Mário Sérgio Ribeiro (*)

Na semana passada o noticiário de jornais e principais portais do país davam conta de que o Itamaraty vinha sendo alvo de hackers que promoveram ataque contra o sistema de comunicação interna, que serve ao Ministério das Relações Exteriores e às embaixadas brasileiras pelo mundo. Não há dimensão dos atos, mas certo que dados pessoais de diplomatas e telegramas secretos podem ter sido acessados. Como ocorreu a invasão? O velho e conhecido “phishing”, uma técnica de engenharia social tecnológica que utiliza mensagens falsas com anexos e/ou links para o usuário clicar e ter seus dados e senhas capturados; nesse caso, os anexos vinham disfarçados de comunicados oficiais do Itamaraty. Estima-se que pode chegar a 5.000 as contas hackeadas, considerando a invasão de sistemas nas embaixadas. Qual o impacto financeiro e operacional do ocorrido? Algo novo e inusitado? Certo que não!

Maio de 2013, Edward Snowden inicia sua série de vazamento de informações classificadas como sigilosas pelo governo americano. Coloca em uma “sinuca de bico” Barack Obama, revelando detalhes da espionagem que a NSA, a agência de segurança da informação americana, faz em líderes de governo, empresas, etc., exceto cidadãos americanos. Pergunta: como Snowden teve acesso à informações sigilosas tendo apenas um cargo mediano, de analista, em uma agência que supostamente deva ter os melhores controles do mundo?

Outra. O último relatório divulgado pela ACFE em 2014 dá conta de que as organizações perdem 5% de suas receitas em fraudes ocupacionais (praticada por um colaborador com um cargo na empresa), o que projeta a cifra global de U$ 3,7 trilhões. Levam-se em média 18 meses para se detectar uma fraude e quem mais detecta não é ferramenta tecnológica, auditorias, etc., é uma “ferramenta” conduzida por pessoas e atende pelo nome de Denúncia Anônima. Em 42,2% dos casos quem salvou a Pátria foram pessoas denunciando pessoas, o que representa em 1.483 casos relatados o número de 626 denúncias anônimas! No caso da pesquisa da ACFE, só para você ter uma ideia, ferramentas de detecção ficaram com 1,15% dos 1.483 casos relatados, o que dá 17!!! Pouco, né?

Dois fatos e uma pesquisa em que o centro das atenções são Pessoas. No primeiro fato citado, um ato não intencional que provoca um impacto danado. No segundo fato, um ato intencional (vazamento de informação) em um local que se supunha em teoria que tivesse os melhores processos e ferramentas de controle de segurança da informação. E por último, pessoas agindo como uma “ferramenta” de controle, na prevenção de detecção de ilícitos, como fraudes, corrupção, etc.. Ok, mas afinal, aonde eu quero chegar com isso? Qual a relação dos fatos ocorridos e de uma pesquisa de um órgão independente, conceituado e sem nenhum interesse comercial? É isso que vou dissecar nesse artigo.

Primeiro um alerta. Atuo com Segurança da Informação, Combate a Fraudes e outros riscos operacionais há quase 30 anos. Sinto-me um estudante voraz em busca de conhecimento, mesmo com 55 anos. Nesse período venho procurando dizer a todos que convivi e convivo profissionalmente (colaboradores de minhas equipes, clientes potenciais e clientes ativos, alunos e até amigos pessoais) que para mitigar o risco de eventos indesejados com as informações da empresa e de ativos tangíveis, é imperativo focar sempre as atenções em Pessoas. Não há melhor receita! Processos, Segurança física e Controles Tecnológicos são outros pilares, mas não devem ser tratados com  prioridade maior do que as Pessoas. Nunca! É um erro! Agindo dessa forma você inverte a ordem das coisas: coloca o tratamento da consequência em primeiro lugar e a Causa em segundo plano. Isso está errado.

