O sistema de crenças que mais fragiliza do que protege as organizações
Durante a era Reagan, muitas das decisões tomadas na Casa Branca tinham a influência de uma especialista não muito comum em assuntos políticos. Os rumos do governo americano passavam pelo crivo da astróloga Joan Quigley, falecida no ano passado com 87 anos. A senhora Quigley era constantemente requisitada pela primeira dama Nancy Reagan (quem realmente mandava naquela casa) para consultar aos astros e orientar o presidente sobre quais riscos evitar. A atividade da astróloga foi um dos segredos mais bem guardados durante quase toda administração Reagan e a história somente se tornou pública em 1988 por meio de um ex-funcionário do governo que achava aquilo tudo um absurdo. Lógico que a astróloga faturou muito com o vazamento da história.
O mais interessante é que o mundo vivia um dos momentos mais bizarros da guerra fria. O próprio governo Reagan tinha o objetivo de implementar uma base de misseis nucleares no espaço. A “Strategic Defense Initiative (SDI)” que tinha o apelido de “Guerra nas Estrelas” se baseava no princípio teórico chamado de “Mutual Assured Destruction – MAD” o que de modo bem simples quer dizer: se o seu adversário possui um determinado poder de fogo, incremente o seu poder de modo que tanto ele quanto você sejam destruídos no caso de um ataque e se mostre disposto a usar tudo. Assim você desestimula o seu inimigo a atacá-lo.
Os acadêmicos do MAD conseguem provar isso com equações complicadas e realmente houve uma ocasião, poucos anos depois da crise dos mísseis em Cuba em que a MAD foi usada, o mundo quase acabou e quase ninguém ficou sabendo.
A astrologia já guiou vários líderes na história. Mas embora muita gente acredite nisso eu não consigo considerar plausível que a posição dos planetas no firmamento quando eu nasci possa guiar as minhas características pessoais. O universo é muito grande e se isso fosse mesmo verdade teríamos que considerar muitos outros astros nessa dança gravitacional. Prefiro ficar com a definição de Carl Sagan de que a astrologia “desenvolveu-se para uma disciplina estranha: uma mistura de observações cuidadosas, matemática e manutenção de registros com um pensamento indistinto e uma fraude devotada”.
Penso que a astrologia, assim como outras pseudociências ou terapias holísticas, oferece um tipo de conforto para a escolha de um caminho dentre diversos outros. Algo que conecta o nosso poder de decisão ao universo, de maneira que caso o caminho dê errado, é mais fácil transferir a responsabilidade para esse ente maior que coordena o fluxo da existência.
O astrólogo acaba sendo uma pessoa que possui um discurso generalizante, de modo a abarcar os mais variados tipos de pessoas e ao mesmo tempo se utiliza de técnicas com o objetivo de dar um ar personalizado a essas mensagens, para aqueles que o pagam.
Usando esse raciocínio como uma analogia, considero que muitas das decisões tomadas no dia a dia daqueles que atuam em segurança da informação seguem esse fluxo astrológico. Ou seja, muitos dos que lidam com essa disciplina dedicam tempo, esforço e muito dinheiro seguindo astrólogos que lançam modismos sem cessar, sendo que a maioria não resulta na proteção das informações.
Sem refletir, esses profissionais acabam mergulhando em um sistema de crenças e caso algo dê errado a salvação está em alegar que se seguiu as “melhores práticas do mercado”. Tenho muitas reservas a essas crenças e pretendo apontar abaixo algumas das suas contradições.
A crença nas ferramentas
Qualquer atividade laboral requer o uso de algum tipo de ferramenta. Quando falamos de plataformas tecnológicas então, a existência das ferramentas se mistura com o próprio exercício do trabalho.
Entretanto, a “era da inovação” que domina nossos tempos é baseada em um movimento de criação de necessidades.
Sentimos a presença desse movimento a cada lançamento das empresas que desenvolvem tecnologias para uso pessoal e nos fazem ter necessidades que antes desconhecíamos. Mas o mesmo ocorre nas empresas e muito se investe nessas organizações com base no sentimento de necessidade inventada.
