Snowden, herói ou vilão? Uma visão da novela e outra da Segurança da Informação
Consultório Portal GSTI #21 – Snowden , herói ou vilão? Uma visão da novela e outra da Segurança da Informação Caros leitores, Esta é uma questão que já me têm feito em diversos contextos, mais ou menos relacionados com a Segurança da Informação : “ Snowden, herói ou vilão?”. Quem acompanha os meus artigos semanais sabe que gosto de falar sobre assuntos sérios de uma forma informal, para que possa passar a mensagem de uma forma mais descontraída e chegar a um público mais alargado. Falar de assuntos sérios não tem necessariamente de ser feito com um discurso sério, mas deve sempre ser feito de forma séria. A minha primeira reação quando se fala de Edward Snowden é tentar entender se o objetivo é analisar algum aspeto relacionado com a Segurança da Informação , ou se é meramente alimentar uma novela que poderia ser enquadrada em qualquer guião da saga James Bond. Analisemos então a questão nestes dois prismas: “Novela” e Segurança da Informação . Comecemos pela “Novela”, o tópico onde certamente estou menos habilitado para falar! Ser-se herói ou vilão tem sempre subjacente o prisma de onde é feita a classificação. A nossa educação e a cultura dominante onde crescemos carrega-nos de preconceitos para que possamos distinguir o bem do mal, o normal do anormal, o herói do vilão. O polícia e o ladrão, o cowboy e o índio, os cristãos e os hereges, o Tom e o Jerry, são exercícios minimalistas que nos transportam para uma análise digital de “Zeros” e “Uns“, em que parece que todo o mundo partilha uma visão comum e, como tal, ou se está do lado do bem ou se está do lado do mal. Numa sociedade como a atual, não podíamos estar mais longe desta visão universal de bem e mal, pelo que eu prefiro analisar este tema partindo do princípio que existem vários agentes envolvidos que têm interesses divergentes ou mesmo contrários . Assim, para que o Snowden seja herói para um determinado interesse tem necessariamente de ser herói para um interesse divergente e vice-versa. Ou seja, não acredito na novela do “herói independente e solitário que tenha atuado sozinho e arriscado a sua própria vida contra as forças do mal” . Para que a novela tenha ganho a dimensão que ganhou, não tenho dúvida nenhuma de que, de forma intencional ou não, mais do que contra os interesses da NSA , Snowden foi ajudado por um interesse contrário aos interesses da NSA . Se não vejamos. Imagine o leitor que um belo dia enquanto passeava no parque encontra um saco com diamantes em bruto. Nem que seja por ter assistido a inúmeros filmes de ação, sabe que tem em mãos um objeto que poderá representar um valor incalculável em dinheiro. No entanto existe um “pequeno” problema: para que de facto o seu achado possa ter valor, tem de existir uma troca comercial em que o vendedor (o leitor) possa trocar as pedrinhas brilhantes (produto) por outro produto (dinheiro) com um comprador (????) . Mas esperem lá, como é natural, o leitor não conhece ninguém que compre diamantes em bruto, muito menos naquela quantidade e arrisca-se a ficar com um saco cheio de pedras brilhantes em casa que são isso mesmo, pedras brilhantes. É nesta altura que o leitor tem de tomar a decisão sobre o que fazer, existindo pelo menos 3 saídas possíveis:
[1] http://www.isaca.org/COBIT/Pages/default.aspx [2] http://www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-Security.aspx [3] http://www.isaca.org/COBIT/pages/info-sec.aspx Continue estudando gestão da segurança da informação no Portal GSTI: Vídeos: Artigos:
- Decide que não quer chatices e guarda o saco de diamantes como recordação e segue a sua vida;
- Decide entregar o saco ao dono ou a uma entidade idônea , provavelmente uma autoridade. É uma decisão que pode ser complicada porque irá sempre levantar suspeitas de como o saco foi encontrado e perante um contexto que é muito maior que o seu poder de controlo, tudo poderá virar-se contra si; ou
- Decide dar valor ao saco e encontrar um comprador , o que considerando o objeto em causa só pode ser feito se tiver ajuda para encontrar um comprador com interesses contrários aos do dono do saco. Não é uma tarefa nada fácil, mas é o único cenário possível e talvez a melhor alternativa se a opção não for a 1.
- A Segurança da Informação é uma prática nas operações diárias - Não tenho dúvidas que o seja na NSA ;
- As pessoas respeitam a importância das políticas e princípios de Segurança da Informação – Aqui está um comportamento que não se verificou;
- As pessoas têm acesso a informação e orientação sobre Segurança da Informação e são incentivados a participar de e desafiar a situação atual da segurança da informação – Claramente um comportamento em que as vantagens superam as desvantagens, mas que podem potenciar situações como a que se verificou;
- Todos são responsáveis pela proteção de informações dentro da empresa – Mais um comportamento que não se verificou;
- Todas as partes interessadas estão cientes de como identificar e responder às ameaças para a empresa – Aqui poderá ter existido alguma vulnerabilidade caso a ameaça interna pudesse ter sido identificada por outros colegas mas que, por não terem apreendido devidamente este comportamento, não o tenham feito;
- Os responsáveis apoiam de forma proativa e antecipa novas inovações de Segurança da Informação e comunica-as a toda a Organização. A empresa é receptiva para explicar e lidar com novos desafios de Segurança da Informação – Esta é a atividade core da NSA pelo que neste ponto não me parece existir qualquer dúvida de que este comportamento se verifica na NSA;
- Os responsáveis promovem a colaboração inter funcional para permitirem a implementação eficiente e eficaz de programas relacionados com a segurança da informação - Não tenho dúvidas que o seja na NSA ;
- Os responsáveis reconhecem o valor para o negócio de segurança da informação - Não tenho dúvidas que o seja na NSA .
[1] http://www.isaca.org/COBIT/Pages/default.aspx [2] http://www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-Security.aspx [3] http://www.isaca.org/COBIT/pages/info-sec.aspx Continue estudando gestão da segurança da informação no Portal GSTI: Vídeos: Artigos:
- As normas da família ISO 27000
- Gestão de Incidentes de Segurança da Informação passo a passo
- Qual o investimento da sua empresa em Cultura?
- ITIL e a Gestão da Segurança da Informação
- Guia de boas práticas em Segurança da Informação
- Ebook gratuito sobre Análise Forense
- Ebook gratuito Segurança de Redes e Sistema
- Ebook gratuito Gestão da Segurança da Informação
- Projeto em Segurança da Informação
- Material Introdução a Segurança da Informação
- Apostila de Auditoria em TI ( Tecnologia da Informação )