Como não implementar medidas de segurança - Parte 1

Um assunto com pouca teoria formal que eu gosto bastante de discutir com os meus alunos e nas campanhas de conscientização que eu faço é a questão da resistência coletiva que existe dentro das organizações para com as medidas de segurança. Admita: por mais safo e habilidoso que você seja, não existe um único profissional de segurança que não tenha passado por esta situação. Após ler esse artigo, espero que você possa a ver o problema com outros olhos e aprenda a tomar alguns cuidados simples que fazem toda a diferença.

Em uma parcela significativa dos casos, o problema começa com o próprio profissional de Segurança da Informação (SI). Mesmo depois de muitos anos de existência, a área de SI ainda é considerada coisa para poucos do ponto de vista técnico. Ela seria algo como o “fronteira final” em termos de aprendizado. Para poder compreender a segurança de uma tecnologia, você precisava dominá-la totalmente. Por conta disso, ela sempre atraiu muitos profissionais de alta capacidade técnica. Quando a empresa se deu conta que precisava de alguém para cuidar do assunto, lembrou que havia um técnico que sabia tudo sobre ele. Contratar alguém no mercado seria caro. Além disso, como confiar algo tão crítico a um desconhecido? Logo, por que não promover o técnico a gestor ou coordenador de SI? O problema é que nem sempre esses profissionais têm um perfil exatamente adequado para a posição.

Eu costumo brincar que muitos profissionais de Tecnologia da Informação (TI) escolheram esta área justamente para não precisar lidar com pessoas ;-) É um paradoxo curioso que eu chamaria de Complexo de House. Para quem não conhece, House é um seriado médico de grande sucesso, com um personagem principal homônimo, que goza de uma incrível popularidade entre os profissionais de TI. O melhor resumo sobre a personalidade do Dr. House que eu já vi ouvi veio de um colega: ele é um médico que não gosta de pacientes. Na hora a ficha caiu e eu entendi porque tantos colegas amam o seriado. Na grande maioria, eles são profissionais de TI que, em maior ou menor grau, não gostam de usuários.

Não existe nada mais perigoso que colocar alguém que não gosta de usuários para definir medidas de segurança. Se trabalhando em TI ele já foi responsável por bloquear até a troca do papel de parede das estações, imagine o que ele pode fazer em escala empresarial! Profissionais com esse perfil não costumam possuir sensibilidade para perceber o quanto é delicada e incômoda a mera existência de um departamento de segurança. Não observam o quanto o contexto é capaz de mudar o comportamento das pessoas que nele atuam.

Para elucidar, eu gosto bastante de mencionar um famoso estudo de sociologia feito na Alemanha na década de 70 em um presídio desativado. Voluntários foram chamados a fazer o papel de policiais e presidiários em uma espécie de brincadeira de “faz de conta”. Os pesquisadores observaram que, independente do perfil, aqueles que se passavam por policiais desenvolviam uma tendência ao autoritarismo. Já os presidiários se dividiam entre os resignados (que fingiam cooperar, mas não aceitavam a situação) e os rebelados. O estudo é bastante famoso, foi transformado em documentário, e não pôde ser acabado, porque a influência que o ambiente exercia sobre os atores era tamanha que as coisas começaram a fugir do controle.

Nas organizações ocorre uma situação bastante similar. Alguém é promovido a “policial” e, a partir de então, passa a ser exorcizado (ou tratado com falsidade) pelos “presidiários” (se nunca mais te chamaram para um happy hour depois da sua promoção, você sabe bem do que eu estou falando ;-). Numa tentativa de mostrar poder e exercer a sua autoridade, o profissional passa a entrar em embates e tomar medidas de eficácia duvidosa ou de prioridade questionável. Ou seja, ao invés de trabalhar para azeitar uma relação que é inerentemente conflitante, trabalha no sentido oposto. Não é difícil imaginar o resultado disso. Alguém na empresa deverá tomar a decisão de demiti-lo, independente de sua capacidade profissional. O trabalho de um gestor de SI é servir como um agente de mudanças. É impossível fazer isso brigando com toda a empresa. Entre demitir todos os empregados e demitir o gestor de SI, não é difícil imaginar qual a melhor decisão a ser tomada.

Existe uma verdade que precisa ser aceita. Ninguém gosta de medidas de segurança, a não ser aqueles que estão na posição de defini-las e cobrá-las dos outros. Talvez a evidência mais clara esteja em uma situação muito freqüente. Muitos profissionais de segurança começam na área de tecnologia. Quando ambas as áreas estão sob a mesma responsabilidade, em geral, as medidas tomadas têm como objetivo atormentar a vida dos usuários: senhas complexas, restrições para acesso a Internet e uso do e-mail, cerceamento dos recursos da estação de trabalho e por aí vai. Num belo dia, a área de segurança é “promovida”, ganhando independência. Pode apostar que as primeiras medidas de segurança terão como objetivo atormentar a vida dos técnicos: restrição de uso das contas dos administradores, geração excessiva de logs, controle de mudanças, etc. Estoura o conflito: os técnicos alegam que os profissionais de segurança, agora que são independentes, sugerem controles que jamais recomendariam se fossem responsáveis por sua implementação. Aí é que reside toda a eficácia da separação. Medidas de segurança geram trabalho e desconforto e ninguém gera isso para si mesmo. Se assim o fizer, não estará recomendando aquilo que é necessário, e sim aquilo que dará menos trabalho.

Para alguns, essa sutilezas podem parecer óbvias, mas eu conheço profissionais com anos de experiência que ainda não se tocaram. Colocar um técnico com o perfil do Dr. House para escolher medidas de segurança é uma estupidez administrativa, pois esse tipo de profissional não trabalhará para diminuir essas arestas, e sim para acentuá-las. Além disso, ele não possui uma das características básicas para amenizar os problemas que é a capacidade de dar o exemplo. É muito comum ver profissionais de segurança dando sermão nos usuários em campanhas de conscientização, recomendando uma série de procedimentos que eles mesmos não seguem. Se você questioná-los, ouvirá algo do tipo “eles não podem usar o MSN porque não sabem amenizar os riscos, mas eu sei”.

Essa postura até encontra embasamento técnico, mas não há nada mais ineficaz, além de arrogante, em termos de postura. Técnicos que não gostam de usuários costumam pensar que são seres superiores. Seguem um estereótipo muitas vezes atribuído a padres: “faça como eu digo, mas não como eu faço”. Quando o padre diz “vivam juntos para sempre” soa meio caricato, pois ele nunca casou com ninguém! Você jamais vai ter moral para pedir aos usuários para interromper o uso do MSN se você continuar usando a ferramenta todos dias.

Se você conseguiu visualizar claramente o problema, fique atento para a próxima parte deste artigo, onde eu darei conselhos práticos e um método simples para diminuir a resistência da empresa. Mas eles de nada vão adiantar se você não conseguir fazer uma auto-crítica e avaliar o seu comportamento dentro do seu ambiente de trabalho.

Você está mais para Dr. House ou para Dr. Wilson? O primeiro sem dúvida é mais brilhante, mas só não foi demitido porque tem o segundo para segurar a barra quando a coisa estoura de verdade. E se você pensar bem, eles têm muito mais semelhanças do que diferenças, o que significa que não é tão difícil assim ter uma postura correta e equilibrada, mesmo que você tenha algumas excentricidades ;-)

A segunda parte deste artigo está disponível aqui.