Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

É possível mitigar o Vazamento de Dados?

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

Em quase vinte e cinco anos atuando somente com a segurança da informação eu nunca tinha visto tanta propagação de incidentes de vazamento de dados/informações como nos dias atuais. O pior é que não se escolhe local, entidade e grau de importância, etc. Vejam que nem o STF foi poupado, quando da questão da quebra de sigilo bancário do presidente Temer pelo ministro Barroso. Olhem onde o tema bate, bem lá no topo! E ao concluir esse artigo aparece o caso da Cambrige Analytica e Facebook. Já tratei desse assunto nesse espaço, mas hoje vou abordá-lo sob outra ótica.

 Define-se hoje um vazamento de dados/informações como um ato intencional com intuitos diversos, praticado por uma pessoa ou entidade interessada em quebrar a classificação da informação e tornar os dados acessíveis a quem não deveria ter esse direito. Os intuitos para essa prática podem ser, entre outros:

 -> Prejudicar a parte onde se tem os dados vazados, sem qualquer tipo de ganho ou vantagem com o ato;

-> Obter algum ganho, financeiro, por exemplo, com os dados vazados;

-> Criar algum tumulto, com a finalidade de desviar o foco para algo mais importante dentro do contexto.

Fica claro nesse escopo que estamos tratando que alguém ou alguns, de dentro ou de fora de alguma empresa, organismo, instituição com acesso a determinados dados e informações, que possa de forma intencional, quebrar a classificação da informação e compartilhar esses dados a quem não teria direito a conhecê-los. Esse “vazador” tem motivações para atuar e podemos classificá-lo de três tipos:

 -> Alguém ou alguns em bando colaboradores de uma empresa/instituição;

-> Alguém ou alguns em bando de fora da empresa roubando os dados da empresa/ instituição; ou

-> Juntos, gente de dentro e de fora da empresa e em conluio, para vazar os dados.

 Pois bem, contextualizada a questão vamos tentar dissecá-la. Comecemos pelo meio que esses dados estão disponibilizados. Para simplificar nosso raciocínio vamos instituir dois meios: o digital e o papel. O meio digital pode ser acessado em diversos formatos conforme sabemos: sistemas autorizados pela empresa, pen drive, telas de dispositivos, entre outros. O meio em papel, não tem outro formato, é o papel impresso mesmo com os dados/informações.

 Obedecendo ao ciclo de vida da informação, esses dados podem ser encontrados em um dos quatro momentos da vida do dado/informação: manuseio, transporte, armazenagem e descarte. Lembrando que o manuseio é onde o dado é criado e manuseado, transporte são os meios que os dados são enviados de um local a outro, a armazenagem onde o dado está guardado/custodiado e descarte, é o ciclo final, quando se dá o fim ao dado/informação.

Vou tratar esse artigo em duas partes. Na primeira vou falar sobre o vazamento interno dos dados, isto é, uma pessoa que faz parte da empresa ou é um terceiro, que atua o tempo todo na empresa e que vaza os dados. Em uma segunda parte e de forma mais curta, vou falar dos dados/informações de disponibilizados por uma empresa para outros (terceiros) e de um consumidor comum.

AMBIENTE INTERNO

Para vazar dado alguém interno de alguma forma teve acesso a eles. E aqui estamos falando de dados e informações que podem se utilizar dos quatro ciclos aqui comentados. Mais, esses dados podem estar em ambos os meios, digital e papel. Mais ainda, não necessariamente o vazador dos dados pode ser alguém que não tenha acesso autorizado aos dados vazados.

O tema não é nada simples porque estamos tratando com seres humanos, com todas as fragilidades que nossa espécie tem. Cabe às empresas praticarem algumas boas práticas para diminuir as consequências desses atos. Selecionei algumas bem simples, que se implementadas da maneira correta podem mitigar muito bem esse risco. Vamos lá:

(1) Políticas e normas claras e simples, mas com SANÇÕES.

Normalmente encontro Políticas e Normas de Segurança da Informação que mais parecem uma novela do que um documento que deve ser claro e simples.

A Política (menos detalhes) e as Normas (detalhes das diretrizes da política) devem ter como requisitos imprescindíveis serem claras e simples. Qualquer um que leia deve ter entendimento fácil do que está lendo para poder praticar. Não deve ser um romance, com frases de efeito. Infelizmente não é isso que temos. Costumo dizer que se você perguntar para um colaborador quais são as diretrizes da Política e ele não conseguir falar/explicar 30% dela, a empresa falha.

