Mesmo com a sofisticação dos criminosos, são as falhas em transparência e colaboração que fazem a equipe de resposta perder as oportunidades de aproveitar os erros dos atacantes

Com a terceira temporada prestes a sair, o seriado espanhol La Casa de Papel já rendeu livros de gestão de negócios e diversos artigos que enfatizam as “melhores práticas” conduzidas pelo líder do grupo. Focados na história do assalto, os autores destacam como o “professor” implementou os conceitos de diversidade, gestão de talentos, práticas de treinamento e técnicas de marketing, como a definição de “personas” a serem manipuladas com uma comunicação direcionada. Durante a trama, impressiona a capacidade de o líder antecipar os problemas e chega a passar um episódio inteiro provisionando um risco de 1%. O plano, contudo, tem seus pontos de falha e em vários momentos a história vira um jogo de quem erra menos. Nesse ponto a subjetividade pesou mais dos que as habilidades técnicas e até mesmo a inteligência das pessoas de cada lado.

O início da história é praticamente uma paródia da visão formal e burocrática da segurança, assim como se explora a previsibilidade dos esquemas de resposta. No entanto, a equipe da polícia contaria com técnicos que se mostraram capazes de “pensar fora da caixa” e chegam perto de resolver o caso em vários momentos. As qualidades técnicas, intelectuais e morais das pessoas dos dois lados não são muito diferentes e é a forma com que são aproveitadas ou desperdiçadas que define tudo.

Disciplina, colaboração e resiliência pela confiança nos protocolos

No treinamento de cinco meses para o ataque, além de planejamento e ensaio foi dedicada boa parte do tempo à explicação da razão de ser de cada diretriz. A confiança nos protocolos gerou um “enforcement” mesmo nos piores momentos para cada personagem.

Mesmo que o “professor” tenha estabelecido certa hierarquia no grupo, a igualdade em relação aos méritos e as recompensas é o grande fator de coesão e colaboração. Nesse item, o grupo de resposta chega a ser pateticamente atrapalhado, o que, infelizmente, não parece inverossímil para quem já presenciou crises em empresas imaturas e com relações complicadas.

No caso específico de violações de cibersegurança, a omissão por questões de ego, temores de punição ou pela máxima do Homer Simpson (“a culpa é minha e eu boto em quem eu quiser”) dá um recurso precioso ao atacante: tempo. Seja por meio de campanhas de conscientização, ou se necessário mecanismos anônimos de notificações, o que se deve evitar é que alguém fique “na moita” e omita informações importantes.

No seriado, reações voluntariosas, disputas de poder e outros procedimentos irracionais na equipe de resposta também fazem evaporar evidências forenses que acabariam com o crime quase perfeito. Do outro lado, todos tinham uma noção clara de seu papel na cadeia de valor, assim como dos benefícios de trabalhar objetiva e disciplinadamente.

A terceira temporada parece ser mais uma série de ação, com várias locações externas, e procuramos aqui não estragar a maratona de quem quiser ver a história do assalto. O interessante é destacar alguns erros que de tão comuns chegam a virar clichê. Alguns podem até se constranger ao perceber alguma familiaridade com a situação e é aí que se pode ter algum aprendizado.