Liberdade ainda que a tardinha…

Tirando raras exceções os ambientes de trabalho de hoje em dia não possuem detectores de metais. Sendo assim nada impede que qualquer um leve uma arma e saia atirando nos seus colegas. No entanto, exceto por um país ao norte de nosso continente, é muito raro saber de um caso de agressão. Assim sendo em uma relação custo x benefício é pouco interessante para um empresário gastar uma fortuna com o citado equipamento e com os vigias que operam o sistema. E além disso todo mundo é mais feliz assim sem sentir que existe uma implícita desconfiança no seu caráter. Em geral as pessoas preferem sentir aquele calorzinho no coração de pertencer a uma feliz comunidade de trabalhadores amigos que poderiam cantar em um comercial de natal, sorrindo, abraçando os colegas. As pessoas são mais produtivas e criativas assim.

E qual o “ambiente de trabalho” do peão de escritório moderno. Não exatamente o que é oferecido pela empresa, mas aquele que é constituído pelo que lhe é fornecido e por aquilo que ele possui e que implicitamente pela cultura vigente ele é autorizado a usar. A empresa lhe fornece seu cocho sua baia, onde é colocado um computador, e um telefone e uma deliciosa cadeira de escritório. Seu computador provavelmente vai ter acesso irrestrito a internet, ou se houver restrição não costumam ser tão absurdas. Com sorte se o tempo de casa permitir talvez sua cadeira tenha apoio para os braços e sua baia fique próxima a janela. Ele tem um computador multiuso de bolso com câmera de 5 megapixels, wi-fi, 3G, aplicativos de toda sorte e que ainda por cima em alguns casos serve até para ligar para os amigos, claro se não estivermos falando de um Iphone. James Bond invejaria… Também traz consigo um pen-drive dentro de uma bolsa ou mochila. E em alguns casos (o meu por exemplo) até um laptop pessoal pode ser encontrado no cinto de utilidades. E tirando raras exceções, há uma forte presunção de “direito de uso” de todos estes apetrechos. Qualquer um pode ver que roubar informação da empresa não é problema para este funcionário. Vetores de contaminação por malwares também não faltam. Como também não falta oportunidade de roubar o grampeador. E estranhamente mesmo vivendo em um mundo tão perigoso são raros os episódios de problemas.

SIM… eu li as estatísticas, eu conheço o discurso. O maior risco para a sua empresa está no seu usuário interno, blá-blá-blá. Really??? Releia o parágrafo anterior com atenção. Você acha mesmo que você consegue conter o vazamento de informações quando hospeda um exército de espiões hi-tec se um deles REALMENTE quiser fazê-lo? Sabotagem? Quem realmente pode sabotar sua empresa, tecnologicamente falando, a não ser justamente aqueles que guardam as jóias da coroa e tem as senhas dos servidores? Quis custodiet ipsos custodes? Contra estes a maior parte das políticas de segurança são nulas.

Não quero em nenhum momento dizer que não exista a possibilidade de todo tipo de problema ocorrer, sendo causado por qualquer pessoa. A minha pergunta é “porque não ocorre mais?”

O trabalhador de hoje já se habituou com o mundo digital. Já vive sob outro paradigma se comparado com nossos colegas do papel e caneta de 15 a 20 anos atrás. Quem não nasceu com um computador em casa já teve tempo de se acostumar. Esta ferramenta já deveria ser algo ubíquo na sua vida e tão trivial como um aparelho telefônico. Pois como disse Stroustrup “I have always wished for my computer to be as easy to use as my telephone; my wish has come true because I can no longer figure out how to use my telephone”. Ou seja, ele já é grandinho e já deveria saber usar bem sua ferramenta de trabalho. Se ele sabe usar sua ferramenta e não supomos que ele vá assassinar seu colega de trabalho, roubar o grampeador ou marretar a central telefônica do predio, porque ainda supomos que ele é um marginal digital em potencial?

Isto diz muito mais a nosso respeito do que a princípio parece. É o medo que esta geração recém atirada em um mundo novo ainda tem do desconhecido. Um medo meio irracional.

Quanto gastamos “administrando” as máquinas de nossos amigos para deixá-las no limite do imprestável? Em nome de quê? Não seria melhor confiar em todos e deixar que cada um opte pelo ambiente que deseje usar? Configurado a sua maneira? Com todos os direitos administrativos sobre SUA ferramenta? E o helpdesk atende quem pede arrego… quem não quer seu ambiente próprio, só quer o feijão com arroz.

Isto não quer dizer que a infosec não tenha o que fazer. Da mesma forma que você não deixa o caixa da empresa empilhado em cima da mesa e confia que ninguém vai pegar nada você tem servidores a proteger. O que fica de cara para a rua tem que ter configuração perfeita. Informações do RH são o que todo mundo vai querer fuçar. Permissões de uso de um serviço aqui e acolá tem que ser dadas por alguém.

O ponto final é a política de segurança da informação. Quem é criança é tratado como criança. Quem quer ser gente grande tem que saber se comportar. A política neste caso tem que ser de tolerância-zero. Sem esta herança da lei romana que nos faz querer especificar tudo detalhadamente em regulamento para cada caso. É uma regra por princípio, que quem é gente grande não pode alegar não entender. O princípio é simples “você pode tudo que seja de sua alçada, desde que não faça nada para prejudicar a empresa ou seus demais colegas”. Qualquer comportamento abusivo é punição. No caso mais brando vale a regra do baseball: 3 strikes e você está fora. No caso mais grave é cartão vermelho.

Anúncios
Esse post foi publicado em Filosofia, Segurança. Bookmark o link permanente.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s