Modelos Tácitos de Segurança — Parte 2

Após definirmos o conceito de modelo tácito e abordamos o modelo de segurança baseada em sorte, vamos aos últimos dois, segurança baseada na fé e baseada em nota fiscal.

Segurança baseada na Fé - Faith Based Security

Diferentemente do modelo baseado em sorte, aqui ocorrem investimentos de segurança, mas o objetivo destes é a conformidade (também podemos chamar este modelo de compliance based security) com algum requisito mandatório, sejam itens em contrato para fornecimento de produto ou serviço, aderência ao PCI-DSS ou outra demanda do mercado ou regulamentação governamental, sem preocupação com a eficácia de sua segurança.

Tais organizações não testam ou testam de forma muito limitada seus controles, não há garantia alguma se eles funcionam de fato perante uma ação maliciosa, simplesmente existe a “fé” de que tudo vai funcionar ao se deparar contra um agente de ameaça e seus vetores: o antivírus irá detectá-lo, o firewall irá barrar a comunicação e a aplicação irá tratar adequadamente requisições de injeção de código, não há com o que se preocupar!

Empresas com esse enfoque se satisfazem em passar em auditorias conformidade, regulatórias ou de clientes, pois um checklist bem respondido irá manter o contrato vigente, garantir o certificado ou selo de conformidade (100% seguro!) e impedir qualquer multa ou sanção, pois, afinal, é isso que importa e paga as contas no final do dia.

A adoção deste modelo vem mostrando fracassos sucessivos, pois estar em conformidade não é sinônimo de estar seguro, um debate já batido e que possui dezenas de incidentes que demonstram a diferença. Desnecessário dizer que, ao se deparar com um ataque direcionado com um adversário capaz e persistente, a situação não será tão colorida (ou apenas verde) como o KB de requisitos apontava….

Segurança baseada em Nota Fiscal - Invoice Based Security

Paul Brucciani retratou bem este último modelo, onde a segurança tem um enfoque quase que puramente tecnológico. Se eu investir milhões em plataformas de segurança, me sentirei protegido contra qualquer ameaça. Por quê? Porque investi muito dinheiro nos fabricantes que tinham um enorme estande nos principais eventos de segurança, um estupendo material promocional ou porque deram uma palestra magnífica naquele evento de segurança super badalado, não tem como errar!

Neste modelo é preciso ressaltar um fator importante conhecido como efeito halo. Segundo o Wikipedia, esse efeito diz respeito a “possibilidade de que a avaliação de um item, produto ou indivíduo possa, sob algum viés, interferir no julgamento sobre outros importantes fatores, contaminando o resultado geral”. Daniel Kahneman, prêmio Nobel de Economia, trata das consequências deste efeito no modo como vemos e avaliamos pessoas e situações em seu livro Rápido e Devagar, leitura recomendada.

De forma prática, no contexto de investimento em tecnologias de segurança, o efeito halo interfere em como avaliamos os argumentos e somos influenciados, de forma que acreditamos nos argumentos de um fabricante de tecnologia que possua uma credibilidade e/ou uma posição relevante na indústria, isto é, muitas vezes não criticamos, testamos ou validamos seus argumentos ou tecnologias devidamente porque, afinal de contas, o fabricante XPTO não pode estar errado, são líderes da indústria no quadrante do Gartner! Se eles falaram que a principal ameaça de 2019 será ransomware, é nisso que preciso pensar e me proteger. É uma “terceirização” do planejamento de segurança, já que o fabricante fez uma avaliação, eu, gestor de segurança, me esquivo de fazê-la sob o contexto da minha organização (infraestrutura, cultura organizacional, objetivos de negócio, processos, etc), seguindo cegamente as recomendações do fabricante. Brucciani afirma que dentro das corporações muitas vezes é comprada a tecnologia de segurança que possui o melhor marketing, não a que realmente se adapte e seja mais adequada a uma estratégia racional de segurança.

Empresas que trilham esse caminho sofrem de uma miopia das suas reais necessidades de segurança e não conseguem endereçar para qual ameaça (componente de uma robusta análise de riscos) suas tecnologias foram adquiridas, simplesmente compram produtos de fabricantes renomeados e estão “segurados” que nada vai dar errado porque a tecnologia de ponta foi adquirida. Se eventualmente algo dar errado (leia-se: incidente de segurança com significativo impacto), elas já tem em quem colocar a culpa, porque compraram o “estado da arte”, as melhores tecnologias disponíveis, ou seja, eles fizeram o seu trabalho.

Embora elas tenham um álibi no momento do incidente — mas eu comprei do melhor fornecedor do mercado! — a ausência de uma estratégia de segurança “tailor-made”, contextualizada na organização, irá mostrar suas fragilidades no confronto com um adversário real que certamente irá se aproveitar das vulnerabilidades resultantes dessa abordagem excessivamente tecnológica.

Para agravar a miopia, o foco em tecnologia tende a deixar a melhora dos processos e a qualificação dos times de segurança em segundo plano, à deriva e padecendo de inanição de investimentos, gerando a irônica situação onde empresas adquirem tecnologias de valores vultuosos e não possuem equipe qualificada para assumir sua operação, é o mesmo que deixar a Ferrari na garagem porque não existe mão de obra qualificada para pilotar a ferramenta.

Conclusão

Exploramos os três principais modelos tácitos que consegui enxergar ao longo de uma década em segurança da informação. Com certeza há outros, fiquem a vontade para compartilhar experiências ou sugestões para melhorarmos e ampliarmos a compreensão destes modelos; quanto mais entendermos suas características, melhor poderemos caminhar no sentido contrário, em direção a práticas mais científicas e comprovadamente eficientes de fazer segurança no mundo real.

Na parte 3 fecharemos o assunto, com um comparativo dos três modelos tácitos e sugestões para estrategistas de segurança evitarem tais abordagens, que são insuficientes perante o cenário dinâmico das ameaças atuais.