Meia verdade em segurança da informação

Um dos maiores problemas do mundo é a linguagem da meia verdade. Não se mente: apenas se fala meia verdade. Um país invade o outro e justifica o ato pelo combate a um ditador que oprime o povo do país invadido. Meia verdade! A outra metade da verdade é o interesse do invasor pelo petróleo e outras riquezas do país invadido. Essa é uma situação em que a meia verdade é utilizada com o espírito de enganar. No ambiente da segurança da informação muitas vezes as pessoas falam meia verdade, mas pensando que estão falando a verdade, seja por desconhecimento ou seja por não ter uma visão completa do assunto. Evidentemente existem pessoas que usam a meia verdade de maneira maldosa, mas, não são esses casos que eu quero abordar neste artigo.Sendo assim, descrevo abaixo as situações que considero mais comuns no uso da linguagem da meia verdade em segurança da informação.a) ?Sim! Nós temos um plano de contingência!?É verdade que a organização tem um documento onde está formalizado e documentado um plano de contingência elaborado por uma empresa de consultoria conceituada no mercado. O que complica esta verdade é que o plano não é atualizado constantemente, não são realizados testes periódicos e consequentemente o aprimoramento do plano não é realizado. Não está explicito para a direção da empresa o cenário e o escopo que este plano considera. Também não existe um processo que garanta que o escopo desse plano será expandido até considerar todo o ambiente crítico da organização. Para completar o plano e sua manutenção não sofrem auditoria periódica.b) ?Segurança da Informação é muito importante para a nossa organização?!É verdade. Quando se fala em segurança da informação em palestras, eventos, reuniões de início de projetos nenhum gerente ou executivo vai de encontro a essa afirmação. Porém, na prática essa importância da segurança da informação tem uma dificuldade em se materializar. Começa quando do planejamento do orçamento. A segurança começa a disputar verba com a área de negócio e normalmente leva desvantagem. Algumas vezes podemos apresentar projetos de segurança com retorno de investimento (ROI). Outras vezes como um meta-ROI onde o retorno acontece somente quando da ocorrência de um desastre. Em uma terceira situação, a segurança tem que ser encarada como despesa, gasto ou similar. Faz parte do custo da solução. Por exemplo: alguém vai construir um site de comércio eletrônico: tem que ter segurança. Em relação a recursos financeiros a segurança deve ter uma verba específica.Para complementar, existem situações que demonstram que a segurança não é tão importante quanto se fala. Apesar das regras serem escritas para todos, às vezes aparece alguém, normalmente de alto nível hierárquico, querendo ser uma exceção.c) ?Todos os nossos funcionários conhecem a política de segurança, pois assinam um termo de responsabilidade!?.Realmente os funcionários assinam um termo de responsabilidade onde afirmam que conhecem a política e demais regulamentos de segurança da informação. A questão é que esse documento foi assinado na fase de contratação, onde o futuro funcionário assina este termo e muitos outros sobre assistência médica, assistência odontológica, plano de seguro e similares. Além do que, tudo é feito na forma ?assina rápido para que seu processo de contratação seja efetivado.?Para uma organização que deseja realmente que seu funcionário conheça os regulamentos de segurança é necessário fazer muito mais do que este procedimento para minimizar problemas legais. É necessário realizar treinamentos de segurança da informação com o funcionário e garantir que o mesmo entendeu as regras que ele deve seguir. É necessário a existência de um processo de conscientização e treinamento constante para todos os funcionários e demais usuários do ambiente de informação: prestadores de serviços, estagiários e similares. Ah! Até para o presidente.d) ?Estamos totalmente protegidos: temos uma sala cofre no CPD.?É ótimo ter uma sala cofre no CPD. Toda organização que pode realizar este investimento deve ter este tipo de proteção. Mas, uma sala cofre é um elemento da segurança e não deve ser considerada a solução para todos os problemas de desastre. A solução sala cofre deve ser complementada com solução de processamento alternativo em um outro local. Com certeza, na ocorrência de um desastre tipo incêndio os equipamentos dentro da sala cofre estarão protegidos. Porém, pode ocorrer que o ambiente ao redor da sala cofre esteja destruído ou pelo menos indisponível, significando com isso que as pessoas não poderão acessar os equipamentos dentro da sala cofre.Sem falar em situações que espero que não aconteçam na sua organização: apenas por um pequeno período de tempo, a porta da sala cofre fica aberta e escorada por um extintor de incêndio. Mais uma vez lembre-se: sala cofre é um elemento da segurança.e) ?Meu pessoal é confiável! Não terei problemas de vazamento de informação!?Acredito que seja verdade a primeira parte dessa declaração, porém, vazamento de informação não acontece apenas por pessoas de má fé. Todas as estatísticas indicam que em relação ao prejuízo causado nas organizações, cerca de 70% (ou mais) são gerados por situações de erro. Isto significa que não é uma situação de má fé, de fraude. Sendo assim, mesmo com funcionários totalmente confiáveis pode-se ter vazamento de informação se um desses funcionários colocar no lixo, sem destruir, uma informação confidencial.Para o profissional de segurança da informação a melhor maneira de tratar afirmações da linguagem da meia verdade é analisar fatos concretos, evidências e realizar uma análise das ameaças que estão sendo consideradas, ou que deveriam ser consideradas.Infelizmente sempre teremos pessoas que utilizam a linguagem da meia verdade: seja por conveniência ou seja por desconhecimento. Para os dois casos vale a recomendação registrada nos evangelhos: ?E conhecereis a verdade e a verdade vos libertará!?