E por que as SANÇÕES? Talvez muita gente não goste, mas Política sem Sanção tira o efeito mandatório que uma Política deva ter. Olhando sob a ótica de controles que mitigam riscos, as Políticas e as Normas são o que consideramos Controles de Dissuasão. O verbo dissuadir significa instigar alguém a mudar de opinião ou de intenção. As políticas e normas em segurança da informação são elaboradas e implantadas para dizer aos colaboradores o que não deve ser realizado, o que não é permitido em suas diretrizes. E, ao incluir sanções no final do documento, a empresa está dizendo o que poderá fazer caso o colaborador infrinja alguma das diretrizes ali descritas.

Aqui temos um viés importante. As diretrizes com sanções, se bem elaboradas e dentro de um programa estruturado de conscientização e educação em segurança da informação, deve produzir o efeito que um controle de dissuasão deve produzir, ou seja, o colaborador que tiver alguma intenção, por exemplo, de vazar uma dada informação, pode mudar sua intenção porque está infringindo uma diretriz e a sanção pode ser dura, incluindo em algumas empresas, a demissão por justa causa.

Existem muitas políticas e normas por aí simplesmente informativa, a maioria mais parecendo um manual de procedimentos. É necessário colocar a política e normas em seu devido lugar, com sanções estabelecidas e acordadas com o jurídico da empresa e inseri-las em um programa estruturado de conscientização e educação. Sem isso, não temos um importante controle de dissuasão operando e mais, cria-se a possibilidade de mais oportunidades para alguém mal intencionado atuar.

 

(2) Permissões, só as necessárias para exercer a função do cargo

Muitas oportunidades são concedidas aqui àqueles que desejam vazar. Na grande maioria das empresas as permissões concedidas aos usuários para acesso aos dados e informações, independente se estejam informatizados ou não, estão acima de suas necessidades para executar o que descreve sua função de trabalho.

Os problemas e os riscos são diversos aqui e vou tocar em um deles apenas. Normalmente encontramos um erro clássico nesse caso, que incrementa o risco. Gestores de dada área são definidos como “dono da informação” (àquela que certamente trata de sua área de trabalho). Por essa “propriedade” são escolhidos para determinar o que seus subordinados podem ou não acessar, e até usuários de outras áreas, que possam ter a necessidade de acessar informações onde o dono é o tal gestor.

Nada contra gestores serem responsáveis por importante tarefa, mas sim, com a falta de critérios padronizados para que o gestor possa fazê-lo conhecendo os riscos de segurança da informação e seus requisitos básicos. Outra. Além dos critérios, o gestor pouco conhecimento tem sobre os riscos advindos de autorizações mal feitas. Em várias situações, esse mesmo gestor olha para o pilar Disponibilidade com muita importância, sem se ater com os perigos de corromper a Confidencialidade da Informação, que é o ponto central do que estamos tratando. As empresas acreditam piamente que os gestores têm totais condições de fazer tais avaliações sem qualquer orientação. Muito cuidado aqui!

Um exemplo clássico do que estamos falando é o gestor disponibilizar a um dado usuário permissões muito além de sua descrição de trabalho, única e exclusivamente porque em dado momento esse usuário irá substituir seu chefe, por exemplo; outra, por achar que tem gente de menos para fazer o trabalho, bem comum isso, incrementa privilégios onde não deveria fazê-lo. São práticas que ocorrem e que podem trazer problemas.

(3) A prática da Engenharia Social interna é mais comum do que se pensa.

Pensamos então somente que a Engenharia Social foi algo inventado pelos hackers, onde o mestre de todos foi Kevin Mitnick, o seu precursor. Infelizmente não é isso que ocorre. Muitas pessoas tem o talento de um engenheiro social e na maioria dos casos nem sabe que essa técnica é tema de estudo há anos.

Quem tem intenção de praticar um vazamento de dados/informação, em uma boa parte das vezes, procura ocultar sua identidade e/ou utilizar de algumas informações de que não dispõe de acesso. Aí entra o engenheiro social interno.

É aquele camarada com atitude de ganhar a confiança de seus companheiros de trabalho e conseguir seus objetivos, ou seja, ocultar sua identidade por meio da identidade da vítima ou ter os dados/informações que deseja.

Esses engenheiros sociais internos conhecem a empresa e sabem até que ponto seus colegas de trabalho estão conscientizados sobre essa prática. As empresas por sua vez, com parcos e em boa parte das vezes mal direcionados investimentos na conscientização e educação de seus colaboradores, não percebem a prática da engenharia social interna, que é silenciosa e não deixa rastros.

(4) A Classificação da Informação deve estar presente nos quatro ciclos de vida da informação, independente dos meios disponibilizados.

