Please reload

Posts Recentes

Modelos Tácitos de Segurança – Parte 1

20/11/2018

  

Antes de adentrar no tema, gostaria de deixar bem claro que este artigo não é uma crítica pessoal ou profissional a nenhuma pessoa ou organização, mas sim fruto de reflexão após caminhar 10 anos em SI e ver que os modelos tácitos estão muito mais presentes na realidade do que no discurso de muitas empresas. Os modelos que discutirei a seguir não são excludentes e é bem provável que, em alguma medida, sua empresa esteja utilizando algum destes modelos. Portanto, a finalidade deste artigo é alertar, levantar a lebre para que os gestores possam produzir segurança no mundo real e não apenas no Powerpoint, afinal, Powerpoint aceita tudo, como diria um amigo meu.

 

Modelos e Frameworks

 

Modelos são representações da realidade, simplificações que visam facilitar a compreensão de determinado conhecimento. Dentro do universo de TI e segurança, alguns exemplos são o Modelo OSI, as arquiteturas dos sistemas operacionais e o desenho de segurança em camadas (modelo cebola). Um tipo de modelo em particular são os frameworks, representações que trazem orientações para estruturar uma determinada função, serviço ou processo, assumindo certos pressupostos e conceitos que guiam a execução do projeto de implementação. Exemplos de frameworks de segurança são NIST CSF, SANS CSC e ISO 27001/27002.

 

Frameworks x Abordagens Tácitas


Tácito é algo oculto, que não se fala, mas está implícito ou subentendido. Diz-se de algo que não é formalmente expresso, mas veladamente é sabido pelos interlocutores dentro de um dado contexto. Dentro de segurança da informação, embora o mercado e a academia advoguem o uso de frameworks para sua estruturação, na prática vemos a adoção de modelos tácitos de segurança para definir quais serão as bases e os princípios nos quais as estratégias são formuladas pelos tomadores de decisão relacionadas à segurança, seja um CISO, CSO, CIO ou um diretor de TI.

 

Modelos Tácitos

 

De forma geral, as estratégias de segurança partem de 3 fontes: leis e regulamentações, objetivos de negócio e análise de riscos de segurança (estou sendo simplista, se alguém desejar se aprofundar neste item, acesse este excelente artigo da Optiv). Sem uma correta visualização de quais elementos compõem tais fontes, qualquer iniciativa de segurança se baseia empirismo, e não na lógica e racionalidade consagrada pelas boas práticas de mercado. Derivado deste empirismo, identifiquei três modelos em uso, os chamados "Modelos Tácitos”, tão utilizados, mas nunca assumidos formalmente.

 

Um grande problema dos modelos tácitos, como veremos neste e no próximo artigo, é que eles não se sustentam perante um adversário real. Em muitos casos nem precisa ser algo sofisticado, um ataque não direcionado já traz um grande impacto à segurança da empresa. Para agravar ainda mais a situação, estes modelos transmitem a pior situação dentro da nossa área: uma falsa sensação de segurança.

 

Neste artigo discutiremos o primeiro modelo que traz uma ilusão de segurança, os demais serão objeto do próximo artigo. São eles: Segurança baseada na sorte, Segurança baseada na fé e Segurança baseada na nota fiscal.

 

Segurança baseada na Sorte – Luck Based Security

 

Talvez um nome bonito para organizações negligentes, que debocham de notícias de segurança e ainda vivem debruçadas no lema "nunca vai acontecer comigo". Tomando emprestado o termo de Anton Chuvakin, esse modelo é adotado em empresas que não investem adequadamente em análise e planejamento de segurança, convivendo sempre com riscos que nem se deram ao trabalho de mapear. Tais empresas não conhecem e não compreendem completamente seus ativos, suas redes e seu cenário de ameaças e se habituaram com o fato de não serem violadas por puro acaso, daí deriva o termo "sorte". Se tal empresa "tiver a sorte" de não ser o próximo alvo, perfeito. Agora, se der o azar de entrar na alça de mira, em um ataque oportunístico ou direcionado, certamente a negligência irá cobrar um preço alto.

 

Você já viu iniciativas de segurança baseadas na sorte? Deixe seu comentário para refletirmos sobre esse modelo tácito!


Créditos da Imagem: 4Winners

  

Compartilhar no Facebook
Compartilhar no Twitter
Please reload

Please reload

Procurar por tags
Please reload

Arquivo

São Paulo, Brasil | contato@sparksecurity.com.br

​​©2016-2018 Spark Security - Todos os direitos reservados

Spark Security
  • LinkedIn
  • Twitter
  • Speakerdeck