Prezados Leitores,
O título acima com certeza foi e ainda é muito debatido na área de segurança da informação, para muitos, diria até que o tema esta “batido”.
Porém, para quem nunca leu sobre, o que melhor resume este título seria:
Do que adianta você usuário instalar um antivírus e habilitar o firewall do sistema operacional, se:
- Visita sites pornográficos e/ou de origem duvidosa.
- Aceita e-mails e clica em links indiscriminadamente.
- Não segue os procedimentos adotados no local de trabalho.
É difícil para um antivírus agir no livre-arbítrio de cada um. A Tecnologia tem evoluído muito e nos surpreende a cada dia, e mesmo com recursos de inteligência artificial, acredito que esta evolução ainda não esta sendo aplicada nas ferramentas de segurança - seria ótimo, mas eu desconheço.
Sendo assim o que temos de real hoje são usuários de todos os níveis hierárquicos e posições lidando com informações e muitas vezes agindo contra as boas práticas de segurança tanto em pequenas como grandes empresas.
Nas pequenas empresas verificamos um grande problema cultural, e de capital para investimento em ferramentas e treinamentos que preservem os ativos intangíveis-informações. “E sem treinamento e ferramentas, fica o usuário sendo o elo mais fraco”.
Nas grandes empresas verificamos exatamente o oposto: orçamento previsto e destinado para segurança, e melhor ainda, GRC (governança, riscos e conformidade), mas ainda persiste o risco – usuário.
Não é por acaso que a maior preocupação dos consultores de segurança da informação, que estão participando da implantação do novo modelo de identidade com chip, é justamente com as pessoas que estarão autorizadas a manipular os dados.
Não é por acaso também que eu ouvi recentemente em sala de aula um professor com várias certificações comentar o seguinte para nós alunos:
“É o seguinte pessoal, não pensem que tudo funciona perfeito, lá no banco onde trabalho, por exemplo, eles não têm controle de muita coisa, licenças de software são compradas em grande número e instaladas como queremos”
“Muitas vezes os responsáveis fornecem acesso de administrador para um grupo inteiro para facilitar o trabalho”
Em seguida vêm as justificativas de um bom brasileiro:
“Você nunca passou no farol vermelho?”
“Você nunca olhou para a bunda da vizinha casada?”
“Às vezes temos que nos sentir vivo e correr alguns riscos e dizer assim, nossa que mer... que eu fiz!”
Então, senhores esta é a realidade:
As pessoas / usuários são o elo mais fraco da segurança e fica claro que a tecnologia avança, mas a conscientização das pessoas nem tanto.
Exemplos não faltam, vou citar apenas mais um:
Em uma reconhecida e certificada instituição de ensino pude encontrar no mural o seguinte aviso:
“Acesso Wi-Fi para os alunos neste andar, senha da semana: bla bla bla bla”.
Sim deveria mesmo ser bla bla bla, porque esta senha não muda no mínimo há dois meses – pelo que percebi – e conforme os instrutores tem muito mais tempo.
Isso demonstra que não adianta definir procedimentos se não existe alguém fazendo a gestão destes.
Esta na hora de repensarmos nossas atitudes, pois:
“Não adianta conquistar a sabedoria, é preciso saber usá-la.”
“O maior risco é acreditar que não existe risco”
“O Mundo ideal talvez não exista, mas melhorar é preciso”
Até breve,