De uns tempos para cá as empresas começaram a valorizar um dos pilares da segurança da informação que é a Classificação da Informação. Quando eu classifico um dado/informação eu de fato demonstro que me preocupo com o valor desses dados e informações. E isso é fundamental em segurança: conhecer o valor e classificá-la segundo critérios estabelecidos.

E mais uma vez tenho que frisar: em qualquer meio que o dado/informação esteja disponibilizado. E mais, como cito no título do item, essa classificação deve estar presente nos quatro ciclos de vida da informação, começando pelo manuseio até seu descarte. Quando o dado/informação está devidamente classificado, e consequentemente valorado de forma estruturada, eu estabeleço um requisito fundamental para estabelecer permissões e evitar privilégios.

Projetos de concessão e controle de acesso lógico onde de forma preliminar foi estabelecido a Classificação da Informação de forma estruturada e criterizada, o projeto de acesso lógico demonstrou de forma clara o quão estava robusto e sólido.

Posso ser chato, mas tenho que voltar a falar o que venho dizendo há anos: se quer fazer a coisa certa em segurança da informação não há como fugir de um projeto estruturado da classificação da informação.

 

(5) Conscientização e educação em Segurança da Informação é o ano inteiro.

E por fim, é necessário o estabelecimento de um programa que possa conscientizar e educar o colaborador sobre o tema. De novo, não é só aquela palestra que muitas empresas fazem falando das diretrizes da política. Isso é enfadonho e ninguém se conscientiza de nada. É colocar no “sangue” do colaborador a cultura da segurança da informação. Posso dizer a você com todas as letras se isso for realizado de forma planejada muitos, mas muitos problemas seriam evitados, inclusive vazamento de dados/informação. Como? Não vou contar o milagre todo por que vivo disso, mas para começar, e se realizado de forma lúdica, a engenharia social interna pode ser evitada.

AMBIENTE DE TERCEIROS

Como no vazamento interno, aqui também não faltam incidentes. Quase todo dia tem um sendo noticiado. Vamos então.

Aqui temos dois tipos principais. Um, em que uma dada empresa disponibiliza seus dados/informações para um terceiro, por qualquer motivo, em que ele atue em apenas um ou nos quatro ciclos de vida da informação. O outro tipo, esse um consumidor, que tem seus dados/informações disponibilizados a um terceiro, que também pode atuar em um ou nos quatro ciclos de vida da informação.

Vejamos quando uma empresa disponibiliza seus dados/informações a um terceiro.

Normalmente vários cuidados são tomados no campo jurídico. Termos de confidencialidade, contratos bem escritos com cláusulas prevendo multas em caso de vazamento de dados, etc. Mas, o mais importante, e que em boa parte dos casos não é realizada, é uma ação preventiva a ser efetivada antes da formulação de qualquer contrato. Essa ação é uma auditoria para saber o quanto a empresa está preparada em termos de segurança da informação para ter disponibilizado as informações da empresa. Os resultados dão o Go ou No Go para a realização do contrato.

Essa auditoria deve varrer o escopo do contrato com minucioso detalhamento dos dados e informações que serão disponibilizados à empresa contratante. A auditoria deve estar municiada de todos os requisitos de segurança dos dados e informações que serão disponibilizados e preparar seus critérios de auditoria dentro de seu planejamento.

Essa auditoria muito provavelmente deverá apontar não conformidades e, desde que a empresa a ser contratada se interesse, essas não conformidades deverão ser corrigidas em um prazo a ser fornecido pelos auditores. Somente depois de uma segunda visita e os pontos corrigidos é que o contrato poderá ser redigido com as cláusulas que se desejar.

Por mais que se estabeleçam multas pesadas e/ou outros, o risco operacional de se efetivar um contrato dessa natureza sem uma auditoria como a citada é elevadíssimo. As prováveis perdas operacionais (financeira e imagem) por conta de um incidente de vazamento, por exemplo, podem provocar até a descontinuidade do negócio da empresa contratante, por mais que se aplique multas no terceiro.

Ok, tudo certo a empresa foi aprovada e o contrato estabelecido. Acabaram as auditorias? NÃO. Ao longo do contrato outras auditorias devem ser estabelecidas, com dia e hora marcados. Bom seria se pudessem ser previstos em contratos visitas de surpresa, sem aviso prévio, daquelas: passei aqui para tomar um cafezinho. Explico.

O tomar um cafezinho dá a possibilidade de, somente passeando pela empresa contratada, poder encontrar material de elevado valor da empresa contratante, por exemplo, impresso em um pool de impressão. Isso, entre outros tantos possíveis incidentes. Sem a surpresa, a empresa contratada pode lançar um texto alerta aos seus funcionários, que entre outros, lembrando a todos que naquele dia não esqueçam nada no pool de impressão, etc.

