Esse artigo tem o tom de relato depois de participar do Security Leaders RIO 2017 na condição de palestrante e debatedor. Só que não.
O evento, já tradicional no calendário Brasileiro, parece ter chegado em boa hora. O Windsor Copacabana estava literalmente lotado já na manhã do dia 27 de abril quando os monitores espalhados pelo espaço já revelavam os temas das palestras e dos debates. Na agenda do dia um cardápio variado que contava com investigação de crimes cibernéticos; quebra de sigilo e privacidade; segurança no espaço de trabalho; proteção de cloud; ameaças e métodos preditivos; transformação digital; indústria 4.0; computação cognitiva; apetite de risco; Internet das Coisas; exercícios de futurologia e a tão esperada Política Nacional de Segurança da Informação. Definitivamente um dia cercado de assuntos e pessoas interessantes com o propósito de pensar coletivamente nos dilemas e lacunas que permeiam a rotina dos CIOs (Chief Information Officers) e os pesadelos dos demais executivos.
Acontece que em determinado momento, depois de conhecer a visão de pessoas diferentes representando diferentes papeis como os de fornecedor, consumidor ou simplesmente pensador, e ainda variando em amplitude da visão partindo do topo mais estratégico até a base mais operacional, notei evidências de um descasamento sobre quais são de fato os papeis, responsabilidades e a real complexidade imposta pela atual gestão de riscos de segurança da informação.
Imediatamente me lembrei do livro baseado em uma antiga fábula Indiana e escrito por Ed Young, chinês nascido em 1931, chamado SETE CAMUNDONGOS CEGOS. A fábula descreve a rotina de sete camundongos cegos que decidem sair, um a um, para verificar o que era aquela coisa estranha que encontraram perto da lagoa, cada um volta com uma resposta diferente. O camundongo vermelho achava se tratar de um pilar. O camundongo laranja exclamava ser um leque. O camundongo azul afirmava ser uma cobra. Os três camundongos seguintes também voltaram, cada um com uma ideia diferente. Até que o último camundongo ao retornar e perceber que sua percepção também não se parecia com nada que os demais haviam sentido, resolveu coordenar a bagunça e coletivamente ouvir cada ideia para juntos concluírem que se tratava de um elefante.
Foi dessa forma que percebi o assunto da segurança da informação sendo abordado ao longo do dia, palestra após palestra, debate após debate. Visões técnicas, táticas e estratégicas misturadas atirando em appliances, tunelamentos, protocolos, índices de desempenho, esteganografia, malwares, vulnerabilidades zero day, botnets, honey pot, deep web, BYOD, comportamento do usuário, regras de contratação de serviços de nuvem, medo da nuvem, tipos de nuvem, futuro da nuvem – a propósito, vamos parar de falar de nuvem como se fosse um E.T. Serviço de nuvem é um caminho sem volta, basta definir seus requerimentos de segurança e contratar aquela que te atende – além de inteligência artificial, computação cognitiva e GDPR (General Data Protection Regulation). Todas visões e propósitos legítimos, é verdade, mas sem parecer estarem ligados à uma visão holística, abrangente e que ataque o problema iminente: a INFORMAÇÃO LÍQUIDA de uma sociedade líquida, parafraseando o conceito estabelecido por Zygmunt Bauman.
Para o autor, vivemos em um tempo marcado pela flexibilidade que provoca uma certa fragilidade quanto as nossas relações sobre as coisas ou pessoas. Essa sociedade líquida é comparada à água em razão deste elemento natural ter a potencialidade de alterar sua forma conforme seu recipiente.
Precisamos assumir a liquefação da informação.
Se pararmos para refletir sobre o conceito por alguns instantes estabelecendo uma conexão análoga com a sociedade do conhecimento e com o poder da informação, veremos grande similaridade. Vejamos… O planeta está totalmente interconectado e por vias velozes. Nas extremidades dessas vias estão dispositivos outrora apenas eletrônicos ou simplesmente equipamentos de tecnologia da informação, mas que já convivem em crescimento exponencial com dispositivos físico-eletro-mecânicos ou simplesmente equipamentos de tecnologia de operação. A IoT ou Internet das Coisas está embarcando poder de conectividade e processamento em praticamente tudo depois que venceram as barreiras da miniaturização, da capacidade de alimentação elétrica e os limites da comunicação. Ainda nas extremidades das mesmas vias, temos pessoas. Pessoas que convivem socialmente, mas que têm seus hábitos mudados quanto à relação com os dispositivos e as informações de uma forma geral. Os dispositivos que manuseiam, armazenam, transportam e descartam informação estarão em toda parte. Seremos capazes de interagir com as coisas, falar com elas, de pedir informações a elas, de vesti-las e até de ingeri-las. Viveremos a virtualização ao extremo. Não saberemos mais onde as informações estarão, o que estarão fazendo com elas, como, onde, quando ou quem, se simplesmente continuarmos adotando os mesmos mecanismos de segurança baseados em perímetro que já dura décadas!
Precisamos assumir a liquefação da informação. Entender que não existe mais fronteira, tempo e espaço. Precisamos pensar em municiar a própria informação de mecanismos de autoproteção, de autogestão. Embarcar inteligência na própria informação para que, seguindo regras definidas por seus proprietários quanto ao manuseio, armazenamento, transporte e descarte, elas próprias possam decidir por onde ir, como ir, com quem ir, quando ir ou mesmo até quando permanecer confidencial, íntegra e disponível.
Imagine a possibilidade de uma informação, sob a forma de arquivo de dados, se negar a ser manuseada, armazenada, transportada ou descartada só porque a política de segurança estabelecida por seu proprietário a proíbe?
Esqueçam o conceito de que a informação adquire segurança pela transferência de confiança nos interlocutores, pessoas, máquinas ou sistemas. Essa fronteira também já não existe. O mundo precisa de interoperabilidade, virtualização, descentralização, capacidade de operar em tempo real, modularidade e service orientation. Se estudarmos a evolução dos conceitos de segurança nos últimos 20 anos, veremos exatamente esse movimento de descentralização, do CPD para o end-point, como ocorre com os serviços bancários. A segurança saiu dos super cofres, migrou para as agências bancárias, depois para os transportes de valores, para os ATMs e finalmente para o dispositivo móvel do usuário. Mas ainda falta um último passo. A segurança precisa chegar à última camada, ao “centro da cebola”: a própria informação.
* Marcos Semola, especialista em Governança, Risco e Conformidade, CISM, Professor da FGV, VP Membro do Conselho de Administração da ISACA
