Mente Hacker

A política do bloqueia tudo funciona?

Publicada em 11/02/2011 10:45

A ideia de escrever este artigo nasceu de uma conversa com a minha esposa, durante as últimas férias de verão, onde nossos filhos aproveitaram parte do tempo livre para uma visita ao nosso escritório. O tema “segurança da informação” surgiu quando a minha esposa fez uma observação curiosa a respeito do conteúdo que o meu filho de apenas 8 anos estava tentando acessar na internet: pornografia.

“Vamos bloquear tudo nos computadores para que ele não tenha acesso a este tipo de conteúdo”, disse a minha esposa. Na hora lembrei dos executivos que levam quase tudo na emoção. Por exemplo, a organização identifica que um colaborador, funcionário ou prestador de serviços, está burlando a política de segurança da informação ou as normas internas. Vamos imaginar que este colaborador realiza acessos, constantemente, a sites não relacionados aos negócios da empresa – fotos das musas do carnaval, receitas de culinária, sites de relacionamento etc. O executivo resolve aplicar uma medida disciplinar para que todos na organização saibam que este tipo de comportamento não será tolerado. Porém, o executivo esqueceu que antes de tudo isso é necessário a implantação de campanhas de conscientização sobre segurança da informação e o código de conduta.

Expliquei para a minha esposa que essa estratégia do “bloqueia tudo” não funciona. “Pelas condições atuais, onde as crianças acessam com mais facilidade qualquer tipo de conteúdo na internet, como você pretende resolver este problema?”, perguntava ela. Fazendo uma analogia, expliquei que não adianta colocar um controle sem um processo definido. Traduzindo para uma linguagem mais simples:

Campanha de conscientização

A primeira etapa era explicar para o nosso filho que é proibido acessar conteúdo pornográfico antes dos 18 anos (tenho certeza que você está rindo agora mas é exatamente isso que está descrito nos sites com conteúdo adulto).

A segunda etapa era comprar um livro sobre educação sexual, com uma abordagem / linguagem adequada para a idade da criança. Algumas crianças conversam sobre pornografia com seus colegas na escola, inclusive utilizam dispositivos móveis (iPhones, Nintendo DS etc) para levar este tipo de conteúdo para a escola e compartilhar com os amigos.

A terceira etapa é explicar as medidas disciplinares (ficar de castigo, sem televisão etc) caso o “acesso indevido” venha a ocorrer novamente.

Repare que até o momento os desafios são os mesmos no ambiente corporativo.

Monitorando os filhos (ou os colaboradores)

Após esclarecermos todas as dúvidas, finalizamos a campanha de conscientização. Os processos foram definidos, as regras, estabelecidas, os recursos,  disponibilizados (computador com acesso a internet) e o monitoramento, tornado ativo.

Nos primeiros dias, após a campanha de conscientização, fui investigar os logs de páginas acessadas pelo meu filho. Nesse momento, encontrei evidências de tentativas de acesso a conteúdo pornográfico através de sites de pesquisa. O que pude perceber é que o nosso filho ainda não sabe como chegar aos sites pornôs. Mas está bem próximo de conseguir o acesso a este tipo de conteúdo.

É curioso observar como todo o cenário da nossa casa é parecido com o que acontece nas organizações, justamente aquelas que mais colocam controles tecnológicos para restringir o acesso à internet. A campanha de conscientização foi realizada, porém, tudo indica que não estão levando a sério as diretrizes ou a linguagem utilizada para transmitir a informação não é de fácil entendimento.

Vamos bloquear tudo!

A ação de bloquear tudo, utilizando recursos tecnológicos, alivia temporariamente as preocupações de acesso a conteúdo impróprio, mas instiga o instinto hacker da pessoa. Ou seja, a pessoa irá fazer de tudo para burlar o controle implementando. E pode apostar que conseguirá quebrar a segurança tecnológica implementada. Principalmente as crianças, que já nascem quase que conectadas na internet e cada vez mais são autodidatas – perfil de hacker. Vale a pena lembrar que muitas crianças começam a ter aulas de informática a partir dos 2 anos. Imagine o conhecimento dessas crianças quando crescerem e estiverem trabalhando na sua empresa! Isso já está acontecendo.

Conclusão

A política do “bloqueia tudo”, utilizando um verdadeiro arsenal tecnológico, muitas vezes é ineficiente e o investimento não alinha a TI aos objetivos do negócio ou da nossa casa.

O esforço focado na mudança comportamental possibilita maior probabilidade de obtenção de sucesso na segurança da informação.

