Não é de hoje que discutimos acerca de um novo modelo de gestão de segurança da informação, baseada no elemento central: as pessoas.
Porque dentre todas as vulnerabilidades que se possa mapear em uma empresa, nenhuma outra atinge com tanta contundência os objetivos primários da segurança: confidencialidade, integridade, disponibilidade.
Pessoas são o elo fraco de qualquer ativo informacional e por mais que nos preocupemos com ameaças físicas e lógicas, se as humanas não tiverem a devida gestão, a probabilidade do risco é enorme. Já diz o velho ditado na informática: “não há patch que resista à burrice humana”.
A discussão é longa e muitos profissionais de TI culpam os usuários ?desobedientes? pela falha dos planos! Mas será isso mesmo?
O problema pode estar em você, profissional de segurança da informação.
Para poder compreender a segurança de uma tecnologia, é preciso dominá-la totalmente. Por conta disso, é uma área que atrai profissionais de alta capacidade técnica.
Por outro lado, quando a empresa se deu conta que precisava de alguém para cuidar do assunto, lembrou que havia um técnico trabalhando há anos na casa. Contratar alguém no mercado seria caro. Além disso, como confiar algo tão crítico a um desconhecido? Logo, por que não promover o técnico a gestor ou coordenador de segurança da informação?
O problema é que nem sempre ele tem um perfil adequado para a posição.
Egos inflados
TI sempre foi conceituada como profissão do ?eu?. Jamais questione um projeto de outro técnico! O jogo de empurra-empurra é presente até hoje: o técnico do servidor leva a senha root para casa, como se fosse Deus; e não deixa a equipe implantar o ERP.
A equipe de ERP diz que o problema na lentidão no sistema é por culpa do DBA. E o DBA? ?Ah, o problema é do link, ligue para o 0800 da Telefonica…?
Ninguém assume erros ou colabora.
Este perfil deve mudar, pois o setor perde demais com isso. Durante anos o técnico de TI foi conhecido como o ?Náufrago do CPD?, um ser isolado dentro de uma caixa que mantinha relações apenas com seu ?Wilson?, diga-se, seu computador.
Resultado: quanto mais técnico e isolado, mais técnico e isolado será. Me respondam. Na empresa em que trabalham: o CIO tem formação em TI? Ou foi ?importado? da Administração, do Direito etc…?
Costumamos brincar que muitos profissionais de TI escolheram esta área justamente para não precisar lidar com pessoas. É um paradoxo curioso, que eu chamaria de Complexo de House.
Para quem não conhece, House é um seriado médico de grande sucesso, com personagem principal homônimo, que goza de uma incrível popularidade entre os profissionais de TI.
Se nós pudéssemos resumir a personalidade de House, poderíamos dizer que é um brilhante médico, mas que não gosta de pacientes. Fica fácil entender porque o seriado é amado pelos profissionais e estudantes de TI. Assim como o Dr. House, na maioria da vezes, em maior ou menor grau, profissionais de TI não gostam de usuários.
Não existe nada mais perigoso que colocar alguém que não gosta de usuários para definir medidas de segurança. Se trabalhando em TI ele já foi responsável por bloquear até a troca do papel de parede das estações, imagine o que ele pode fazer em escala empresarial.
Profissionais com esse perfil não costumam possuir sensibilidade para perceber o quanto é delicada e incômoda a mera existência de um departamento de segurança. Não observam o quanto o contexto é capaz de mudar o comportamento das pessoas que nele atuam.
Medidas conflitantes
O trabalho de um gestor de segurança é servir como um agente de mudanças, é ser um facilitador no processo de implementação de medidas que de certo modo privam a liberdade dos colaboradores. É impossível fazer isso brigando com toda a empresa. Entre demitir todos os empregados e demitir o gestor, não é difícil imaginar qual a melhor decisão a ser tomada.
Ninguém gosta de medidas de segurança. Quando se está sujeito às medidas de segurança, todos a detestam. Porém, num belo dia, a área de segurança é ?promovida?, ganhando independência. Pode apostar que as primeiras medidas de segurança terão como objetivo atormentar a vida dos técnicos: restrição de uso das contas dos administradores, geração excessiva de logs, controle de mudanças, etc.
Estoura o conflito: os técnicos alegam que os profissionais de segurança, agora que são independentes, sugerem controles que jamais recomendariam se fossem responsáveis por sua implementação.
Para alguns, essa sutilezas podem parecer óbvias, mas conhecemos profissionais com anos de experiência que ainda não se tocaram. Colocar um técnico com o perfil do Dr. House para escolher medidas de segurança é uma estupidez administrativa, pois esse tipo de profissional não trabalhará para diminuir essas arestas, e sim para acentuá-las, criando um porno de discórdias e desavenças.
Além disso, ele não possui uma das características básicas para amenizar os problemas que é a capacidade de dar o exemplo. É muito comum ver profissionais de segurança dando sermão nos usuários em campanhas de conscientização, recomendando uma série de procedimentos que eles mesmo não seguem.
Se você questioná-los, ouvirá algo do tipo ?eles não podem usar o MSN, ou Orkut porque não sabem amenizar os riscos, mas eu sei?. Ridículo!
Essa postura até encontra embasamento técnico, mas não há nada mais ineficaz, além de arrogante.
Você jamais vai ter moral para pedir aos usuários para interromper o uso do MSN se você continuar usando a ferramenta todo dia.
TI é uma profissão de poder. E poder corrompe. Confiar piamente no seu técnico promovido à gestor seria entender que gerentes de TI seriam todos heróis incorruptíveis. Não são pessoas que devem se adaptar à TI, mas a TI que deve considerar pessoas na adoção de medidas de segurança da informação. [Webinsider]
…………………………………………..
Notas
1. Artigo Derivado Segundo Licença Creative Commons: Artigo Original de Anderson Ramos, Como não implementar medidas de segurança – Parte 1, publicado em 07-02-2008.
2) Leia a licença aplicável ao artigo em tela.
4000.4288.4284.4283.4280.4275.4266.4253.4224
José Antonio Milagre
José Antonio Milagre (@periciadigital) é Perito e Advogado especializado em Tecnologia da Informação. Site: www.legaltech.com.br.
3 respostas
qualquer profissional de TI que parta do principio que o usuario é burro já começa com um pé atras sa solução de qualquer problema.
não só na area de seguranca, mas o desenvolvimento de sistemas idiot proof acaba por complicar ainda mais a vida de toda a equipe envolvida no projeto.
José Antonio..
Excelente texto, claro e objetivo.
Venho atuando na área do Direito Digital, sobretudo na gestão do risco eletrônico e segurança da informação, seja na esfera privada ou empresarial, e reputo imprescindível manter um diálogo aberto com os profissionais da TI.
Se de fato estamos conectados, o trabalho se torna mais eficaz!
Saudações!
Me vejo nessa situação muitas vezes. Me policio o tempo todo para evitar cometer essas atitudes da parte final do artigo.
Tenho formação em TI, mas as vezes sinto falta de uma formação administrativa, e penso em fazer algo do tipo, para tentar me aproximar de outros processos da empresa. No meu caso, o artigo acerta na mosca, principalmente na parte do técnico isolado que não gosta de usuários rs.
Espero que a experiênca e a madureza que adquirir com o tempo possa me ajudar quanto a isso.