Segurança: quando o errado é o profissional de TI

Opinião: segurança é tudo, mas deve acontecer de jeito a não atrapalhar os objetivos da empresa. Não existe nada mais perigoso que colocar alguém que não gosta de usuários para definir medidas de segurança. Você concorda?

Por José Antonio Milagre

Não é de hoje que discutimos acerca de um novo modelo de gestão de segurança da informação, baseada no elemento central: as pessoas.

Porque dentre todas as vulnerabilidades que se possa mapear em uma empresa, nenhuma outra atinge com tanta contundência os objetivos primários da segurança: confidencialidade, integridade, disponibilidade.

Pessoas são o elo fraco de qualquer ativo informacional e por mais que nos preocupemos com ameaças físicas e lógicas, se as humanas não tiverem a devida gestão, a probabilidade do risco é enorme. Já diz o velho ditado na informática: “não há patch que resista à burrice humana”.

A discussão é longa e muitos profissionais de TI culpam os usuários “desobedientes” pela falha dos planos! Mas será isso mesmo?

O problema pode estar em você, profissional de segurança da informação.

Para poder compreender a segurança de uma tecnologia, é preciso dominá-la totalmente. Por conta disso, é uma área que atrai profissionais de alta capacidade técnica.

Por outro lado, quando a empresa se deu conta que precisava de alguém para cuidar do assunto, lembrou que havia um técnico trabalhando há anos na casa. Contratar alguém no mercado seria caro. Além disso, como confiar algo tão crítico a um desconhecido? Logo, por que não promover o técnico a gestor ou coordenador de segurança da informação?

O problema é que nem sempre ele tem um perfil adequado para a posição.

Egos inflados

TI sempre foi conceituada como profissão do “eu”. Jamais questione um projeto de outro técnico! O jogo de empurra-empurra é presente até hoje: o técnico do servidor leva a senha root para casa, como se fosse Deus; e não deixa a equipe implantar o ERP.

A equipe de ERP diz que o problema na lentidão no sistema é por culpa do DBA. E o DBA? “Ah, o problema é do link, ligue para o 0800 da Telefonica…”

Ninguém assume erros ou colabora.

Este perfil deve mudar, pois o setor perde demais com isso. Durante anos o técnico de TI foi conhecido como o “Náufrago do CPD”, um ser isolado dentro de uma caixa que mantinha relações apenas com seu “Wilson”, diga-se, seu computador.

Resultado: quanto mais técnico e isolado, mais técnico e isolado será. Me respondam. Na empresa em que trabalham: o CIO tem formação em TI? Ou foi “importado” da Administração, do Direito etc…?

Costumamos brincar que muitos profissionais de TI escolheram esta área justamente para não precisar lidar com pessoas. É um paradoxo curioso, que eu chamaria de Complexo de House.

Para quem não conhece, House é um seriado médico de grande sucesso, com personagem principal homônimo, que goza de uma incrível popularidade entre os profissionais de TI.

Se nós pudéssemos resumir a personalidade de House, poderíamos dizer que é um brilhante médico, mas que não gosta de pacientes. Fica fácil entender porque o seriado é amado pelos profissionais e estudantes de TI. Assim como o Dr. House, na maioria da vezes, em maior ou menor grau, profissionais de TI não gostam de usuários.

Não existe nada mais perigoso que colocar alguém que não gosta de usuários para definir medidas de segurança. Se trabalhando em TI ele já foi responsável por bloquear até a troca do papel de parede das estações, imagine o que ele pode fazer em escala empresarial.

Profissionais com esse perfil não costumam possuir sensibilidade para perceber o quanto é delicada e incômoda a mera existência de um departamento de segurança. Não observam o quanto o contexto é capaz de mudar o comportamento das pessoas que nele atuam.

Medidas conflitantes

O trabalho de um gestor de segurança é servir como um agente de mudanças, é ser um facilitador no processo de implementação de medidas que de certo modo privam a liberdade dos colaboradores. É impossível fazer isso brigando com toda a empresa. Entre demitir todos os empregados e demitir o gestor, não é difícil imaginar qual a melhor decisão a ser tomada.

Ninguém gosta de medidas de segurança. Quando se está sujeito às medidas de segurança, todos a detestam. Porém, num belo dia, a área de segurança é “promovida”, ganhando independência. Pode apostar que as primeiras medidas de segurança terão como objetivo atormentar a vida dos técnicos: restrição de uso das contas dos administradores, geração excessiva de logs, controle de mudanças, etc.

Estoura o conflito: os técnicos alegam que os profissionais de segurança, agora que são independentes, sugerem controles que jamais recomendariam se fossem responsáveis por sua implementação.

Para alguns, essa sutilezas podem parecer óbvias, mas conhecemos profissionais com anos de experiência que ainda não se tocaram. Colocar um técnico com o perfil do Dr. House para escolher medidas de segurança é uma estupidez administrativa, pois esse tipo de profissional não trabalhará para diminuir essas arestas, e sim para acentuá-las, criando um porno de discórdias e desavenças.

Além disso, ele não possui uma das características básicas para amenizar os problemas que é a capacidade de dar o exemplo. É muito comum ver profissionais de segurança dando sermão nos usuários em campanhas de conscientização, recomendando uma série de procedimentos que eles mesmo não seguem.

Se você questioná-los, ouvirá algo do tipo “eles não podem usar o MSN, ou Orkut porque não sabem amenizar os riscos, mas eu sei”. Ridículo!

Essa postura até encontra embasamento técnico, mas não há nada mais ineficaz, além de arrogante.

Você jamais vai ter moral para pedir aos usuários para interromper o uso do MSN se você continuar usando a ferramenta todo dia.

TI é uma profissão de poder. E poder corrompe. Confiar piamente no seu técnico promovido à gestor seria entender que gerentes de TI seriam todos heróis incorruptíveis. Não são pessoas que devem se adaptar à TI, mas a TI que deve considerar pessoas na adoção de medidas de segurança da informação. [Webinsider]

…………………………………………..

Notas
1. Artigo Derivado Segundo Licença Creative Commons: Artigo Original de Anderson Ramos, Como não implementar medidas de segurança - Parte 1, publicado em 07-02-2008.

2) Leia a licença aplicável ao artigo em tela.

4000.4288.4284.4283.4280.4275.4266.4253.4224

3 pessoas comentaram o artigo "Segurança: quando o errado é o profissional de TI"

Avisos

Os ítens com asterisco ( * ) são campos de preenchimento obrigatório.

Todos os links inseridos nos comentários possuem o atributo rel="nofollow" para impedir com que user agents (como os mecanismos de busca) sigam os links inseridos para desestimular spammers.

Todos devem se identificar através de e-mail válido.

Os e-mails dos usuários não serão divulgados no site.