terça-feira, 17 de janeiro de 2017

Too many cooks spoil the broth

A repercussão dos artigos sobre compartilhamento de senhas [Conta do governo publica senhas do Planalto acidentalmente no Twitter (https://noticias.uol.com.br/cotidiano/ultimas-noticias/2017/01/10/conta-do-governo-publica-senhas-do-planalto-acidentalmente-no-twitter.htm) e Atenção: Compartilhamento de senhas pode destruir sua segurança (http://cio.com.br/opiniao/2017/01/10/atencao-compartilhamento-de-senhas-pode-destruir-sua-seguranca) revelou que muitos profissionais de segurança vivem em regime de negação da realidade. Muitos consideraram o caso como um incidente grave e incomum.

O fenômeno de compartilhamento de senha de rede social é pratica comum em todas as empresas. A cultura brasileira em relação aos bens materiais e imateriais (senhas por exemplo) não é preservacionista, ou seja, o que é compartilhado não é cuidado por ninguém. Em outras palavras, estas senhas são conhecidas por várias pessoas que não estão envolvidas com as redes sociais nas empresas. A grave falha que os profissionais de segurança citaram ocorre diariamente na empresa que ele trabalha. O vazamento do endereço do arquivo com as senhas é situação similar ao que encontramos em senhas escritas nos lembretes grudados nas estações de trabalho.

Os que consideram este caso como incompetência dos envolvidos deveriam usar o mesmo tratamento para os que compartilham as senhas dentro das suas empresas. Infelizmente a falta de cultura da preservação de bens públicos faz com que as pessoas envolvidas com as senhas das redes sociais do governo não tenham visão dos danos e consequências. Para elas tudo foi resolvido com a mudança das senhas. Tal comportamento faz parte da cultura nacional. Os profissionais de segurança não podem ignorar os aspectos culturais da sua visão de trabalho. O compartilhamento de senha faz parte da rotina das empresas desde que as senhas surgiram no Brasil. Então tal situação não é novidade. Isto significa, que as políticas de segurança devem prever os casos de senhas compartilhadas. Não é possível que algo que é praticado por décadas seja entendido por grave falha de segurança.

Para os que alegam que a grave falha foi a divulgação do endereço do arquivo com as senhas em uma rede social, eu entendo, que é importante destacar que mais cedo ou mais tarde um incidente similar deste porte iria fatalmente acontecer pela forma como os bens compartilhados são geridos no Brasil. Isto significa que é um caso esperado e a política de segurança deve abordar tal situação. No caso das senhas compartilhadas é fácil perceber que elas existem em todas as organizações e também é nítido que as mesmas são pobremente gerenciadas.


Os profissionais de segurança precisam trabalhar tanto na difícil frente da mudança cultural sobre bens compartilhados, como na frente de curto prazo de tratar as consequências de tais vazamentos. A abordagem de ignorar o problema que é antigo e classificar como grave incidente de segurança em nada contribui para resolver o real problema. 

Nenhum comentário:

Postar um comentário