A política do bloqueia tudo funciona?

A ideia de escrever este artigo nasceu de uma conversa com a minha esposa, durante as últimas férias de verão, onde nossos filhos aproveitaram parte do tempo livre para uma visita ao nosso escritório. O tema “segurança da informação” surgiu quando a minha esposa fez uma observação curiosa a respeito do conteúdo que o meu filho de apenas 8 anos estava tentando acessar na internet: pornografia.

“Vamos bloquear tudo nos computadores para que ele não tenha acesso a este tipo de conteúdo”, disse a minha esposa. Na hora lembrei dos executivos que levam quase tudo na emoção. Por exemplo, a organização identifica que um colaborador, funcionário ou prestador de serviços, está burlando a política de segurança da informação ou as normas internas. Vamos imaginar que este colaborador realiza acessos, constantemente, a sites não relacionados aos negócios da empresa – fotos das musas do carnaval, receitas de culinária, sites de relacionamento etc. O executivo resolve aplicar uma medida disciplinar para que todos na organização saibam que este tipo de comportamento não será tolerado. Porém, o executivo esqueceu que antes de tudo isso é necessário a implantação de campanhas de conscientização sobre segurança da informação e o código de conduta.

Expliquei para a minha esposa que essa estratégia do “bloqueia tudo” não funciona. “Pelas condições atuais, onde as crianças acessam com mais facilidade qualquer tipo de conteúdo na internet, como você pretende resolver este problema?”, perguntava ela. Fazendo uma analogia, expliquei que não adianta colocar um controle sem um processo definido. Traduzindo para uma linguagem mais simples:

Campanha de conscientização

A primeira etapa era explicar para o nosso filho que é proibido acessar conteúdo pornográfico antes dos 18 anos (tenho certeza que você está rindo agora mas é exatamente isso que está descrito nos sites com conteúdo adulto).

A segunda etapa era comprar um livro sobre educação sexual, com uma abordagem / linguagem adequada para a idade da criança. Algumas crianças conversam sobre pornografia com seus colegas na escola, inclusive utilizam dispositivos móveis (iPhones, Nintendo DS etc) para levar este tipo de conteúdo para a escola e compartilhar com os amigos.

A terceira etapa é explicar as medidas disciplinares (ficar de castigo, sem televisão etc) caso o “acesso indevido” venha a ocorrer novamente.

Repare que até o momento os desafios são os mesmos no ambiente corporativo.

Monitorando os filhos (ou os colaboradores)

Após esclarecermos todas as dúvidas, finalizamos a campanha de conscientização. Os processos foram definidos, as regras, estabelecidas, os recursos, disponibilizados (computador com acesso a internet) e o monitoramento, tornado ativo.

Nos primeiros dias, após a campanha de conscientização, fui investigar os logs de páginas acessadas pelo meu filho. Nesse momento, encontrei evidências de tentativas de acesso a conteúdo pornográfico através de sites de pesquisa. O que pude perceber é que o nosso filho ainda não sabe como chegar aos sites pornôs. Mas está bem próximo de conseguir o acesso a este tipo de conteúdo.

É curioso observar como todo o cenário da nossa casa é parecido com o que acontece nas organizações, justamente aquelas que mais colocam controles tecnológicos para restringir o acesso à internet. A campanha de conscientização foi realizada, porém, tudo indica que não estão levando a sério as diretrizes ou a linguagem utilizada para transmitir a informação não é de fácil entendimento.

Vamos bloquear tudo!

A ação de bloquear tudo, utilizando recursos tecnológicos, alivia temporariamente as preocupações de acesso a conteúdo impróprio, mas instiga o instinto hacker da pessoa. Ou seja, a pessoa irá fazer de tudo para burlar o controle implementando. E pode apostar que conseguirá quebrar a segurança tecnológica implementada. Principalmente as crianças, que já nascem quase que conectadas na internet e cada vez mais são autodidatas – perfil de hacker. Vale a pena lembrar que muitas crianças começam a ter aulas de informática a partir dos 2 anos. Imagine o conhecimento dessas crianças quando crescerem e estiverem trabalhando na sua empresa! Isso já está acontecendo.

Conclusão

A política do “bloqueia tudo”, utilizando um verdadeiro arsenal tecnológico, muitas vezes é ineficiente e o investimento não alinha a TI aos objetivos do negócio ou da nossa casa.

O esforço focado na mudança comportamental possibilita maior probabilidade de obtenção de sucesso na segurança da informação.

Os computadores não erram, quem erra são as pessoas. Não podemos esquecer que na maioria dos casos, o maior impacto financeiro em um demonstrativo de resultados, tanto na empresa como em casa, é a folha de pagamento. É claro que nossos filhos não recebem salário, porém, temos despesas com mensalidade escolar, uniforme, alimentação, calçados, viagens etc. O impacto financeiro que temos em casa é muito semelhante a folha de pagamento de uma empresa.

É importantíssimo as organizações investirem no exercício da negociação e de comunicação abordando temas relacionados à segurança da informação. As campanhas de conscientização são necessárias para que os colaboradores compreendam as diretrizes de segurança da informação, seus objetivos e as relações com o mercado. Comece a melhorar o nível de maturidade em segurança da informação estabelecendo uma linguagem comum sobre o assunto. Depois estabeleça os processos e, só depois disso, implemente os controles.

Os desafios que enfrentamos em casa com os nossos filhos são os mesmo que os executivos enfrentam com os seus colaboradores.

Pense nisso!

Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense.

Fonte: Blog Denny Roger

Compatilhe esse artigo!

Leave a Reply

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.