um vírus, ou personalizado por alguém que vise uma organização concreta. Em qualquer dos casos, o resultado é absolutamente igual. E é por isto que é essencial antecipar a catástrofe e, claro, ter um plano para recuperar. Ou, simplesmente, continuar.

Mas isto será provável? Qual é o risco? Bem, independentemente da probabilidade, o impacto pode ser tremendo. Apesar de não querer passar uma ideia excessiva, uma hipérbole, não consigo deixar de pensar neste exemplo: A probabilidade de alguém ou alguma coisa afectar uma central nuclear é, em termos práticos, reduzida. No entanto, o impacto de um acidente pode ser desastroso. É por isso que os controlos de segurança são especialmente reforçados: porque a probabilidade, em situações em que o impacto tenha uma dimensão catastrófica, não é o factor preponderante — o impacto é o factor principal.

Pensem nisto.