.
O trabalho de Bruce Schneier resistiu ao teste do tempo e ainda é relevante hoje.
Se você está procurando recomendações de livros de infosec para dar a um colega – ou mesmo para colocar em dia alguma leitura de férias – aqui vai uma sugestão: Dê uma olhada em a obra de Bruce Schneier, um criptógrafo e especialista em privacidade que escreve sobre o assunto há mais de 30 anos e tem seu próprio blog que publica links interessantes para eventos, estratégias e falhas relacionados à segurança que você deve seguir.
Schneier cunhou o termo “teatro de segurança” em 2007e em 2006, iniciou a discussão em torno ameaças de enredo de filmeou ameaças de segurança irrealistas usadas em filmes populares. Em 2015, Schneier recebeu o Lifetime Achievement Award do Electronic Privacy Information Center.
Seu próximo livro é intitulado A mente de um hacker e será lançado em fevereiro de 2023. Schneier diz que “podemos entender a mentalidade de hackers e reconstruir nossos sistemas econômico, político e jurídico para combater aqueles que explorariam nossa sociedade. E podemos aproveitar a inteligência artificial para melhorar os sistemas existentes, prever e defender contra hacks e criar um mundo mais igualitário”. Mas enquanto aguardamos esse volume, vale a pena dar uma olhada em alguns de seus outros trabalhos originais (ele tem vários volumes que coletaram seus posts de blog e outros ensaios também).
Vamos voltar no tempo para Schneier’s além do medo, publicado em 2003. Contém uma série de sugestões surpreendentemente convincentes e relevantes para os dias atuais. No centro do livro de Schneier está uma ferramenta de avaliação de cinco pontos que ele usa para analisar e avaliar qualquer iniciativa de segurança.
- Quais ativos você está tentando proteger?
- Quais são os riscos para esses ativos?
- Quão bem a solução de segurança proposta mitigará esses riscos?
- Que outros problemas essa solução criará?
- Quais são os custos e trade-offs impostos?
Ele diz que as respostas a essas cinco perguntas podem ajudar a proteger os bancos de ladrões, combater o terrorismo internacional e os mais esperados problemas relacionados à segurança de TI. Há muitos outros ótimos conselhos neste livro também. Por exemplo, “Conhecimento, experiência e familiaridade são importantes. Quando ocorre um evento de segurança, é importante que aqueles que devem responder ao ataque saibam o que devem fazer porque já o fizeram repetidamente, não porque o leram em um manual há cinco anos.” Isso destaca a importância do treinamento e dos exercícios de planejamento de penetração e desastres para que qualquer solução de segurança tenha elementos de prevenção, detecção e resposta.
O livro de Schneier de 2015, Dados e Golias(certifique-se de obter a edição atualizada de 2016) nos mostra exatamente o que podemos fazer para reformar os programas de vigilância do governo, sacudir os modelos de negócios baseados em vigilância e proteger nossa privacidade individual. Este livro foi um alerta precoce sobre o uso indevido de dados privados por empresas de mídia social.
2012 Mentirosos e Outliers fala sobre como nosso a sociedade não pode funcionar sem confiança e, ainda assim, deve funcionar mesmo quando as pessoas não são confiáveis. Ele desenvolve uma compreensão de confiança, cooperação e estabilidade social. Ele ressalta que normalmente não verificamos os antecedentes de nosso encanador ou fazemos análises químicas de nossa comida, mas quando se trata de nossos computadores e aplicativos digitais, não temos essa confiança inerente.
Clique aqui para matar todo mundo (2018) foi o livro de Schneier sobre os perigos da IoT e como “tudo está se tornando um computador”, que ele disse em uma palestra no Google sobre sua pesquisa para o livro. Ele trouxe várias lições aprendidas com essa megatendência, incluindo que a maioria dos softwares é mal escrita e insegura, e a Internet nunca foi projetada com a segurança em mente em seus primeiros dias. “Sistemas complexos são difíceis de proteger, projetar e testar. O programa ultrassecreto da NSA de hoje se torna a tese de doutorado de amanhã e no dia seguinte se torna uma ferramenta comum de hackers.”
No Além do medo, Schneier diz que “segredos são difíceis de manter e difíceis de gerar, transferir e destruir com segurança”. Ele aponta o rei que constrói um túnel de fuga secreto de seu castelo. Sempre haverá alguém que sabe da existência do túnel. Se você é um CEO e não um rei, não pode confiar em matar todos que conhecem o segredo para resolver seus problemas de segurança. Pense em como você protege seus segredos corporativos e o que acontece quando o pessoal envolvido nessa proteção deixa sua empresa.
Foi um bom conselho quase 20 anos atrás, mostrando como o trabalho de Schneier resistiu ao teste do tempo e ainda é relevante hoje.
.
