Portal GSTI
Portal GSTI

PublicarCadastre-seLogin
Menu
foto de
Fernando Palma

A paranoia da confidencialidade

Alerta

Caro colega de profissão,

estou aqui para alertar sobre uma possível doença de quadro psico-mercadológico que afeta nossos conceitos e prejudica a forma como protegemos a informação dentro das organizações.

Para evitar que a expressão "possível doença" te cause qualquer estranhamento, não custa acrescentar que o Stedman Medical Dictionary conceitua como:

Doença: um distúrbio funcional de um órgão, psicológico ou do organismo como um todo que está associado a sinais e sintomas específicos"

O que acabei de apresentar foi o sentido científico da palavra doença, isso é, uma ideia experimentada e comprovada pela ciência sobre seu significado. Já as ideias que apresento a seguir, se baseiam apenas em percepções pessoais a respeito da segurança da informação.

Ademais, o que pretendo com este artigo é unicamente juntar os pedaços de uma especulação que há algum tempo tenho em mente, e quais finalmente encadeei em um só lugar, da melhor maneira que fui capaz de fazê-lo.

Com a leitura, pode ser que você se identifique, ou até mesmo descubra que já tenha te ocorrido algo semelhante. De toda forma, e sem maiores pretensões que esta, espero que o que compartilho faça para você algum sentido.

Segurança da informação e confidencialidade

#Segurança da Informação equivale à preservação de determinados critérios da informação, sendo Confidencialidade, Integridade e Disponibilidade (a famosa tríade C.I.D.) os mais reconhecidos como essenciais.

Apesar de intuitivo, da ampla divulgação que se faz, e do aparente entendimento do mercado para o princípio da tríade CID, causa desconforto notar o quanto ainda se confunde segurança com confidencialidade. A este fenômeno excêntrico e perigoso atribuo a alcunha "paranoia da confidencialidade": uma epidêmica patologia dos business!

Patologia

Julgo como paranoia da confidencialidade uma disfunção cognitiva¹ atrelada à segurança informação que, até onde pude verificar, manifesta quatro principais sintomas, embora não rejeite a possibilidade de outros mais.

¹ Peço licença, com todo o meu respeito, aos profissionais de saúde de plantão: é apenas um trocadilho dito por um leigo, ok?

Os quatro principais sintomas

Miopia

Quando se trata de Segurança da Informação (SI), o mundo corporativo quase só olha pro sigilo. Já reparou que empresas correm atrás do tema justamente (precisamente) quando cai a fixa para este primeiro elemento da tríade C.I.D?

Segurança da informação não é confidencialidade. É bem mais. Eu sei que isso é óbvio, mas eu precisei escrever.

O mais estranho é que pouco se encontra na literatura ou na web¹ considerações a respeito da visão por qual o mercado, mesmo que sem más intenções e por mensagens subliminares, distorce os dois conceitos², qual fossem sinônimos. Fato que se tornou motivação a mais para publicar este artigo. Melhor: desabafo.  

¹ Salvo exceções como:http://windowsitpro.com/security/3-pillars-information-security

² "Segurança da informação" e "confidencialidade".

Não desmereço razões pelas quais a alta administração empresarial tanto se importa com a (queridinha?) confidencialidade: é o aspecto que preserva o capital intelectual, gera vantagens competitivas, garante o diferencial estratégico, bla bla bla... Mas se por um lado a conscientização é legítima, sua base inacabada põe em risco a proteção da informação corporativa, ao subestimar o valor agregado por outros dois pilares ¹.

¹  Integridade e Disponibilidade. 

Conforme ilustro pela analogia de um teste oftalmológico (na imagem abaixo), me arrisco a sugerir que a explicação de tudo isto está num provável sintoma de miopia, causado pela paranoia da confidencialidade.

Analogia do teste oftalmológico 

Compulsão por sigilo

Gerenciar confidencialidade não significa esconder informação aleatoriamente!

Para desenvolver o que acabei de citar, imaginemos um ERP de uma empresa com dois módulos, Mod1 e Mod2. O primeiro gerencia informações sem qualquer valor confidencial enquanto o segundo, dados com alto valor sigiloso.. O primeiro gerencia informações sem qualquer valor confidencial enquanto o segundo, dados com alto valor sigiloso.

Vamos dizer que o departamento de TI desta empresa, por força do hábito, mantém para ambos os módulos uma política de gestão de acesso altamente restritiva, acompanhada dum massante monitoramento de eventos que detecta e expulsa "estranhos".

O resultado é que frequentemente os usuários com direito legitimo de acesso procuram o #Service Desk de TI para reclamar sobre a indisponibilidade de acesso ao módulo 01 (que contém informações públicas).

O caso retrata tratamento incorreto da confidencialidade para dados do módulo 1, assim como seria falho investir insuficientemente na tutela do módulo 2. A primeira hipótese ilustra excesso e a segunda omissão; a primeira resulta em custo supérfluo e indisponibilidade do serviço; a segunda põe em risco o negócio.

Ambas refletem práticas deficientes de gestão da segurança; mas a primeira, em especial, revela um dos proáveis sintomas do que eu chamo de "paranoia da confidencialidade": os portadores desta doença se tornam compulsivos por sigilo.

Perda de memória

Algo sugere que o quadro paranoico afeta também a memória, e para demonstrar usarei o mesmo exemplo da empresa, que descrevi no item anterior.

Ora, ao exagerar em sigilo, a empresa esqueceu de trabalhar adequadamente o critério de disponibilidade da informação, tanto que herdou reclamações como cria desta omissão.

