Publicação

Snowden, herói ou vilão? Uma visão da novela e outra da Segurança da Informação

foto de
Bruno Horta Soares CONTEÚDO EM DESTAQUE
Consultório Portal GSTI #21 – Snowden , herói ou vilão? Uma visão da novela e outra da Segurança da Informação

Caros leitores,

Esta é uma questão que já me têm feito em diversos contextos, mais ou menos relacionados com a Segurança da Informação : “ Snowden, herói ou vilão?”.

Quem acompanha os meus artigos semanais sabe que gosto de falar sobre assuntos sérios de uma forma informal, para que possa passar a mensagem de uma forma mais descontraída e chegar a um público mais alargado. Falar de assuntos sérios não tem necessariamente de ser feito com um discurso sério, mas deve sempre ser feito de forma séria.

A minha primeira reação quando se fala de Edward Snowden é tentar entender se o objetivo é analisar algum aspeto relacionado com a Segurança da Informação , ou se é meramente alimentar uma novela que poderia ser enquadrada em qualquer guião da saga James Bond.
Analisemos então a questão nestes dois prismas: “Novela” e Segurança da Informação .

Comecemos pela “Novela”, o tópico onde certamente estou menos habilitado para falar!
Ser-se herói ou vilão tem sempre subjacente o prisma de onde é feita a classificação. A nossa educação e a cultura dominante onde crescemos carrega-nos de preconceitos para que possamos distinguir o bem do mal, o normal do anormal, o herói do vilão. O polícia e o ladrão, o cowboy e o índio, os cristãos e os hereges, o Tom e o Jerry, são exercícios minimalistas que nos transportam para uma análise digital de “Zeros” e “Uns“, em que parece que todo o mundo partilha uma visão comum e, como tal, ou se está do lado do bem ou se está do lado do mal.

Numa sociedade como a atual, não podíamos estar mais longe desta visão universal de bem e mal, pelo que eu prefiro analisar este tema partindo do princípio que existem vários agentes envolvidos que têm interesses divergentes ou mesmo contrários . Assim, para que o Snowden seja herói para um determinado interesse tem necessariamente de ser herói para um interesse divergente e vice-versa. Ou seja, não acredito na novela do “herói independente e solitário que tenha atuado sozinho e arriscado a sua própria vida contra as forças do mal” . Para que a novela tenha ganho a dimensão que ganhou, não tenho dúvida nenhuma de que, de forma intencional ou não, mais do que contra os interesses da NSA , Snowden foi ajudado por um interesse contrário aos interesses da NSA .

Se não vejamos. Imagine o leitor que um belo dia enquanto passeava no parque encontra um saco com diamantes em bruto. Nem que seja por ter assistido a inúmeros filmes de ação, sabe que tem em mãos um objeto que poderá representar um valor incalculável em dinheiro. No entanto existe um “pequeno” problema: para que de facto o seu achado possa ter valor, tem de existir uma troca comercial em que o vendedor (o leitor) possa trocar as pedrinhas brilhantes (produto) por outro produto (dinheiro) com um comprador (????) . Mas esperem lá, como é natural, o leitor não conhece ninguém que compre diamantes em bruto, muito menos naquela quantidade e arrisca-se a ficar com um saco cheio de pedras brilhantes em casa que são isso mesmo, pedras brilhantes. É nesta altura que o leitor tem de tomar a decisão sobre o que fazer, existindo pelo menos 3 saídas possíveis:
  • Decide que não quer chatices e guarda o saco de diamantes como recordação e segue a sua vida;
  • Decide entregar o saco ao dono ou a uma entidade idônea , provavelmente uma autoridade. É uma decisão que pode ser complicada porque irá sempre levantar suspeitas de como o saco foi encontrado e perante um contexto que é muito maior que o seu poder de controlo, tudo poderá virar-se contra si; ou
  • Decide dar valor ao saco e encontrar um comprador , o que considerando o objeto em causa só pode ser feito se tiver ajuda para encontrar um comprador com interesses contrários aos do dono do saco. Não é uma tarefa nada fácil, mas é o único cenário possível e talvez a melhor alternativa se a opção não for a 1.
Tendo estes cenários em consideração a minha análise é de que Snowden fez obviamente a escolha 3, passando a ser vilão para o dono do saco mas herói para o comprador com interesses contrários .

Mas porque todo este assunto também pode ser analisado do ponto de vista da Segurança da Informação, aproveito para destacar a importância do princípio COBIT 5 [1]:  "Uma visão holística da Segurança da Informação”.

