Anunciamos hoje publicamente a fusão das operações da Tempest Technologies e da Open Communications Security, criando uma nova empresa chamada Tempest Security Intelligence. A Tempest passa a contar com cerca de 60 colaboradores, pontos de presença em São Paulo, Recife e Belo Horizonte, e uma carteira de clientes de médio e grande porte de diversos setores, incluindo financeiro, mineração/energia, telecomunicações, seguros e governo.

Esta aproximação começou com a compra, no começo do ano, da totalidade do controle acionário da Open, pelo grupo de investimentos Imbeana Participações. Namoro vai, namoro vem… decidimos juntar as duas empresas, que tem uma grande complementariedade de ofertas e uma equipe técnica de altíssima qualidade. Por trás disso está uma estratégia de consolidação de mercado e o foco em soluções que fujam do commodity em segurança e respondam a desafios reais vividos pelos CSOs. Aliás, essa não é uma daquelas fusões que têm como principal objetivo o corte de custos - pelo contrário, a Tempest está em franco crescimento e estamos mantendo a equipe técnica das duas empresas, e daqui até o final do ano estaremos investindo em novas contratações e desenvolvimento de novos produtos e serviços.

Um princípio da filosofia que estamos adotando é o de “ser a empresa em que os melhores profissionais de segurança querem trabalhar”… depois de atrairmos o Augusto Paes de Barros, já dá pra ver que começamos bem ;)

Com a fusão, eu volto a atuar diretamente na estruturação técnica do negócio, atuando como diretor de tecnologia. A Tempest Security Intelligence passa a ter sua composição acionária formada pela Imbeana Participações (representada por Marcelo Tomaszewski) e os sócios-fundadores da Tempest - Evandro Hora, Marco “Kiko” Carnut e Cristiano Lincoln Mattos.

É isso… vêm várias novidades interessantes por aí, e no mínimo quero conseguir voltar a postar algumas coisas neste blog. :) Maiores informações no site (ainda um pouco incompleto).

O primeiro é daquele profissional que se encanta com a noção de “ser gerente” - aquele patamar mágico em que não é mais necessário se preocupar com detalhes tecnológicos, e que uma visão superficial dos aspectos técnicos das ameaças, riscos, vulnerabilidades e controles é suficiente para exercer seu papel.

No seu reino encantado, a principal fonte de informações sobre segurança vem de whitepapers de fornecedores de produtos, e qualquer aprofundamento não passa de meia dúzia de slides de PowerPoint. Faz malabarismo com buzzwords para encantar os leigos, acreditando que “alinhar segurança ao negócio” consiste em adotar as “melhores práticas” para “garantir compliance”, porque “segurança é um processo, não um produto”. Pensa em tirar o CISSP, afinal esta seria a prova definitiva da sua capacidade profissional. Ao mesmo tempo em que acha que gerenciar bem um projeto é tê-lo planejado no Microsoft Project, não entende quando eles falham - e em geral culpa os técnicos.

O segundo perfil é o daquele profisisonal que está fechado no seu mundo de tecnologia, sem enxergar - e sem querer enxergar - nada que esteja fora destas quatro paredes.

Na área restrita que define o seu horizonte, está sempre preocupado e empolgado com o último ataque, a última técnica “ninja”, a última tendência, sem enxergar outros problemas básicos (mas nenhum tão sexy, nunca) que provavelmente contribuem mais pro risco - política de senhas, anyone?. Acha que se todo mundo usasse Linux (ou Vista, ou Solaris, ou seja qual for o SO predileto), todos os problemas de segurança estariam resolvidos. Faz malabarismo com acrônimos para confundir os leigos, propagando que, IMNSHO, é preciso tomar cuidado com ataques MITM quando se utiliza VPNs PPTP, IPSec ou TLS. Não entende direito o negócio da empresa em que trabalha nem como ela funciona, e por princípio é contra políticas de segurança corporativas (até mesmo as bem-feitas) - afinal, é um monte de lero-lero que não ajuda em nada a segurança “na prática”. Usuários ? Os lusers só atrapalham a vida de quem precisa cuidar da segurança da rede. Quando seus projetos tecnicamente perfeitos (e terrivelmente vendidos internamente) são rejeitados pelos usuários, não entende, e se frustra.

Estou exagerando, simplificando um espectro em dois estereótipos ? Provavelmente. Mas o engraçado dos estereótipos é que eles costumam ser  baseados na realidade. Quantas pessoas você não conhece que exibem pelo menos alguns dos traços marcantes destes dois perfis ?

