Este artigo toca em um importante aspecto da segurança da informação: a questão da sensação de segurança. Neste contexto, o “Teatro da Segurança” – visto como uma expressão simbólica e figurativa – é representado por aquelas medidas tomadas para fazer com que as pessoas sintam-se mais seguras. Ocorre que nem sempre a sensação de segurança está alinhada com a realidade da segurança e este desalinhamento pode causar problemas e até mesmo abalar a confiança das pessoas nos serviços e, consequentemente, nas empresas. Ademais, podem existir situações em que as empresas preocupam-se mais com a sensação de segurança do que com a realidade dela, investindo, assim, mais no “Teatro da Segurança” do que na segurança propriamente dita.
Ao visitar, na última semana, alguns amigos e seu bebê recém-nascido no hospital, notei um detalhe interessante acerca da segurança. Para prevenir o rapto infantil, todos os bebês tinham uma etiqueta de RFID presa nos seus tornozelos por uma pulseira. Havia sensores nas portas da enfermaria da maternidade e, se um bebê passasse pelos sensores, um alarme dispararia.
O rapto infantil é raro, mas ainda é um risco. Nos últimos 22 anos ocorreram cerca de 233 raptos nos Estados Unidos. Cerca de 4 milhões de bebês nascem a cada ano, o que significa que um bebê tem uma chance em 375.000 de ser raptado. Compare isso com a taxa de mortalidade infantil nos EUA – em 1 em 145 – e começa a ficar claro onde os reais riscos estão. E 1/375.000 não é um risco atual. As taxas de rapto infantil despencaram nos últimos anos, principalmente devido aos programas de educação nos hospitais.
Então por que os hospitais preocupam-se em utilizar as pulseiras de RFID? Eu creio que eles querem, principalmente, tranquilizar as mães. Em muitas situações, durante a estadia de meus amigos no hospital, os médicos tinham que levar o bebê para fazerem um ou outro exame. Milhões de anos de evolução criaram um forte vínculo entre os pais e seu novo bebê; as pulseiras de RFID são uma solução de baixo custo para garantir que os pais fiquem mais relaxados enquanto seus bebês estão fora de sua vistas.
A segurança é tanto uma realidade quanto uma sensação[1]. A realidade da segurança é matemática, baseada na probabilidade de diferentes tipos de riscos e a eficácia das diferentes contramedidas. Conhecemos as taxas de rapto infantil e sabemos o quanto as pulseiras reduzem essas taxas. Também sabemos o custo das pulseiras e podemos, assim, calcular se elas são uma medida de segurança com um custo benefício adequado ou não. Mas a segurança também é uma sensação baseada nas reações psicológicas de cada indivíduo frente aos riscos tanto quanto às contramedidas; e as duas coisas são diferentes: você pode estar seguro mesmo que você não se sinta seguro e você pode sentir-se seguro mesmo que você não esteja realmente seguro. As pulseiras de RFID são o que eu tenho chamado de “teatro da segurança”[2], ou seja, a segurança projetada, em primeiro lugar, para fazer com que você sinta-se mais seguro. Eu venho criticando regularmente o “teatro de segurança” como algo inútil, embora isso não ocorra sempre e em todos os casos.
Ele é somente inútil se você considerar exclusivamente a realidade da segurança. Há momentos em que as pessoas sentem-se menos seguras do que elas realmente estão. Nestes casos – como no caso das mães e da ameaça do rapto de bebês – uma contramedida paliativa que, em primeiro lugar, aumenta a sensação de segurança é exatamente o que o médico solicitou.
Embalagens invioláveis para remédios vendidos sem receita[3] começaram a aparecer na década de 80 em resposta a grande divulgação de alguns casos de envenenamento. Como uma contramedida, ela faz parte do “teatro da segurança”. É fácil envenenar muitos alimentos e medicamentos diretamente através do selo do remédio – com uma seringa por exemplo – ou abrindo e trocando o selo de uma forma que um consumidor desavisado não possa detectar. Mas na década de 80 houve um medo generalizado de envenenamento aleatório em remédios, e as embalagens invioláveis trouxeram para as pessoas uma percepção de que o risco estava mais de acordo com o risco real, ou seja, risco mínimo.
Grande parte da segurança pós 11 de Setembro também pode ser assim explicada. Já falei muitas vezes sobre o caso das tropas da Guarda Nacional nos aeroportos, logo após os ataques terroristas, e o fato de que suas armas não possuíam balas. Como uma contramedida de segurança, pode ter feito pouco sentido para eles estarem lá. Eles não tinham um treinamento necessário para melhorar a segurança nesses pontos ou mesmo para serem mais um par de olhos úteis. Mas para reassegurar o público agitado de que era seguro voar, provavelmente esta foi a coisa certa a se fazer.
O teatro da segurança também aborda a questão do risco indireto de ações judiciais. As ações judiciais são, fundamentalmente, decididas por um júri[4] ou são feitos acordos diante da ameaça de tal julgamento, em função dos júris decidirem os casos baseados tanto em seus sentimentos quanto em fatos. Não é suficiente para o hospital apontar as taxas de rapto infantil e, diante disto, reivindicar que o uso das pulseiras de RFID não valem a pena[5]; de outro lado, a imagem de uma mãe chorando pode ser colocada como um argumento emocional. Nestes casos, o “teatro da segurança” fornece uma real segurança contra a ameaça legal em questão.
