Daqueles posts de colocar na parede

Este post do Anton Aylward está sensacional. Mesmo que, de fato, o que ele esteja dizendo seja assustadoramente simples. Quase sempre as iniciativas ninja de análise de risco acabam fazendo com que questões muito mais simples sejam deixadas de lado (ou para o eterno e sempre longe "depois"), mesmo que, ironicamente, o resultado esperado da análise de risco vá apontar que essas questões devem ser as primeiras a serem tratadas.

Algumas passagens são muito interessantes. Como "So it gets to be, if you’ll pardon the analogy, like worrying over the diseases of civilization like Alzheimer’s, Osteoarthritis/Osteoporosis, ALS, Macular degeneration, diseases due to over-rich diets, Senescence in general when you don’t have a adequate diet or clean water to drink."

Ou, o encerramento, simples e perfeito: "Lets worry about the baseline before we try to address the esoteric." Isso me lembra um caso interessante que vivi. Cheguei em um lugar com grandes expectativas de criação de políticas e processos de gestão de risco. A primeira coisa que fiz? Fazer os administradores criarem contas pessoais e pararem de usar o "root", habilitar logs, instalar patches críticos em servidores e colocar uma senha nos tais de "sa".

Falar de gestão de risco naquele momento era o equivalente em falar em boa alimentação para alguém que estava morrendo de hemorragia por conta de um corte no braço.

E só para não esquecer, era engraçado estar lidando com essas "barbaridades" e ver que o resultado das auditorias era que "usuários deviam trocar as senhas a cada 30 dias e não 90" :-)