Andei lendo algumas discussões em blogs sobre duas antigas afirmações que viraram chavões em segurança. Uma delas é "segurança é um processo" e a outra é o famoso "pessoas, processos e tecnologia". Pensando um pouco poderia listar outras mas fiquemos por aqui. Em resumo se está discutindo se elas são ainda válidas. Antes de entrar no mérito é importante discutir outro conceito importante: contexto, aqui em seu sentido literal. Essas frases foram cunhadas há uma década mais ou menos, e faziam parte de um contexto em algum trabalho de seus autores. Ninguém acordou e declarou solenemente "segurança é um processo". Ok, atualmente isso é possível acontecer, via o twitter, mas há dez anos não. É por isso que há tanta besteira sendo escrita por aí.
Assim acho um pouco sem sentido discuti-las sem levar em consideração não só o contexto em que elas foram formuladas como também todo o ambiente de risco da época. Mas é natural que algo tenha mudado, pois dez anos atrás as ameaças e o volume de dados nas redes era completamente outros. Não se pode proteger redes e dados hoje em dia com os mesmos princípios do inicio da década passada. Outro ponto é que essas afirmações são genéricas demais e cada pessoa pode dar a interpretação que entende.
Duvido que nossos inimigos percam tempo discutindo os "princípios filosóficos" para a criação e controle de uma botnet. Eles partem para ação usando as pessoas (incluo aqui as vítimas), as tecnologias apropriadas e os processos necessários para seu sucesso. Se faltar uma tecnologia que ela seja adicionada ou desenvolvida. Se um processo deu errado que seja então alterado. E por ai vai. Estou simplificando muito? Talvez, mas segurança de TI já é complicado demais para que nós a dificultemos.
Nenhum comentário:
Postar um comentário