Mente Hacker

Catástrofe pode gerar investimento em segurança da informação

Publicada em 18/03/2011 18:51

Durante uma reunião de família, meus pais estavam relembrando um fato que ocorreu durante a minha adolescência e que, automaticamente, correlacionei com dia-a-dia de algumas organizações. O assunto em questão, que sempre é contado de forma muito divertida, era sobre a minha atitude em relação a uma prova de ciências. Mas vamos entender melhor tudo isso.

Na minha 5ª série do ensino médio, sempre inventava uma desculpa para ir andar de skate e não estudar para as provas ou fazer a lição de casa. Apesar de “fugir” dos livros, sempre obtive a média necessária para passar de ano. Porém, aproximando-se da data de uma prova de ciências, percebi que não estava preparado para o teste e comecei a pensar em algum modo de não realizar aquela prova.

Até hoje não sei de onde surgiu a ideia, completamente fora do comum, mas resolvi explorar uma vulnerabilidade da sala de aula. A lousa era verde e a professora utilizava um giz para escrever as questões da prova. Sendo assim, cheguei à seguinte conclusão: sem a lousa, a professora não irá aplicar a prova!

Momentos antes de começar a prova, enquanto não havia ninguém na sala de aula, esfreguei um sabonete em toda a lousa. Dessa forma, não era mais possível escrever na lousa verde com o giz. Os alunos começaram a entrar na sala de aula, muitos preocupados com o conteúdo da prova e eu estava rindo sozinho – ou melhor,  já estava me entregando. A professora chegou, todos ficaram em silêncio e logo que ela tentou escrever na lousa percebeu que havia algo errado. O giz não estava funcionando. Ou melhor, a lousa estava com algum tipo de “produto químico”, segundo a professora, que não permitia a utilização do giz.

É claro que fui descoberto e os meus pais foram convidados a conversarem com a diretoria do colégio. A conclusão dessa conversa foi que eu deveria lixar e pintar a lousa. Como eu não sabia lixar, muito menos pintar – iria ficar horrível e meus pais sabiam disso – minha mãe resolveu cumprir a “pena” no meu lugar.

Quando foi lixar e pintar a lousa percebeu que na sala de aula existiam outros problemas. Decidiu que também resolveria os outros problemas, deixando a sala de aula um ambiente mais agradável para os alunos.

Exploração de vulnerabilidade e a melhoria contínua

Nas organizações existem colaboradores “esfregando o sabonete na lousa”, vírus de computador, queda de energia, crackers invadindo o ambiente computacional, vazamento de informações, uso indevido do correio eletrônico etc. Porém, os profissionais de segurança da informação e TI, sempre que possível, alertam os executivos da sua organização sobre as vulnerabilidades encontradas e/ou conhecidas. De todo modo, a maioria dos executivos prefere aceitar o risco ou não dar muita atenção para o assunto. Existe uma expressão popular que preconiza “É melhor prevenir do que remediar”. Esse ditado, de certo modo, sintetiza alguns acontecimentos nas organizações brasileiras.

Quando a ameaça consegue explorar uma vulnerabilidade, causa um impacto no dia-a-dia da organização. Por exemplo, a ação de um vírus no ambiente computacional pode causar  prejuízo financeiro significativo e/ou afetar a imagem da organização. Uma campanha de conscientização e a utilização de ferramentas tecnológicas ajudam a minimizar este risco. Mas quantas empresas querem investir em campanhas de conscientização? Isto é apenas um exemplo.

O que presenciamos quase que mensalmente são executivos, ainda sob o choque do incidente, contratando as pressas especialistas em segurança da informação para “remediar” o problema causado por uma vulnerabilidade explorada. Sempre digo que “é só abrir o armário que começam a sair esqueletos”. Ou então, “quem procura acha”. Estou comentando isso porque o objetivo é responder ao incidente, porém, a consequência disso tudo acaba gerando a implementação de uma série de melhorias para os processos de segurança da informação e TI.

Às vezes, um incidente pode trazer as melhorias que já eram esperadas pelos colaboradores há muito tempo, fato semelhante a escola em que eu estudava. Mas espero que os executivos comecem a utilizar novas metodologias para dirigir e controlar as atividades de segurança da informação, garantindo o alinhamento estratégico e antecipando-se aos problemas.

  • Dudu Hipolito

    conclusão?

  • Gustavo

    Apesar da história do quadro ser boa, esperava mais do artigo quando li o titulo…

  • koroko

    Hehe…verdade a historia da lousa é boa, o artigo até pega o fio certo, mas deixou a desejar…

  • Ky

    Então…?

  • Gerusa Freitas

    Hamm, relamente o artigo deixou a desejar, afinal, o título é bem chamativo, mas faltou conteúdo…

  • Robson Xavier

    Propaganda enganosa? A chamada é fantastica e faz refletir muito sobre o ocorrido e as consequencias. Acredito que podia ser melhor explorado.

  • Felipe dos Santos Ribeiro

    A segurança da Informação tem como premissa garantir a integridade, confiabilidade e disponibilidade das informaçoes, no entanto suas praticas sao  negligenciadas pelas areas estrategicas das empresas.
    Dessa maneira é atraves de catastrofes com perdas ou danos ao negocio devido  pela falta de investimento que a concientização vem a tona.

  • Felipe dos Santos Ribeiro

    A segurança da Informação tem como premissa garantir a integridade, confiabilidade e disponibilidade das informaçoes, no entanto suas praticas sao  negligenciadas pelas areas estrategicas das empresas.
    Dessa maneira é atraves de catastrofes com perdas ou danos ao negocio devido  pela falta de investimento que a concientização vem a tona.