O que Star Wars pode nos ensinar sobre Segurança da Informação?

Publicado em
O que Star Wars pode nos ensinar sobre Segurança da Informação?

É muito difícil imaginar uma pessoa que desconheça a saga Star Wars, história de sucesso desde 1977. Há, evidentemente, quem não seja fã, quem desconheça quantos são os filmes e as discussões sobre a melhor ordem para assistí-los e quem ignore os conflitos e disputas apresentados e desenvolvidos por toda a história. Pode-se até não gostar da saga, mas é praticamente impossível desconhecer a figura com respiração pesada, voz eletrônica, armadura e capacete negros. E, o mais curioso é que Star Wars pode ir além da diversão, de toda sua mística jedi e nos ensinar coisas sobre assuntos diversos. Você já se perguntou o que as guerras estelares e os personagens podem nos ensinar sobre assuntos do nosso cotidiano, como a segurança de nossas informações?

Inicialmente Star Wars pode parecer “apenas uma batalha do bem contra o mal”. Do ponto de vista da segurança da informação, porém, pode ser visto como uma história de grave incidente de violação e perda de dados. Na trilogia mais antiga (atuais episódios IV, V e VI), a trama retrata o Império perdendo dados confidenciais com detalhes sobre a Estrela da Morte, sua arma mais mortal e importante então desenvolvida. Sobre isto, há um filme específico – Rogue One – que detalha esta parte da história.

Neste ponto, a primeira coisa que Star Wars pode nos ensinar para além da cultura pop é ter atenção com Recursos Humanos. O departamento de RH geralmente é lembrado quando o assunto é a conscientização das boas práticas de SI, mas, antes disso, é preciso alertar quanto ao papel fundamental do recrutamento dos colaboradores. É preciso que, mais que um talento, busque-se alguém que esteja alinhado com o propósito e missões da companhia. E o não atendimento a isso é bem claro em Rogue One.

O mencionado filme tem início com Orson Krennic “recrutando” um desenvolvedor para o projeto Estrela da Morte. O desenvolvedor “recrutado” foi Galen Erso, que já havia trabalhado naqueles planos, tendo espontaneamente dele se desligado. Apesar das qualificações adequadas, é evidente que Erso não estava imbuído de espírito de colaboração, já que seu “recrutamento” foi truncado (ele não queria servir ao Império; não se tratava de uma questão financeira, mas de segurança sua e de sua família). Então, fica evidente a “falha” do RH imperial ao promover o retorno de Erso, profissional talentoso, mas com princípios diametralmente opostos aos do Império. Pode-se dizer, então, que houve falha na identificação dos riscos, o que foi fundamental para o insucesso da Estrela da Morte. Trazido o contexto para a realidade empresarial, fica claro o cuidado que o departamento de RH precisa ter com o recrutamento de pessoas que podem ter influência em aspectos fundamentais da SI.

Fato é que Erso foi confinado em uma planta industrial no planeta Eadu, onde trabalhou, coagido e sem supervisão em um laboratório. Assim foi relativamente fácil desenvolver uma falha, criar uma vulnerabilidade que seria explorada pela Aliança Rebelde. Aqui há outra falha grave relativa à SI já que projetos complexos devem ter etapas de testes e validação antes da efetiva implementação, o que inclui desenvolvimento com supervisão. Tivesse Erso sido supervisionado, teria havido muito maior dificuldade para implantar a brecha de segurança no projeto. Assim, deve-se ressaltar a importância das etapas de desenvolvimento buscando a qualidade. Urgências e prazos mal programados podem levar a este tipo de problema, que pode violar gravemente a segurança da informação e destruir planos de negócios inteiros, seja por questões técnicas, seja por questões reputacionais.

É bem verdade que algumas falhas relatadas no filme chegam a ser grotescas, como o fato de que Erso conseguiu avisar à Aliança Rebelde da existência da Estrela da Morte, da sua vulnerabilidade e, ainda, a localização dos projetos em outro planeta (Scariff). Mas isso não é muito diferente do vazamento de dados sensíveis por um colaborador insatisfeito, o que não é tão raro assim no mundo corporativo. Isso, muitas vezes, é subestimado pelos gestores…

Vale lembrar, ainda, que em Scariff havia mais segurança que em outras instalações imperiais: a) havia campos de força que impediam que objetos passassem (algo como um firewall); b) havia entrada única (controle de acesso); c) o armazenamento das informações era feito em disco rígido offline; d) havia proteção por mecanismos de segurança biométricos; e) e, finalmente, a antena de transmissão somente era ativada por acesso físico.

A biometria, no caso, foi superada com a utilização da mão de um oficial morto e o firewall não foi capaz de impedir comunicação indevida interna. Foi, igualmente, bastante fácil, para os Rebeldes darem início a um ataque ao firewall já que a conexão da nave ao sistema não dependeu de qualquer autenticação. Além disso, a antena de transmissão que dependia de acesso físico não era protegida, tendo bastado a inserção de um disco com as informações, o que indica que o Império estava muito confortável com o funcionamento do firewall, como se isso fosse mecanismo suficiente para proteger suas preciosas informações.

Também vale lembrar que os Rebeldes utilizaram um androide – K2SO – que guardava protocolos imperiais dos mais variados e que foi totalmente reprogramado. Um sistema operacional jamais deveria permitir que um dispositivo fosse totalmente alterado e, ainda que possibilitasse isso, não poderia seguir enxergando-o como amigável. Eis, aqui, uma grave falha de segurança por atingir peça fundamental na estrutura crítica. O andróide, assim, pode coletar dados de outros androides, conectar-se ao Arquivo Imperial e tomar o controle de mecanismos de defesa da Estrela da Morte. Algo inadmissível no mundo corporativo e que certamente causaria mais que transtornos, mas a destruição dos negócios.

O contexto acima narrado é parecido com as implantações de defesa digital de muitas empresas, onde tudo parece bastante seguro e convincente, e que, todavia, podem apresentar graves questões que afetam a segurança das informações. Por isso é fundamental realizar auditorias, criando, inclusive, modelos de ataques para simular a robustez do sistema. Além disso, é fundamental não focar apenas na questão do vazamento dos dados, mas em planos de respostas a incidentes, nos colaboradores e, claro, nos concorrentes.

Os problemas vistos em Star Wars não são puramente fictícios, constituindo a realidade do mercado, que possui empresas com distintos níveis de maturidade quanto à segurança da informação. Afinal, nas palavras de John Chambers, ex-CEO da CISCO, “existem dois tipos de empresas: as que foram invadidas e as que ainda não sabem que foram invadidas”. Isso faz com que o planejamento seja fundamental para evitar surpresas, já que a questão não é o “se haverá uma falha” mas “quando ela será notada” e como a empresa lidará com isso. Veja-se, por exemplo, o caso real que ficou conhecido como “Panama Papers”, onde milhões de dados foram vazados e distribuídos por dezenas de países, expondo todo o tipo de clientes do escritório Mossack Fonseca e, embora não confirmado, diz-se que o incidente teve participação de um então funcionário.

Visto isso, cabe questionar o que podemos fazer para minimizar os riscos de sermos atacados. Podemos pensar, assim, em duas perspectivas: a de cada pessoa e a das empresas, especialmente nos seus gestores. Interessa, neste momento, focar nos gestores porque são as empresas o grande foco dos escândalos relacionados a segurança das informações.

Então, quanto aos gestores o desafio é bem maior que ter uma Política de Segurança da Informação e estrutura que contenha redundância, antivírus, firewalls, sistemas atualizados e backups.

É imprescindível que os gestores tenham visão global do negócio, enxergando e entendendo como a segurança da informação pode impactar positiva e negativamente as operações, incluindo-se aí a própria proteção da propriedade intelectual da empresa, aspectos reputacionais com eventuais ataques e vazamentos de dados, aculturamento das boas práticas, atenção especial com negligência (o que demanda proatividade), relacionamento interpessoal, adequada gestão de riscos e benchmarking. Outro ponto fundamental é a existência de um plano de continuidade dos negócios, um plano de contingência para situações emergenciais. É ilusão pura pensar que a composição empresarial com ótimos talentos é suficiente. Sem um plano de contingência os incidentes podem se tornar efetivos desastres. Por fim, os gestores precisam ter tranquilidade quando lidarem com cobranças e prazos para que não sejam vítimas das negligências que eles mesmos trabalham para evitar.

Por tudo isso é importante as empresas se precaverem para evitar desastres como o provocado pela jovem idealista rebelde Jyn Erso em Rogue One, que com ajuda de seu pai, destruíram os planos do Império. Essa precaução dá bastante trabalho, mas o preço de não tê-la é o fracasso dos negócios e a desintegração da reputação, como foi com a Estrela da Morte.

 

 

Por Marcelo Crespo

Fonte: https://www.linkedin.com/pulse/o-que-star-wars-pode-nos-ensinar-sobre-seguran%C3%A7a-da-marcelo/

COMPARTILHAR
VEJA TAMBÉM
Legaltech Verifact registra crescimento de 30% ao mês em 2022

Legaltech Verifact registra crescimento de 30% ao mês em 2022

O futuro da educação jurídica no Brasil

O futuro da educação jurídica no Brasil

Por que startups brasileiras têm demitido tanto? Entenda

Por que startups brasileiras têm demitido tanto? Entenda

A tecnologia mãe

A tecnologia mãe

Gestão de dados no contencioso: A Importância da eficiência dos processos e impacto no planejamento e tomada de decisão

Gestão de dados no contencioso: A Importância da eficiência dos processos e impacto no planejamento e tomada de decisão

Como o varejo e as big techs influenciam o direito

Como o varejo e as big techs influenciam o direito

Você é criativo (a), só talvez não saiba disso ainda

Você é criativo (a), só talvez não saiba disso ainda

Robôs já estão presentes na maioria dos tribunais do país

Robôs já estão presentes na maioria dos tribunais do país

EMPRESAS ALIADAS

Receba nossa Newsletter

Nossas novidades direto em sua caixa de entrada.