NSS T.5 Ep.1 — O devir e a segurança

Surripiada directamente da Wikipedia, na sua versão (quase) literal e integral, tal como a encontrei agora mesmo:

O devir é um conceito filosófico que qualifica a mudança constante, a perenidade de algo ou de alguém. Surgiu primeiro em Heraclito e nos seus seguidores; o devir é exemplificado pelas águas de um rio, “que continua o mesmo, a despeito das suas águas continuamente mudarem.” Devir é o desejo de tornar-se. Recebe também a acepção Nietzscheana do "torna-te quem tu és", usada num dos seus escritos. Traduz-se de forma mais literal a eterna mudança do ontem ser diferente do hoje, nas palavras de Heraclito: "O mesmo homem não pode atravessar o mesmo rio, porque o homem de ontem não é o mesmo homem, nem o rio de ontem é o mesmo de hoje". O devir é a lei do mundo. Os fenómenos repetem-se, é verdade, mas não se repete o mesmo fenómeno: o raio de hoje é sempre um raio, mas não é aquele de ontem; os seres viventes são sempre classificáveis em espécies, mas os seres que vivem hoje não são mais aqueles do passado. Aliás, cada coisa jamais é a mesma; dia a dia perde e conquista algo, mesmo quando aos nossos olhos desapareceu para sempre.

É uma forma rebuscada de retomar a escrita, e até um bocado esquizofrénica, admito-o, mas, como queria estabelecer uma ideia sobre a mudança na área da segurança, pareceu-me um excerto muito bom para abrir as hostilidades ; )

A informação, meus amigos, e os sistemas que a suportam e operam, está (estão) em constante transformação. Os controlos que considerámos fundamentais e muito úteis, ontem, já perderam a eficácia com a mudança do paradigma que nasceu hoje, e com as novidades que vamos encontrar já amanhã: novos pads, telemóveis, portáteis pessoais, redes que não se vêem, programas que não controlamos, sistemas que não instalámos, serviços que não são nossos, informação que não vamos conseguir limitar.

Imaginem uma onda. E agora imaginem uma onda tão grande como um prédio. Estão a imaginá-la? Os utilizadores estão a criá-la e vão tentar impô-la dentro dos locais de trabalho, na mesma medida em que a integram nas suas próprias vidas. E não vão recuar — a segurança vai ter que acompanhar esta mudança e transformar-se (não acredito que seja possível anulá-la).

O busílis? Como.

Em primeiro lugar, parece-me que temos que deixar de tratar a informação como um bolo uniforme, sem quaisquer diferenças, e distinguir, sem ambiguidades, a importância de cada uma das fatias. Em segundo lugar, considerando a mudança do contexto, a mudança que se avizinha, temos que definir uma política muito clara que determine, para cada uma destas classes de informação, o que pode (e não pode) realizar-se. Em terceiro lugar, temos que conseguir estabelecer melhores controlos de autenticação de pessoas, equipamentos e aplicações, controlos que nos permitam estabelecer o grau de confiança a cada instante, para autorizarmos (ou rejeitarmos) as operações que sejam solicitadas, em função da confiança determinada. Finalmente, parece-me imprescindível reforçarmos a monitorização activa: durante muito anos mantivemos uma postura (demasiado) passiva, ignorando registos e confiando nos controlos realizados. Ou seja, por outras palavras, desde que tivéssemos o controlo xpto para o auditor picar na checklist, já tínhamos tudo quanto precisávamos. Isso vai deixar de funcionar — temos que ter recursos humanos a analisar, em permanência, o que acontece nos sistemas de informação.

E por hoje, episódio número um da nova temporada, é já o bastante. Os próximos episódios, tenho fé, já vão ser menos esotéricos e vão contribuir, o melhor que for possível, para retirar a névoa deste texto de fim-de-tarde, no início de mais um ciclo ainda opaco, mas que promete, como sempre, ser um ciclo muito-muito divertido.

Até amanhã : )