Aposto que o leitor, assim como eu deve conhecer diversas histórias de organizações que dedicaram muito dinheiro na compra de soluções tecnológicas que, após sua instalação contribuíram pouco para a proteção das informações. Seja por problemas de interoperabilidade com sistemas legado, por falta de equipe treinada e/ou dedicada para administrar a ferramenta ou porque essa solução foi inserida em uma arquitetura mal desenhada, cheia de “puxadinhos” que são herança de ambientes do passado. Por exemplo, já estive em uma organização que tinha um SIEM muito bem configurado, mas que somente trabalhava com eventos de uma única plataforma tecnológica, pois o desenvolvimento de coletores para o legado tinha sido subestimado e o custo da atividade tinha inviabilizado a expansão de sua configuração. É possível dizer que a aquisição dessa ferramenta resultou em benefícios para a segurança?
Nesse caso o astrólogo não necessariamente é aquele vendedor que está na batalha para fechar a sua cota e geralmente não possui instrumentos para vislumbrar as especificidades do ambiente do cliente, mas talvez os grandes figurões da área que saem pelos eventos afora apontando essas ferramentas como a nova penicilina e criando a necessidade da vacinação.
Acredito que uma das coisas mais importantes para a proteção das informações é conhecer o seu ambiente. Gosto muito do conceito que norteia todo livro “Beyond Fear” do Bruce Schnenier de que segurança é um “trade-off”.
Não há uma tradução literal para “trade-off”, mas seria o mesmo que fazer uma troca na qual se perde algo por um benefício maior. Estive em muitas organizações no decorrer de minha carreira e foram poucas as que tinham, por exemplo, um digrama de sua rede. Muito menor ainda as organizações que tinham um diagrama atualizado. Continuemos no exemplo da organização que foi fracassada na implementação do seu SIEM: como é possível comprar e implementar uma ferramenta dessa complexidade sem informações claras do ambiente?
Penso que é mais importante se submeter ao chato “trade-off” de coletar, organizar e refletir sobre as características do seu ambiente para entender o quanto uma determinada ferramenta vai ajudar. Geralmente o melhor lugar para dar o primeiro passo nesse sentido é avaliando o legado.
A crença de que o legado vai sumir
Quantas vezes durante a execução de um projeto, você esbarra em um sistema incompatível com a solução que está implementando e ouve a frase: “isso vai sumir”. Às vezes até some mesmo, mas na maioria dos casos esses sistemas estão tão interconectados que a sua desativação mais parece um transplante e isso demora muito para acabar.
Na verdade se perde de vista a máxima de que você está trabalhando hoje no legado de amanhã. São poucas as organizações que, assim como o Google, podem se dar ao luxo de desativar produtos inteiros uma vez por ano. Pelo contrário, há empresas que dedicam recursos valiosos na manutenção de sistemas ultrapassados, somente porque poucos – mas relevantes – clientes não conseguem operar de outra forma.
O legado é algo que sempre fará parte de sua realidade e convertê-lo em uma assombração que deve ser temida, evitada, escondida ou ignorada é um mal negócio. Pois como é comum das assombrações, quando menos se espera ela vem lhe puxar o pé a noite (brincadeira, eu não acredito nisso).
O mais sensato é fazer um caminho de duas vias: primeiro estudando e documentando o ambiente legado de maneira a ter clareza sobre o que é necessário fazer para protegê-lo. Ignorar o legado é inadmissível.
Segundo, pensar no “legado do futuro” sob a perspectiva de que implementações tecnológicas não serão monumentos tombados pelo patrimônio histórico. Pelo contrário, elas serão consumidas das mais variadas maneiras no decorrer do tempo. Portanto interoperabilidade é até mais importante que a segurança no momento refletir sobre novos projetos. Quando não existe garantia da interoperabilidade somente há a garantia da gambiarra.
