O que Star Wars pode nos ensinar sobre Segurança da Informação?

É muito difícil imaginar uma pessoa que desconheça a saga Star Wars, história de sucesso desde 1977. Há, evidentemente, quem não seja fã, quem desconheça quantos são os filmes e as discussões sobre a melhor ordem para assistí-los e quem ignore os conflitos e disputas apresentados e desenvolvidos por toda a história. Pode-se até não gostar da saga, mas é praticamente impossível desconhecer a figura com respiração pesada, voz eletrônica, armadura e capacete negros. E, o mais curioso é que Star Wars pode ir além da diversão, de toda sua mística jedi e nos ensinar coisas sobre assuntos diversos. Você já se perguntou o que as guerras estelares e os personagens podem nos ensinar sobre assuntos do nosso cotidiano, como a segurança de nossas informações?

Inicialmente Star Wars pode parecer “apenas uma batalha do bem contra o mal”. Do ponto de vista da segurança da informação, porém, pode ser visto como uma história de grave incidente de violação e perda de dados. Na trilogia mais antiga (atuais episódios IV, V e VI), a trama retrata o Império perdendo dados confidenciais com detalhes sobre a Estrela da Morte, sua arma mais mortal e importante então desenvolvida. Sobre isto, há um filme específico – Rogue One – que detalha esta parte da história.

Neste ponto, a primeira coisa que Star Wars pode nos ensinar para além da cultura pop é ter atenção com Recursos Humanos. O departamento de RH geralmente é lembrado quando o assunto é a conscientização das boas práticas de SI, mas, antes disso, é preciso alertar quanto ao papel fundamental do recrutamento dos colaboradores. É preciso que, mais que um talento, busque-se alguém que esteja alinhado com o propósito e missões da companhia. E o não atendimento a isso é bem claro em Rogue One.

O mencionado filme tem início com Orson Krennic “recrutando” um desenvolvedor para o projeto Estrela da Morte. O desenvolvedor “recrutado” foi Galen Erso, que já havia trabalhado naqueles planos, tendo espontaneamente dele se desligado. Apesar das qualificações adequadas, é evidente que Erso não estava imbuído de espírito de colaboração, já que seu “recrutamento” foi truncado (ele não queria servir ao Império; não se tratava de uma questão financeira, mas de segurança sua e de sua família). Então, fica evidente a “falha” do RH imperial ao promover o retorno de Erso, profissional talentoso, mas com princípios diametralmente opostos aos do Império. Pode-se dizer, então, que houve falha na identificação dos riscos, o que foi fundamental para o insucesso da Estrela da Morte. Trazido o contexto para a realidade empresarial, fica claro o cuidado que o departamento de RH precisa ter com o recrutamento de pessoas que podem ter influência em aspectos fundamentais da SI.

Fato é que Erso foi confinado em uma planta industrial no planeta Eadu, onde trabalhou, coagido e sem supervisão em um laboratório. Assim foi relativamente fácil desenvolver uma falha, criar uma vulnerabilidade que seria explorada pela Aliança Rebelde. Aqui há outra falha grave relativa à SI já que projetos complexos devem ter etapas de testes e validação antes da efetiva implementação, o que inclui desenvolvimento com supervisão. Tivesse Erso sido supervisionado, teria havido muito maior dificuldade para implantar a brecha de segurança no projeto. Assim, deve-se ressaltar a importância das etapas de desenvolvimento buscando a qualidade. Urgências e prazos mal programados podem levar a este tipo de problema, que pode violar gravemente a segurança da informação e destruir planos de negócios inteiros, seja por questões técnicas, seja por questões reputacionais.

É bem verdade que algumas falhas relatadas no filme chegam a ser grotescas, como o fato de que Erso conseguiu avisar à Aliança Rebelde da existência da Estrela da Morte, da sua vulnerabilidade e, ainda, a localização dos projetos em outro planeta (Scariff). Mas isso não é muito diferente do vazamento de dados sensíveis por um colaborador insatisfeito, o que não é tão raro assim no mundo corporativo. Isso, muitas vezes, é subestimado pelos gestores…

Vale lembrar, ainda, que em Scariff havia mais segurança que em outras instalações imperiais: a) havia campos de força que impediam que objetos passassem (algo como um firewall); b) havia entrada única (controle de acesso); c) o armazenamento das informações era feito em disco rígido offline; d) havia proteção por mecanismos de segurança biométricos; e) e, finalmente, a antena de transmissão somente era ativada por acesso físico.

