Reflexões para 2015 (em 25jan15)

25 de janeiro de 2015 enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

Resolvi compartilhar nesse artigo, aliás, o primeiro de 2015, algumas reflexões que realizei sobre temas que trabalho e que há mais de vinte e cinco anos estudo e pesquiso. Farei isso sem uma ordem de prioridade do assunto; eles aparecerão de forma aleatória. Então, vamos lá.

Segurança da Informação

A maioria de vocês acompanha noticiário e devem ter reparado que nos últimos anos os casos envolvendo incidentes de segurança da informação crescem de forma vertiginosa, isso é fato. Esses incidentes, vindos de agentes de ameaça de dentro ou de fora da empresa não poupam ninguém. Pode ser empresa privada de qualquer porte, pode ser empresa pública, todos são alvos hoje em dia.

A competitividade e os interesses comerciais não são os mesmos de vinte anos atrás. Existe uma complexa teia comercial que envolve empresas de todos os portes, segmentos e tipo (privada, pública). E com o incremento espetacular da tecnologia da informação, tornou muito, mais muito mais fácil realizar qualquer transação, negócio, para o bem ou para o mal.

As pessoas, elo fraco nessa questão, também sabem disso, notadamente as mal intencionadas. Valores que eram cultuados em nossa sociedade há trinta anos saíram de moda, e deram lugar há outros “valores”. Isso tem mudado drasticamente, para minha tristeza. É preciso entender que existe hoje um punhado de pessoas que desejam se dar bem rapidamente, usando Maquiavel: o fim justifica os meios.

A informação continuará a ser por muito tempo o ativo, depois das pessoas, mais valioso que qualquer organização possa ter. E dessa forma é imperativo que a proteção da mesma seja realizada dentro das melhores práticas. É preciso ter em mente que quando estou falando em Segurança da Informação, falo de forma ampla, como deve ser, focada em: Pessoas, Processos e TI. É um erro crasso considerar apenas a parte da TI.

Nesse contexto, uma situação que não me parece muito fácil de lidar é com a potencialidade dos “celulares”, opa, digo, smartphones, de hoje em dia. Em uma velocidade espantosa tornaram-se um instrumento que não mais usa somente a voz, mas transmitem dados, fotos e vídeos em um piscar de olhos.

Para a Segurança da informação corporativa essas maquininhas devem ser consideradas uma ameaça; não há como pensar de outra forma. Imaginem a situação a seguir, absolutamente factível em qualquer empresa:

Alguém esquece um documento importante sobre uma mesa. Uma pessoa, de dentro ou de fora da empresa, com alguma intenção no momento ou guardando para um futuro, saca seu smartphone, bate uma foto (a resolução está cada dia melhor), envia para seu e-mail, para onde quiser, abre o local que enviou para certificar que chegou e faz a checagem, apaga a foto do aparelho e do e-mail enviado, para não deixar vestígio se alguma coisa der errada até sair da empresa. Realiza o processo em minutos.

Mas, o que a pessoa fará com a foto do documento que obteve? Eu tenho algumas conclusões e você certamente tem as suas. Posso garantir para vocês que as minhas não são nada boas.

E como tratar uma possibilidade como essa? Radicaliza-se, proibindo a entrada desses aparelhos? Assume-se o risco, e seja lá o que Deus quiser? Acha um meio termo, com políticas e controles de segurança? O fato é que a dinâmica do ambiente corporativo se alterna em uma velocidade dramática e por vezes temos a impressão de estarmos sempre atrasados em nossas ações. É difícil, mas se antecipar deve ser o verbo a se conjugar.

Fraudes e Corrupção

O ano de 2014 sem dúvida foi o ano dessa dupla: fraudes e corrupção. Durante os trezentos e sessenta e cinco dias do ano estimo que se houve uns dez dias de noticiário que não foi mencionada uma das duas palavras, ah, e mais a sua prima irmã Lavagem de Dinheiro, foi muito. Um verdadeiro absurdo!

E durante esse 2014 tive que responder muitas vezes a pergunta: professor, é possível se combater as dita cuja? Sim, desde que se queira. Metodologias e técnicas existem e estão aí para serem aplicadas. Falta atitude!

Ok, mas por que são tantas e ninguém as previne? Bingo, essa é a palavra, PREVINE. Ninguém as previne porque ninguém gosta ou acredita na Prevenção.

Fiquei refletindo porque a maioria acha sensacional o trabalho de A ou de B quando aparece na TV que foi pego fulano e cicrano que fraudaram alguma entidade em X milhões! Nossa, pegaram os caras! Que legal, parece bem bacana…só parece. Olhando pelo lado da interrupção do incidente, é ótimo, não haverá provavelmente mais prejuízo, mas é só. Há dois pontos aqui.

