Modelos Tácitos de Segurança - Parte 1
Antes de adentrar no tema, gostaria de deixar bem claro que este artigo não é uma crítica pessoal ou profissional a nenhuma pessoa ou organização, mas sim fruto de reflexão após caminhar 10 anos em SI e ver que os modelos tácitos estão muito mais presentes na realidade do que no discurso de muitas empresas. Os modelos que discutirei a seguir não são excludentes e é bem provável que, em alguma medida, sua empresa esteja utilizando algum destes modelos. Portanto, a finalidade deste artigo é alertar, levantar a lebre para que os gestores possam produzir segurança no mundo real e não apenas no Powerpoint, afinal, Powerpoint aceita tudo, como diria um amigo meu.
Modelos e Frameworks
Modelos são representações da realidade, simplificações que visam facilitar a compreensão de determinado conhecimento. Dentro do universo de TI e segurança, alguns exemplos são o Modelo OSI, as arquiteturas dos sistemas operacionais e o desenho de segurança em camadas (modelo cebola). Um tipo de modelo em particular são os frameworks, representações que trazem orientações para estruturar uma determinada função, serviço ou processo, assumindo certos pressupostos e conceitos que guiam a execução do projeto de implementação. Exemplos de frameworks de segurança são NIST CSF, SANS CSC e ISO 27001/27002.
Frameworks x Abordagens Tácitas
Tácito é algo oculto, que não se fala, mas está implícito ou subentendido. Diz-se de algo que não é formalmente expresso, mas veladamente é sabido pelos interlocutores dentro de um dado contexto. Dentro de segurança da informação, embora o mercado e a academia advoguem o uso de frameworks para sua estruturação, na prática vemos a adoção de modelos tácitos de segurança para definir quais serão as bases e os princípios nos quais as estratégias são formuladas pelos tomadores de decisão relacionadas à segurança, seja um CISO, CSO, CIO ou um diretor de TI.
Modelos Tácitos
De forma geral, as estratégias de segurança partem de 3 fontes: leis e regulamentações, objetivos de negócio e análise de riscos de segurança (estou sendo simplista, se alguém desejar se aprofundar neste item, acesse este excelente artigo da Optiv). Sem uma correta visualização de quais elementos compõem tais fontes, qualquer iniciativa de segurança se baseia empirismo, e não na lógica e racionalidade consagrada pelas boas práticas de mercado. Derivado deste empirismo, identifiquei três modelos em uso, os chamados “Modelos Tácitos”, tão utilizados, mas nunca assumidos formalmente.
Um grande problema dos modelos tácitos, como veremos neste e no próximo artigo, é que eles não se sustentam perante um adversário real. Em muitos casos nem precisa ser algo sofisticado, um ataque não direcionado já traz um grande impacto à segurança da empresa. Para agravar ainda mais a situação, estes modelos transmitem a pior situação dentro da nossa área: uma falsa sensação de segurança.
Neste artigo discutiremos o primeiro modelo que traz uma ilusão de segurança, os demais serão objeto do próximo artigo. São eles: Segurança baseada na sorte, Segurança baseada na fé e Segurança baseada na nota fiscal.
Segurança baseada na Sorte - Luck Based Security
Talvez um nome bonito para organizações negligentes, que debocham de notícias de segurança e ainda vivem debruçadas no lema “nunca vai acontecer comigo”. Tomando emprestado o termo de Anton Chuvakin, esse modelo é adotado em empresas que não investem adequadamente em análise e planejamento de segurança, convivendo sempre com riscos que nem se deram ao trabalho de mapear. Tais empresas não conhecem e não compreendem completamente seus ativos, suas redes e seu cenário de ameaças e se habituaram com o fato de não serem violadas por puro acaso, daí deriva o termo “sorte”. Se tal empresa “tiver a sorte” de não ser o próximo alvo, perfeito. Agora, se der o azar de entrar na alça de mira, em um ataque oportunístico ou direcionado, certamente a negligência irá cobrar um preço alto.
Você já viu iniciativas de segurança baseadas na sorte? Deixe seu comentário para refletirmos sobre esse modelo tácito!
Créditos da Imagem: 4Winners
