Os recentes acontecimentos envolvendo o vazamento de informações militares e diplomáticas dos EUA através do site Wikileaks, trazem à tona e evidenciam as vulnerabilidades e Importância do Fator Humano no armazenamento e manuseio das Informações.
Todas as publicações sobre Segurança da Informação ensinam basicamente que seu objetivo é garantir a confidencialidade, integridade e disponibilidade das informações e para isso, é preciso proteger os ativos tecnológicos, processos, pessoas e ambientes físicos, geralmente nesta ordem. Porém, as pessoas deveriam aparecer sempre em primeiro lugar pois são elas que garantem a realização dos outros itens. Ou seja, as pessoas são 100% responsáveis pela segurança da informação. Se por exemplo o Firewall ou um Sistema for invadido, a culpa é de alguém que escreveu um código vulnerável, se um processo for burlado, é porquê foi desenhado com problemas por alguma pessoa, ou ainda se um ambiente físico for roubado, pode-se considerar que alguém não o protegeu como deveria considerando todas brechas possíveis.
O País que mais investe em Segurança da Informação é os EUA, pois sua posição de Líder político e econômico no planeta, o o faz um alvo desejado por muitos inimigos e e o caso Wikileaks evidencia isto. Por mais investimento em dispositivos tecnológicos, sistemas, conscientização e políticas, ocorreu talvez o pior vazamento de informações, comprometendo o item número um, a Confidencialidade.
Então enfim, onde está a causa do problema das informações ultra-secretas dos EUA que foram divulgadas mundialmente? Está nas pessoas, ou seja, nos usuários da rede de computadores do governo norte-americano. Alguém que possuí acesso irrestrito às informações pode ter as entregue por motivos de insatisfação ou retaliação, ou então o computador de algum diplomata ter sido invadido por um malfeitor que remotamente obteve acesso e capturou a todos os documentos secretos.
Fica evidente que mesmo investindo milhões, algo falhou. É por isso que nunca pode-se afirmar que algo é 100% seguro, pois há pessoas por traz de tudo e é impossível saber do que o ser humano á capaz. É preciso investir o máximo em programas de conscientização dos usuários e ao mesmo tempo em sistemas de proteção cada vez mais sofisticados. É comum ser visto nas organizações, pessoas com acessos muito maiores do que os necessários aos sistemas e informações corporativas. Quando se fala da área de TI então, é pior. Geralmente os Administradores de Rede, possuem acesso completo a todos os sistemas e isso os torna um alvo cobiçado pelos atacantes.
Por isso, é importante sempre considerar todas as brechas e entender que Segurança da Informação é feita antes de mais nada pelas pessoas. Não adianta nada investir muito em soluções tecnológicas, sem levar em consideração os usuários. Planejar a maneira como eles são preparados para lidar com a informação e como monitorá-los para se garantir a Segurança é fundamental. Além disso, o velho princípio do “mínimo de privilégio possível” deve ser adotado antes de mais nada.

Rodrigo Jorge
Publicado na Edição de Janeiro 2011 da Informática em Revista