Meu primeiro artigo num blog foi a quase 8 anos atrás. É... o tempo voa! Mas o mais impressionante é que justo esse meu primeiro artigo continua muito atual. O título era esse mesmo: Como ser um idiota em Segurança da Informação. Hoje, retomando as atividades aqui no blog, resolvi reproduzí-lo novamente. Ah! Por favor não se sinta magoado com o texto, não é essa a intenção... O principal objetivo aqui é chamar a atenção para a seguinte questão: será que continuamos com os mesmos problemas de uma década atrás?
Bom, aí vai!


(23 de Janeiro de 2009)

Devo admitir que sou fã de artigos que ressaltam os erros de certas “iniciativas” de segurança da informação em empresas. Naturalmente, é muito fácil seguir recomendações ou previsões de outros sobre aquilo que “deve” ser feito, mas sem dúvida nenhuma é muito mais proveitoso confiar em lessons learned, pois, como já dizia o ditado: é errando que se aprende.
Muito tempo depois do memorável artigo de Marcus J. Ranum, entitulado The Six Dumbest Ideas in Comupter Security, Lenny Zeltser publica mais uma grande contribuição: How to Suck at Information Security.
Sugiro a leitura completa deste último, e aproveito para fazer comentários sobre alguns dos tópicos que concordo plenamente:

  • Assumir que os usuários irão ler a política de segurança por uma mera solicitação: o resultado é óbvio, pois poucos irão ler um documento que para eles fará pouca diferença (ou só trará chateações, de seu ponto de vista). Nada mais recomendável que iniciativas de awareness frequentes, com palestras, material multimídia, teatros, etc. Estas sim podem se mostrar bem mais efetivas.
  • Criar políticas de segurança que não podem ser garantidas: fazendo uma analogia bem simples, a “Lei Seca” seria com certeza muito mais efetiva se tivéssemos mais bafômetros nas ruas.
  • Praticar políticas de segurança que não foram devidamente aprovadas: em outras palavras, quem foi que disse que a partir de hoje o Skype está bloqueado?
  • Executar testes de vulnerabilidade, mas não acompanhar os resultados: esta é uma prática muito comum, mas que faz muita falta ao se criar indicadores. Normalmente se investe muito em network assessments e pen-tests, porém estes sempre devem envolver o trabalho posterior de correção.
  • Adquirir produtos caros quando uma simples correção poderia consertar 80% do problema: um exemplo clássico é o uso de um WAF (web application firewall) para proteção de aplicações web com vulnerabilidades que poderiam ser corrigidas com muito menos recurso.
  • Banir o uso de discos USB externos e continuar sem restringir acesso à Internet: sem dúvida uma das maiores dores de cabeça quando se fala em vazamento de informações, os acessos a webmail e outros sites são apenas um pouco menos práticos em termos de transporte de dados que os milhares de pen-drives que circulam nas empresas ultimamente.
  • Agir com superioridade frente aos colegas da área de redes, administração de sistemas e desenvolvimento: segurança da informação, por ser um processo, pode envolver todas as áreas de uma empresa, em especial as equipes de suporte e desenvolvimento. Soberba só dificulta o trabalho.
  • Usar a mesma senha em sistemas que diferem quanto a exposição ao risco ou criticidade de dados: talvez isto seja algo a se pensar antes de implantar SSO (single-sign-on).
Marcelo Souza

Marcelo Souza

Consultor de Segurança da Informação

Brasília http://marcelosouza.com

Comentários