Os computadores não erram, quem erra são as pessoas. Não podemos esquecer que na maioria dos casos, o maior impacto financeiro em um demonstrativo de resultados, tanto na empresa como em casa, é a folha de pagamento. É claro que nossos filhos não recebem salário, porém, temos despesas com mensalidade escolar, uniforme, alimentação, calçados, viagens etc. O impacto financeiro que temos em casa é muito semelhante a folha de pagamento de uma empresa.

É importantíssimo as organizações investirem no exercício da negociação e de comunicação abordando temas relacionados à segurança da informação. As campanhas de conscientização são necessárias para que os colaboradores compreendam as diretrizes de segurança da informação, seus objetivos e as relações com o mercado. Comece a melhorar o nível de maturidade em segurança da informação estabelecendo uma linguagem comum sobre o assunto. Depois estabeleça os processos e, só depois disso, implemente os controles.

Os desafios que enfrentamos em casa com os nossos filhos são os mesmo que os executivos enfrentam com os seus colaboradores.

Pense nisso!

  • Pingback: Tweets that mention A política do bloqueia tudo funciona? | Mente Hacker -- Topsy.com

  • Pingback: A política do bloqueia tudo funciona? |

  • Pingback: A política do bloqueia tudo funciona? « SECURITY

  • Pingback: blog.dennyroger.com.br » A política do bloqueia tudo funciona?

  • http://twitter.com/Neo_Hugo Neo ( Hugo )

    A politica do “Bloqueia Tudo” é equivalente a “Fracasso Certo”. Nas empresas, isso acaba instigando o colaborador a buscar alternativas e tenham certeza: Ele as encontrará. No caso das crianças ainda é pior. Elas encontrarão a saida ainda mais rápido. E isso não é de hoje. Eu lembro que eu comprava as PlayBoys na banca, colocava na conta do meu pai, via e depois revendia para os meus colegas. Tudo ia bem, até o dia que meu pai visitou a banca um dia antes do programado. Ele entrou em meu quarto e falou: Seu fd%$@ o que é isso? Resposta: Meu comércio, o dinheiro está aqui.( kkk ). Não preciso dizer que tive que fechar a empresa ( kkk ). Todos somos seres humanos. Temos que trabalhar essa parte, mas é dificil.

  • Danilo

    Sou totalmente contra qualquer tipo de controle sobre a internet! Por isso meus funcionarios são livres para entrar em qualquer site no trabalho, inclusive sites pornográficos. Pórem não deixei de fazer a tal campanha de conscientização, disse a eles que se quiserem ficar o dia inteiro vendo mulher pelada na internet o problema é deles, mas se no final do dia não me apresentar pronto a tarefa que lhe foi dada é RUA. Assim é que funciona. Por que gigantescas como Google ou Facebook permitem acesso livre a qualquer site para todos seus funcionarios?

  • http://twitter.com/pCFp69 Paulo C Faccioli

    Bloquear tudo não resolve, mas não podemos permitir nem confundir liberdade com libertinagem. Assim, a libertinagem deve ser bloqueada sem paranóia (e com informação), e os logs denunciarão quem ainda acha que está na sua propria casa e não numa empresa que paga salário para obter resultado. Primeiro aviso verbal, segundo aviso no papel e terceiro é RH. Simples e eficiente.

  • http://twitter.com/ronalds1979 Ronaldo Souza Freita

    Denny,

    Sua abordagem foi muito feliz, parabéns pelo artigo.
    Estamos numa transição de gerações que se reflete no ambiente corporativo, o esquema de trabalho altamente hierárquico (vertical) das gestões mais tradicionais está sendo substituído por uma estrutura muito mais colaborativa (horizontal) e matricial.
    Isso implica em mudanças de política para lidar com as situações do dia-a-dia.
    Assim como na mídia, que tem uma abordagem/linguagem específica para cada público específico, conforme idade e geração. A equipe de segurança de informação precisa ter este jogo de cintura, para se aproximar do seu público conscientizando, cativando, conquistando as pessoas transformando-as em aliados.
    As novas gerações não toleram proibições, mas são fortes aliadas quando bem conscientizadas.
    Como já dizia o cantor Caetano Veloso na ditadura “É proibido proibir”

  • Vitaoura

    Caetano Veloso na ditadura “É proibido proibir” demais mesmo…

    Uso racional econômico da maquina equivale á produtividade que implica no impetuoso TEMPO.

    Temos que ensinar nossas gerações as varias técnicas de gerenciamento de tempo. Conscientiza com meio de campanhas, ensinar sempre buscando inovações e enfatizando o senso critico de cada um para uma decisão de mudança melhor.