Ambos se caracterizam por acharem que a sua perspectiva é completa. O primeiro pode até ser um gerente competente - mas não para tocar uma área de segurança da informação. O segundo pode até ser uma analista competente - mas não para tocar uma área de segurança da informação.

O perfil dos melhores gestores de segurança da informação que conheço é híbrido: têm uma forte base em tecnologia (mesmo que não tenham mais nenhuma atuação técnica), ao mesmo tempo em que conseguem compreender como funciona o negócio, seus processos, e o papel real da segurança da informação na corporação.

Segurança da informação é uma disciplina que é maior que tecnologia, mas a tecnologia nela influi de maneira tão impactante e nevrálgica que o seu bom entendimento acrescenta muito ao profissional que será responsável pelo security office na empresa.

A questão também não se rende à radicalização: existem muitos bons security officers que não têm formação em tecnologia, e o traço comum que enxergo a todos é que souberam reconhecer a importância do assunto, montando e regularmente escutando uma boa equipe de analistas técnicos, agregando a isso todo seu conhecimento próprio de processos, risco e negócios.

Pessoalmente, acredito que é mais fácil alguém com forte base em tecnologia expandir os horizontes para ter um maior entendimento do negócio, suas prioridades e seus processos, do que o contrário acontecer. Exige principalmente ir além de repetir o mantra verdadeiro, porém desgastado pelo uso indevido e em excesso, de que “segurança é um processo”, e desenvolver algumas novas habilidades.

Que habilidades? Em um post futuro, vou tentar falar um pouco mais do que eu pessoalmente acho que são as principais que são necessárias.

Não era um conjunto de slides para acompanhar um relatório. Nao era um PPT usado na apresentação ao vivo de um relatório. O PPT era o relatório, feito para ser lido como um documento independente - inclusive enviado por email.

Esta prática, de condensar todo e qualquer tipo de informação, em bullet-points de PPT, está cada vez mais comum. Porque eu estou levantando esta bola? Não sou um cara chato ou dogmático, mas acredito que é uma prática ineficiente e, enquanto cultura, nociva.

O problema de apresentar informação que precisa ser coesa como um relatório no formato de bullet-points é que se perde a maior parte do contexto da informação, que pode ser provida na forma de um texto fielmente, mas dificilmente através de bullets em slides. A utilização de bullets para passar conceitos importantes é pobre, pois os bullets (por definição) são curtos e focados em verbos e keywords… que podem significar coisas diferentes para pessoas diferentes, e não passam nada das premissas por trás daquele raciocínio.

Por exemplo, um dos bullets que tinha no “relatório”, na seção que tratava do planejamento de um projeto, era: “Desenho solução macro”. Hein?! O que significa macro pra você ? Será que é o mesmo que significa pra mim ? Eu só consegui entender boa parte do PPT em questão porque eu tinha obtido o contexto necessário por outros meios, mas se eu não tivesse isso, nunca teria conseguido só com o documento em mãos. Isto é algo que é totalmente aceitável quando um PPT é material que acompanha uma apresentação, mas não quando ele se denomina um relatório.

A informação em bullets é a ponta do iceberg, os 10% visíveis, enquanto todo o contexto necessário e as premissas presentes naquele raciocínio ficam invisíveis embaixo d’água. E os navios naufragam exatamente no que passa desapercebido, invisível. O (excelente) blog Presentation Zen tem alguns exemplos high-profile onde este tipo de coisa estourou: no planejamento da guerra do Iraque (em que os principais briefings eram feitos em Powerpoint):

“That reliance on slides rather than formal written orders seemed to some military professionals to capture the essence of Rumsfeld’s amateurish approach to war planning.”

— Thomas Ricks, author of Fiasco

… e nos problemas de comunicação técnica que ajudaram na queda do ônibus espacial Columbia em 2003:

“The Board views the endemic use of PowerPoint briefing slides instead of technical papers as an illustration of the problematic technical communication at NASA.”

— Columbia Accident Investigation Board

A análise do Edward Tufte sobre a produção de conteúdo em apresentações PPT na NASA é muito interessante, e vale a leitura para encontrar alguns exemplos emblemáticos deste tipo de problema.

Não é que a apresentação em si tenha causado diretamente estas falhas, mas a cultura de passar informação dessa forma, e a passividade em aceitar e achar normal a informação nessa forma, são quem contribui para buracos no entendimento.

