Wednesday, January 10, 2001

Imposturas Políticas

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Para não começar errado, devemos compreender na sua amplitude, o que é e para que serve a tal da “política”. É muito comum a confusão dos afoitos, são criadas regras inconseqüentes para usuários insatisfeitos. Política deve ser simples, clara e desenhada em um documento conciso, ao alcance de todos os colaboradores. Só isso define? Claro que não! Então vamos por partes.

Imagine um documento segmentado, com especificações simples para procedimentos usuais, some a estes a disponibilidade dos equipamentos e aplicativos necessários e adicione o eterno e super atuante trabalho de um bem disposto grupo de divulgadores. Você está começando a entender.

Pois vamos mais longe, na terra da “informação-sem-dono” onde a falta de comunicação é a marca forte do colaborador, até mesmo lá poderíamos implementar uma rotina de segurança com procedimentos de sucesso – a chave para o êxito é a capacidade do administrador ou consultor em personalizar seus moldes sem afetar o andamento do trabalho na empresa.

Não há nada pior para um usuário e, disso sabemos muito bem, do que ter uma política aplicando bloqueio de terminal para cada 15 minutos de inatividade em um ambiente dinâmico, como em uma loja onde os atendentes mudam de posto com grande freqüência. Este tipo de atividade não protege, só atrapalha.

Outro exemplo da má aplicação de políticas de segurança pode ser onde um determinado usuário é impedido de trabalhar, fora do horário normal, para garantir que nenhuma informação será comprometida. A idéia é utilizar equipamentos que possam conferir as regras da política, como câmaras de segurança e registros de atividades, não forçando o usuário a seguir normas impossíveis.

O correto seria utilizar meios de coerção eletrônico, ao invés de cobrar e punir aqueles que não trocam suas senhas de 90 em 90 dias, devemos criar procedimentos automáticos para que ao expirar - o próprio sistema se encarregue de pedir ao usuário o cadastro de sua senha -, aí sim aplicando todas as regras para proteção de sua autenticação. A segurança da Informação, ao contrário daquilo que comumente escutamos, vai além da atualização sistemática de softwares e das perturbadoras câmaras de vídeo – estamos na era da informação e devemos aproveitar, com cultura, divulgação, conscientização e orientação não há como errar.

Como dizia Descartes ao revelar seu método para eliminação de problemas científicos “reduzo os grandes problemas em pequenas partes” pois hoje sabemos que o francês tinha toda a razão e é assim que devemos trabalhar com o elemento humano. O segredo (que já não é mais segredo faz muito tempo) é corresponder cada norma da sua política a realidade do seu negócio observando:

- Estrutura tecnologia para suportar suas diretrizes, normas e procedimentos;

- Bom senso, sem abusar do usuário com regras de segurança inaplicáveis, por exemplo, proteger o software de calculadora;

- Entendimento por parte do usuário sobre aquilo que ele deve seguir.

Um exemplo engraçado relacionado a uma norma absurda que criou confusão em uma grande empresa: “O usuário deve fazer backup de suas informações sempre que houver infecção de vírus”, o administrador recebeu um telefonema de um usuário reclamando não poder fazer backup justamente por estar acometido pelo vírus da gripe.