De quem é a culpa?

Talvez mais importante do que perceber exatamente se foi a pessoa X ou Y a cometer o ‘erro fatal’, que carregou na ligação que acabou por dar acesso a cibercriminosos, é perceber como é que esse ‘erro fatal’ podia ter sido evitado.

Costuma-se dizer que o elo mais fraco de uma empresa é o colaborador, o ser humano; mas esse colaborador, esse ser humano, é necessário para que a organização continue a funcionar. Tal como Sérgio Trindade, da EPAL, diz na entrevista à IT Security, o ser humano é o elo mais fraco porque ele não é robustecido; não recebe as ferramentas ou formação necessárias para perceber que abrir uma ligação num email desconhecido é como atravessar uma estrada sem olhar para ver se há carros a passar: pode correr bem, mas provavelmente não.

A cloud tem vindo a crescer em termos de importância para as organizações. Mas ainda que existam empresas maduras o suficiente para perceber que a proteção dessa cloud depende delas e não do fornecedor, há outras que acreditam que essa responsabilidade não é sua, que é de quem fornece o serviço.

Se é certo que jogar um ‘blaming game’ não faz com que existam vencedores, há, possivelmente, quem perca mais: a organização atacada. Essa organização vai perder tempo valioso – até porque tempo é dinheiro – a retomar a sua atividade como se nada tivesse acontecido, deixa de vender, de trabalhar e de comunicar até que os backups – quando existem – ou o plano de disaster recovery estejam prontos a ser utilizados.

Dizer que mais vale prevenir do que remediar é, de facto, um cliché. Mas, como vários clichés, tem uma ponta de verdade. Se sabemos que podemos reduzir o risco ao olhar para ambos os lados da estrada antes de atravessar, também podemos reduzir o risco de um ciberataque através da prevenção – seja ela com tecnologias, através de políticas bem estipuladas ou com a sensibilização de quem utiliza determinadas ferramentas ou serviços. Dizer ‘a culpa não é minha, mas sim deste serviço que utilizo’ não vai trazer nenhum benefício.