Dentro da filosofia antiga grega, houve dois filósofos interessantes: Platão e Aristóteles. Ambos tiveram papéis fundamentais na criação do estado democrático.
Platão propagava a ideia de que regras deveriam ser estritamente seguidas. Segundo ele, não deveria haver exceções em nenhuma situação e a experiência era rejeitada como fonte de conhecimento. Já Aristóteles acreditava que é preciso temperança e experiência nas tomadas de decisão, e não somente seguir regras cegamente. Baseado nisto gostaria de criar duas linhas opostas de pensamento: uma baseada em Platão, que é basicamente seguir regras e outra baseada em Aristóteles, que é o uso de bom senso.
Agora, trazendo estas linhas de pensamento para a segurança da informação…
Há certos momentos em que o ideal é aplicar Platão e seguir a regra, a norma, a política interna sem pensar, sem questionar e em outros momentos o ideal é aplicar Aristóteles, julgar a situação e agir de acordo com a experiência, mesmo que a regra possa dizer o contrário.
Por exemplo, quando se está sob um ataque hacker, seguir toda a política de segurança pode não ser suficiente para conter a ameaça, às vezes é preciso esquecer GMUD, Planejamentos e sair implementando regras de firewall ou isolando segmentos de rede para estancar a ameaça e minimizar os prejuízos.
Já, por exemplo, em um plano de Recuperação de Desastres, não há espaço para achismos ou boas ideias, é preciso ser como Platão e seguir o plano à risca, sem desvios.
Então, dentro do universo de segurança da informação é importante ter bem claro o momento, os processos ou os cargos que devem seguir estritamente regras e outros em que é possível utilizar o bom senso, a experiência e até inovar. Pois assim fica claro quem tem legitimidade para arriscar o comprometimento dos requisitos de segurança e quem não tem.
Falando em realidade brasileira, essa percepção se torna ainda mais importante, uma vez que existe o costume, entre nós brasileiros, de “dar um jeitinho”, “fazer gambiarra” ou ter que fazer um ajuste técnico sempre que estamos sujeitos a leis ou regras. Há certos momentos em que a regra está errada ou não está adequada para o trabalho, e colaboradores acabam criando alternativas que resultam em falhas de segurança que só serão percebidas muito tempo depois
Certa vez, em um projeto interno, de um robô de atendimento aos consumidores, era necessário acesso ao Facebook para interagir de forma automatizada. Mas, pelas políticas de segurança da corporação, era proibido acessar o Facebook de dentro da rede. A equipe responsável pelo projeto hospedou o robô fora da empresa e, para que o robô pudesse atuar, replicaram dados junto com ele, fora da empresa, sem levar em consideração as devidas preocupações de armazenamento e trânsito desta informação já que estavam em terras devolutas. da interferência.
É o caso típico em que só seria possível identificar a falha quando os dados replicados fossem
roubados e divulgados na Internet ou quando numa conversa no café, alguém descobrisse, sem querer, o que estava sendo feito. Porém, o que deveria ter sido feito era somente ter a política de segurança ajustada, permitindo que sistemas automáticos pudessem acessar o Facebook para interagir e coletar dados, e restringindo o acesso dos usuários, já que provavelmente a regra foi criada apenas para evitar que colaboradores se dispersassem na rede social em vez de cumprir com suas obrigações no horário de expediente.
Outro filósofo importante, pai de toda filosofia, Sócrates, propôs a reflexão sistemática para solucionar problemas e, a partir disso, tinha-se o que ele chamava de parto de ideias. O Método Socrático consistia em reunir-se em uma praça, um lugar público, e fazer perguntas. E aqui há o ponto importante: há o momento de se questionar as regras, de modificá-las e criar.
Filosofando…
É preciso criar espaços para discutir regras de segurança com todos. Muitas vezes o departamento de segurança da informação vive em sua própria bolha, cria suas regras e as forçam em toda organização, não ouvindo como os colaboradores estão sendo impactadas por elas, se estão seguindo-a ou criando subterfúgios para conseguir executar seu trabalho sem ferir a regra imposta.
E os que mais precisam deste espaço para questionar as ideias são aqueles que precisam seguir as regras à risca como no ideal de Platão. No dia a dia eles devem seguir as regras, sistematicamente e inquestionavelmente, mas tem que haver abertura, em termos de tempo e local, para questionar os porquês de elas existirem, de auxiliar a aperfeiçoá-las, tornar a segurança de fato efetiva e não tornar a empresa um lugar onde o Shadow IT é bem-vindo.
Desta forma, é possível obter níveis justos de segurança, sem que os usuários tenham a percepção de que a segurança é ineficaz e permissiva ou que é o extremo oposto, e que mais atrapalha do que ajuda.
Agora, deixo um questionamento: gostaria de saber como é na sua empresa, há espaço para um parto de ideias? Há equilíbrio entre seguir regras e inovar?