O que uma decisão tomada em 1928 pode nos ensinar sobre estratégia aplicada à proteção de dados?
O teatro de guerra é feito de possibilidades, escolhas, decisões e ações.
Logo, nos oferece muitos ensinamentos sobre o que podemos, e o que não podemos fazer. É uma fonte de ensinamento rica e com aplicabilidade assegurada nas mais diversas matérias, inclusive no meio corporativo.
A Frente Ocidental, logo no início da campanha, produz um sem fim de ensinamentos por se tratar de um período rico em decisões e muita ação! Em apenas poucos meses produziu uma verdadeira revira volta na maneira como os estrategistas da época tomavam suas decisões frente a defesa das nações e também no campo tático – em plena operação -.
Para entendermos melhor é preciso voltar ao fim da Primeira Guerra Mundial (1914-1918) e acompanhar o embrião da estratégia de defesa francesa aplicada à Segunda Grande Guerra.
Quando a França determinada a não mais vivenciar a guerra em seu próprio território resolve eliminar a vulnerabilidade de suas fronteiras, tem início uma série de ações que visavam o fortalecimento da borda oriental. Principalmente com a vizinha Alemanha. Logo após o armistício, em 1918 algumas melhorias são promovidas nas fortificações existentes e em 1920 novas instalações começam a ser erguidas na fronteira com a Alemanha.
Contudo, em 1927 toma corpo a ideia de um sistema físico de defesa, conectado e coordenado ao longo de toda fronteira leste francesa. Depois de dez anos de debate, dá-se início ao projeto que construiria o “muro” entre a França e as nações vizinhas, visando principalmente a Alemanha em virtude de fatos recentes e os prazos estipulados no tratado de Versalhes. O sistema de defesa entraria para a história como Linha Maginot.
A estratégia apoiada no intento de construir uma linha de defesa desde os Alpes, junto a fronteira com a Suíça, sem deixar de fora à Córsega, até o Canal da Mancha. A linha era repleta de casamatas e aplicava o que havia de mais moderno em técnicas para edificação de fortalezas e emprego de material bélico. As fortificações, ao longo da linha, eram providas de rede de energia, comunicação por cabo, geração própria (contingência de energia) e tratamento do ar (algumas instalações adentravam cerca de 70 metros abaixo do nível do solo). Uma curiosidade é a existência de telefones sem fio, e em particular o tratamento da atmosfera interna diante de um possível ataque por gás (embora as portas pudessem ser vedadas, a instalação contava com orifícios para o uso das peças de artilharia não sendo possível vedá-las hermeticamente), cuja solução gerava pressão positiva na atmosfera interna de maneira que o ar externo era repelido e não ingressava no interior do bunker. Além disso, cerca de cem quilômetros de galerias subterrâneas foram construídos e uma espécie de metrô rudimentar realizava o transporte de armas, alimentos e tropas. São itens corriqueiros atualmente, mas um verdadeiro requinte tecnológico para aquele tempo. A inovação aplicada demostra a pujança do projeto. No que tange ao aparato bélico, as fortalezas eram equipadas com canhões (entre 75mm e 135mm) mecanizados e giratórios com o alcance de até oito quilômetros. Além de muitos ninhos de metralhadora.
Fonte: weaponsandwarfare
Fonte: Tripadvisor
A façanha, foi iniciada em 1930 e o projeto de construção ocorreu sob sigilo máximo, excluindo a participação de empresas estrangeiras. Contou com quarenta mil trabalhadores para construir cerca de 280 milhas da Linha (940 milhas planejada inicialmente). Outra curiosidade: houve verificação severa do background dos trabalhadores (screening). Não havia GDPR naquela época! No término, por volta de 1936, havia devorado cerca de cinco bilhões de francos franceses.
Não podia ser diferente! Os franceses se orgulhavam do pioneirismo da façanha, não existindo no mundo, à época, nenhuma instalação militar que pudesse suplantar o conjunto em inovação e poder bélico. Imediatamente a nação se viu tomada por uma espécie de “arroubo de grandeza” coletivo e a sensação de que as forças germânicas não mais adentrariam no território francês.
Nesse ponto gostaria de destacar o seguinte:
1. Soluções matadoras! Adquira e fique tranquilo!
Na verdade, a Linha não era vista como intransponível por seus idealizadores, mas como um conjunto suficientemente eficaz para deter o inimigo e permitir o deslocamento das tropas para a área agredida. Os relatos reportam que as fortificações poderiam suportar um ataque por até vinte dias.
Repare que os estrategistas franceses tinham suas convicções firmadas na guerra estática, onde as fortificações poderiam suportar uma ofensiva para em seguida lançar o contra-ataque. Na verdade, não só os estrategistas franceses, mas também britânicos e belgas compartilhavam da mesma abordagem.
