[life without knowledge is death in disguise]

Caramba, como é difícil manter um blog atualizado! Não sei se é porque o período de março para cá foi um dos períodos de trabalho mais intensos dos últimos anos, mas já estou acumulando um hiato de 5 meses no blog… inaceitável. :) Vou tentar retomar o ritmo com uma novidade interessante.

Anunciamos hoje publicamente a fusão das operações da Tempest Technologies e da Open Communications Security, criando uma nova empresa chamada Tempest Security Intelligence. A Tempest passa a contar com cerca de 60 colaboradores, pontos de presença em São Paulo, Recife e Belo Horizonte, e uma carteira de clientes de médio e grande porte de diversos setores, incluindo financeiro, mineração/energia, telecomunicações, seguros e governo.

Esta aproximação começou com a compra, no começo do ano, da totalidade do controle acionário da Open, pelo grupo de investimentos Imbeana Participações. Namoro vai, namoro vem… decidimos juntar as duas empresas, que tem uma grande complementariedade de ofertas e uma equipe técnica de altíssima qualidade. Por trás disso está uma estratégia de consolidação de mercado e o foco em soluções que fujam do commodity em segurança e respondam a desafios reais vividos pelos CSOs. Aliás, essa não é uma daquelas fusões que têm como principal objetivo o corte de custos - pelo contrário, a Tempest está em franco crescimento e estamos mantendo a equipe técnica das duas empresas, e daqui até o final do ano estaremos investindo em novas contratações e desenvolvimento de novos produtos e serviços.

Um princípio da filosofia que estamos adotando é o de “ser a empresa em que os melhores profissionais de segurança querem trabalhar”… depois de atrairmos o Augusto Paes de Barros, já dá pra ver que começamos bem ;)

Com a fusão, eu volto a atuar diretamente na estruturação técnica do negócio, atuando como diretor de tecnologia. A Tempest Security Intelligence passa a ter sua composição acionária formada pela Imbeana Participações (representada por Marcelo Tomaszewski) e os sócios-fundadores da Tempest - Evandro Hora, Marco “Kiko” Carnut e Cristiano Lincoln Mattos.

É isso… vêm várias novidades interessantes por aí, e no mínimo quero conseguir voltar a postar algumas coisas neste blog. :) Maiores informações no site (ainda um pouco incompleto).

Recentemente me enviaram um relatório de um consultor de segurança independente sobre uma avaliação de produtos e serviços de uma empresa de segurança. Uma consultoria cara, de mercado. O que me chamou a atenção é que na realidade o relatório dele não era, bem, um relatório. E sim uma apresentação em Powerpoint, um conjunto de slides com bullet-points.

Não era um conjunto de slides para acompanhar um relatório. Nao era um PPT usado na apresentação ao vivo de um relatório. O PPT era o relatório, feito para ser lido como um documento independente - inclusive enviado por email.

Esta prática, de condensar todo e qualquer tipo de informação, em bullet-points de PPT, está cada vez mais comum. Porque eu estou levantando esta bola? Não sou um cara chato ou dogmático, mas acredito que é uma prática ineficiente e, enquanto cultura, nociva.

O problema de apresentar informação que precisa ser coesa como um relatório no formato de bullet-points é que se perde a maior parte do contexto da informação, que pode ser provida na forma de um texto fielmente, mas dificilmente através de bullets em slides. A utilização de bullets para passar conceitos importantes é pobre, pois os bullets (por definição) são curtos e focados em verbos e keywords… que podem significar coisas diferentes para pessoas diferentes, e não passam nada das premissas por trás daquele raciocínio.

Por exemplo, um dos bullets que tinha no “relatório”, na seção que tratava do planejamento de um projeto, era: “Desenho solução macro”. Hein?! O que significa macro pra você ? Será que é o mesmo que significa pra mim ? Eu só consegui entender boa parte do PPT em questão porque eu tinha obtido o contexto necessário por outros meios, mas se eu não tivesse isso, nunca teria conseguido só com o documento em mãos. Isto é algo que é totalmente aceitável quando um PPT é material que acompanha uma apresentação, mas não quando ele se denomina um relatório.

A informação em bullets é a ponta do iceberg, os 10% visíveis, enquanto todo o contexto necessário e as premissas presentes naquele raciocínio ficam invisíveis embaixo d’água. E os navios naufragam exatamente no que passa desapercebido, invisível. O (excelente) blog Presentation Zen tem alguns exemplos high-profile onde este tipo de coisa estourou: no planejamento da guerra do Iraque (em que os principais briefings eram feitos em Powerpoint):

“That reliance on slides rather than formal written orders seemed to some military professionals to capture the essence of Rumsfeld’s amateurish approach to war planning.”

