Sua empresa está segura? Mesmo? - parte 2

Por Cesar Brod

Data de Publicação: 03 de Dezembro de 2013

Meu amigo e parceiro de negócios, Edson Borelli, da Blackdoor Security (que colaborou com esse artigo), costuma dizer que, em termos de segurança, devemos pensar no usuário como um macaco com uma metralhadora. A analogia é um tanto cruel e, quem sabe, até politicamente incorreta. Temos que considerar a razão histórica disso: toda uma cultura de uso de computadores onde a facilidade de uso foi considerada absurdamente mais importante que a segurança - e esse não era um problema considerável em tempos onde os computadores pessoais não estavam conectados a nada. Hoje, grande parte do acesso às redes sociais dá-se através de computadores que carregamos no bolso e que já saem das revendas conectados a tudo.

O usuário não tem culpa (e nem a consciência) de ser um macaco com uma metralhadora. Em nome da facilidade de uso ele é compreensivo a ponto de reiniciar seu computador (ou smartphone) quando algo dá errado, instala programas com uma sequência de aceito > próximo > instalar e clica em ignorar sempre que o navegador alerta que uma página da web possui um certificado de segurança desconhecido. E tudo isso acontece porque os desenvolvedores de tecnologia preferiram "treinar" os usuários de seus produtos dessa forma e podem, perfeitamente, isentar-se de qualquer responsabilidade, já que os contratos são exibidos aos usuários e devem ser aceitos antes que programas sejam instalados ou usados, os navegadores avisam quando um certificado é inválido, a culpa é do macaco.

A verdadeira abordagem da segurança em um ambiente ampla e eternamente conectado, por parte de uma empresa, deve começar por entender que não está tratando com macacos, mas com pessoas inteligentes que podem não ter sido capacitadas nos meandros tecnológicos e que nem precisam disso para que se beneficiem da tecnologia. Ao contrário do que essas pessoas foram levadas a acreditar, porém, não deve ser encarado como normal ter que reiniciar uma máquina que trava, aceitar contratos sem ler e ignorar alertas dos navegadores. Para isso, algumas coisas devem mudar.

Em primeiro lugar, as empresas (e, até aí, também instituições de ensino superior) devem saber que estão lidando com adultos. É de um paternalismo incrível achar que funcionários, colaboradores e alunos devem ser tutelados quanto aos recursos que acessam na web. Se alguém usa os recursos da empresa apenas para passar o dia nas redes sociais, que se converse com esse alguém ou que ele seja demitido. Certamente, para cada uma dessas pessoas que deveria ser demitida existem muitas outras que fazem do Facebook o intervalo para a mente, tão necessário para a manutenção da produtividade e do fluxo de ideias criativas. Além do mais, se a questão é a ocupação da rede, não há a necessidade de bloquear nada, mas apenas - em situações limite - fazer um traffic shaping. O computador, mais do que uma ferramenta de trabalho, é tão parte do ambiente de socialização de uma pessoa quanto o corredor, o banheiro ou a sala do cafezinho. As empresas têm câmeras e controles de acesso para todos esses espaços? Além do mais, os funcionários da empresa já não possuem, em número crescente, smartphones que os mantém conectados ao que querem, independente do que a empresa onde trabalham permita, ou não.

As relações de trabalho são outras. Um funcionário não pertence à empresa durante o horário de trabalho. Ele é o embaixador da empresa, do clube social ao qual pertence, do time de futebol para o qual torce, da banda que gosta a todo o momento, sem estar limitado ao horário das oito às dezoito, excluindo o horário de almoço. É com esse colaborador adulto que a empresa tem que conversar sobre questões de segurança, não o proibindo ou censurando, mas chegando a acordos de benefício mútuo.

Outra questão que é muito negligenciada é a de que, tipicamente, o funcionário insatisfeito é aquele que costuma colocar a empresa em risco. Empresas podem gastar o que quiserem em firewalls, bloqueadores de endereços web, sistemas de criptografia, monitoramento e sistemas de vigilância, mas um papel no bolso e uma boa memória não há sistema de segurança que detecte. A capacitação das pessoas e sua efetiva participação na vida da empresa pode custar menos e ser muito mais eficaz. Os colaboradores deixam de ser o alvo da vigilância de um sistema de segurança, mas componentes ativos dele - e não há componente ativo que tenha maior poder de processamento e capacidade de observação.

Mais do que nunca, o foco da segurança deve ser mudado da paranoia para o hábito. As empresas não podem prescindir das possibilidades de um mundo totalmente conectado, no qual a "loja da esquina" pode ser a loja da esquina da web, atendendo, de forma muito personalizada, clientes que são vizinhos no mundo virtual. As ferramentas de proximidade que já existem permitem a personalização dos negócios em níveis nunca antes possíveis. Os clientes para as empresas vivem no país Facebook e, ainda assim, certas empresas acham que a segurança é criar embargos a países virtuais?

Aí embaixo está o vídeo do macaco com a metralhadora: