Segurança poder ser também: Disponibilidade, Aprendizado, Engajamento

Sempre vi segurança como algo que é interno, mais que tecnologia e processos, ter um comportamento seguro, ser atento para não perder as coisas, minha mãe já dizia quando estávamos andando no centro de São Paulo: Fique atento!

Na teoria, segurança tem a ver com confidencialidade, integridade e disponibilidade. Particularmente não gosto muito de falar das novas munições perfurantes, tipos horríveis de sequestro, traumáticas perdas de bens que demoramos tanto para conquistar, mas sim de falar que um comportamento seguro que vai nos ajudar a mantermos a posse de bens que nos ajudam a termos uma vida plena e de contínuo desenvolvimento.

Gostamos de pensar que vamos ter uma vida melhor! Vamos evitar que gente má intencionada nos impeça de alcançarmos nossos objetivos. Com uma empresa não é diferente, certo?

Como ser mais disponível?

Em TI, quando ouvimos falar de segurança já imaginamos que alguém vai retirar nossos acessos, que tudo vai ser auditado, que vai ter mais processos para fazer as coisas :(

Mas segurança não é só isso, adotarmos um comportamento mais seguro: (não compartilharmos nossas credenciais, não acessar a nossa estação de trabalho com uma credencial administrativa…) é algo que ajuda o ambiente a estar mais disponível, a termos uma "superfície de exposição" menor. Maior disponibilidade é importante para todo mundo, certo?

Afinal, ninguém quer ficar procurando em logs quando algo ocorreu, quem fez, construir coisas para não quebrar (engenharia) ou ficar concertando várias vezes (mecânico)... depois do esforço de localizar a origem do problema, alguém vai ter uma ideia de criar um processo novo de controle (a ser aplicado em todos os casos) como "melhoria contínua", e vamos ter um solução para um problema específico aplicado em todos os casos… Já viram isso?

E se…

E se no lugar de ficarmos tratando problemas, se conseguíssemos ter mais mecanismos de entender o comportamento do nosso ambiente?

E se, entendendo como nosso ambiente se comporta, podermos focar em um processo de aprendizado? Identificar bem antes de um problema ser algo catastrófico, imagine se fosse possível identificar que o índice de vulnerabilidade/incidentes de segurança estão escalando junto com um ciclo mais rápido de entrega de projetos? E que a causa raiz é o uso de um template antigo demais e/ou que o time de desenvolvimento esta sendo tão pressionado que estão negligenciando muito as configurações. Não seria melhor entender a causa raiz do que ficar remediando com backlogs cada vez maiores de aplicação de patches?

Não teríamos uma maior disponibilidade?

E se, conseguíssemos apresentar estas informações de forma que gerássemos o engajamento. Afinal, somos seres humanos, e não basta sabermos que ao nos alimentarmos mal, podemos ficar doentes, precisamos de um exame e um médico que mostre isso, e com estas informações nos engajarmos a termos uma alimentação mais saudável. Não poderia ser a mesma coisa com segurança da informação?

No próximo post vou falar um pouco sobre como poderíamos ter um momento Wow com os os usuários/áreas clientes criando serviços de segurança que possam ser implantados de uma forma que mais do que prover controles, possam ajudar várias áreas em usar estas informações para seus processos internos em busca de uma maior disponibilidade e qualidade de serviço…