Há certas evidências de que o mesmo pode estar acontecendo por aí:
  • Departamentos de TI complicam tanto seus padrões de senha de acesso a sistemas que usuários precisam modificá-la com frequência (afinal, como memorizar uma palavra-chave totalmente diferente da sua própria senha pessoal)?
  • O mesmo que citei em exemplo anterior tem causado dificuldade para acesso a e-commerce e outros websites. Em vez de um modelo comum, parece cada empresa adota um padrão de senha diferente, exigindo que o consumidor / usuário utilize diferentes padrões que certamente serão esquecidos.
  • Políticas corporativas que obrigam seus colaboradores a mudar de senha a uma frequência excessiva também não são raras.

Não estou fazendo discurso contra normas de segurança / acesso (não me entenda mal), mas reforçando nosso dever de manter um (esquecido?) equilibro entre a confidencialidade e disponibilidade da informação, conforme ilustra a imagem abaixo.

Confidencialidade e disponibilidade são propriedades inversamente proporcionais precisam ser balanceadas.

Quanto mais confidencial menos disponível é uma informação, e vice-versa. Se a regra é tão simples quanto disseminada, isso me faz pensar que a paranoia causa amnésia não só em pessoas como em objetos, porquanto balanças corporativas insistem em pesar para esquerda, esquecendo - ou minimamente subjugando - a disponibilidade.

Déficit de atenção

Acredito que a paranoia da confidencialidade manifesta o transtorno de déficit de atenção em quem é contagiado.

Em sala de aula, palestras, ou simplesmente em uma roda de colegas de prossifão, quando toco no assunto "segurança da informação" gosto de falar sobre impactos da falta de proteção à informação através de exemplos que viraram notícias populares.

Daí, eu noto algo curioso....

É difícil oferecer um exemplo sobre o impacto da falta de confidencialidade que surpreenda alguém: afinal, todo mundo já está "careca de saber" do Edward Snowden, e de Hillary Clinton!

Perceba que o que quero dizer não é apenas que as pessoas conhecem estes episódios, mas que estas pessoas já haviam previamente relacionado tais episódios à disciplina de #Segurança da Informação. Aliás, a própria mídia muitas vezes já faz a associação quando emite a notícia!

Por outro lado, se exponho notícias igualmente "bombásticas", só que desta vez relacionadas a integridade da informação, parece que os exemplos causam surpresa. Meu exemplo passar a ser "interessante"...

Aparenta que, as mesmas pessoas "antenadas" para a interface entre segurança da informação a Edward Snowden (por conta da tal confidencialidade), não haviam feito a mesma relação dentre segurança da informação e os episódios que figuram perda da proteção à integridade, por mais conhecidos que fossem.  

Estes são os exemplos de quais estou falando:
  • Não são raras as noticias de pessoas que têm o membro errado amputado simplesmente porque o médico cirurgião recebeu sua ficha com a informação errada. A área de saúde denomina isto como erro de lateralidade cirúrgica. O cidadão comum denomina de "tenha medo!".
  • Lembra dos casos em que produtos aparecem nas lojas de e-commerce com preços errados? Também ilustra falha de integridade da informação e, por consequência, da segurança da informação.
  • Se um executivo de uma empresa manipula dados financeiros para simular um lucro de uma empresa acima da realidade, aquela informação perde a propriedade de integridade. Foi isso que aconteceu no decorrer de grandes escândalos corporativos em 2001, envolvendo empresas americanas envolvidas com fraudes, como por exemplo no caso da Enron.

Diante da insistência em ignorar a relação destes fatos com a segurança da informação, só me resta crer que muitas pessoas estão sofrendo de déficit de atenção como sintoma da síndrome de qual eu falo!

Complicações possíveis

Quando detectada tardiamente e não tratada após o surgimento dos primeiros sintomas, a paranoia da confidencialidade pode resultar em complicações como:

  • desvio do foco estratégico para proteção da informação;
  • práticas de segurança viciadas pelo elemento sigilo;
  • menor valor agregado ao negócio;
  • custo desnecessário para proteção descomedida do sigilo, simultaneamente a falhas para tratamento de demais critérios;
  • sistemas que, embora automatizem processos de negócio de nível moderado para confidencialidade, exigem passos intermináveis para validar identidades, qual fossem um internet banking;
  • restrições não justificáveis à disponibilidade da informação;
  • burocracia e perda de agilidade em processos de negócio;
  • insatisfação do cliente diante do excesso de regras e normas que previnem a quebra da confidencialidade;
  • oportunidades de publicidade e branding desperdiçadas graças ao medo em compartilhar com o mercado informações que enaltecem(riam) a empresa;
  • contaminada pela paranoia, falta de publicidade acaba causando problemas de comunicação dentre departamentos;
  • submeter termos de sigilo em excesso pode gerar barreiras que afetam a aproximação dentre parceiros, assim como colaboradores e suas empresas; 
  • políticas de segurança corporativas destacando o sigilo, quase que unicamente;
  • oportunidades de conscientização e capacitação desperdiçadas graças ao medo de transmitir aos colaborados informações estratégicas;
  • medo de transmitir  informações estratégicas aos colaborados pode também causar perda de lealdade e desmotivação.

Prevenção

Para quem acredita em tudo que sugeri aqui, deixo algumas recomendações preventivas:

COMPARTILHE

Fernando Palma
Fernando Palma206 Seguidores 574 Publicações Consultor de TI, CEO
Seguir
Sou fundador e CEO do Portal GSTI, Consultor, professor e instrutor em Governança de TI e Gestão TI. Graduado em SI, mestrando em administração, Certificado ITIL Expert, ITIL Manager, COBIT, OCEB, ISO 20k, e ISO 27k.

Comentários