Quem é melhor?

Quem é mais seguro: Linux ou Windows? Wordpress ou Joomla? Wix ou Hostinger? Oracle ou SQL Server? Azure ou AWS? Fortigate ou PaloAlto? Mcafee ou Kaspersky?

Alguns desses tópicos são polêmicos porque, para alguns, são quase religiosos, enquanto, para outros, criticar algum aspecto técnico é visto como uma ofensa pessoal. A experiência de consultoria em uma empresa de tecnologia que presta serviços para diversos clientes oferece a vantagem de vivenciar diferentes tecnologias em variados cenários. Um dos maiores erros cometidos por profissionais dessa área é julgar como certo ou errado uma ferramenta ou tecnologia específica, onde, na verdade, todas possuem pontos fortes e fracos e a melhoria contínua e uma visão crítica e sistemática do ambiente deveriam ser agnósticas e focadas em processos.

Presenciei há certo tempo um ambiente em que, proporcionalmente, aproximadamente 95% dos servidores era Microsoft Windows, com IIS, SQLServer e Servidores Internos de infraestrutra e backoffice. 5% era servidores Linux, principalmente para DNS externo, aplicações baseados em Apache, MariaDB, MySQL Server Enteprise e Wordpress. A equipe de operação do ambiente não tinha nenhum processo definido de hardenização dos servidores e quase todos estavam com instalações “padrões” e infelizmente a empresa sofreu um incidente de segurança severo em que um dos servidores foi tomado por um agente malicioso. O fato curioso é que o servidor envolvido era um dos poucos servidores Linux que existia no datacenter, mais precisamente, um servidor de Wordpress.

Neste caso em especial foi interessante as discussões internas que se desenvolveu, na busca da causa. Alguns acreditavam que o problema seria solucionado padronizando todas as máquinas com Windows, porque estes não foram atacados e isso seria uma prova que são mais seguros em sua configuração padrão. Outros falaram que o problema foi o Wordpress e sua enorme quantidade de plugins vulneráveis, desenvolvidos pela comunidade. Outros falaram que o problema era a versão ultrapassada do Linux ou mesmo a falta de um orçamento específico para aquisição de um firewall melhor,  Web Application Firewall ou alguma solução de IPS. Alguns, em um complexo de culpa mais crítico levantaram a mão e falaram que são os responsáveis, por terem menos proficiência com Linux

O que compreendo hoje, após uma longa trajetória nas áreas de segurança, infraestrutura de rede e TI em geral, é que, ao abordar a segurança de uma perspectiva mais agnóstica e livre de preconceitos, as ferramentas são apenas meios para atingir um objetivo. Elas surgem e desaparecem em um mercado extremamente dinâmico. Conheço profissionais que dedicaram a vida inteira ao estudo de ferramentas e serviços de datacenters e que resistem à migração desses serviços para a nuvem. Outros acreditam que a nuvem é a solução ideal para todos os cenários. Também vi profissionais relutantes em adotar soluções de Inteligência Artificial, temendo serem substituídos por máquinas, em um déjà-vu da Revolução Industrial.

Diariamente surgem novos caminhos que escolhemos seguir, seja porque nos ajudam a ser mais eficientes e eficazes em nossas metas, seja porque se tornaram desvios obrigatórios. Produtos e empresas são descontinuados ou absorvidos pelo mercado, enquanto outros se tornam inviáveis para os negócios por diversos motivos, ou ainda são implementados devido a definições estratégicas de governança. Em um mercado tão dinâmico, ferramentas e tecnologias podem ser facilitadoras, mas devem ser uma decisão secundária e não vistas como soluções mágicas que resolvem tudo sozinhas. Hoje, a experiência me mostra que o maior foco deve estar nas pessoas e nos processos.

Qual é o melhor antivírus, sistema operacional, banco de dados ou infraestrutura? A resposta está naqueles que são melhor gerenciados, com processos bem definidos, pessoas capacitadas e alinhadas às metas estratégicas do negócio e ao seu apetite por riscos. Um antivírus que pode ser desabilitado pelos usuários ou que não é atualizado há meses, um sistema operacional que não segue um processo de controle de configuração e mudança, um banco de dados sem acompanhamento dos indicadores adequados de desempenho e disponibilidade, ou uma infraestrutura, seja local ou em nuvem, mal dimensionada, todos esses exemplos ilustram como a eficácia depende da gestão, da aderência a boas práticas e à capacidade das pessoas.

Me desculpe, caro leitor, se você esperava uma reposta pragmática escolhendo a tecnologia A ou B. Quase sempre esta escolha é um resultado secundário onde o maior foco deveria ser nas pessoas e sua capacidade de se adaptar, se atualizar e a extrair o máximo  de valor com os recursos disponíveis.

Somos fabricantes do AvantData, um produto considerado estratégico para a defesa nacional, segundo o próprio Ministério da Defesa, e o usamos em vários dos projetos que nos ajudam a entregar valor e segurança para diferentes clientes, também não é uma solução mágica que faz tudo sozinho. Afinal, assim como as tecnologias, pessoas e empresas que não se atualizam, não melhoram seus processos operacionais e de gestão, também se tornam vulneráveis.

Autor: Cláudio Costa