Bem, vamos em frente…

Vamos classificar nosso personagem Pessoas em três categorias distintas. Na primeira delas vamos defini-las como alguém que comete erros e não há intenção de qualquer tipo de ganho com o ato cometido; essa categoria vamos classificá-la como Pessoas sendo um Agente Não Intencional de Ameaça. Pessoas como agente  e a ameaça como algo danoso que pode ocorrer por conta do erro cometido. No caso 1, o erro foi clicar no anexo e a ameaça é patrocinada pelo o que o phishing deseja, a princípio, capturar dados e perpetrar ilícitos a partir daí.

No caso do Snowden, temos a segunda categoria que é a do Agente de Ameaça Intencional. Snowden tinha a intenção de causar algum ganho, de causar um impacto com sua ação e ela foi intencional, a partir do instante em que ele começa a coletar informações, que certamente não deveria ter acesso.

E por último a categoria de Controle, isso mesmo, Controle. Pessoas podem funcionar muito bem como controles para mitigarem riscos. É o caso do Canal de Denúncias de Fraudes e ilícitos semelhantes. Vejam, e funciona! Quase a metades das detecções feitas foram por conta desse controle, mostrados na pesquisa da ACFE. Do que depende essa ação? Da conscientização das Pessoas em realizarem a denúncia de que uma fraude esteja ocorrendo ou está prestes a ocorrer.

Vejamos o primeiro caso, o recebimento de uma mensagem falsa por e-mail, com uso da engenharia social tecnológica tendo como seu ator um hacker, utilizando-se do “phishing”. Como tantos caíram? Só lá no Itamaraty que ocorre isso? Quem clicou no anexo? Por que clicou? As pessoas que trabalham no Itamaraty ou outras tantas que caíram e caem nesse golpe, tem uma constante conscientização e educação sobre esse e outros tantos riscos da segurança da informação? Qual foi a última vez que alguém falou sobre isso dentro da empresa, conscientizando e educando as pessoas, se é que falou? Quanto do orçamento é dedicado ao tema?

Infelizmente encontram-se muitas empresas que enviam um e-mail para todos da empresa dizendo: pessoal, acessem a Intranet da empresa leiam as políticas, códigos e normas, deem um clic que entenderam…, ok? Você, sinceramente, com tantos afazeres estaria convencido a fazer a leitura de um simples e-mail desses e clicar Ok, eu li e entendi? Para que se adota essa prática? Para cumprir o que auditoria pede? Que um órgão regulador questionou? Essa prática não funciona em hipótese alguma! Ninguém vai ler nada…não vai entender nada…e não vai praticar da forma que você deseja que se pratique. Se você quer fazer a coisa certa, tratando a Causa (Pessoas), precisa colocar no “sangue” delas, no DNA da empresa, a conduta certa, e isso se faz por meio de palestras muito bem planejadas, com cunho pedagógico, com didática e por pessoas capacitadas e habilitadas a conduzir a questão. Não adianta pegar um técnico de TI, profundo conhecedor de técnicas hackers, por exemplo, colocar ele lá na frente porque você não tem custo, e pronto, resolvi o problema. Tem esse técnico a habilidade e capacidade pedagógica e didática de conscientizar as Pessoas que estão ali escutando? Pense nisso. Além disso, é necessário ter um Programa de Conscientização e Educação planejado, e que é executado o ano inteiro, e se renova ano após ano. Não é para fazer no ano 1 e depois lembrar e fazer no ano 4. São inúmeras as variáveis nessa questão que mudam em uma velocidade muito grande. Se não for realizado dessa maneira, não funciona.

Ok, você até concorda com o que eu falo, mas infelizmente só lembra-se de fazer quando a porteira já escancarou…ou não consegue convencer a Alta Administração da empresa a fazê-lo? Com tantos casos populando pela mídia, é difícil alguém no topo não perceber a necessidade. Só posso entender que eles assumem o risco ou é pura negligência.

Veja na sua empresa qual foi a última vez que você fez uma campanha de conscientização e educação em segurança da informação. Veja também, qual foi a última vez que você fez a revisão de sua política, de seu código de ética, de suas normas de segurança. Na maioria, e não é privilégio seu, devem ter pelo menos uns três anos sem revisão.

