A concretização da segurança é difícil porque...

... entre outras razões, utiliza uma linguagem hermética e (quase) indecifrável. Nesse contexto, será razoável esperar que as pessoas, de uma forma geral, não compreendam a mensagem mas, ainda assim, aceitem e adoptem as medidas de segurança recomendadas, sejam de carácter técnico ou, mais simplesmente, de carácter processual? E porque razão terei sentido necessidade de escrever isto agora? Bem, porque li um artigo de Jonathan Eunice, na CNET, precisamente sobre este tema. E diz ele:

No que toca à segurança, os consumidores são muitas vezes confrontados com detalhes técnicos de nível elevado. Pedem-lhes que compreendam e avaliem produtos a partir dessa base. Pedem-nos que tomemos decisões sobre sistemas que são críticos para o negócio, com base em coisas que mal compreendemos, ou não compreendemos de todo. Mesmo quando compreendemos bem as partes, é quase impossível compreender, na prática, as suas interacções.

in Why we can't have nice security, um artigo muito interessante, que começa por apresentar como exemplo uma nota de imprensa sobre a criptografia nos discos, e desenvolve um conjunto de ideias que, na minha opinião, são importantes para ganharmos consciência, nós, os profissionais desta disciplina, sobre a dificuldade que as pessoas sentem quando têm que nos compreender e, sobretudo, como isso pode transformar-se, facilmente, num obstáculo que limita a capacidade de implementação de soluções de segurança.

Será assim tão difícil desmontar a complexidade intrínseca dos problemas e dos controlos de segurança, e passar uma mensagem que seja um pouco mais simples? Fica o apontamento. Para pensarmos um bocado, claro.