Destacamos aqui:
2. Os pilares comprovados e consagrados devem sempre ser aplicados!
Realizar um projeto dessa envergadura não foi nada fácil. E com certeza deve ter sido repleto de política, negociação, interesses pessoais, orçamento escasso e por aí vai. Todos esses ingredientes geraram mudanças e adaptação do que foi inicialmente planejado, mudando a estratégia concebida inicialmente e exigindo uma boa dose de criatividade. Não diferentemente encontramos esses elementos nas organizações, de diversos portes e setores, em nossos dias. Isso exige diuturnamente o repensar da estratégia. É normal! Prepare-se!
Além disso, a concepção da Linha evoluiu por meio de uma intrincada avaliação de terreno, ataque, recursos bélicos, considerações táticas e outras variáveis. O produto dessa avaliação criou áreas extremamente fortificadas e outras menos. Nessa estratégia o acidente geográfico da região atuaria como proteção natural, impedindo o ingresso de tanques e tropas (por exemplo, o terreno pantanoso dos Flandres). O planejado empregava mais recursos bélicos nos pontos onde havia gap no aspecto do terreno, e artilharia muito pesada em pontos de maior exposição/vulnerabilidade.
Além dos aspectos abordados anteriormente, o político também teve grande influência. A França entendeu que deveria considerar a Bélgica na estratégia de defesa e que enfrentar o inimigo no território belga, antes que o mesmo chegasse até a Linha (de 6 km até 25 Km da fronteira), permitiria o melhor desempenho tático. Além disso, agregaria a participação desses países no campo de batalha, somando os soldados daquele país ao contingente.
Perceba que fortificar a fronteira com a Alemanha “empurraria” o invasor para o território belga, dessa maneira, além do envolvimento daquele país, como citado anteriormente, traria ao conflito o exército Britânico, conforme os parâmetros firmados nos acordos de proteção desses países (França, Inglaterra e Bélgica).
Aprenda que:
3. Nunca duvide das certezas!
Em 10 de maio de 1940 ocorreu uma operação fantástica que entrou para os anais da história, e até hoje é estudada pelas forças especiais ao redor do mundo: planadores foram lançados por aviões da Luftwaffe a doze quilômetros de distância da fortaleza belga Eben-Emael, um importante ponto de defesa junto as pontes do Canal Alberto. Esses planadores estavam recheados de paraquedistas (Fallschirmjäger) que de assalto pousaram exatamente no alvo – a fortaleza -. Lá, cerca de 60 homens dominaram dois mil soldados belgas e deram início ao que seria a batalha da França. Cabe observar que Eben-Emael era considerada inexpugnável pelos militares estrategistas franco-belgas da época. Em poucos dias Holanda, Bélgica e Luxemburgo (um único dia) foram dominados completamente, permitindo que a Alemanha se dedicasse a conquista da França.
Adicione aos ensinamentos anteriores:
4. Prepare-se tão somente para aquilo que é conhecido!
Três grupos militares foram empregados pela Alemanha na ofensiva à França. Um desses grupos irrompeu pelas florestas Ardenas, próximo a Sedan, ponto onde a construção houvera sido interrompida. Embora não houvesse uma clara expectativa de um ataque naquele ponto, tropas aliadas estavam mobilizadas por lá. Contudo, as forças britânicas e francesas experimentaram um novo conceito de guerra, a Blitzkrieg, ou guerra relâmpago. Forças mecanizadas, infantaria e cobertura aérea combinadas e empregadas para produzir um ataque fulminante. A força alemã era composta por 10 divisões de blindados e 117 divisões de infantaria além dos recursos da Luftwaffe.
A partir desse ponto observa-se o início do que será mais um episódio repleto de ensinamentos estratégicos da WW2: a operação Dínamo. Uma das maiores retiradas estratégicas da história militar, quando cerca de 340.000 homens tiveram que ser retirados em pouquíssimos dias, sob intenso ataque aéreo. Nesse episódio, os aliados deixaram para trás toneladas de equipamento bélico e perderam muitos navios e aviões. Outro aspecto interessante e que as divisões Panzer poderiam ter dizimado o exército aliado, mas não o fizeram. Sobre esse fato recaem algumas especulações. É um tema para outro bate-papo.
Nas Ardenas, as forças alemãs contornaram a Linha Maginot e, após dominar o território, empurrou as tropas francesas e britânicas para o litoral, Dunquerque.
