Consideremos o incidente de segurança amplamente divulgado pela imprensa do extravio de informações importantes, armazenadas num notebook da Petrobras, durante o seu transporte interurbano, realizado pela um terceiro.
Como referência para esta análise iremos utilizar o TRIPOD que preconiza que incidentes de segurança são devidos na sua essência à existência de pelo menos um dos dez fatores básicos de risco.
Fatores Básicos de Risco (BRF – Basic Risk Factors):
• Design
• Hardware
• Manutenção
• Conservação
• Condições de erro
• Procedimentos
• Treinamento
• Comunicação
• Metas incompatíveis
• Organização
No caso em questão, com as informações apresentadas podemos concluir que é certo que o BRF “Procedimentos” contribuiu para a ocorrência do incidente. Outros dois, “Treinamento” e “Comunicação” podem ter contribuído, mas por ora não dispomos de dados que permitam tal conclusão.
Assim podemos considerar que procedimentos inadequados contribuíram diretamente para a ocorrência do evento e dentre eles destacamos que:
• O procedimento de guarda de informações importantes num computador de uso pessoal é inseguro.
• O transporte interurbano de computadores com informações relevantes é inseguro.
• O transporte por terceiros de informações importantes é inseguro.
A utilização de controles tais como senhas, criptografia, cadeados, são algumas formas de se mitigar o evento, mas pouco contribuirão para evitar que o incidente ocorra. Por outro lado se os três pontos, relativos ao BRF - Procedimentos forem tratados e eliminados a ocorrência de um incidente de segurança conforme acima descrito dificilmente irá ocorrer.
É necessário contudo observar que esta análise está feita tendo como base apenas os dados do enunciado acima. Como já foi observado, outros fatores básicos podem ter contribuído, tais como inobservância dos procedimentos de segurança (BRF-Treinamento e BRF-Organização), incompetência técnica (BRF-Treinamento e BRF-Processo), falha no treinamento de funcionários (BRF-Treinamento e BRF-Processo), falha na contratação de funcionários (BRF-Processo), falha na contratação e supervisão de terceiros (BRF-Treinamento e BRF-Processo).
Nenhum comentário:
Postar um comentário