Obviamente que a crítica não é ao software Powerpoint, já que a apresentação pode ser feita em qualquer outro. Conjuntos de slides têm seu lugar como ferramentas de auxílio a (adivinhem?) apresentações ao vivo, em que o apresentador pode passar o contexto e as premissas verbalmente, não como substitutos de textos completos como relatórios. O fluxo de idéias, a coesão de um texto escrito simplesmente não têm paralelo em uma estrutura de bullets.

A rapidez e a constância com que precisamos digerir novas informações não são um motivo para transformar tudo em bullets e slides, e sim para encontrarmos meios mais eficientes e pragmáticos de passar as informações que precisamos — sem precisar afogar 90% do conteúdo embaixo d’água.

Se esse é o critério de “unsafe” então o IE passou o ano inteiro “unsafe”. O Firefox também. Assim como o Opera, Safari, ou basicamente qualquer outro browser no mercado. Convenhamos que se para um software ser “unsafe” basta que tenha 0days, então estaremos “unsafe” praticamente o tempo todo, para praticamente qualquer software de tamanho/distribuição razoável.

O pior é que manchetes chamativas como essa vão sendo repetidas em massa em listas, emails, blogs, etc., e viram um fato (errado). Et tu, Schneier?

Tem muita coisa para criticar na segurança do IE. A principal, ao meu ver, é a sua arquitetura, excessivamente integrado ao SO. Pode-se criticar também o tempo/prioridade do release de patches para o IE pela Microsoft, por exemplo. Mas pelo menos que se mire a crítica nos alvos certos, ao invés de ficar dando tiros tangenciais em cima de conceitos furados por princípio.

Independente do veredito, é fascinante notar o impacto de ações visionárias ao longo do tempo. Poucos casos são tão emblemáticos como a transformação de Nova Iorque na atual “capital do mundo”, consequência direta da construção do canal Erie no século 19. Foi uma obra ambiciosa, arriscada e considerada impossível por muitos na época, mas que deu à cidade uma dianteira no comércio e nas finanças que ela não perdeu até hoje, mais de 180 anos depois.

Nova Iorque sempre foi um importante porto e centro de comércio, mas no início do século 19 o principal porto atlântico dos EUA era a Filadélfia, com Boston disputando o segundo lugar com Nova Iorque. Naquela época as montanhas Allegheny, parte da cadeia dos Apalaches, eram uma grande barreira de acesso ao meio-oeste americano, terreno fértil para plantações, minérios e madeira, valiosos para o comércio interno e para exportação. O transporte de produtos entre os centros comerciais de Buffalo, na região dos lagos, e Nova Iorque era realizado através de carroças, sendo caro e durando semanas.

Projetos para acelerar o transporte e criar uma via fluvial entre a região produtora do meio-oeste e a costa leste existiam desde o século 18, mas costumavam ser arquivados pelo enorme escopo da empreitada. Foi necessária a visão do então governador do estado de Nova Iorque, DeWitt Clinton, para achar o melhor caminho: construir um canal ligando Buffalo, situado na parte leste do lago Erie, até a cidade de Albany, no rio Hudson, que tinha ligação direta e navegável com a cidade de Nova Iorque. As mercadorias seriam escoadas através de balsas, carregadas no oeste, naveagadas até Albany através do canal, depois descendo pelo Hudson até o porto atlântico.

DeWitt era um visionário com capacidade política e de execução ímpar. Foi prefeito da cidade de Nova Iorque por três turnos consecutivos, de 1803 a 1815. Entre outras coisas, implementou o padrão “matriz” de ruas em Manhattan, tão conhecido atualmente. Em 1817 de DeWitt tornou-se governador do estado de Nova Iorque, e capitaneou a construção do canal, batizado de “canal Erie”. Líder de visão, enxergou de longe a capacidade de transformação de longo prazo que uma obra como essa poderia ter, em palavras proféticas da realidade atual de Nova Iorque:

“As an organ of communication between the Hudson, the Mississippi, the St. Lawrence, the Great Lakes of the north and west and their tributary rivers, it will create the greatest inland trade ever witnessed.”
…
“The city will, in the course of time, become the granary of the world, the emporium of commerce, the seat of manufactures, the focus of great moneyed operations and the concentrating point of vast disposable, and accumulating capital.”
…
“And before the revolution of a century, the whole island of Manhattan, covered with inhabitants and replenished with a dense population, will constitute one vast city.”