A biometria, no caso, foi superada com a utilização da mão de um oficial morto e o firewall não foi capaz de impedir comunicação indevida interna. Foi, igualmente, bastante fácil, para os Rebeldes darem início a um ataque ao firewall já que a conexão da nave ao sistema não dependeu de qualquer autenticação. Além disso, a antena de transmissão que dependia de acesso físico não era protegida, tendo bastado a inserção de um disco com as informações, o que indica que o Império estava muito confortável com o funcionamento do firewall, como se isso fosse mecanismo suficiente para proteger suas preciosas informações.

Também vale lembrar que os Rebeldes utilizaram um androide – K2SO – que guardava protocolos imperiais dos mais variados e que foi totalmente reprogramado. Um sistema operacional jamais deveria permitir que um dispositivo fosse totalmente alterado e, ainda que possibilitasse isso, não poderia seguir enxergando-o como amigável. Eis, aqui, uma grave falha de segurança por atingir peça fundamental na estrutura crítica. O andróide, assim, pode coletar dados de outros androides, conectar-se ao Arquivo Imperial e tomar o controle de mecanismos de defesa da Estrela da Morte. Algo inadmissível no mundo corporativo e que certamente causaria mais que transtornos, mas a destruição dos negócios.

O contexto acima narrado é parecido com as implantações de defesa digital de muitas empresas, onde tudo parece bastante seguro e convincente, e que, todavia, podem apresentar graves questões que afetam a segurança das informações. Por isso é fundamental realizar auditorias, criando, inclusive, modelos de ataques para simular a robustez do sistema. Além disso, é fundamental não focar apenas na questão do vazamento dos dados, mas em planos de respostas a incidentes, nos colaboradores e, claro, nos concorrentes.

Os problemas vistos em Star Wars não são puramente fictícios, constituindo a realidade do mercado, que possui empresas com distintos níveis de maturidade quanto à segurança da informação. Afinal, nas palavras de John Chambers, ex-CEO da CISCO, “existem dois tipos de empresas: as que foram invadidas e as que ainda não sabem que foram invadidas”. Isso faz com que o planejamento seja fundamental para evitar surpresas, já que a questão não é o “se haverá uma falha” mas “quando ela será notada” e como a empresa lidará com isso. Veja-se, por exemplo, o caso real que ficou conhecido como “Panama Papers”, onde milhões de dados foram vazados e distribuídos por dezenas de países, expondo todo o tipo de clientes do escritório Mossack Fonseca e, embora não confirmado, diz-se que o incidente teve participação de um então funcionário.

Visto isso, cabe questionar o que podemos fazer para minimizar os riscos de sermos atacados. Podemos pensar, assim, em duas perspectivas: a de cada pessoa e a das empresas, especialmente nos seus gestores. Interessa, neste momento, focar nos gestores porque são as empresas o grande foco dos escândalos relacionados a segurança das informações.

Então, quanto aos gestores o desafio é bem maior que ter uma Política de Segurança da Informação e estrutura que contenha redundância, antivírus, firewalls, sistemas atualizados e backups.

É imprescindível que os gestores tenham visão global do negócio, enxergando e entendendo como a segurança da informação pode impactar positiva e negativamente as operações, incluindo-se aí a própria proteção da propriedade intelectual da empresa, aspectos reputacionais com eventuais ataques e vazamentos de dados, aculturamento das boas práticas, atenção especial com negligência (o que demanda proatividade), relacionamento interpessoal, adequada gestão de riscos e benchmarking. Outro ponto fundamental é a existência de um plano de continuidade dos negócios, um plano de contingência para situações emergenciais. É ilusão pura pensar que a composição empresarial com ótimos talentos é suficiente. Sem um plano de contingência os incidentes podem se tornar efetivos desastres. Por fim, os gestores precisam ter tranquilidade quando lidarem com cobranças e prazos para que não sejam vítimas das negligências que eles mesmos trabalham para evitar.

Por tudo isso é importante as empresas se precaverem para evitar desastres como o provocado pela jovem idealista rebelde Jyn Erso em Rogue One, que com ajuda de seu pai, destruíram os planos do Império. Essa precaução dá bastante trabalho, mas o preço de não tê-la é o fracasso dos negócios e a desintegração da reputação, como foi com a Estrela da Morte.

 

 

Por Marcelo Crespo

Fonte: https://www.linkedin.com/pulse/o-que-star-wars-pode-nos-ensinar-sobre-seguran%C3%A7a-da-marcelo/

Comentários

Comentários