Finding The Hidden InfoSec Story

Sapo na Panela Fervente!


Photo Credit: @Doug88888 via Compfight cc

Certa vez, eu estava em um restaurante com meu amigo Mr. Beer e falavamos sobre suas empreitadas pelo Brasil, mais especificamente sobre suas frustrações enquanto ele dialogava com representantes de várias instituições e como eles ignoravam o assunto segurança da informação.

Perguntei a ele como ele conduzia essas conversas. Ele me explicou que ele conseguia uma agenda com os executivos e apresentava os cenários mundiais de ameaças cibernéticas e o quanto essas ameaças já estavam presentes aqui no Brasil.

Comecei a rir. Ele continuou me olhando sério. Um canadense sério, falando de suas frustrações e eu rindo… achei melhor explicar o motivo do riso.

– William, você jogou o sapo na água fervente! Era certo que ele pularia!

Até esse ponto ele não tinha entendido nada. Então contei sobre a lenda do sapo da Amazônia e como cozê-lo. Reza a lenda que na Amazônia existem milhares e espécies de sapos e rãs, alguns deles comestíveis, mas para isso é preciso cozê-los aumentando lentamente a temperatura da água. Se você esquecer desse detalhe, o sapo percebe a ameaça e salta da panela!

Fiquei mais tranquilo. Ele começou a sorrir. Acho que nesse ponto ele havia entendido para onde essa história nos levaria.

– Entendeu William? Você jogou os executivos na panela fervente! Eles reagiram instintivamente e saltaram! Se você estiver trabalhando com uma audiência que tem pouca ou nenhuma visibilidade do cenário de segurança digital em que estão inseridos e você der esse choque de realidade, você tende a deixá-los em pânico. Que tal começar estabelecendo o contato e começar a endereçar os pontos de atenção de forma gradativa?

Façamos como um bom atacante digital e tracemos nosso plano de ataque. Um atacante eficiente hoje não invade o ambiente de forma abrupta. Ele vai se instalando lentamente no ambiente, evitando a monitoração, dando tempo para que suas atividades sejam “aprendidas” pela monitoração e passem a ser vistas como atividades naturais do sistema e só após um bom tempo a extração dos dados começa e de forma, também, gradativa.

Se essa estratégia funciona para atacar nossos ambientes, por que não aprender com os atacantes e usar essa técnica a nosso favor? Passemos a nos comunicar com mais frequência, de maneira mais leve, dando tempo para os executivos se acostumarem com o cenário, com nosso jargão e, ao longo de um bom tempo, estabeleceremos a relação de confiança necessária bem como o contexto correto para tratarmos os assuntos de segurança cibernética de forma intensa e completa.

Nesse ponto ele me interrompeu:

– Você conhece o “The Analogies Project”?

Eis que aqui estou, ajudando a cozer sapos, aumentando a temperatura um grau por vez. Ou melhor, ajudando a construir o contexto de segurança para executivos, uma analogia por vez. Espero que tenham gostado.

 

This analogy was originally published on October 2nd and is available in the following alternative languages.

Union_Jack1

Author: Rafael Lachi

Share This Post On