1.7. A Segurança Não Pode ser Postergada
Não importa o que você pensa sobre o ambiente no qual seus sistemas rodam; você não pode ignorar o fator segurança. Mesmo sistemas standalone não conectados à Internet podem estar em risco (apesar dos riscos serem obviamente diferentes de um sistema que tem conexões com o mundo externo).
Consequentemente, é extremamente importante considerar as implicações de segurança em tudo que você fizer. A lista seguinte ilustra os tipos de questões que você deve considerar:
A natureza de possíveis ameaças a cada um dos sistemas sob seus cuidados
A localidade, o tipo e o valor dos dados nestes sistemas
O tipo e a frequência de acesso autorizado a estes sistemas
Quando pensar em segurança, não cometa o erro de assumir que os possíveis ataques a seus sistemas virão apenas de fora da empresa. Muitas vezes, o invasor é alguém de dentro da empresa. Portanto, na próxima vez que você caminhar pelo escritório, observe as pessoas ao seu redor e pergunte a si mesmo:
O que aconteceria se esta pessoa tentasse sabotar nossa segurança?
 | Nota |
|---|---|
Isso não significa que você deve tratar seus colegas de trabalho como criminosos. Mas que você deve observar o tipo de trabalho de cada um e determinar os tipos de brechas na segurança que uma pessoa naquela função poderia perpetrar, caso tivesse essa vontade. |
1.7.1. Os Riscos da Engenharia Social
Apesar da primeira reação da maioria dos administradores de sistemas quando pensa na segurança ser concentrar nos aspectos tecnológicos, é importante manter a perspectiva. Frequentemente, as brechas na segurança não são originadas na tecnologia, mas na natureza humana.
Pessoas interessadas nas brechas de segurança frequentemente usam a natureza humana para burlar inteiramente os controles de acesso tecnológico. Isso é conhecido como engenharia social. Eis um exemplo:
O operador do segundo turno recebe uma ligação externa. A pessoa que ligou clama ser o Diretor Financeiro da empresa (seu nome e informações foram obtidos no site da empresa, na página "Equipe de Gerência").
A pessoa que ligou clama estar em algum lugar do outro lado do globo (talvez esta parte da história seja ficção total, ou talvez o site de sua empresa tenha publicado uma nota de imprensa mencionando a presença do diretor numa feira internacional).
A pessoa que ligou conta uma fábula: seu laptop foi roubado no aeroporto, ele está com um cliente importante e, portanto, precisa de acesso à intranet corporativa para verificar a conta deste cliente. Será que o operador deve ser bonzinho e dar as informações de acesso a ele?
Você sabe o que seu operador faria? A não ser que ele tenha instruções (na forma de normas e processos), você provavelmente não sabe o que aconteceria.
Assim como as luzes de um semáforo, o objetivo das normas e procedimentos é prover instruções explícitas sobre o que é e o que não é comportamento adequado. No entanto, assim como as luzes do semáforo, as normas e procedimentos funcionam somente se todos os seguem. Aqui está o X da questão — é improvável que todos sigam suas normas e procedimentos. Na realidade, dependendo da natureza de sua empresa, é possível que você nem tenha autoridade suficiente para definir normas, muito menos para reforçá-las. O que fazer então?
Infelizmente, não há respostas fáceis. A educação dos usuários pode ajudar: faça tudo que você puder para alertar sua comunidade de usuários sobre a segurança e engenharia social. Minstre apresentações sobre segurança no horário de almoço. Envie links de artigos sobre segurança nas listas de discussão da empresa. Enfatize sua disponibilidade para as perguntas de seus usuários sobre coisas que não parecem corretas.
Em suma, envie sua mensagem aos usuários de todas as formas que puder.