Segurança: Nenhuma medida técnica substitui medidas administrativas!

Motivado por uma discussão saudável e recente no fórum oficial do projeto pfSense, decidi publicar aqui no blog também as considerações que penso serem relevantes acerca do controle e monitoramento de ações de funcionários diante das redes modernas de computadores. Desta vez vou abrir mão de um texto técnico que explica a instalação, configuração ou manuseio de uma ferramenta qualquer para que você tente manter seus usuários sob controle. A discussão aqui é mais sobre o ponto de vista gerencial – de política de segurança da informação que toda empresa deveria ter e aplicar hoje em dia.

Neste sentido, é importante lembrarmos que nenhuma medida técnica restritiva substitui as medidas administrativas em um ambiente corporativo. Fazendo uma analogia simples, se você passa seu cartão de crédito e senha a um determinado indivíduo e, este camarada vai até o caixa eletrônico mais próximo e saca todo o seu dinheiro, você certamente não será ressarcido, correto?

Isso porque seu cartão de crédito e senha são de uso exclusivamente particular e intransferível. Se você o fez (transferiu pra alguém), assumiu a responsabilidade e deve arcar com o ônus como se fosse você próprio o executor do saque. Este é um exemplo típico de medida administrativa amparada legalmente, inclusive.

Em redes corporativas (não estou falando agora de pfSense ou qualquer outra ferramenta em específico, obviamente), as políticas de utilização do parque computacional – com suas possibilidade e sanções – devem estar claras e serem aplicadas à todos sempre. É claro que todo ferramental (proprietário, gratuito ou livre) disponível para sysadmins atualmente ajudam muito na execução e controle das políticas de segurança da informação instituídas. Mas por si só, não resolvem totalmente o problema.

Só para se ter uma ideia do quanto isso é grave e preocupante hoje em dia nas empresas, a Microsoft tentou patentear recentemente (usando o Kinect como plataforma), uma tecnologia para monitorizar os empregados de empresas, quando interagem com computadores ou telefones.  Segundo o site tecnologia.com.pt, com a tecnologia poderiam ser “criados” comportamentos pré-definidos para cada usuário e sempre que um funcionário “fugisse” do estabelecido, alertas seriam enviados para o recursos humanos. Até a roupa e as conversas que os funcionários têm dentro da empresa, seriam monitorados.

Até onde eu sei a Microsoft não conseguiu a patente. De todo modo, fica a pergunta: Será que este é o futuro dentro das empresas? Parece que pelo menos algumas companhias estão cansadas de remediar e pensam em algo radical e extremamente discutível – que fere vários direitos de qualquer constituinte. Enfim, a discussão é longa e este post tem por objetivo apenas aflorá-la… e não resolvê-la! 😉