Administrador de segurança é aquele cara que trabalha no Feriadão quando todo mundo está na piscina ou largado no sofá maratonando série na Netflix.
É o herói da madrugada que gerencia permissões, aplica atualizações, sabe tudo que entra e tudo que sai da rede da empresa, tem todos os cabelos brancos aos 30 anos e manchas de café na camisa que um dia foi branca.
Mas não precisa ser assim! Cuidar da segurança de uma empresa não tem que ser esse monstro de sete cabeças, basta seguir os exemplos de gigantes como Equifax e Yahoo, ignorar os manuais, os acionistas, os usuários, as boas práticas recomendadas pelos especialistas, colocar os dois pés em cima da mesa, abrir uma cerveja às 11 horas da manhã e memorizar nosso guia do que fazer para manter sua empresa segura*.
(E para provar que estamos falando sério, vamos usar imagens sisudas de segurança digital para ilustrar o artigo.)
Todos iguais
O telefone toca toda hora com gente pedindo permissão para acessar esse arquivo ou aquela função do sistema? Chato, né? Atrapalhando seu xaveco no WhatsApp… você poderia até fazer um levantamento completo das necessidades de todos os usuários, compartimentalizar o sistema, fazer um controle de acesso de domínio, mas, quer saber? Sempre vai ter alguém telefonando.
A solução para não esquentar a cabeça é liberar geral. Pronto! Todos iguais na empresa, com acesso pleno e poderes de administrador. Não pleno-pleno, é claro, tem que haver uma conta de Administrador Master Jedi que é só sua, mas o resto pode nivelar.
A tia do café? Conta de administrador porque algum dia ele pode precisar acessar a máquina de backup quanto ninguém mais estiver disponível. O estagiário novo que nem barba tem ainda? Conta de administrador para ele, com permissão de leitura, escrita, tudo, sem preconceitos com estagiários. Se o estagiário não for efetivado, mantenha a conta, porque ele pode voltar meses depois como contratado, quem sabe o dia de amanhã? Aquela mulher da contabilidade com voz engraçada? Administradora, é claro, com acesso total ao servidor de domínio, se ela não entende de TI, ela não vai nem chegar perto, certo?
Lembrando também que contas de convidados são para pessoas mal-educadas. Como dizer por aí, minha casa é sua casa e qualquer convidado também é um administrador, com todos os privilégios.
Quanto mais programas melhor
Imagine uma empresa onde todos os programas instalados são vigiados pelo administrador de segurança, esse grande Big Brother digital que tudo vê, tudo sabe! Ou uma empresa onde cada máquina só pode ter os programas e ferramentas autorizados pelo administrador, onde um laptop inocente não pode ser conectado na rede sem que o administrador permita. Você quer ser esse ditador, você quer ser esse enxerido que fica monitorando o que seus colegas de trabalho instalam ou deixam de instalar?
É claro que não! Todo mundo ama um administrador de segurança que libera o funcionário para exercer sua liberdade, sua autonomia, sua flexibilidade para baixar da internet todas as ferramentas e informações que precisa. O programa é pago? Pode baixar o crack naquele site chinês ou russo e, se clicar no executável e não acontecer nada, baixa outro e tenta de novo que uma hora vai!
Diversidade não é a palavra-chave de hoje para uma empresa sadia? Então, seja um bom administrador de segurança e promova a diversidade: diversas versões dos mesmos programas rodando ao mesmo tempo, qualquer notebook é bem-vindo, viva o Java, viva o Flash!
Foco nas ameaças certas
Vulnerabilidades conhecidas são para os fracos! Você quer se destacar na multidão de administradores de segurança ou apenas seguir a manada? Ignore completamente os malware mais populares, os ataques de phishing, os alertas dos fabricantes de software e sistemas e foque suas energias nas ameaças exóticas, os ataques de invasão por ondas sonoras, luzes de led ou telepatia.
Um cientista em Zurique conseguiu extrair o login e senha de um usuário a partir da captação das teclas digitadas? É óbvio que amanhã mesmo alguém vai tentar invadir sua empresa com esse método, então solicite imediatamente um orçamento para a compra de teclados que randomizem o som emitido pelas teclas e dispare um email para todos os funcionários sobre o risco envolvido. Quando um ataque desse tipo for evitado na firma, todos o considerarão um herói. Talvez você até ganhe uma plaquinha na parede.
NotPetya e WannaCrypt exploraram a mesma vulnerabilidade? Coincidência. Dificilmente um hacker irá criar um vírus que faça isso uma terceira vez. Imagina, que ridículo! Não tem pressa para consertar essa brecha de segurança. Quem infectou, infectou, quem não infectou não infecta mais, o importante agora é acompanhar as ameaças que ninguém imagina e focar nelas, estar sempre um passo à frente desses hackers safados!
Panela velha é que faz comida boa…
… já dizia sua avó e ela estava certíssima em sua sabedoria de outros tempos. Os fabricantes de softwares e sistemas vivem publicando atualizações quase que todos os dias e acompanhar isso cansa. Se o programa está funcionando, se não tem ninguém reclamando, por que se importar?
Com cada funcionário instalando o que quer em suas estações, pense na trabalheira para manter tudo atualizado! E se foi o funcionário que instalou o Net-Flix.exe, ele que mantenha o programa atualizado! Você é um administrador de segurança, o sujeito da conta Jedi Master, não uma marionete que a Microsoft e a Oracle sacodem toda vez que publicam dezenas de atualizações.
E pra quê tanta atualização? Esse povo não sabe construir um programa direito de primeira? Não tenha pressa, quando der, atualize os sistemas, pare serviços, dê reboot, de preferência quando todos os funcionários estivem na firma para eles verem que você trabalha por eles.
Mantenha seus segredos bem-guardados
Aquele sujeito careca do RH te odeia. É a única explicação para ele continuar contratando gente que não entende nada de segurança digital. Quantas vezes você não teve que explicar que “12345678” é uma senha muito mais forte que “12345”? Depois de um tempo cansa…
E os funcionários continuam caindo em emails estranhos, em telefonemas suspeitos e pedindo conselhos. O resultado é que você é obrigado a parar seu trabalho importante como administrador de segurança para explicar para pessoas com graduação o que fazer com anexos de email ou se podem ou não revelar suas senhas no telefone. Azar o deles e do careca do RH!
Se pelo menos houvesse uma forma desses funcionários possuírem um entendimento melhor de como funciona a segurança na empresa… mas aí também eles saberiam todos os seus segredos e qualquer um poderia tomar o seu lugar. Então, fique quieto, não sugira treinamentos ou seminários, não envie alertas, nem convoque reuniões. Isso é uma empresa, não uma escola!
Mantenha seu trabalho misterioso, a luz meio apagada na sua sala, procure se vestir como se estivesse em Matrix.
*não nos responsabilizamos por danos físicos, emocionais, materiais, espirituais que possam acontecer com você, seu currículo, os sistemas de sua companhia ou sua reputação na indústria. Olhares tortos, bilhetes mal-humorados e até demissões podem acontecer em virtude do uso desse guia. Se beber, não administre.