O primeiro é que para a esmagadora maioria desses incidentes não se consegue recuperar o que foi materializado, digo, a grana; ou, quando se consegue, o nível de recuperação é baixíssimo. Isso quer dizer que a maioria das perdas foi para o ralo mesmo.

Segundo. Se você for tecnicamente avaliar, a maioria desses incidentes de fraude e corrupção poderiam ter sido facilmente prevenidos evitando assim a sua materialização. E o custo da prevenção revela-se infinitamente inferior ao incidente materializado.

Fiquei pensando, ok, mas por que não se previne? Elucubrei algumas respostas:

  • Falta de interesse;
  • Falta de conhecimento dos resultados da palavra Prevenção;
  • Interesses escusos ou interesses paralelos;
  • Falta de recursos, digo grana, para investir na Prevenção (desculpa);
  • Nunca vai acontecer isso conosco, só com os outros (negligência);
  • E por aí vai.

Será que alguma coisa nesse cenário vai mudar para 2015?

Risco

Outra palavrinha que fiquei aqui pensando é sobre o Risco. Como a maioria do povo brasileiro parece não inseri-la em seu dia a dia. Se fizesse uma pesquisa na rua não sei se de cada dez dois acertariam com certa precisão a definição.

São tantos os acontecidos no ano passado e nos outros anos que já até lancei uma campanha para se ensinar o conceito de risco na escola, mas, enfim…vamos ver alguns exemplos:

A pessoa bebe e bebe muito e vai pegar o carro para dirigir… o cara compra três ar condicionado de muitas BTUs e não dá a mínima importância para sua capenga instalação elétrica … o camarada vai ao banco e saca 10 mil reais, enfia o dinheiro no bolso, fazendo aquele volume, que não chama a atenção de ninguém …a indústria armazena insumos de fácil combustão em áreas pouco arejadas e de rápida propagação de fogo … a pessoa volta do trabalho ou escola à noite e escolhe o caminho mais curto, mas aquele que é um verdadeiro breu … o cara sai com o helicóptero sabendo que no meio do caminho existe a previsão de que uma tempestade está se formando…o cara sabe que aquele morro já desbarrancou dezenas de vezes, mas vai lá e faz a sua casa …

Ligue a TV ou leia o noticiário diário que verá inúmeros, alguns até bizarros, riscos assumidos, como os citados. Aliás, não posso dizer se tratar de um risco assumido os exemplos que dei acima. Risco assumido é quando lhe é apresentado ou você enxerga o agente de ameaça, a ameaça, as vulnerabilidades, quantifica o risco e daí, o assume, como uma das respostas que são pertinentes à disciplina. Mas nos casos acima e tantos outros que temos nos deparado, é outra coisa, no mínimo, total negligência, falta de conhecimento, para não se falar algo mais grosseiro, sobre do que se trata o Risco.

No lado corporativo a coisa melhora um pouco, mas ainda há muito que se fazer. Infelizmente a maioria ainda prefere ter a sua base histórica para se mexer, aquela frase, que depois que passa a boiada é que vou fechar melhor o portão. Fazer o que, né? A maioria nem conhece os seus riscos e diz que eles estão assumidos, pois são baixos e não merecem tratamento, ou, pior ainda, nunca aconteceu então não vai acontecer!!!!

Quantificaremos quantas perdas dessas em 2015? Muda essa visão?

Tecnologia da Informação

Percebo claramente que ano após ano a área de TI da empresa deixa de ser vista como uma área técnica, que todos dependem e que geralmente nos traz problemas, para uma área estratégica, que guarda uma elevada importância nos negócios da empresa. Em alguns ramos inclusive, deixa de ser o suporte para os negócios, o coadjuvante, para ser o ator principal. Isso é notável!

Mas penso que existe ainda um bom caminho de melhorias. Fiquei pensando que a TI como provedora de serviços para seus clientes internos não tem um Controle de Qualidade de suas entregas. Falo aqui em Controle de Qualidade com base nas melhores práticas da indústria e não com Testes de sistemas, por exemplo, para se colocar em produção; não é nada disso.

Qualidade é um assunto delicado e exaustivamente discutido. Qualidade é entregar um produto/serviço dentro do que foi solicitado ou desejado pelo cliente, obedecendo a todas as especificações, requisitos e premissas, sem erro, sem imperfeições, sem volta. Isso deve ser feito dentro de prazos e custos muito bem planejados.

São raríssimos os casos em que vi uma área dessas de Qualidade dentro da TI. Na maioria parece que os caras não dão importância para o assunto, pois ainda estão resolvendo questões em outros níveis de maturidade. Mas, mesmo assim, é crucial pensar nesses tempos bicudos que Qualidade é básico, seu Controle é imperativo e sugerir melhorias a partir daí, passa a ser diferencial.

Era isso. Eu espero que tenhamos um 2015 de dedicação, trabalho e sucesso.

Até a próxima!

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Add a Comment