O teatro da segurança possui um custo, assim como a segurança real. Ele custa dinheiro, tempo, concentração, liberdades e assim por diante. Na maior parte das vezes “o teatro da segurança” é uma má escolha[6], uma vez que seus custos estão longe de compensar os benefícios. Há casos, no entanto, em que faz sentido um pouco de “teatro da segurança”.
Nós fazemos escolhas inteligentes de segurança – e por isso eu refiro-me às escolhas que priorizam a segurança genuína – quando a nossa sensação de segurança se aproxima da realidade. Quando os dois [sensação e a realidade da segurança] estão desalinhados, passamos a ter uma compreensão incorreta da segurança. O “teatro da segurança” não é um substituto da realidade da segurança. Aquele faz com que nos sintamos mais seguros quando entregamos nossos bebês para médicos e enfermeiras, quando compramos remédios e quando voamos em aviões – aproximando-nos de quão seguros deveríamos nos sentir se conhecêssemos todos os fatos e pudéssemos realizar os cálculos corretos.
É claro que se houver muito “teatro da segurança” e nossa sensação de segurança tornar-se maior do que a realidade da segurança, isto também é algo ruim. E há outros – políticos, empresas e assim por diante – que podem usar o “teatro da segurança” para fazer com que nos sintamos mais seguros sem que façam o duro trabalho de realmente deixar-nos seguros. Essa é a forma com que o “teatro da segurança” é habitualmente utilizado e é por isso que eu o tenho criticado frequentemente. Mas eliminar completamente o “teatro da segurança” é ignorar a questão da sensação de segurança; e enquanto as pessoas estiverem envolvidas com dilemas de segurança, isso nunca irá acontecer.
Notas de tradução
Este artigo foi originalmente publicado no ano de 2007 (link original) e sua tradução foi autorizada pelo autor.
1. A palavra feeling também pode ser traduzida, neste contexto, como sentimento. Preferimos a opção sensação que é mais utilizada no contexto de segurança da informação
2. O termo “teatro da segurança” deve ser entendido em oposição à “realidade da segurança”. Como o próprio texto explica, o “teatro da segurança” é composto de medidas ou “encenações” a fim de fazer com que as pessoas sintam-se seguras; portanto, o teatro da segurança tem uma relação maior com a sensação de segurança. A realidade da segurança, em oposição, é um dado objetivo baseado na realidade concreta e pode ou não estar alinhado à sensação de segurança. Em muitas situações, a sensação de segurança é muito menor do que a realidade da segurança. O fato de um tipo de notícia aparecer com certa frequência nos noticiários (por exemplo a violência urbana) não representa, necessariamente, a frequência com que este fato ocorre, principalmente quando há um tipo de jornalismo que se nutre deste tipo de notícia. O exemplo é retirado de HUFF, Darrell. How to lie with statistics. New York: W.W Norton & Company, 1954, p. 7-8. No original “It assumed that newspaper space given to crime reporting is a measure of crime rate.”
3. O termo original é “over-the-counter drugs” (OTC drugs) e não possui uma expressão no português que o defina. Esta expressão abrange aqueles medicamentos que podem ser vendidos diretamente às pessoas sem necessidade de uma receita médica: são drogas vendidas e consumidas em massa pelas pessoas.
4. Os sistemas jurídicos brasileiro e americano são bastante diferentes. O sistema jurídico brasileiro permite o julgamento de um processo pelo júri apenas em casos de crimes dolosos contra a vida. Ao contrário, o sistema jurídico americano permite, de acordo com a sua Constituição Federal, a instituição de um jury. Via de regra este jury, também chamado de petty jury, é composto por 12 leigos (laymen) e possui competência para julgar questões de fato enquanto que as questões de direito são julgadas pelo juiz. Sobre o assunto ver SOARES, Guido Fernando Silva. Common Law: Introdução ao Direito dos EUA. 2ª ed. São Paulo: Revista dos Tribunais, 2000. p. 104-105.
5. A ideia do autor aqui é afirmar que diante de uma análise de custo-benefício e da baixa frequência de ocorrência deste risco – o rapto infantil – o custo de implantação das pulseiras de RFID seria injustificado.
6. A tradução da expressão “trade-off” para “escolha” não é suficientemente adequada, mas é realizada em função de inexistir uma palavra em português que a defina. Em algumas situações ela também pode ser traduzida como “dilema”. De acordo com a Wikipedia, um trade-off é “uma expressão que define uma situação em que há conflito de escolha. Ele se caracteriza em uma ação econômica [grifo nosso] que visa à resolução de problema mas acarreta outro, obrigando uma escolha. Ocorre quando se abre mão de algum bem ou serviço distinto para se obter outro bem ou serviço distinto.” Um “security trade-off” representa, portanto, uma situação em que se realiza a escolha por determinada medida ou mecanismo de segurança da informação mas que, em razão desta escolha, ocorre o aparecimento de outro problema. Há que se fazer, nestes casos, uma análise de custo benefício para apurar se o problema proveniente do “trade-off” justifica a escolha da solução inicial.