Em seu livro “O poder do Mito”, Joseph Campbell explica que mitos são sinais para despertar as potencialidades humanas. Segundo ele, as pessoas precisam captar a mensagem simbólica dos mitos para colocar o pensamento em contato com outras experiências para crescerem.
Como em todos os aspectos da sociedade é natural que a Internet e a segurança cibernética possuam muitos mitos. Compreender e combater estes mitos permite que pessoas e organizações possam adotar melhores práticas para sua proteção e crescimento, evitando problemas e prejuízos.
Para quebrar mitos na segurança cibernética, costumo adotar e ensinar aos meus alunos um conceito denominado truísmo. O truísmo é uma verdade incontestável, ou evidente por si mesma, e faz um contraponto direto aos mitos. Ou seja, os truísmos quebram mitos. Ao desenvolver projetos de segurança cibernética costumo aplicar 10 truísmos que aprendi e desenvolvi ao longo do tempo. São os seguintes:
Não existe segurança absoluta. Garantias absolutas são impossíveis. Ninguém tem, nem nunca terá, segurança perfeita. A melhor defesa é forçar o custo da quebra de segurança a um alto custo para o atacante, custo este não necessariamente financeiro.
Segurança é um acordo de conveniência. A segurança deve ser forte sem ser obstrutiva para as pessoas. Uma organização precisa formar, antes de mais nada, uma cultura de segurança cibernética. Os elementos humanos são muito importantes e precisam ser conscientizados, educados e treinados para lidar com ameaças.
A boa segurança é feita em camadas. Nunca confie num único mecanismo de segurança ou, analogamente, nunca coloque todos os ovos na mesma cesta.
Segurança nem sempre é uma questão econômica. Pequenas ações corretas podem levantar grandes barreiras e oferecer proteção adequada. Educação, principalmente.
O nível de todas as defesas deve ser igual. Segurança é tão forte quanto o elo mais fraco da cadeia de elementos. Não se deve gastar tempo e dinheiro numa parte de sua defesa, se outras possuem fraquezas óbvias ou piores. O nível de todos os elementos precisa ir subindo ao mesmo tempo, mesmo que seja devagar.
Nunca confie em “segurança por obscuridade”. Nunca aposte que seus adversários não encontrarão sua empresa e suas fraquezas. Deve-se assumir que os adversários conhecem todos os seus mecanismos de segurança.
A boa segurança é simples. Coisas complexas são mais difíceis de entender, auditar, explicar e fazer funcionar direito. Medidas de segurança complicadas não são à prova de falhas.
Mantenha os menores privilégios possíveis. Uma pessoa ou processo não deve ter privilégios maiores do que aqueles necessários para executar corretamente sua função.
Segurança deve ser uma parte integral do desenho original do sistema. Segurança que é adicionada ou remendada após o desenho inicial do sistema, raramente é confiável.
Nunca subestime o valor das suas informações. Todo tipo de informação tem valor e, em muitos casos, a informação é o maior ativo da empresa.
As melhores defesas contra os ataques cibernéticos são aquelas que consideram estes 10 truísmos, aliando segurança tecnológica, segurança jurídica e conscientização. As pessoas devem ser parte da solução, e não parte do problema. O elemento humano conscientizado e educado é uma das barreiras mais eficientes na proteção digital de uma organização.
Neste Dia mundial da Internet Segura, se você já está consciente sobre a importância da segurança cibernética e o risco que ela pode trazer à sua organização, mas não sabe como começar, eu sugiro que inicie por conscientizar suas equipes. Em seguida elabore uma política de segurança que defina aquilo que você quer proteger. Este é o melhor começo. Mãos à obra!
Prof. Dr. Adriano Mauro Cansian
