O que eu disse sobre segurança e preciso explicar: afirmativa 1
Depois da saudável polêmica gerada pelo último artigo, abro com este uma série de pequenos comentários que explicam e procuram ilustrar cada uma das afirmativas.
"Nenhuma empresa estará um dia totalmente protegida das ameaças que colocam em risco suas informações. Isto seria absurdamente caro ou seus processos ficariam extremamente engessados."
Talvez esta tenha sido a afirmação menos polêmica do artigo original, pois é notório o movimento de desenvolvimento das empresas no sentido de aplicar novas técnicas, métodos e ferramentas, especialmente as de Tecnologia da Informação, para tornar seus negócios mais rentáveis e competitivos.
A indústria de tecnologia é muito dinâmica e surge com dispositivos inovadores em velocidade estonteante. Propõem formas diferentes de se fazer a mesma coisa ou até mesmo formas de se fazer mais coisas com o mesmo tempo, e às vezes, com o mesmo custo. É uma verdadeira indústria da construção, movida por processos criativos de desenvolvimento, mas que é acompanhada de perto por outra indústria: a da demolição.
Ilustrando, lembrei-me de uma passagem recente ocorrida em um congresso internacional. Muitos executivos portando seus PDAs e celulares que carregam, além dos recursos necessários para estabelecer uma comunicação de voz, muitos outros recursos como o de conexão sem fio Bluetooth. Sem dúvida uma revolução na interoperabilidade dos dispositivos, mas que neste dia representou uma situação de risco. Um dos presentes me apresentou ao fim de uma das apresentações seu celular. Na tela se lia: “o recurso bluetooth do seu celular estava ligado. Eu agora tenho os telefones de sua agenda e não mais os tem. Cuidado!”. Foi portanto, uma clara demonstração dos benefícios providos pelo avanço tecnológico e ao mesmo tempo, a evidência de que nossos equipamentos e dados não estão mais nem seguros enquanto descansam no bolso do paletó.
Parafraseando Isaac Newton, toda ação gera uma reação de mesma intensidade e em sentido contrário. Assim, enquanto muitas cabeças se debruçam sobre pranchetas para estudar formas de se obter maior eficácia e proteção, muitas outras o fazem com o objetivo de identificar fragilidades e desenvolver ameaças para explorá-las. São as regras do jogo e, justo por elas, que o fator de risco tende a estar sempre presente, hoje e sempre.
É verdade que muitas contramedidas poderiam ser empregadas, que seria possível identificar pró-ativamente muitas ameaças, e que a reação poderia vir em um espaço de tempo tão curto que praticamente anulasse a ameaça, mas este cenário provavelmente demandaria tanto investimento ou tornaria a operação da sua empresa tão amarrada, que o tiro poderia sair pela culatra. Por estas e outras é que dizemos que não existe Segurança 100% e que cada negócio requer um nível de segurança compatível com a natureza e o seu modelo de negócio, bem como com o seu nível de risco tolerável.
Conclusivamente devemos enxergar tudo isso como uma balança em busca do equilíbrio, ou ainda analogamente como um carro representando o seu negócio e o freio representando a segurança. À medida que a tecnologia de frenagem evolui, os engenheiros de motores podem levar seu carro à velocidades ainda maiores com a certeza de que podem ser parados pelos freios. Pensando assim, o freio não deve impedir que o carro se desenvolva, e sim tranqüilizar o motorista de que mesmo em altas velocidades, diante de uma ameaça, ele poderá administrar os riscos e evitar uma colisão.
Texto originalmente publicado na Coluna Firewall – IDGNow® e cedido pelo autor para o ISMS PT. Distribuição livre se mencionada a fonte e o autor. O autor pode ser contactado através de marcos@semola.com.br, o seu site é www.semola.com.br. Marcos Sêmola é um reconhecido especialista brasileiro com dezenas de artigos e vários livros publicados sobre as normas de Segurança da Informação, sendo ainda membro da nossa Comunidade.
Labels: Segurança da Informação
Data 9.10.05