Home > Gestão

Desafio em segurança é lidar com expectativas surreais

Em entrevista, Scott Charney, VP corporativo de computação confiável, fala sobre políticas de segurança, o risco das ameaças e a necessidade de se educar os usuários

Computerworld, EUA

21/01/2008 às 12h43

Foto:

 Ex-promotor federal em cibercrimes e ex-juiz distrital assistente do Bronx, em Nova York, Scott Charney é o atual vice-presidente corporativo de computação confiável da Microsoft e está entre aqueles que lideram todos os esforços da empresa para aperfeiçoar a segurança de seus produtos.

Em entrevista ao COMPUTERWORLD, Charney fala sobre políticas de segurança, o aumento das ameaças em tecnologia e sobre a importância da educação dos usuários.

Não é frustrante para você o fato de a Microsoft ainda enfrentar tantos problemas relacionados com segurança?
Scott Charney -
Costumávamos ser alvo de piadas quando o assunto era segurança, mas agora você encontra inúmeros artigos falando que todos deveriam seguir nosso modelo. O desafio é, na maioria das vezes, lidar com expectativas surreais. Ainda temos vulnerabilidades em nossos códigos e nunca vamos conseguir erradicá-las. Vez por outra iremos enfrentar vulnerabilidades e as pessoas vão dizer: “Então o desenvolvimento do ciclo de vida de segurança [do inglês SDL – Security Development Lifecycle] é falho, certo?”. Errado! Nossa aspiração era erradicar qualquer tipo de falha. Mas sejamos realistas: esta não é uma meta plausível.

Qual é a maior contribuição que a Computação Confiável da Microsoft já produziu?
Charney -
Nossa maior colaboração foi na definição do SDL. Temos processos em andamento nos quais construímos modelos documentados de ameaças já na fase de desenho dos projetos e, à medida que o código vai sendo construído, mitigamos os riscos baseado em tais modelos. Ao final do processo, uma nova análise é feita para avaliar se o produto final está adequado para ser liberado sob o ponto de vista da segurança. Penso que esta foi a maior mudança.

O Vista é o primeiro sistema operacional que passou pelo processo completo de SDL. Você está satisfeito com o efeito do SDL na segurança do novo sistema operacional?
Charney -
Sim e não. Estou satisfeito com o fato de o número de vulnerabilidades do Vista ser menor do que o do XP, transcorrido o mesmo tempo desde o lançamento. Também estamos cientes de que as vulnerabilidades nunca desaparecerão completamente – por causa dos códigos complexos criados por seres humanos e tudo o mais.  A pergunta é: até onde podemos ir? Já chegamos lá? E eu digo que ainda não. Precisamos de melhorar as ferramentas automatizadas de detecção de falhas, um dos maiores problemas de toda a indústria. De um modo geral, o Vista tem feito muitos progressos, mas precisamos continuar em busca de melhores ferramentas automatizadas.

++++

O que as empresas deveriam fazer para reduzir a parte do risco que lhe cabe?
Charney -
Vejo duas situações distintas. Uma delas está relacionada com a própria empresa e a forma com lida com seus dados e a segurança deles. Também existe o risco criado por conta das interdependências. No mundo pós-11/09, o setor financeiro foi obrigado a acordar para o impacto das telecomunicações nos seus negócios. Elas poderiam ter voltado a funcionar rapidamente, mas a infra-estrutura [das empresas de telecomunicações] foi destruída. Compreender esse tipo de interdependências é difícil.

O outro ponto é que os modelos de negócios estão mudando. Tudo - desde a mudança da telefonia tradicional para o VoIP, offshoring, utilização global de recursos, acesso remoto, e até a “desperimetrização” da rede –, todas essas mudanças na forma de se fazer negócios exigem uma reflexão sobre o modelo de risco e como ele afeta a maneira como as empresas estão acostumadas a trabalhar e o que deve ser feito para que possam minimizar esses riscos.

E quanto ao usuário final e os riscos a que estão expostos?
Charney -
Um dos exemplos que eu costumo citar é a minha mãe, que  tem 78 anos e descobriu o e-mail. Lembro-me de tê-la encorajado a usar uma conexão de banda larga em vez de linha discada. Expliquei também se seria importante instalar um firewall. Ela me perguntou por que a banda larga provoca “incêndios”. O que quero dizer é que minha mãe não a menor intenção de tornar-se uma administradora de segurança. O que precisamos fazer é educar os usuários para que não cometam erros, tais como abrir anexos de remetentes desconhecidos ou clicar em qualquer link que aparecer pela frente, e coisas assim.

Também sabemos que um usuário irá clicar no botão OK sempre que uma caixa de diálogo é aberta. O que precisamos é encontrar formas de lidar com isso. É crucial que a indústria de TI faça um trabalho melhor no que eu denomino usabilidade segura.

Então, quem é o responsável pela segurança desses usuários?
Charney -
Uma das razões pelas quais as empresas são mais seguras é que elas contam com um profissional responsável pela informação (CIO), outro pela segurança operacional (CSO) e com pessoas que cuidam da segurança da rede. Mas quem é o CIO ou o CSO do usuário doméstico? Tal resposta não é simples.

Alguns provedores de acesso podem proporcionar algo nesse sentido porque eles são o ponto de entrada para a internet, fazem o controle de acesso e fornecem ferramentas que ajudam a proteger seus clientes. E alguns provedores já fazem isso. Fornecedores aplicativos para desktops certamente têm a obrigação de produzir códigos mais seguros e mais facilmente gerenciáveis. Ou seja, a responsabilidade é compartilhada entre o usuário, o provedor de acesso e o fornecedores.

Existe algo que lhe tira o sono?
Charney -
Duas coisas. Uma é complacência. Você sabe como é, na Microsoft, fizemos todo esse esforço com relação à segurança, nossos números se mantiveram em constante crescimento e cada vez mais pessoas estão dizendo “Eles fizeram um bom trabalho e outros devem seguir seu exemplo”. Já os “escovadores de bits’ (technologists) rebatem: “Ok! Nosso trabalho está feito, e agora?” O que tento explicar às pessoas é que não se trata de resolver um problema tecnológico, e sim um problema criminal. O outro é o avanço dos modelos de ameaça.

O que o deixa irritado?
Charney -
Perguntarem qual o número do meu telefone no caixa de qualquer local. Quando eles fazem isso, respondo: você não precisa do meu número. Tem a intenção de me ligar? Pode me dar o número do seu celular? Tudo o que eles estão fazendo é coletar dados e isso viola todos os princípios de informações justificáveis.

O que faz quando não está pensando sobre segurança?
Charney -
Tenho três filhos, vou assistir a partidas de futebol e nadar. Um dos meus filhos tem só dois anos, o que significa que gasto boa parte do meu tempo correndo atrás dele pela casa.

Torce para qual time?
Charney -
Costumo torcer para o time da casa. Quando estava em Nova York, as pessoas diziam: ´Yankees ou Mets?´ e eu respondia ´Nova York. Fui ao estádio do Shelsea; ao do Yankees... Agora que estou em Seatle, estou torcendo para o Seahawks e para o Mariners.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail