Afortunadamente, a saúde de um paciente é o foco primário e os dados são simplesmente uma maneira de descrever a condição atual e o progresso do paciente para atingir sua recuperação total. Essencialmente, este modelo não tem evoluído com a revolução da era digital. Isto me leva a minha seguinte ideia... Autorizações de segurança governamentais.
Pensamentos Antigos Se Encontram Com Tecnologia Nova
Escutei um programa (em inglês) na NPR onde todas as pessoas citadas disseram que o processo de autorização de segurança no governo americano não tem evoluído desde os anos 50. O processo dita que um investigador vá à vizinhança de um candidato e pergunte aos seus vizinhos se qualquer pessoa que parecesse um comunista tinha entrado ou saído da casa do candidato. Eu concordo com a conclusão do programa de que este processo realmente precisa ser atualizado, ademais, eu nem me lembro do nome dos meus vizinhos.
Quantas outras indústrias estarão trabalhando com um modelo antiquado? Esse tipo de pensamento não toma em consideração a natureza interconectada da nossa “sociedade da informação” e o valor monetário líquido de praticamente cada bit e byte de informação. Quando fui subcontratado pela Força Naval Americana, um almirante visitou nossas instalações e nos comentou a importância dos trabalhos de segurança que estávamos realizando. Para marcar a sua ideia, ele nos contou que o momento em que notou que as coisas tinham mudado foi quando ele perguntou ao timoneiro de um porta-aviões como era que o timão estava conectado á lança. O marinheiro descreveu de maneira geral como o sistema era conectado a uma rede digital e o almirante imediatamente percebeu que o timão estava de certa maneira conectado á internet. Ele se converteu em um crente nesse instante.
O setor de saúde e muitas outras indústrias acatam regras de segurança porque são obrigadas a fazê-lo. A proteção dos dados não é parte do seu modelo empresarial. Os dados estão simplesmente muito removidos da linha direta de remuneração. Poderíamos argumentar que se minha identidade é roubada, entro em falência e não posso pagar minha conta hospitalária; que a remuneração está certamente involucrada. Claro, usando este argumento você nunca poderá ganhar uma batalha orçamental entre comprar um novo aparelho de radiologia ou um sistema de autenticação duplo para os três doidos em informática que sempre se queixam da segurança.
A Segurança Não Faz Dinheiro... Exceto Na Banca
Uma das poucas indústrias que realmente entendem de segurança de dados é o setor financeiro, pela conexão direta dos dados ao dinheiro. Essa informação na base de dados que diz que eu tenho 50 dólares na minha conta corrente... Isso É dinheiro, não muito no meu caso, mais dinheiro ao final das contas. Se amanhã, por alguma circunstância misteriosa, eu tiver 5000 dólares, eles o acreditariam caso não houvesse cheques ou extratos que digam o contrario. Os dados são dinheiro.
Existem muitas indústrias que trabalham baixo o modelo de menor conformidade possível. Isto basicamente significa que farei o mínimo possível para cumprir as regras. Fazer menos do mínimo ou mais do mínimo é visto como igualmente ruim. Para aqueles que não estão familiarizados com esta mentalidade e que trabalham em um lugar onde as coisas se fazem corretamente, deixem-me explicar-lhes. Nestes lugares, as pessoas que estão muito adiante dos demais são consideradas tão propensas a atrair o escrutínio dos órgãos reguladores como os que fazem menos do que é regulamentado. Como resultado, todos na indústria tentam fazer o que fazem os outros, sem reparar se faz sentido na segurança ou não. Ao modo de pensar deles, fazer uma coisa de maneira muito diferente ao que fazem os demais significa que os reguladores darão uma olhada rápida ao seu trabalho e declararão que sua estratégia é errônea. A possibilidade de que declarem o seu trabalho como correto e excedendo as expectativas é tão alheia ao modo em que pensam que imediatamente descartam suas ideias.
Os Padrões De Segurança Não Diminuem, Só Crescem
O problema com só cumprir os padrões mínimos de segurança é que quando os “caras maus” melhorem seus procedimentos, e sempre o fazem, você ficará fora da área segura e terá que alcançá-los. Enquanto você estiver fora da área segura, os “caras maus” poderão fazer o que quiserem com impunidade até que você descubra o que fará a seguir. Qualquer soldado pode dizer-lhe que fazer um plano durante o fogo cruzado não é fácil. Sempre é melhor ter um plano de contingencia preparado e usá-lo quando seja necessário, ou melhor, ter os planos na base para a ronda de amanhã.
Estamos tão focados em usar as melhores e mais novas ferramentas, mais nunca paramos a pensar sobre a responsabilidade e o bom senso que precisamos ter para usá-las. Tablets nas redes de saúde são uma excelente maneira de por uma farta quantidade de informação na palma da mão dos médicos. Os dispositivos móveis estão aparecendo em todos os lados e muito poucos modelos de negócio tem a preparação básica necessária para proteger a informação que estes novos “brinquedos” oferecem. Newton disse “Se vi mais longe foi por estar de pé sobre ombros de gigantes.” É um conceito antigo e me sinto velho por mencioná-lo, porem, é muito válido.
Acho que meu ponto é que como um profissional em segurança, você realmente precisa estar muita alerta quando você opera em qualquer negócio que não vê a conexão direta entre os dados e o dinheiro. Ser forçado a cumprir regulamentos sem ter o suporte de um modelo de negócio que valorize as razões para cumpri-las não é uma receita para o sucesso na segurança informática. No poupar é que está o ganho, e os “caras ruins” definitivamente poupam. A mobilidade e o poder dos tablets os fazem ainda mais valiosos aos “caras maus”. Um dado privado pode valer apenas uns centavos nos cantos escuros da internet, mais milhões de dados? Pode até sair um filme deste tema... Melhor não, acho que já o fizeram.
Traduzido do texto original de When Old Processes Meet New Technology por Josh Beckett.
No comments :
Post a Comment