Essa semana um artigo de segurança foi motivo de muitos e-mails e muita discussão no mundo todo. Começou nas listas lá de fora e acabou circulando aqui nas nossas listas também. No blog do Augusto Paes de Barros tem um post que sintetiza muito bem a discussão. Aliás, como sempre, muito bem colocado pelo Augusto.

Na minha opinião, o autor ou é um técnico inexperiente ou um alarmista inconseqüente. Na verdade, muita gente espera a solução de segurança "The One". Aquela que vai deixar todos boquiabertos com a inteligência de sua conceituação e eficácia de resultados, e que definitivamente, acabará com os problemas da segurança. Acho mais fácil aqueles que esperam pelo Messias obterem sucesso na sua espera.

Logo após ler o post do Augusto hoje cedo, chegou na minha mail box um boletim da FCW (Federal Computer Week) com um pequeno artigo de W. Hord Tipton sobre o mesmo assunto. Acho que estamos todos chovendo no molhado. Primeiro dando tanta importância ao artigo que gerou todo esse imbroglio (Security Absurdity: The Complete, Unquestionable, And Total Failure of Information Security), depois porque pensar na segurança, sem pensar na necessidade do negócio para definir até onde a segurança precisa ir, é teoria em CNTP (condições normais de temperatura e pressão).

Eu, particularmente, li e reli não só o artigo "do fim do mundo", mas também um que escrevi em 2002 sobre a necessidade de entendermos que a segurança por si só não se justifica nunca - Por que falham os Security Officers. Cheguei a conclusão que ainda não mudei de opinião. Bom, para reforçar a posição do Augusto e de todos os demais profissionais de segurança que não são inexperientes e nem alarmistas, postei a tradução do artigo do Tipton publicado na FCW.com, abaixo.

Não confunda o autor deste artigo com o Harold (Hal) Tipton, autor de um dos best sellers da segurança da informação: Information Security Management Handbook, Fifth Edition - ISBN 0-8493-1997-8. O artigo original em inglês está aqui.

Tipton: Segurança começa com o usuário

Quando endereçamos problemas de tecnologia de segurança de informação, nós descobrimos que a tecnologia é somente parte da solução. A indústria de TI é especialista em fornecer reparos para vulnerabilidades, mas acaba frequentemente criando um problema novo: muitas tecnologias procurando ser a ?solução final?.

A indústria tem nos profissionais de marketing, peritos em identificar problemas e em oferecer soluções. Nós temos um medo saudável dos ataques que exploram nossas vulnerabilidades, por conta disso somos impelidos a procurar soluções rápidas. Dessa forma não esperamos uma solução arquitetural ampla, que poderia ser aplicada no ambiente como um todo.

Mas essa atitude nos conduz a criar sistemas e redes que não são interoperáveis. Quando nenhuma arquitetura comum existe, as organizações devem investir no treinamento extensivo e caro em uma variedade ampla de soluções. A longo prazo, a segurança dos sistemas de informação é prejudicada e o TCO (total cost of ownership - custo total da posse) vai para o espaço.

Pessoas que usam computadores e os profissionais que mantêm redes e sistemas são a raiz do problema, que significa que treinar todos os empregados é uma etapa essencial em controlar um programa da segurança de TI. Usuários que não são treinados para detectar ataques de phishing ou pharming ou spywares, podem abrir portas perigosas aos hackers. Não se pode manter um ambiente seguro quando os profissionais de TI estão sobrecarregados de atualizações e correções dos ambientes, que operam sem um padrão mínimo de configurações de segurança.

Mas não vamos negligenciar o papel da gerência. Considere o que pode acontecer quando os gerentes deixarem o ambiente de TI para os peritos e olharem para isso simplesmente como sobrecarga administrativa. Sem uma equipe preparada e involvida na gerência, seu programa de TI estará constantemente reagindo às catastrofes e aos pesadelos de orámento. Historicamente, o primeiro item cortado pelos administradores durante uma revisão de orçamento é treinamento. Essa prática deve ser revertida. Necessitamos de profissionais treinados agora, mais do que nunca.

Nós iniciamos uma era em que os gerentes e os proprietários de sistemas devem estar cientes que sua falha em reconhecer os riscos envolvidos nos negócios conduzidos eletronicamente, os deixam sujeitos à responsabilização - nas esferas corporativa e pessoal. Diversas ações judiciais que alegam proteção insuficiente de dados pessoais resultaram em condenação ou acordo judicial.

Ameaças da segurança no ambiente de TI vêm crescendo de forma mais sofisticada, e seu número está expandindo exponencialmente. Especialistas de segurança são frequentemente pegos de surpresa. As infecções são sorrateiras, e podemos não estar certos que limpamos completamente um dispositivo sem refazê-lo ? o mesmo acontece freqüentemente com a rede. Os erros dos usuários hoje têm conseqüências significativas.

A próxima vez que você receber uma mensagem de e-mail de seu chefe dizendo para abrir um arquivo anexado com uma extensão perigosa ou para clicar em um link para baixar um white paper, esteja ciente que o endereço de e-mail de seu chefe pôde ter sido falsamento usado.

Conscientização e treinamento de segurança baseado nas necessidades das funções pode ajudar a reduzir seu risco, porém, cedo ou tarde você estará de frente para um grande problema de segurança. Tenha pronto um plano de ação.