Recursos/White Papers

Tecnologia

Falhas de comunicação geralmente levam às falhas de segurança

Novo Cyber Security Style Guide ajuda a reduzir o hiato da comunicação e a estabelecer um vocabulário de fácil compreensão

Jeffrey M. Anderson, CIO/EUA

Publicada em 09 de março de 2018 às 17h02

“O que nós temos aqui é uma falha de comunicação.”

Acho que, a partir de agora, vou começar todas as minhas observações importantes com essa citação clássica do filme “Rebeldia Indomável” (1967). Isso porque a inabilidade da maioria dos profissionais de segurança para se comunicar com quem não é da área está afetando negativamente o nosso tecido político, social e econômico. 

As pessoas que governam as nossas vidas e que irão moldar o futuro do nosso mundo não entendem de segurança da informação. A não ser que a gente simplifique os nossos termos excludentes, isso só poderá acabar de uma maneira ruim – para todos nós.

Não importa o quanto a pesquisa é ótima, ou o teste, ou o relatório, ou a sua nova política de segurança, se ninguém conseguir ler ou entender o conteúdo, ele não servirá para nada. Quando os políticos criam leis ruins porque não entendem como a criptografia funciona, a sociedade sofre. Quando aposentados começam a investir suas economias em ICOs de criptomoedas, a sociedade sofre. Quando funcionários ignoram políticas de segurança porque não as entendem ou acham que são muito restritivas, a sociedade sofre.

Segurança sem comunicação não vale nada. Você pode gritar até ficar azul, mas se ninguém entender o que você está dizendo, então estará apenas desperdiçando o seu tempo (e a sua garganta). 

A segurança da informação é um assunto não intuitivo, muitas vezes contrária a como pensamos segurança, poder e ameaças no mundo real. Pior ainda, a comunidade de segurança desenvolveu as suas próprias gírias que intencionalmente excluem quem é de fora. Todas as áreas fazem isso, é verdade, e se a segurança da informação, neste caso, fosse o setor de encanamento ou de controle de tráfego aéreo, estaria tudo bem. Isso porque as pessoas comuns não têm a necessidade de entender o funcionamento interno desses campos.

Mas a vida humana migrou para o espaço online, e a segurança da informação agora afeta todo mundo. Antes era algo mais ou menos assim: nós vivíamos no “mundo real” e “ficávamos online”. Agora nós vivemos online e visitamos o “mundo real”. Em breve até isso vai sumir, até que o único “mundo real” restante se transformará em um tipo de parque de diversão que oferece uma experiência desconectada.

O que nos trás para o assunto principal de hoje, um guia chamado "Cyber Security Style Guide", que é uma tentativa sólida de preencher a lacuna de comunicação, e estabelecer um vocabulário de fácil compreensão. Criado pela editora técnica Brianne Hughes, da consultoria de segurança Bishop Fox, o guia deveria ser realmente lido e usado. Apesar de não ser uma fórmula mágica, já é um bom primeiro passo para uma longa jornada.

As palavras importam
A primeira coisa que fiz quando baixei uma cópia foi procurar pelo termo “dark net”. Esse seria o meu teste principal: uma definição ruim me faria largar tudo e ir embora. Mas o guia se saiu muito bem.

Dark Net ou dark net: Esse termo nebuloso, juntamente com “dark web” e “deep web”, são escritos e usados de forma inconsistente para fazer referências a mercados negros online. É melhor chamá-lo de mercado negro ou especificar o site ou serviço de maneira formal. Relacionados: Tor, I2P

Para quem entende o quanto o Tor é importante para jornalistas, é ótimo ver uma documentação padronizada que exige precisão. As palavras importam, e se os jornalistas dos grandes veículos abandonassem as “palavras mágicas” seríamos uma sociedade melhor. 

“De forma geral, sou uma defensora da linguagem simples e de garantir que as pessoas estejam entendendo as coisas”, explica Hughes. “O perigo da escrita técnica é que você se perde tanto nos jargões que acaba perdendo o objetivo.”

Hughes possui um mestrado em linguística, e diz que, até recentemente, os termos de segurança da informação se desenvolveram ao acaso. Agora é a hora, afirma ela, de começar a pensar sobre a linguagem de segurança de uma maneira mais significativa.

“Há uma lacuna de verdade entre as pessoas que descobrem as falhas zero day e as pessoas que são afetadas por elas”, destaca a especialista. “O guia é mais voltado para as pessoas que estão escrevendo sobre as coisas técnicas. É para pesquisadores de segurança, mas também para jornalistas de tecnologia que levam essa mensagem para o público geral. Com o guia, estou realmente tentando meio que preencher essa lacuna.”

A segurança da informação é uma questão política central dos nossos tempos, e a maioria das pessoas não entende esse panorama bizarro e pouco intuitivo. Isso precisa mudar, e isso só acontecerá se derrubarmos as barreiras de comunicação entre os especialistas e os não especialistas em segurança.

comunicação

Use as palavras deles, não as suas
A comunicação eficiente é sobre usar a linguagem já presente na mente de outra pessoa. A definição do guia para o polêmico prefixo “ciber” deixa isso claro.

 Ciber profissionais do mercado não usam esse prefixo, mas é algo útil ao informar o público, como no título deste documento. Para muitos usuários, o termo “ciber” invoca cybersex, não hacking.  Relacionado: cibersegurança

Se você insiste em morrer na “ciber colina”, então está prestando um desserviço para todos. O objetivo não são as palavras, mas "a coisa" em si, e qualquer token linguístico que ajude a comunicar "a coisa" ao seu público será a palavra certa a ser usada.

Por muito tempo, a área de segurança cultivou e valorizou o conhecimento técnico acima de qualquer coisa. Mas nós não existimos em um vácuo. O trabalho de segurança possui consequências enormes para o resto da sociedade, e nós temos uma responsabilidade de comunicar essas consequências para todos.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui