Tudo é permitido não significa que nada é proibido

by Checchia
6 minutos
Tudo é permitido não significa que nada é proibido

Esta frase de Albert Camus pode ser considerada como um guia para a elaboração de uma política de segurança da informação.

Analisem as políticas de informação das empresas por onde você passou. Em todas, o objetivo é tornar o desktop o mais parecido possível com um terminal burro, similar à época dos Mainframes. Em muitos casos, até o papel de parede e os ícones do desktop são padronizados!

Imagine a seguinte situação (hipotética aqui, mas real):

- O CFO de uma empresa qualquer, que cuida das contas da empresa identificou a necessidade de um corte de despesas de 15% de todos os departamentos. Os gestores delegam para as equipes a identificação do que pode ser cortado e pede um parecer em 10 dias.

- Passados 10 dias, marketing e tecnologia apresentam planos que possibilitam uma redução superior a 15%, com terceirização de serviços, outsourcing de impressão e etc.

Qual o diferencial destes dois departamentos? As pessoas são mais capazes do que os outros departamentos? Não. 90% da empresa possuia restrição de acesso à internet e às redes sociais. A exceção (como sempre, existe) eram alguns departamentos, entre eles marketing e Tecnologia.

Com o uso de redes sociais, pesquisas e análise do que o mercado e seus concorrentes adotaram como Melhores Práticas, estes departamentos mostraram uma performance superior aos outros, simplesmente por ter onde buscar informação.

Esta é somente uma das várias situações onde a liberação de acesso melhora o resultado da empresa. Porquê, então, temos que criar políticas restritivas para proteger os dados ao invés de proteger os dados sem restringir os acessos?

É uma falácia imaginar que a internet é o “bicho papão” e que precisamos fechar tudo para nos proteger.

Um hacker que deseja invadir e roubar informações utiliza-se vulnerabilidades simples, que burla TODA e QUALQUER política de segurança da informação. Um simples curriculum enviado para o RH no formato PDF pode conter um rootkit que é capaz de ganhar privilégios de admin e coletar todas as informações que desejar — inclusive capturando telas e capturando a tela e gravando em vídeo (já ví isto acontecer e é humilhante para os responsáveis de SI e TI).

A melhor estratégia é atuar:

  • Criando uma política de gerenciamento de patches com atualização automática dos desktops (não somente o SO mas, principalmente, os aplicativos como o Adobe Reader);
  • Criando baselines e GPOs (há vários exemplos no NIST.GOV, IASE e DISA)
    Criando um whitelist dos programas homologados (tweetdeck, Chrome, MSN, Skype e afins);
  • E, o principal, criar campanhas e boletins para os usuários alertando sobre as últimas vulnerabilidades de DAY-0 e os cuidados que precisam tomar.

Devemos deixar de imaginar que as políticas restritivas são a solução para todos os males do mundo e devemos — como profissionais de SI — assumir que elas não atendem mais… Estamos em uma época de consumerização e domínio da Geração XY nas empresas. Devemos atentar para este ponto para que os profissionais de SI não criem políticas que inibam a inovação e a criatividade.