A empresa contratada, como a contratante, precisa ter a consciência de inserir no DNA de seus colaboradores a segurança da informação. Isso é imperativo.

Acabou? NÃO. Se o contrato for rescindido ou não renovado, deve ser realizada uma auditoria para ter as evidências necessárias de que a contratada descartou todos os dados/informações da empresa contratante. Caso isso não seja realizado, não percorremos o ciclo de vida da informação, o que pode trazer futuros problemas.

Já realizei diversas auditorias com esse escopo e encontrei muitas não conformidades, algumas classificadas como graves, que impossibilitava qualquer assinatura de contrato com a empresa. A maioria das empresas terceiras auditadas, interessadas no contrato a ser celebrado, corrigiram essas não conformidades e os contratos eram efetivados.

Confesso que a demanda que tenho por essas auditorias preventivas são menores do que as auditorias com as empresas terceiras já contratadas. Nesse caso, a demanda pelo meu serviço geralmente ocorre quando algum incidente ocorreu no terceiro, e dessa forma contratam o serviço e normalmente encontramos outros riscos que podem vir a provocar futuros incidentes, o que dos males é o menor.

Sobre o segundo tipo, os dados de consumidores. Difícil aqui. Não posso eu Mário Sérgio, contratar uma auditoria para cada empresa que estabeleci uma relação comercial e que ficou com meus dados. Aqui somente as leis sobre o tema. O que cabe e isso é importante, é saber no antes de disponibilizar seus dados, se a empresa mostra em um contrato ou documento legal o que faz com seus dados e como os protege. Isso não quer dizer muita coisa, porque papel aceita tudo, mas é algo que você tem em mãos e pode usar.

Outro ponto importante é saber se já houve incidente noticiado pela imprensa sobre a empresa. Se houve, você deve se aprofundar na pesquisa sobre a mesma, sentir que está apoiado nas informações que precisa e daí decidir o que fazer. Tenha sempre todo cuidado, pois os seus dados podem cair em mãos de quem você nem imagina e ele vale muito!

E para terminar, o caso desses dias envolvendo o Facebook e a Cambrige Analytica, empresa de análises de dados que foi acusada de ter coletado e usado os dados de 50 milhões de usuários do Facebook. Essas informações revelaram o perfil completo de 50 milhões de pessoas que estão na rede social, que passaram a receber propaganda altamente personalizada durante, por exemplo, a campanha de Donald Trump e do Brexit.

 O escândalo explodiu depois que um ex-funcionário da Cambridge Analytica, chamado Christopher Wylie, revelou que a consultoria britânica pegava dados das pessoas que fizeram o teste e também de seus amigos, sem consentimento.

Vou voltar no tema com mais profundidade, mas sempre alertei clientes em palestras de conscientização que faço que o Facebook é uma rede gratuita, que você não paga nada para entrar e nem para sair, e isso parece bom, mas se perguntaram alguma vez como uma rede social protege seus dados? Quem os acessa? O que faz com eles? Complicado, né?

 

Era isso!

 

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Vazamento de Informação: na moda, mas um problema antigo.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Vivemos momentos conturbados e delicados em nosso país. Parece que não se fala outra coisa a não ser: corrupção, fraude, propina, suborno…e agora o termo da vez é Vazamento de Informação. Capa da última edição da revista Isto É, por conta da delação premiada do senador Delcídio do Amaral, o certo, a despeito de estar na moda e na boca do povo, é que o vazamento de informação é um problema antigo e, infelizmente, na maioria das vezes erroneamente interpretado e consequentemente mal combatido.

 

O Vazamento de Informação pode ter dois agentes. Um é interno, na figura de seus colaboradores de uma maneira geral. O outro é externo, onde seu mais ilustre representante é um hacker. Vou me ater nesse artigo ao agente de ameaça interno.

 

O conceito de Vazamento de Informação no contexto do ambiente empresarial, público ou privado, e olhando o agente interno, é a ação de colaboradores dessas empresas ou mesmo de terceiros que lá trabalham, tendo ou não tendo acesso autorizado à uma dada informação, de compartilhar informações classificadas, no mínimo como internas, para o ambiente externo da empresa, por exemplo, para a concorrência Essa desobediência, essa ação não autorizada com relação à política de classificação da informação da empresa é que caracteriza o Vazamento de Informação.