O agente de ameaça intencional, categoria 2, ele existe nas empresas, mas ainda bem que é minoria em relação a categoria 1. Essas pessoas também são conscientizadas e educadas a fazer o certo e cumprirem o que for determinado. Mas, em um dado momento na empresa, por conta de pressões/motivações internas e/ou externas e oportunidades, passam para o lado do não legal, do crime. Se formos pegar o caso do Snowden em detalhes é claro que podemos encontrar algumas falhas de controles dentro da NSA, mesmo sendo a NSA. Snowden não comenta como conseguiu as informações, talvez em um livro que por certo lançara, mas usou sua inteligência e cometeu o abuso. Mas a pergunta: como detectar um agente de ameaça intencional na empresa? O que poderia ter evitado a ação de Snowden?

 

Com elevado QI e considerado um “gênio da computação”, Snowden não deve ter deixado rastros em suas coletas. Controles tecnológicos que devem existir em abundância e qualidade na NSA, por certo não detectaram as ações de Snowden. E onde Snowden poderia ser pego? Somente Pessoas que conhecessem seu perfil, seus hábitos, temperamento, personalidade poderiam ajudar nesse sentido. Por mais frio que o agente de ameaça intencional seja, alterações ocorrem em seu comportamento verbal e não verbal. Algumas atitudes e temperamento ficam alterados nesse período. O que não fazia antes, começa a fazer; agia de um jeito e começa a agir de outro…traços de um perfil de alguém que está fazendo alguma coisa errada começam a saltar os olhos daqueles mais próximos.

 

Ok, mas onde você quer chegar? Na 3ª categoria do início de meu artigo: Pessoas funcionando como controles. Uma empresa é feita de várias equipes de trabalho com alguém liderando, um gestor. É assim que a coisa anda.

 

Em primeiro lugar precisamos ter gestores de pessoas e não somente de resultados. Esses gestores precisam estar aptos e treinados para identificar uma “maça podre” no meio das outras. Precisamos de líderes de fato. Se não o temos, precisamos treiná-los, para incentivar, promover, para pensar para frente, mas também para servir de escudo, de barreira aos maus intencionados. É possível treinar um gestor para agir dessa forma? Claro que sim! E podem ter certeza, trata-se de um excelente e eficaz controle.

 

Em segundo lugar, as pessoas de uma equipe precisam trabalhar em prol da equipe e consequentemente da empresa. Precisam ser conscientizadas e educadas no sentido de proteger a empresa das “maças podres”. Não se trata de caça as bruxas, mas sim, de se criar um ambiente em que se preze as condutas esperadas pela empresa: ganha a empresa, ganha a equipe e ganha você!

 

No segundo caso, particularmente, podemos estar falando do Canal de Denúncia, do início de nosso artigo, quando mencionamos os índices da pesquisa da ACFE. Se planejado e implantado dentro das melhores práticas, o Canal de Denúncia pode funcionar como um controle preventivo de ilícitos, isto quer dizer, que eu posso chegar antes da perda. Ah, e falando em perda, a mesma pesquisa da ACFE relata que em 54% dos casos pesquisados não houve nenhuma recuperação depois de anos de investigação e execução; apenas em 14% dos casos ocorreu total recuperação do prejuízo.

 

Como conclusão propomos a empresa de qualquer porte, com vista a mitigar o risco de vazamentos de informação, fraude, corrupção, etc. a planejar e implantar os seguintes processos/controles:

 

Segurança da Informação:

1. Política, Normas complementares e procedimentos operacionais;

2. Programa de Conscientização de Segurança da Informação (envolvendo palestras presenciais, gravação de vídeos, boletins, etc.) para colaboradores, gestores e alta administração.

 

Fraude, Corrupção e ilícitos semelhantes:

1. Política Antifraude e Anticorrupção;

2. Código de ética e de conduta;

3. Treinamento Antifraude para colaboradores;

4. Treinamento Antifraude para gestores e alta administração;

5. Canal de Denúncia.

 

Era isso!

 

 

Até a próxima!

 

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br