GR TIPS

A McAfee publicou a poucos dias uma cartilha com orientações sobre segurança na Internet voltada para crianças e o público jovem.

De forma bem didática a cartilha apresenta dicas sobre as melhores formas de orientar nossos filhos em suas aventuras pelo espaço virtual. É uma leitura rápida, de fácil entendimento e com alguns conselhos bastante úteis. Vale a pena conferir.

Hoje me deparei com um artigo publicado na seção sobre o Mercado do site Computerworld classificado por mim no mínimo como instigante: novos dispositivos que possibilitam o acesso à internet como o Iphone e o Xbox seriam capazes de decretar o fim da Web 2.0?

Tal questionamento foi formulado por Jonathan Zittrain, um especialista em direito digital, professor de governança e regulamentação da internet na Universidade de Oxford e co-fundador do Centro Berkman para Internet e Sociedade, da Escola de Direito de Harvard. Ele apresenta esta pergunta em seu novo livro “The Future of the Internet and How to Stop It”.

Os argumentos do autor são que tais dispositivos, por restringirem alterações em suas funcionalidades por parte de seus  usuários , desincentivariam processos inovativos como os que nós presenciamos quase que diariamente no ambiente da Web nos dias atuais. Segundo ele, muitas das inovações existentes hoje somente foram possíveis graças ao aspecto aberto dos atuais dispositivos de acesso à internet: os computadores.

Zittrain atribui ainda à todos os responsáveis ou envolvidos com a cibersegurança um importante papel na tentativa de se evitar a concretização de sua indagação. Para ele, os problemas relativos à segurança, ou à falta dela, é que estariam direcionando os fabricantes destes novos dispositivos a torná-los cada vez mais fechados e restritivos.

Muitos dos argumentos apresentados pelo autor são válidos. Mas da minha leitura, concluo com uma argumentação inversa: Não seria justamente o caráter aberto, inovativo, democrático e colaborativo da Web 2.0 determinante para o sucesso ou fracasso de uma nova tecnologia que possibilite o acesso ao seu conteúdo?

Na minha opinião, existem nichos diferenciados para ocorrência simultânea destes dois cenários no mundo virtual.  Tomando como exemplo um dos dispositivos considerados por Zittrain: o Iphone. À despeito de seu restritivo custo, pelo menos para nós brasileiros, a inovadora interface, a facilidade de uso e a segurança do Iphone estariam mais orientados para o usuário que realmente não se preocupa muito com questões relativas à segurança. Ele deseja um dispositivo simples de manejar e que possibilite o acesso da forma mais básica possível aos aplicativos e funções de seu interesse. Se ele cumpre, com relativa facilidade, todas as tarefas a que se propõe então está mais do que adequado.

Agora, para aqueles aficionados por tecnologia, aqueles que realmente constroem e evoluem a internet, realmente nenhuma restrição é bem vinda. Tanto é assim, e graças em grande parte à este ambiente colaborativo, é que a maioria dos bloqueios do Iphone foram removidos. Hoje podemos utilizar o dispositivo com quase nenhuma restrição. E amanhã? Amanhã quem sabe novas inovações, funcionalidades ou até mesmo dispositivos não serão gerados graças à colaboração propiciada por este novo mundo? As questões relativas à segurança no ambiente mais aberto continuarão a existir sim. Mas com certeza, as mesmas mentes inovadoras criarão novas soluções para estes desafios.

Por isso, creio que não exista nada paradoxal entre segurança e evolução. O que deve existir sim, é uma grande interdependência entre estes dois conceitos para que a Web continue um ambiente aberto a qualquer um, sem restrição, sem medo e com muita inovação.

E você? O que acha?

“Petrobrás sofre roubo de dados sigilosos”

“Hannaford Data Breach Blamed On Malware - Roubo de 4.2 milhões de números de cartões de crédito e débito”

“HSBC perde disco com informações de 370 mil clientes”

“Casa civil investiga furto de dados em laptop”

Estes são apenas alguns exemplos recentes que colocam em cheque as práticas relativas à Gestão de Riscos. Vemos aqui organizações de diversos portes, algumas com investimentos da ordem de milhões de dólares em segurança da informação, que encontram-se em situações embaraçosas ao ver informações valiosíssimas nas mãos de terceiros.

Estudos também recentes demonstram que a era do amadorismo e das tentativas de invasões e roubo de informações por simples prazer já ficou para trás. Os objetivos, as ferramentas e as táticas atuais são mais profissionais. Espionagem industrial, motivações políticas e retorno financeiro ascenderam no ranking das razões pelas quais os indivíduos, bastante capacitados por sinal, procuram transgredir as boas regras e práticas vigentes.

Será que os gestores responsáveis pela segurança da informação estão se preparando com a mesma habilidade, competência e velocidade destes transgressores? E os processos? Foram bem definidos? Têm sua execução monitorada? Qual o elo mais fraco? Pessoas ou processos? Dê sua opinião.

Como uma última ilustração e referência, clique aqui e veja uma relação cronológica das principais falhas de segurança ocorridas somente nos Estados Unidos elaborada pelo site Privacy Rights.

No esforço de tentar clarificar e ampliar a consistência dos conceitos relativos ao Gerenciamento de Riscos em TI, a companhia de pesquisas Forrester, está desenvolvendo um framework voltado à esta disciplina. De acordo com um post publicado por Marc Othersen, o novo framework auxiliará as organizações na identificação das áreas de maior risco, no desenvolvimento de cenários relacionando os riscos e seus controles e também no estabelecimento de uma linguagem comum visando à uma comunicação mais efetiva com a alta administração.

Muitos princípios do framework COSO estão sendo considerados neste desenvolvimento. O framework está sendo baseado também por disciplinas/atividades como a identificação de eventos, avaliação de riscos, resposta a incidentes e atividades de controle. O contexto junto à TI é estabelecido pela utilização da disciplina de Entrega de Serviços da Biblioteca ITIL. Os serviços de TI são utilizados para identificar os eventos de risco. Cenários são então desenvolvidos para cada risco identificado esboçando desta forma as ações necessárias para compreender o risco. Controles são mapeados para cada cenário com o objetivo de detectar ou prevenir determinadas ações.