O blog "A Day in the Life of an Information Security Investigator" publicou um artigo bem interessante, chamado "Security Geek Fired: For Doing His Job?" que conta um caso real, onde uma empresa americana mudou de sede mas não seguiu as recomendações para implantar controles de segurança física no novo prédio (preferiu gastar $100 mil em móveis do que $30 mil em segurança). Após serem assaltados em um fim de semana e ficarem 2 semanas sem conseguir operar, o CEO da empresa resolveu demitir o Security Officer como bode expiatório, embora o CEO foi quem decidiu não seguir as recomendações do CSO.
História triste, mas que parece ser bem real.
Mostra a dificuldade que é implantar controles de segurança, para o bem da empresa, quando a preocupação dos gestores não é esta. Segurança só é percebida quando as coisas dão errado.
De qualquer forma, eu acredito que o bom profissional de segurança não deve ser avaliado pela ocorrência ou não de ataques (pois, acredite, um dia, mais cedo ou mais tarde, nós seremos atacados), mas sim pela sua capacidade em se prevenir o máximo que lhe for permitido e sua capacidade em recuperar rapidamente (e com segurança) a operação normal após um ataque.
Nenhum comentário:
Postar um comentário