O astrólogo aqui é aquele que acredita que as novas necessidades do mercado vão fazer com que a plataforma tecnológica nas organizações se renove completamente, pois quem não fazer isso estará fora do jogo. Este ignora a capacidade inventiva das pessoas em fazer mais com menos e de conseguir aplicar segurança nesse contexto.
Também opera como astrólogo o que prevê um cenário de desgraça caso não se gaste milhões na renovação de uma tecnologia. Em alguns casos essa renovação pode acarretar em mais vulnerabilidades ao ambiente do que no cenário anterior.
A crença no discurso do terror
Não digo que o mundo anda maravilhosamente bem no que se refere a segurança da informação. Pelo contrário, os vazamentos do caso Snowden só demonstraram que os ativos de tecnologia, sejam pessoais ou de empresas não são somente alvo de criminosos (o que já dava um grande trabalho), mas também de governos interessados em abastecer suas fontes de inteligência e obter vantagem comercial para corporações aliadas.
As empresas desenvolvedoras de produtos de software também não ajudam. Conforme essa simples pesquisa que fiz na semana passada com foco nas vulnerabilidades em browsers, somente nesse ano “o Common Vulnerabilities and Exposures (CVE®), entidade mais importante na catalogação de vulnerabilidades em tecnologia, já publicou um número alarmante de boletins de vulnerabilidade descobertas em 2015 nos cinco browsers mais usados do mundo. Foram dezoito vulnerabilidades no Mozilla Firefox, trinta e duas no Google Chrome, cinquenta e três no Microsoft Internet Explorer e uma no Safari da Apple. O único browser que ainda não teve vulnerabilidades reportadas em 2015 foi o Opera. Essas estatísticas não consideram as vulnerabilidades reportadas em componentes de terceiros como Java, Flash e extensões.”
Outro fator que pode aterrorizar é que empresas de renome, as quais possuem esquadrões de segurança da informação, estão sofrendo ataques e fraudes colossais. Os casos do JPMorgan Chase, Target, Home Depot e as fraudes de oito bilhões de reais em boletos bancários envolvendo trinta bancos brasileiros são um exemplo de que os ataques estão muito mais sofisticados. As notícias podem nos fazer pensar que se essas empresas não estão conseguindo “segurar o touro pelos chifres” é porque estamos à beira do apocalipse.
Agora faça uma reflexão sobre tudo que sua organização comprou por pura aflição não justificada. Você poderá constatar que muito se gasta devido a essa crença da pílula mágica gerada na atmosfera nebulosa do discurso do terror, em detrimento de atividades mais ligadas ao diagnóstico preventivo de riscos.
O astrólogo aqui é aquele de pior tipo, o que junta todos os argumentos para encher o seu próprio bolso. É muito fácil recorrer ao discurso do terror para fazer um negócio deslanchar, só os exemplos que dei acima podem servir para uma palestra uma hora de bombardeio ininterrupto. Mas o que geralmente ocorre é que as pessoas passam a reproduzir automaticamente o discurso desse astrólogo e este acaba faturando diretamente por meio dos que o ouvem e indiretamente pelos que replicam a mensagem.
Em suma, a ignorância está para o medo assim como o oxigênio está para o fogo. O melhor caminho é o do autoconhecimento, de saber quais são realmente as vulnerabilidades de seu ambiente e isso se faz com um processo constante de gestão de vulnerabilidades e de gestão de riscos.
A crença na doutrina do compliance
Quando penso em compliance, automaticamente penso no FMI. Essa sigla é bem conhecida dos velhacos, mas aos mais novos eu explico: O Fundo Monetário Internacional opera oferecendo socorro financeiro para países em crise. Quando um país está em dificuldades contata essa instituição que administra um grande bolo de dinheiro e lhes concede ajuda. Até aí se parece com um banco, só que não. Na negociação o FMI não somente estabelece condições e prazos para a devolução do dinheiro, mas também determina mudanças específicas na gestão da economia do país devedor. Essas mudanças nem sempre respeitam a dinâmica da economia local e as vezes são enviesadas, de maneira a abrir espaço para que empresas dos países que mais contribuem com o fundo possam expandir seus negócios no ambiente do devedor.
