Segurança não é Prioridade

Quando você ouvir alguém dizer "segurança em primeiro lugar", quase sempre é demagogia ou desconhecimento de causa. Uma maneira de perceber isso é através da seguinte historinha, contada na forma de um diálogo entre um mineiro e um engenheiro de segurança:

— "Cê trabalha com segurança, não é?", pergunta o mineiro.
— "Sim", responde o engenheiro. Conhecendo o jeito matreiro dos mineiros em geral (e daquele em particular), ele acrescenta, meio desconfiado: "Mas você já sabia disso."
— "Qual é o teu carro?"
— "Um Gol," responde, hesitante, o engenheiro, cada vez mais desconfiado.
— "E você gosta de segurança?"
— "Como eu disse, trabalho com isso."
— "E por que ao invés do Gol você não comprou um tanque?"
— "Ora," justifica o engenheiro, "porque tanques são difíceis de encontrar, caros, desconfortáveis, feios e ruins de dirigir."
— "Então, pra você, os cinco quesitos mais importantes são: facilidade de obtenção, preço acessível, conforto, beleza e ser bom de dirigir", rebate o mineiro, contando os itens com os dedos. "Segurança está, então, no mínimo, em sexto lugar."

Lógica semelhante pode ser empregada para quase qualquer coisa além de carros.

Tomemos logo um exemplo extremo: a aviação. É uma das poucas disciplinas em que há um esforço realmente sistemático visando à prevenção de acidentes, haja vista que as pessoas morrem se algo der errado. Pois nem mesmo nela se pode afirmar que a "segurança está em primeiro lugar", visto que não é muito difícil pensar em melhorias nos aviões, aeroportos e pessoal que resultariam em melhorias de segurança. A maioria não é levada a cabo em geral por questões de custo e as resistências naturais às mudanças. As poucas que são levadas a cabo, normalmente são feitas ou muito lentamente, de forma a amortizar os custos, ou com custos subsidiados pelos governos, ou em resposta a incidentes específicos.

Em informática, onde é relativamente incomum as pessoas morrerem devido a falhas de software (ainda bem!), os desenvolvedores e operadores de websites e sistemas costumam estar muito mais preocupados com questões como: facilidade de uso e velocidade para o usuário final, custo operacional, suplantar a concorrência lançando novos recursos antes da concorrência. Segurança (seja lá o que isso signifique exatamente) raramente é contemplada com a profundidade e abrangência necessárias. A maioria se contenta que o sistema apenas aparente não ter nenhuma fraqueza escancarada. Se não for escancarada, ela costuma até ser tolerada, mesmo se for grave. Às vezes, as vulnerabilidades só são consertadas quando escancaradas – e olhe lá! Não é difícil achar exemplos onde tudo terminou em pizza e os sistemas continuaram vulneráveis do mesmo jeito.

Longe de mim soar negativo, pessimista, nem tampouco fatalista. A mensagem que quero passar é que, para tratar corretamente a questão da segurança, precisamos nos despojar de alguns mitos, demagogias e ilusões. Isso passa por reconhecer que a questão de segurança está sempre condicionada a meio-termos envolvendo custos, prazos e outras pressões – essas sim, no topo das prioridades.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.