DeWitt Clinton enfrentou pesada resistência ao projeto do canal Erie, tendo financiamento federal negado pelo então presidente Thomas Jefferson, que acreditava que o projeto era desperdício de dinheiro público. Já como governador, iniciou-a com dinheiro estadual em 1817, financiando-a no mercado financeiro. Sua obstinação contra todas as resistências levou o canal Erie a ser conhecido como “Clinton’s folly” (”o erro de Clinton”) durante sua construção.

Não era à toa que o projeto era desacreditado. Era de uma escala e logística absurdas para os padrões da época. O canal percorreria uma distância de 580 kilômetros, o equivalente à distância entre São Paulo e Belo Horizonte. Até então, o maior canal construído no país era 36 vezes menor, com apenas 16 kilômetros. Incrivelmente, quando o planejamento foi iniciado, não havia sequer uma escola de engenharia no país, tampouco um engenheiro civil formado! O engenheiro-chefe da obra, Benjamin Wright, era um advogado auto-didata que aprendeu na prática tudo que precisava. Wright é reconhecido como o pai da engenharia civil americana, pela quantidade de novatos que tutorou ao longo da obra. Com exceção de alguns pontos onde foi necessário o uso da pólvora para retirar pedra, todos os 580 kilômetros do canal de 13m de largura por 1m de profundidade foi fruto de, literalmente, manpower e horsepower, na sua maioria de imigrantes irlandeses e alemães.

O canal foi concluído em 1825, dentro do orçamento e 3 anos antes do prazo previsto, e foi um enorme sucesso. O tempo para transportar bens de Buffalo para Nova Iorque caiu de 24 dias para 8 dias, enquanto o custo por tonelada caiu de $100 para meros $10. O investimento retornou em pouco tempo, com o fluxo de comércio crescendo incrivelmente: em 1829 foram transportados 3640 cargas de trigo pelo canal; Em 1837 este número chegou em 500.000 cargas, e quatro anos depois, em 1841, alcançou 1 milhão. Em apenas 15 anos, Nova Iorque tornou-se o porto e centro de comércio mais movimentado do país, operando mais cargas que a soma de Boston, Baltimore e Nova Orleans. A população da cidade cresceu de 123 mil em 1820 para quase 700 mil apenas 30 anos depois, em 1850.

A artéria de comércio que o canal representou catapultaram a cidade para uma era de crescimento e concentração de poderio e riqueza nunca vistos, colocando-a à frente de cidades como Boston e Filadélfia. O canal também desenvolveu culturalmente o estado, com a influência progressiva dos milhares de imigrantes que fixaram residência no estado como resultado das obras do canal. Nova Iorque passou a carregar pela primeira vez a alcunha de “Empire State”.

A partir de 1860, com o crescimento das ferrovias, o canal foi gradualmente perdendo força no transporte de bens. Mas o seu impacto já estava sedimentado: Nova Iorque estava caracterizada como centro comercial e financeiro, e todas as grandes linhas de ferrovia atendiam-na, como ponto focal.

O canal Erie, “o erro de Clinton”, contra todas os argumentos, probabilidades e incertezas, foi o fator mais importante em tornar a cidade de Nova Iorque o centro de comércio do país. Na sequência inevitável da riqueza do comércio, amadureceu sua vocação financeira, tornando-se o pólo das finanças do país e, talvez inevitavelmente, do mundo, tal qual encontramos-na hoje. A vitalidade, riqueza e cultura da Nova Iorque de 2006 podem ser diretamente traçadas às atitudes e visão do conjunto de pessoas lideradas por DeWitt Clinton.

Os líderes moldam a história, ou a história cria os líderes ?

Van Gogh não tem igual.

Então estou aqui - começando 2007 com a tentativa de fazer um blog, depois de muita resistência, preguiça e procrastinação. Não por resolução de ano novo, já que ainda não consegui sequer me livrar das pendências do anterior, mas sim porque é a época do ano em que mais tenho tempo livre. Ou é agora ou nunca. :)

Os temas aqui serão variados, mas o foco será principalmente em segurança da informação, um pouco de tecnologia, e de repente alguns comentários de livros interessantes, cultura, etc… Nunca fiz antes e não quero deixar nada muito rígido, vamos ver no que isso aqui se transforma, se fica interessante e dá frutos, ou se morre por inanição: falta de tempo ou inspiração para atualizá-lo.

Então é isso! Sejam benvindos, enviem críticas, sugestões, espalhem a URL para quem quiser & wish me luck! :)