Conhecimento de segurança ajuda especialista a vencer em jogo

[Mário Monteiro 179]

Conhecimento de segurança ajuda especialista a vencer em jogo

Análise de risco é atividade cotidiana das pessoas.

Profissionais às vezes se esquecem do ‘risco positivo’.

 

Altieres Rohr Especial para o G1

 

Fernando Fonseca joga dados com 'Alice' e 'Bob'. (Foto: Reprodução)

 

O especialista em segurança Fernando Fonseca foi convidado por um casal de amigos dos Estados Unidos um jogo com dados no qual cada rodada começava com seis dados, cada dado podia ou não pontuar, e a cada jogada, pelo menos um dado era retirado. Quando pontos não eram formados, toda a pontuação da rodada era perdida. Usando seus conhecimentos de análise de risco, ligados à área de segurança da informação, Fonseca determinou a melhor hora para parar de rolar os dados e, com isso, o novato no jogo conseguiu ganhar do casal.

 

Quando o casal foi informado do “segredo” matemático por trás das escolhas do especialista, o jogo se equilibrou novamente. Mas o que definiu a vitória não foi apenas o cálculo “negativo” do risco: também foi preciso calcular a oportunidade – as rodadas em que vale a pena jogar os dados, mesmo quando o risco parece alto. A história inspirou Fonseca a apresentar uma palestra na 5ª edição da conferência de segurança brasileira “you sh0t the sheriff”, que ocorreu nesta segunda-feira (16) em São Paulo.

 

Para não revelar do nome dos amigos, o especialista chamou o casal de “Alice” e “Bob” – nomes que são padrão na área de segurança para nomear certos “personagens”. No jogo, Alice era cautelosa demais, valorizando excessivamente as chances de perder. Bob se empolgava fácil, e acabava perdendo todos os seus pontos quando não conseguia pontuar em uma rodada com poucos dados.

 

Atravessar a rua

Análise de risco é algo que todas as pessoas realizam continuamente. O especialista dá um exemplo simples: ao atravessar a rua, a pessoa calcula a distância do carro com o olho para saber o quão arriscado é seguir naquele momento. Na mesma linha, uma equipe de segurança é deve ajudar a empresa a observar a “distância do carro” e saber se é melhor atravessar correndo, caminhando ou aguardar, reduzindo os riscos da tarefa a níveis aceitáveis para a organização.

 

Na tentativa de reduzir esses riscos, porém, profissionais acabam exagerando e fazendo a empresa perder oportunidades – “travando” o avanço. “Pegue uma novidade como Windows Phone ou iPad. Se um profissional reza para o pessoal do marketing não inventar de colocar aplicações nele, ele está pensando só em segurança, mas se esse profissional já começa a pesquisar formas de fazer isso com segurança, ele está pensando no negócio”.

 

As novas tecnologias – e outras possibilidades de mercado – representam um “risco positivo” –a oportunidade, que deve ser considerada. Mas até normas específicas para segurança às vezes não registram esse cálculo, levando alguns profissionais a serem excessivamente pessimistas.

 

“Sem generalizar, vejo algumas pessoas mais focadas em fazer um cerco tecnológico a coisas menos relevantes como Skype, MSN, etc, do que fazer uma análise séria de risco, considerando honestamente o impacto da implantação dos controles no cotidiano dos usuários”, ilustra Fonseca.

 

Análise

Todas as pessoas fazem análise de risco, mas o especialista em segurança precisa conhecer métodos de análise adequados para melhorar sua percepção. Pesquisas da área demonstram que as pessoas temem riscos improváveis e pequenos em vez de riscos possíveis e reais. Por exemplo, a maioria das pessoas costuma ter mais medo de agressão por estranhos, embora a maioria dos homicídios seja realizada por pessoas conhecidas. Em outro exemplo, cachorros matam mais pessoas que tubarões, e mesmo assim muitas pessoas não se preocupam com cachorros do mesmo modo que se preocupam com tubarões.

 

Somente com esse conhecimento, aliado ao entendimento do negócio para calcular o risco, é é que o profissional conseguirá determinar o que vale a pena para a empresa.

 

“O profissional com aversão exagerada ao risco esquece que o custo dos controles tem que ser calculado considerando as chamadas de help desk, o impacto na produção e o próprio desgaste da imagem do departamento de SI, que quanto é taxado de paranóico perde a credibilidade, e não consegue mais apoio e colaboração”, explica Fonseca.

 

Fonte: G1