Seria a mesma coisa se alguém lhe pedisse dinheiro e você junto com o empréstimo determinasse que essa pessoa fizesse a administração dos seus negócios da mesma maneira que você e contratasse aquele seu amigo contador para ajudar. É um tanto invasivo e talvez não muito ético, mas quando se está em dificuldade, pode ser a única alternativa.
Trabalhei muitos anos com compliance e muito do que vi nas variadas empresas por onde passei tanto no Brasil quanto fora é que não existe uma verdade definitiva na gestão de segurança. Outra coisa é que enfiar uma norma “pela goela” pode acarretar em mais vulnerabilidades. Isso às vezes se dá na implementação de tecnologias que, assim como disse no exemplo acima, não se relacionam bem com o legado ou não possuem pessoas habilitadas (ou disponíveis) para administrá-las.
Recentemente publiquei um artigo sobre o que penso a respeito do padrão PCI DSS. Alguns leitores apressados pensaram que eu estava criticando as regras do padrão. Pelo contrário, aquilo que o conselho editor do padrão chama de “básico” em segurança eu acho que é a mais fina flor nessa disciplina, quando pensamos no domínio da confidencialidade. Acredito que aquelas empresas que aplicam essas regras de forma séria podem se julgar em um grau de proteção bem elevado. Minha crítica é direcionada à indústria que se criou em torno do padrão. Astrólogos que trabalham na elaboração, aplicação e imposição das regras para lucrar com elas e não necessariamente para agregar segurança direta ao ambiente das organizações.
Entretanto, se a sua organização é elegível ao PCI DSS, SOX ou outras normas não há para onde fugir e o melhor caminho se certificar de maneira honesta, não tentando burlar o processo e aproveitar o que esses padrões tem de bom para aplicar onde possível, dentre os ambientes que não são escopo da certificação.
Agora se sua organização está buscando se certificar em uma norma por conta própria, vale a pena considerar que os documentos estabelecem a implementação de processos e tecnologias que precisam sem operacionalizados. Portanto não somente planeje o custo e esforço do projeto, mas considere também as atividades recorrentes.
A crença nas consultorias
Basicamente podemos considerar como a epítome do consultor aquele sujeito que acumulou um certo conhecimento específico e o oferece como serviço, geralmente temporário, para clientes que não possuem profissionais em sua estrutura com o mesmo repertório.
No entanto, nas últimas décadas o mundo passou por transformações tão drásticas na economia e consequentemente nas relações de trabalho que essa definição de “consultor” já não é nem mais clássica, mas sim romântica. Não digo que não existem mais consultores que trabalham dessa maneira, mas que esses são minoria ante uma multidão que opera em condições muito aquém do que se espera dessa imagem idealizada do consultor.
Na realidade o que acabou acontecendo, foi que a maioria das consultorias recrutaram muita gente, não para atuar em serviços que demandam alto nível de especialização, mas sim para trabalhar em atividades menos nobres, as quais seus clientes somente os contratam para evitar os custos proibitivos e recorrentes na folha de pagamento. Ou seja, o conceito do consultor foi banalizado e as consultorias em tecnologia ou em segurança da informação, salvo poucas exceções, não podem ser vistas como um poço de conhecimento, mas sim como um poço de gente.
Mas mesmo assim essa idealização do consultor como fonte soberana e inesgotável de um conhecimento específico (perdoem-me o contrassenso) é vendida para os que chegam ao mercado de trabalho. Sobretudo naquelas consultorias/auditorias globais gigantescas. Esses jovens profissionais são obrigados a encarar jornadas de trabalho extenuantes e fazer parte de jogos perversos na luta para se diferenciar dos demais e galgar postos em uma estrutura piramidal de poder.
O astrólogo nesse caso é aquele que vende a ideia de que as consultorias são um grande oráculo. Que não se pode dar um passo sequer sem consultar essa entidade suprema, acima do bem e do mal.
