Meus dias de bofh já se foram. Agora sou um luser como outro qualquer sofrendo com as limitações do meu Windows configurado segundo o padrão da empresa.
É interessante ver como são limitados os recursos de nossos colaboradores usuais. Os computadores são hoje ferramentas tão necessárias e complexas que para desempenhar da melhor forma suas tarefas profissionais muitos casos se faz necessário a "customização" do seu ambiente de trabalho ao gosto do freguês.
Para mim que me criei aprendendo a escravizar a máquina para me servir, sempre encontro uma aplicação que boa parte dos usuários com menor grau de aculturamento computacional resolvem no braço. E isto faz toda a diferença. Mas agora não tenho mais estas ferramentas a disposição como outrora tinha. Vejo inclusive que disponibilizava para os meus usuários, em todas as empresas que até então trabalhei, um acervo bastante rico de ferramentas que agora me faltam.
Em certos momentos pensamentos malignos me surgem. Qualquer um que trabalhou com infosec, sabe que em um ambiente bem administrado e controlado não faltam oportunidades para um usuário mais esperto burlar as políticas. Imagina em uma rede mal administrada. Já cansei de tomar bola nas costas de usuário, com aquele papo de os fins justificam os meios. E agora não deixo de em algumas situações ser tentado pelo diabinho de fazer as mesmas coisas. Com uma vantagem adicional que acredito ser capaz de avaliar melhor o risco do que estou fazendo do que quem está de fato pilotando o ambiente. O mesmo não valia quando jogava no outro time, muitos usuários não sabiam avaliar os riscos a que expunham a empresa.
O curioso sobre infoseg é que muita gente conhece o pai-nosso e repete os dogmas como tal. E se você que é especialista vai contra este "senso comum" é questionado. É difícil bater de frente porque fica a sensação que você está sendo negligente com seu trabalho, quando na verdade você está vendo o lado do usuário, e avaliando risco e retorno. Afinal você não está sendo pago para isto? Se for para aplicar burramente uma lista de bolo até um help-desk de primeiro nível pode fazer. Então muitas vezes a culpa que os usuários colocam em você, übbergeek da segurança da empresa, não é sua. Vem de cima. E nem sempre é uma briga que valhe a pena ser comprada.
Ao escrever estes devaneios pode parecer que tive uma epifania e agora entendo a infoseg por um novo ângulo. Se voltasse ao mercado faria tudo diferente.
Não meu caro Muanis. Não faria tudo diferente. Faria algumas coisas diferentes, como de um ano para o outro ainda no mesmo emprego você reve algumas posições. Faria outras diferente se me fosse dada a liberdade de fazer o que sempre acreditei. E faria ainda outras se houvesse recursos para atender melhor os usuários. Porém ainda acredito que é valoroso o esforço feito para minimizar os riscos a que a empresa se expõe. E se o mundo não é perfeito para todos é porque via de regra os administradores estão balançando os pratinhos daqui para lá e de lá para cá tentando minimizar os riscos que os usuários criam a todo tempo. Sobra pouco tempo para implantar melhorias, ainda mais porque o alvo é móvel. Muitas vezes o que vai beneficiar todo mundo beneficiaria até a equipe de infosec, mas é uma montanha intransponível.
Isto também não significa que não possam haver break-throughs. Hoje em dia eu acredito que pequenos ambientes isolados, sob a responsabilidade de uma equipe de produtos com alguma estrutura básica herdade de uma administração central e com a consultoria da equipe de segurança podem criar um novo paradigma que permite liberdade com controle e menos carga de trabalho para os administradores. É uma idéia que eu infelizmente nunca vou poder explorar, mas quem sabe no futuro veremos algum modelo assim se firmar…