Muito já foi falado sobre o ambiente de controlo da NSA e sobre as técnicas informáticas que poderão ter sido utilizadas por Snowden para conseguir explorar as vulnerabilidades dos recursos da NSA e obter a informação desejada. Quer tenha sido mais ou menos sofisticado, um ataque interno, intencional ou não intencional, é pelas suas características aquele que à partida será mais “fácil” de executar e que terá maior probabilidade de sucesso. Os agentes internos têm um conhecimento privilegiado dos recursos e suas vulnerabilidades e confrontam-se frequentemente com oportunidades para as explorar, pelo que o controlo deste tipo de ataques está sobretudo relacionado com o controlo da motivação dos atacantes em concretizar os ataques. E esta dimensão da Segurança da Informação está diretamente relacionada com um dos sete facilitadores do COBIT 5 : “Cultura, ética e comportamentos” .

A Cultura na Segurança da Informação ganhou destaque no modelo BMIS [2] da ISACA e foi descrita como “ O padrão de comportamentos, crenças, suposições, atitudes e maneiras de fazer as coisas ”. Neste sentido, a Cultura é feita de Indivíduos mas não representa necessariamente os seus comportamentos individuais. Neste sentido, a Cultura de Segurança foi associada a uma “Ligação Dinâmica” existente entre o Elemento “Organização” (a Cultura que a Organização deseja, expressa na sua visão, estratégia, etc.) e o Elemento “Pessoa” (os comportamentos individuais influenciados pelos contextos externos de cada Indivíduo).

A framework COBIT 5 e o guia COBIT 5 : forInformation Security [3] destacam a importância da “Cultura, ética e comportamentos” , enquadrando este tópico como um facilitador crítico para uma visão holística da governança e gestão do Sistema de Informação numa Organização.

Todas as empresas têm uma cultura de Segurança da Informação . Mesmo quando não se consegue identificar qualquer padrão de comportamentos, a ausência de padrão acaba por ser o padrão e consequentemente a Cultura . À medida que os riscos relacionados com a Informação aumentam é natural que aumentem os mecanismos de promoção de uma “Ética Organizacional” procurando reduzir o desalinhamento com as “Éticas Individuais” para que os comportamentos desejados para uma boa segurança da Informação possam ser verificados. Aqui fica uma lista de comportamentos que devem ser promovidos para uma boa cultura de Segurança da Informação :
  • A Segurança da Informação é uma prática nas operações diárias - Não tenho dúvidas que o seja na NSA ;
  • As pessoas respeitam a importância das políticas e princípios de Segurança da Informação – Aqui está um comportamento que não se verificou;
  • As pessoas têm acesso a informação e orientação sobre Segurança da Informação e são incentivados a participar de e desafiar a situação atual da segurança da informação – Claramente um comportamento em que as vantagens superam as desvantagens, mas que podem potenciar situações como a que se verificou;
  • Todos são responsáveis pela proteção de informações dentro da empresa – Mais um comportamento que não se verificou;
  • Todas as partes interessadas estão cientes de como identificar e responder às ameaças para a empresa – Aqui poderá ter existido alguma vulnerabilidade caso a ameaça interna pudesse ter sido identificada por outros colegas mas que, por não terem apreendido devidamente este comportamento, não o tenham feito;
  • Os responsáveis apoiam de forma proativa e antecipa novas inovações de Segurança da Informação e comunica-as a toda a Organização. A empresa é receptiva para explicar e lidar com novos desafios de Segurança da Informação – Esta é a atividade core da NSA pelo que neste ponto não me parece existir qualquer dúvida de que este comportamento se verifica na NSA;
  • Os responsáveis promovem a colaboração inter funcional para permitirem a implementação eficiente e eficaz de programas relacionados com a segurança da informação - Não tenho dúvidas que o seja na NSA ;
  • Os responsáveis reconhecem o valor para o negócio de segurança da informação - Não tenho dúvidas que o seja na NSA .
Estou certo que a NSA cumprirá com todas estas boas práticas e que terá das culturas de Segurança da Informação mais sofisticadas, no entanto nenhuma organização, nem mesmo a NSA , está livre dos riscos relacionados com as pressões externas que influenciam as éticas individuais dos seus colaboradores , pelo que a minha avaliação final é de que toda esta situação, à luz da Segurança da Informação, é bastante normal e dificilmente poderia ter sido evitada . O que poderá ser menos normal é a proporção que o caso tomou, mas isso pouco tem a ver com Segurança da Informação.

Espero ter ajudado!

Bruno Horta Soares, CISA®, CGEIT®, CRISC , PMP®

"The more you know, the less you no!"

PS: Como nunca se sabe se a utilização das palavras “Snowden ” e “ NSA ” neste artigo não irá ativar um qualquer filtro dos analistas de uma qualquer agência de segurança, aqui deixo os meus cumprimentos: “Oi, cumprimentos desde Portugal”, “Hi there guys, greetings from Portugal”, “Bonjour, salutations du Portugal”, “ 你好,从葡萄牙的 问候 ”, “привет, привет из Португалии”.

Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br

[1] http://www.isaca.org/COBIT/Pages/default.aspx
[2] http://www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-Security.aspx
[3] http://www.isaca.org/COBIT/pages/info-sec.aspx

Continue estudando gestão da segurança da informação no Portal GSTI:

Comentários