    Em questões de ferramentas já temos software que podem monitorar o que realmente fazemos com o tempo diante da maquina. Uso cociente do tempo.

    Conscientizar, Ensinar e Melhorar por senso critico.

  • Elves J

    Muito bom seu artigo Denny. Em relação ao controle da internet em casa para com os nossos filhos, uma boa tática é da de colocar o microcomputador na sala, e somente liberar o seu uso quando os pais estiverem presentes lendo um livro ou assistindo televisão. Se por ventura o nosso pequeno internauta acessar algum conteúdo impróprio, neste momento os pais devem explicar e não “de cara” repreender. Acredito que com o afeto entre pais e filhos, tudo se resolve. Um forte abraço a todos.

  • Pingback: Bloqueio na Internet – Doméstica ou Corporativa | Lia Baião Feder

  • http://twitter.com/igor_quintal Igor Rezende Quintal

    Bem interessante essa comparação da TI no ambiente familiar a corporativo… Parabéns!

  • http://twitter.com/venceslaupmn Venceslau Neto

    Gostei dessa abordagem mais na prática não funciona assim.

  • Wladimir Rodrigues

    Parabéns pela matéria…. sou de SI e também acho que o “bloqueia tudo” não tem bons resultados.

  • Pingback: Bloqueio de sites funciona ? « ZÉducando

  • http://www.facebook.com/people/Pedro-D-Vargas/1505272087 Pedro D' Vargas

    Se o computador da empresa é pra trabalho entao devemos trabalhar nele e nao acessar assuntos na internet de coisas particulares. Ate porque um virus adquirido por voce e seu descuido na internet pode causar prejuizos muito altos pra um empresa. Entao acho que se a empresa liberar pra voce mecher em qualquer site, ai ja é responsabilidade deles, mais se no seu contrato de trabalho nao diz que voce pode sair navegando na internet como bem entender, voce nao deve fazer isso!. Minha dica é conversar com seu patrao sobre isso. se ele nao for a favor nao insista que os prejuizos poderam ser seus tambem. Agora o bloqueio funciona sim em determinadas empresas onde os funcionarios se concientizaram que eles nao querem que faça outra coisa a nao ser o trabalho! #ficaadica

  • http://pulse.yahoo.com/_Y7NNDGA2GRTILTVUSGDXRKR4GA Maicon Novaes

    Parabéns!
    Concordo Plenamente!!!

  • http://pulse.yahoo.com/_WTYWSPYXK3NSLOFABZNT4ZCMLU carla

    Oi, boa quase noite.
    Preciso de uma informação.  Usuaria comum do Twwiter. Tem um blog e um TT com o memo nome de @moçadosonho que contem conteúdo pornografico  e pedofillia como adeão ao blog. Denunciei como spam. Mas eles continuam on. Que recurso possui o TT além desse? Se acaso vc. souber e puder e quiser ajudar . E-mail. cafarocarla@gmail.com
    @gmai:disqus Abraços

  • Felipe dos Santos Ribeiro

    Toda medida de controle leva a um ação de contra-controle, involuntariamente as pessoas tendem a buscar sua zona de conforto atraves da sensação de liberdade, e para que as politicas de bloqueio sejam satisfatorias, o melhor caminho é o dialogo para que a adesao voluntaria seja aliada para o sucesso das  implantaçoes.

  • http://www.facebook.com/talissonjosetj Tálisson José TJ

    Ótimo artigo, parabéns. Na empresa começamos a implementar a política do bloqueia. Mas lembrando que, apenas aquilo que não teria muita importância para o ambiente corporativo, no quesito “produz e aprende”. Acredito na prática de não bloquear, mas desde que tenhamos também a conscientização. A realidade mesmo, mostra que a maioria dos gerentes de TI, não tem o tão precioso “tempo” e acaba indo para o mais fácil e (provavelmente, podemos mudar de ideia) prático que seria “bloqueia tudo”.

    Abraços!

  • http://www.facebook.com/talissonjosetj Tálisson José TJ

    Ótimo artigo, parabéns. Na empresa começamos a implementar a política do bloqueia. Mas lembrando que, apenas aquilo que não teria muita importância para o ambiente corporativo, no quesito “produz e aprende”. Acredito na prática de não bloquear, mas desde que tenhamos também a conscientização. A realidade mesmo, mostra que a maioria dos gerentes de TI, não tem o tão precioso “tempo” e acaba indo para o mais fácil e (provavelmente, podemos mudar de ideia) prático que seria “bloqueia tudo”.

    Abraços!