— Thomas Ricks, author of Fiasco

… e nos problemas de comunicação técnica que ajudaram na queda do ônibus espacial Columbia em 2003:

“The Board views the endemic use of PowerPoint briefing slides instead of technical papers as an illustration of the problematic technical communication at NASA.”

— Columbia Accident Investigation Board

A análise do Edward Tufte sobre a produção de conteúdo em apresentações PPT na NASA é muito interessante, e vale a leitura para encontrar alguns exemplos emblemáticos deste tipo de problema.

Não é que a apresentação em si tenha causado diretamente estas falhas, mas a cultura de passar informação dessa forma, e a passividade em aceitar e achar normal a informação nessa forma, são quem contribui para buracos no entendimento.

Obviamente que a crítica não é ao software Powerpoint, já que a apresentação pode ser feita em qualquer outro. Conjuntos de slides têm seu lugar como ferramentas de auxílio a (adivinhem?) apresentações ao vivo, em que o apresentador pode passar o contexto e as premissas verbalmente, não como substitutos de textos completos como relatórios. O fluxo de idéias, a coesão de um texto escrito simplesmente não têm paralelo em uma estrutura de bullets.

A rapidez e a constância com que precisamos digerir novas informações não são um motivo para transformar tudo em bullets e slides, e sim para encontrarmos meios mais eficientes e pragmáticos de passar as informações que precisamos — sem precisar afogar 90% do conteúdo embaixo d’água.

Este tipo de manchete em notícias, principalmente em um veículo como o Washington Post só faz aumentar a ignorância geral sobre o assunto: “Internet Explorer unsafe for 284 days in 2006″. Unsafe? O argumento principal do autor em relação à manchete é que o IE é “unsafe” porque passou 284 dias em 2006 tendo vulnerabilidades com exploits conhecidos e para as quais ainda não haviam sido lançadas correções.

Se esse é o critério de “unsafe” então o IE passou o ano inteiro “unsafe”. O Firefox também. Assim como o Opera, Safari, ou basicamente qualquer outro browser no mercado. Convenhamos que se para um software ser “unsafe” basta que tenha 0days, então estaremos “unsafe” praticamente o tempo todo, para praticamente qualquer software de tamanho/distribuição razoável.

O pior é que manchetes chamativas como essa vão sendo repetidas em massa em listas, emails, blogs, etc., e viram um fato (errado). Et tu, Schneier?

Tem muita coisa para criticar na segurança do IE. A principal, ao meu ver, é a sua arquitetura, excessivamente integrado ao SO. Pode-se criticar também o tempo/prioridade do release de patches para o IE pela Microsoft, por exemplo. Mas pelo menos que se mire a crítica nos alvos certos, ao invés de ficar dando tiros tangenciais em cima de conceitos furados por princípio.

Me perguntaram sobre a pintura aí em cima. É uma foto que tirei de um quadro de Van Gogh, Wheat Field with Cypresses, que ele pintou em Saint-Rémy. Está exposta no Metropolitan, em NYC.

Van Gogh não tem igual.

Primeiro post!  Eu sempre tive um certo preconceito com blogs… encarava-os como um meio para que seus autores exercessem seus egotrips, mais do que qualquer outra coisa. Esse ano, comecei a investigar e ler mais blogs, e meu “pós-conceito” é de que eu estava redondamente enganado. Claro que tem muito lixo, mas tem muita coisa boa também… e independentemente disso, reconheci que é um excelente meio para divulgar suas idéias e opiniões sobre as coisas.

Então estou aqui - começando 2007 com a tentativa de fazer um blog, depois de muita resistência, preguiça e procrastinação. Não por resolução de ano novo, já que ainda não consegui sequer me livrar das pendências do anterior, mas sim porque é a época do ano em que mais tenho tempo livre. Ou é agora ou nunca. :)

Os temas aqui serão variados, mas o foco será principalmente em segurança da informação, um pouco de tecnologia, e de repente alguns comentários de livros interessantes, cultura, etc… Nunca fiz antes e não quero deixar nada muito rígido, vamos ver no que isso aqui se transforma, se fica interessante e dá frutos, ou se morre por inanição: falta de tempo ou inspiração para atualizá-lo.

Então é isso! Sejam benvindos, enviem críticas, sugestões, espalhem a URL para quem quiser & wish me luck! :)