Lógico que há consultorias sérias, trabalhando no sentido de oferecer um serviço específico e muito caro, caso o cliente opte por buscar um profissional com a mesma capacitação no mercado. No entanto, em boa parte das consultorias trabalha gente atormentada por diversos projetos em vários clientes e que geralmente não tem muito tempo para adquirir conhecimento, embora o discurso das apresentações requintadas expresse algo diferente.
É também comum as consultorias desenharem projetos de maneira a criar dependência da contratação de outros serviços e assim fincam raízes em seus clientes. Se isso acarreta em melhoria na segurança, é necessário ter dúvidas, pois consultoria lucra mesmo é com template. Caso uma consultoria opte por criar materiais personalizados para cada um dos seus clientes, torna inviável o custo dos projetos. Ou seja, eles buscarão criar no cliente a necessidade de fazer algo que já fizeram muitas vezes, sem necessariamente respeitar as características da operação de cada um, mas reaproveitando material. Acredito que existem casos que personalizar significa “reinventar a roda”, mas quem tem que determinar os caminhos da padronização é o cliente.
Essa tentativa forçada de padronizar a lógica de proteção de dados pode melhorar a segurança? Sim. Mas para testar isso de verdade, convido o leitor a olhar não a aplicação disso nos sistemas ou processos mais comuns como financeiro e RH, os quais operam de maneira mais ou menos parecida em todas as organizações, mas sim para aquele que é bem específico de sua companhia, que dificilmente se encontrará em outras empresas, a não ser no seu concorrente. É ali que a generalização pode apresentar falhas e o risco aumentar.
Não defendo a tese de que se deve deixar de contratar as consultorias. Como disse, a forma pela qual o mundo do trabalho se desenvolveu criou um caminho sem volta em que não é possível abdicar delas. Além disso algumas trazem mesmo valor para a operação das organizações. Também não sou totalmente avesso à aplicação das “melhores práticas”, mas opto em usá-las com discernimento e não para me livrar da responsabilidade, caso sua implementação gere mais problemas que soluções. São naqueles momentos em que o caminho à frente é nebuloso que elas ajudam.
Sou consultor e não quero decretar a falência de meu trabalho. Mas também não tenho o menor interesse em fincar os pés em um cliente e não sair mais só para arrancar dinheiro. Manter o espírito explorador e navegar o tempo todo por mares diferentes é a essência de ser consultor, pois as pessoas somente o contratam por ele conhecer múltiplas realidades. A outra face da moeda é que mais aprendemos do que ensinamos.
Nada melhor que o conhecimento do time interno. Eles interagem diariamente com o ambiente, conhecem todos os meandros de sua operação e sabem o detalhe da interação dos processos com a tecnologia. São estes os profissionais que precisam ser valorizados e que devem gozar do benefício do mérito. São com estas pessoas que eu gosto de trabalhar.
A crença no Hacker Ético
Agora entro em um debate que já encheu o saco de muita gente. Mas é um assunto que eu preciso tocar para poder falar de um tipo de astrólogo que ronda essa nomenclatura.
Penso que o hacker é o sujeito que adquire uma quantidade de conhecimento sobre uma coisa a ponto a usá-la de uma maneira não prevista por aquele que construiu o tal objeto. Se usarmos essa definição ao limite, seriam hackers tanto o Linus Torvalds como o cara que monta o “gato” na TV à cabo.
No entanto, há uma aura de glamour nessa atividade que exclui o cara do “gato”, criando um sem fim de definições de hacker na internet que visam aliar essa pessoa a uma figura de conhecimento técnico fora da média e um caráter um tanto rebelde. Um cruzamento de Stephen Hawking com James Dean.
“A humildade nos ajuda a reconhecer esta coisa óbvia: ninguém sabe tudo, ninguém ignora tudo. Todos sabemos algo: todos ignoramos algo” – Paulo Freire.
Já a pessoa que usa um conhecimento técnico par cometer crimes, ou o Lúcifer criado para se diferenciar deste Deus hacker, seria o cracker.