Fonte: Reddit
A partir desse movimento, a comunicação com a Linha Maginot foi interrompida, isolando as tropas que lá estavam e também aqueles em solo belga. Alguns estudiosos comparam a atualização do exército alemão, frente as técnicas de batalha empregadas nesse movimento, como fator preponderante para a vitória. Esses estudiosos mencionam o despreparo das práticas exercidas pelas forças inglesas e francesas diante da guerra que se apresentava como moderna. Já vimos que a mentalidade militar reinante, na ocasião, era baseada na edificação de pontos de defesa e conflitos estáticos.
5. Já sabemos o suficiente e estamos preparados! Afinal temos a Linha Maginot!
Finalmente a Linha Maginot havia sido contornada e mais uma vez as forças germânicas adentravam em solo francês. Em poucos dias a França capitularia (22/06/1940) e logo o mundo assistiria a imagem que ilustra esse artigo: soldados da 30a divisão de infantaria da Wehrmacht marchando na Champs Elysee. A partir daí a França esteve dividida e focos de resistência alastraram ao longo do conflito em diversos pontos do território.
6. Tome as decisões que tiver que tomar. Você sozinho é suficientemente capaz!
As tropas aquarteladas nas fortalezas estavam dispostas a manter a posição frente ao ataque alemão, pelo lado interno da Linha, contudo isso não foi necessário. Com a capitulação assinada pelo governo francês, as fortalezas foram absorvidas pelo esforço de guerra alemão e tornaram-se fábricas de insumos bélicos (Organizações Todt). Ou seja, as fortalezas estavam intactas e agora serviam ao propósito do inimigo. Combates envolvendo as fortalezas, como a Hackenberg (arredores de Lorraine), foram ocorrer somente após a invasão da Normandia. Perceba que a fortaleza era operada por forças alemãs e os americanos procuravam transpô-la nos idos de 1944.
7. Foco! Foco! Foco! na solução!
– Lições que aprendo com a Linha Maginot
Como mencionei no início, o teatro de guerra é feito de possibilidades, escolhas, decisões e ações e nos oferece ensinamentos poderosos sobre o que, e o que não fazer. Com aplicabilidade nas mais diversas matérias. Compartilho com você o ensinamento que obtive a partir desse importante fato. Fato que mudou o cenário geopolítico europeu, logo no início da WW2, produzindo severos desdobramentos. Abaixo, transponho os ensinamentos para o mundo da proteção de dados nas organizações:
1. Soluções matadoras! Adquira e fique tranquilo!
É bastante comum a oferta de soluções matadoras. Bala de prata no jargão da área. As soluções variam, de produtos com features mirabolantes até consultorias intergalácticas que prometem aceleração por meio de conhecimento “classe mundial”. Duvide! Questione! Busque referências e faça benchmarking. Não se contente com o raso! Mergulhe fundo no problema e não na Solução! Só então análise propostas. Se não houver aderência plena a necessidade ora apresentada, entenda os gaps e eleja meios para contorná-los.
2. Os pilares comprovados e consagrados devem sempre ser aplicados
Há muito o mundo deixou de ser estático (na verdade nunca foi!) e exige o pensamento flexível frente as estratégias que devem ser empregadas. O “sempre” é muito limitador para os nossos dias. Pesquise alternativas, pense em possibilidades (inclusive as adversas), esteja antenado com a evolução do mercado, se abasteça de informações, rompa com o status quo e tome a decisão. O mantra é; pense nas possibilidades e não se esqueça que o mundo é VUCA.
3. Nunca duvide das certezas!
Tal como o “sempre” a palavra “certeza” e incerta! Alheio ao péssimo gracejo, sempre duvide das certezas! Estabelecer premissas estratégicas é cada vez mais complexo em nossos dias. Vivemos um cenário organizacional cada vez mais líquido e as certezas produzidas com determinada decisão, solução, serviço, ou qualquer produto esperado frente a uma determinada ação deve ser questionada. Mentalize o resultado esperado. Pense, contemple, exercite sua capacidade sensorial para antever resultados de sucesso ou falha. Mas, não se esqueça que o mundo é VUCA! Considere esse fato no seu exercício.
4. Prepare-se tão somente para aquilo que é conhecido!
Prosseguindo na sugestão anterior, exercite o resultado. Contemple o resultado antes da materialização do mesmo. Pense nas possibilidades desconhecidas:
- E se der errado?
- Se for invadido?
- Se vazar?
- Se quebrar?
- Se solicitar direito ao esquecimento?
- Se tiver pandemia?
- Se não tiver PbD?
Enfim, mentalize o que é bom. Mas, também exercite o contraditório! Somos fatalmente influenciados a pensar no sucesso e deixar de lado o fracasso. Não é uma questão de pessimismo é trabalhar orientado a risco.
