Catástrofe pode gerar investimento em segurança da informação
Durante uma reunião de família, meus pais estavam relembrando um fato que ocorreu durante a minha adolescência e que, automaticamente, correlacionei com dia-a-dia de algumas organizações. O assunto em questão, que sempre é contado de forma muito divertida, era sobre a minha atitude em relação a uma prova de ciências. Mas vamos entender melhor tudo isso.
Na minha 5ª série do ensino médio, sempre inventava uma desculpa para ir andar de skate e não estudar para as provas ou fazer a lição de casa. Apesar de “fugir” dos livros, sempre obtive a média necessária para passar de ano. Porém, aproximando-se da data de uma prova de ciências, percebi que não estava preparado para o teste e comecei a pensar em algum modo de não realizar aquela prova.
Até hoje não sei de onde surgiu a ideia, completamente fora do comum, mas resolvi explorar uma vulnerabilidade da sala de aula. A lousa era verde e a professora utilizava um giz para escrever as questões da prova. Sendo assim, cheguei à seguinte conclusão: sem a lousa, a professora não irá aplicar a prova!
Momentos antes de começar a prova, enquanto não havia ninguém na sala de aula, esfreguei um sabonete em toda a lousa. Dessa forma, não era mais possível escrever na lousa verde com o giz. Os alunos começaram a entrar na sala de aula, muitos preocupados com o conteúdo da prova e eu estava rindo sozinho – ou melhor, já estava me entregando. A professora chegou, todos ficaram em silêncio e logo que ela tentou escrever na lousa percebeu que havia algo errado. O giz não estava funcionando. Ou melhor, a lousa estava com algum tipo de “produto químico”, segundo a professora, que não permitia a utilização do giz.
É claro que fui descoberto e os meus pais foram convidados a conversarem com a diretoria do colégio. A conclusão dessa conversa foi que eu deveria lixar e pintar a lousa. Como eu não sabia lixar, muito menos pintar – iria ficar horrível e meus pais sabiam disso – minha mãe resolveu cumprir a “pena” no meu lugar.
Quando foi lixar e pintar a lousa percebeu que na sala de aula existiam outros problemas. Decidiu que também resolveria os outros problemas, deixando a sala de aula um ambiente mais agradável para os alunos.
Exploração de vulnerabilidade e a melhoria contínua
Nas organizações existem colaboradores “esfregando o sabonete na lousa”, vírus de computador, queda de energia, crackers invadindo o ambiente computacional, vazamento de informações, uso indevido do correio eletrônico etc. Porém, os profissionais de segurança da informação e TI, sempre que possível, alertam os executivos da sua organização sobre as vulnerabilidades encontradas e/ou conhecidas. De todo modo, a maioria dos executivos prefere aceitar o risco ou não dar muita atenção para o assunto. Existe uma expressão popular que preconiza “É melhor prevenir do que remediar”. Esse ditado, de certo modo, sintetiza alguns acontecimentos nas organizações brasileiras.
Quando a ameaça consegue explorar uma vulnerabilidade, causa um impacto no dia-a-dia da organização. Por exemplo, a ação de um vírus no ambiente computacional pode causar prejuízo financeiro significativo e/ou afetar a imagem da organização. Uma campanha de conscientização e a utilização de ferramentas tecnológicas ajudam a minimizar este risco. Mas quantas empresas querem investir em campanhas de conscientização? Isto é apenas um exemplo.
O que presenciamos quase que mensalmente são executivos, ainda sob o choque do incidente, contratando as pressas especialistas em segurança da informação para “remediar” o problema causado por uma vulnerabilidade explorada. Sempre digo que “é só abrir o armário que começam a sair esqueletos”. Ou então, “quem procura acha”. Estou comentando isso porque o objetivo é responder ao incidente, porém, a consequência disso tudo acaba gerando a implementação de uma série de melhorias para os processos de segurança da informação e TI.
Às vezes, um incidente pode trazer as melhorias que já eram esperadas pelos colaboradores há muito tempo, fato semelhante a escola em que eu estudava. Mas espero que os executivos comecem a utilizar novas metodologias para dirigir e controlar as atividades de segurança da informação, garantindo o alinhamento estratégico e antecipando-se aos problemas.
Fonte:Mente Hacker