Juro que caí na gargalhada na primeira vez que ouvi essa distinção entre hacker profissional ou hacker ético (mocinho) versus cracker (vilão). Essa definição parte do pressuposto de que o hacker sempre agirá de uma maneira correta, respeitando os limites das coisas e, com o perdão da ironia, conclamará toda a equipe envolvida em seu pentest para um abraço coletivo ao final do projeto.
Sinceramente, isso não tem nada a ver com a insubordinação necessária para a existência do hacker. Não digo que ser insubordinado é necessariamente violar a lei, mas com certeza é não se submeter a autoridade moral impregnada na distinção entre hacker e cracker. Até porque ninguém é totalmente bom ou totalmente mal. Percebe porque a astrologia presente nesse juízo de valor é falha?
Acredito que hacker, mais do que uma distinção para uma pessoa é uma forma de ver a realidade e enxergar diversas potencialidades nas coisas. É a expressão mais bem acabada do “pensar fora da caixa”, a manifestação da oportunidade de usar um conhecimento a seu favor ou a favor de um grupo de interesse e penso que esse conceito já extrapolou a tal ponto que as pessoas estão hackeando as mais variadas coisas (esse site famoso é uma referência nisso) e essa consciência hacker está presente até na forma de interagir com dados da administração pública.
O cara que rouba usando a tecnologia é simplesmente um criminoso.
A crença nas certificações profissionais
Uma certificação profissional, por exemplo a CISSP, é um mecanismo de exclusão que divide os profissionais em castas e serve, por um lado como uma porta de entrada para o sujeito que é certificado alcançar uma posição e por outro uma ferramenta útil para que os recrutadores não tenham que fazer perguntas as quais não conseguiriam identificar uma resposta certa.
A certificação profissional tende a ser excludente porque ela se baseia no princípio de que se a quantidade de certificados exceder uma determinada fronteira ela vira “carne de vaca” e perde o seu prestígio. Foi o que aconteceu, por exemplo com a certificação MCSO a qual muita gente tem (até eu), mas evita assumi-la publicamente.
Conhecimento é um bem irremovível, a não ser para os que sofrem de Alzheimer, de modo que todo esforço em aprender qualquer coisa é válido, mesmo que seja somente para passar em uma prova. Eu respeito muito isso.
No entanto, o astrólogo desse tema é aquele que vangloria um profissional certificado geralmente depositando nesta pessoa a expectativa de que ela possua características profissionais que estão além do conteúdo da prova.
Um amigo sempre martelou na minha cabeça a seguinte frase: “a gente contrata a pessoa, o profissional vem junto”.
Desta maneira, o gestor que acredita nessa astrologia e determina a certificação como inegociável pode perder a oportunidade de contratar pessoas que dedicaram mais do seu tempo em desenvolver outras características da profissão (mais valiosas até) e que não se importam com certificações.
Se contratar profissional certificado resolvesse o problema da segurança, as grandes empresas que citei acima – as quais devem possuir profissionais ou contratar consultores com essa classificação – estariam livres de fraudes.
Sei que algum leitor deve estar pensando; “esse cara está falando isso porque não tem certificações”. É… Eu só tenho uma certificação que não tem quase nenhum valor no mercado e outra que não é mais válida, pois abandonei esse mundo de QSA.
Entretanto já dei sinais nesse artigo de que, em minha opinião, segurança da informação se dá na conjuntura entre a “razão de ser” da organização, expressa em seus processos e na interação desses processos com a tecnologia (pessoas é um capítulo à parte). Não acredito que a segurança deve ser enviesada astrologias que fazem as pessoas ficarem com a cabeça nas estrelas e perderem a noção da realidade.
É algo orientado a riscos que requer personalização, adotando de fora somente o que é relevante e não se submetendo cegamente ao que é feito por outros, sobretudo por aqueles que pensam que a capital do Brasil é Buenos Aires.
E também, se você me acompanhou até aqui é porque provavelmente meus argumentos te motivaram a seguir, sem eu precisar mostrar nenhuma sigla ao lado do meu nome pra isso.
Fonte: Carlos Cabral
Nenhum comentário:
Postar um comentário