5. Já sabemos o suficiente e estamos preparados! Afinal temos a Linha Maginot!
Não pare! Mantenha-se sempre atualizado. Esse aspecto não depende de patrocínio ou promoção da organização que você atua. Trata-se de um compromisso pessoal que sustenta o profissional: manter-se atualizado! Não espere por sua organização. É impressionante a quantidade de informação que temos hoje por meio da Web. Podemos aprender qualquer tecnologia! O idioma mais remoto e menos falado do planeta! Bordado, tricô e crochê! Quer construir um avião experimental, há material na Web. Absolutamente tudo! Participe de fóruns sobre proteção de dados, busque referenciais legítimos e consuma o que estiver disponível. Prepare-se! Não espere o inimigo surpreendê-lo e chegar com técnicas que você ainda não domina! Os melhores testes de penetração que gerenciei foram aqueles onde a criatividade rolou, com base no conhecimento adquirido pelo time por meio da atuação extraprofissional. Não basta ter somente as ferramentas ou recursos, é necessário conhecimento criativo e aplicado.
Em contrapartida é necessário que as organizações não somente adotem cutting-edge technologies em proteção de dados e cibersecurity, mas também contrate/promova profissionais suficientemente treinados para que operem tais tecnologias. A tecnologia por si só não protegerá a organização, é preciso pessoas preparadas.
6. Tome as decisões que tiver que tomar. Você é suficientemente capaz!
As decisões devem ser tomadas em conjunto. Tratando-se de proteção de dados o negócio é “Rei” e é necessário envolvê-los na construção das soluções. Durante muito tempo esse exercício se limitava a entender os entraves que seriam impostos ao objetivo de negócio da organização e em particular das áreas que compunham essas organizações. Hoje, estamos em outro nível e é necessário exercitar além do aspecto já dominado, as questões de PbD, interesses dos titulares e interação com os mesmos e as partes interessadas. A decisão deve ser participativa. Construa decisões envolvendo as áreas que utilizam os dados no cotidiano da organização.
7. Foco! Foco! Foco! na solução!
Foco! Foco! Foco! no problema e não na solução. Quando focamos na solução e esquecemos o problema podemos deixar brechas. E nesse quesito podemos sintetizar um pouco de todos os demais ensinamentos tendo como cerne do pensamento o problema em si, suas consequências, mudanças de cenário, mudança de contexto diante do emprego de uma determinada solução, risco residual e etc. É um exercício amplo, mas tendo como foco o problema e não somente a solução. Perceba que não estou relegando a solução a segundo plano, mas incentivando que a busca por solução ocorra após o foco no problema.
Fazendo um paralelo com as fortalezas, não raro encontramos relatos de invasores “exfiltrando” dados por meio de covert channels que utilizam as soluções de segurança da própria organização. Será que nesse cenário o problema, soluções e consequências foram exercitados a exaustão? Exercite os passos anteriores.
Visite Hackenberg
Recentemente li sobre ataque onde hacker realizaram exfliltration de um volume considerável de dados. O ataque foi disferido contra um player de saúde em Singapura, o SingHealth e a conclusão é que o ataque tinha como objetivo obter dados do premier daquele país.
Em 2011 estive na Interop Las Vegas e o tema APT tomou boa parte da agenda da trilha de segurança. Muitos na ocasião ainda encaravam o fato como algo que acabara de pular de um filme de espionagem. Mas, fato é que desde então os relatos envolvendo ataques direcionados tem crescido de maneira assustadora.
Diante dos fatos é necessário pensar estratégias que rompam com o convencional e esteja customizada para as necessidades e as variações que a organização pode encaram nos seus setores de atuação. Impossível não considerar o cyber threat intel nas ações atuais bem como é insano considerar “perímetro” a ser protegido apenas o que está dentro dos limites físicos da organização.
Acredito que seguir os sete pontos elencados no artigo é o mínimo para iniciar o raciocínio estratégico em proteção de dados. Espero que tenham gostado do tema e que seja útil para trazer outros aspectos além dos abordados na exposição. Se quiser compartilhar, por favor utilize o comentário.
A propósito a fortaleza de Hackenberg está aberta à visitas guiadas (o que deve ser feito com agendamento prévio). Lá é possível compreender a grandiosidade do que foi planejado pelos militares estrategistas da época. Há em determinada parte, externa a fortaleza, alguns danos. São marcas do passado produzidas por artilharia pesada dos americanos durante a batalha de retomada do trecho (controlado pelo exército alemão) durante a recuperação do território francês em 1944. Tire suas próprias conclusões!
Autor: Alexandre Prata, colaborador da Ventura Academy