 

A despeito de alguns considerarem que o vazamento de informação pode ter um caráter não intencional, p.ex., envio de um e-mail para um destinatário errado, a questão é que o termo ganhou uma característica de uma ação intencional, praticada com diversos intuitos. E a pergunta é: por que alguém faz isso?

 

Entre os vários intuitos destacam-se a possibilidade de ganho financeiro com a informação vazada e/ou a possibilidade de prejudicar o proprietário direto ou indireto da informação, por exemplo, uma vingança. Em muitos casos quem pratica tem aquele pensamento: com uma paulada mato dois coelhos. Leva a grana do solicitante da informação e prejudica ao mesmo tempo o proprietário da mesma; entretanto, existem inúmeros casos em que a ideia era só a de prejudicar.

 

Com base em uma série de casos e fatos que vocês já leram ou tomaram conhecimento, imaginam que é algo intrínseco do ser humano, e dessa forma, muito complicado de evitar. Certamente, de evitar sim, mas não de mitigar essa possibilidade, colocá-la em um patamar em que posso fazer o gerenciamento de um risco residual aceitável.

 

Valor e Classificação.

Uma empresa que entende e de fato cumpre na prática a máxima de que a Informação, em todo seu ciclo, é um dos principais ativos que mantém seu negócio de pé, procura a todo custo avaliar o risco do Acesso à Informação.

 

O Acesso a Informação sucede a duas importantes premissas: o Valor e a Classificação da Informação. O valor determina sua classificação. Se eu não consigo determinar o valor de cada informação no meu negócio, eu não consigo classificá-la.

 

Valorar a informação pode não ser uma tarefa das mais fáceis, mas deve ser feita. Você deve assumir uma série de critérios e atributos para valorar a informação de sua empresa. Feito isso, passe para a etapa de classificar a informação, colocar um rótulo nela.

 

Aqui cabe um lembrete oriundo da ciência da informação. É importante você ter em mente nesse trabalho de valoração e classificação da informação que existem abordagens, modalidades de informação em uma empresa. São elas: a informação não-estruturada, a estruturada em papel e a estruturada em computadores. Entender cada uma dessas modalidades é de extrema importância nesse trabalho.

 

A informação em computadores e seu dilema.

Vivemos a era da informação em computadores, mas com dilema. As pessoas certamente preferem as informações que são oportunas e ricas em detalhes contextuais. Elas gostam quando envolvem sequência e causalidade, percebem uma historia, quando são apresentadas com humor ou quando ganham uma interpretação única – informações visivelmente ricas, em cores, texturas, estilos – e que tenham relevância para nossas vidas e nosso trabalho.

 

Mas o que recebemos dos computadores são normalmente informações datadas, com pouco contexto ou significado, destituídas de sequência ou causalidade, apresentadas em formato geralmente pobre, ou em volume muito maior do que desejamos.

 

Várias pesquisas indicam que gestores preferem informações que não residem no computador, porque elas não oferecem a variedade, atualidade ou relevância que esses executivos exigem. Como resultado, a maioria das informações verbais em suas fontes são mais importantes. Esses gestores tendem a obter de fontes humanas mais de dois terços da informação que usam. A maior parte dessa informação provém de contatos pessoais, conversas telefônicas, e-mail e semelhantes.

E isso é um grande perigo e acende o sinal amarelo quase laranja. Essas informações não-estruturadas dependem única e exclusivamente para sua proteção da conscientização e educação da pessoa em relação à segurança da informação. Bato muito nessa tecla em minhas palestras. São fundamentais!

 

Acesso a Informação.

Quem pode acessar O Que nos sistemas computacionais? Quem pode ler determinado documento no papel? Quem pode entrar em determinada sala na empresa? Sempre QUEM e sua relação com O QUE, aqui subentendido como a informação corporativa.

 

A ideia desse controle todo é simples: evitar que pessoas não autorizadas possam ter acesso à determinada informação, que tem seu valor e sua classificação definida, quer seja em uma informação estruturada em papel, não estruturada ou em computadores.

 

Eis aí a questão. Desde que você já tenha feito a lição de casa como se deve para a Valoração e Classificação da Informação, agora começa por fornecer o Acesso à ela. E aqui mora o perigo.

 

O acesso à informação em uma empresa pública ou privada deve ser fornecido em uma relação diretamente proporcional à necessidade do indivíduo para exercer o seu trabalho, nem mais e nem menos. E isso inclui, veja, acesso a sistemas computacionais, internet, e-mail…acesso a documentação em papel …acesso em locais físicos onde existam informações. Essa é uma premissa absolutamente básica.

A partir daí você pode utilizar a metodologia que bem entender em obediência à suas políticas e normas de segurança da informação. Mas ferir essa premissa, por certo estará arrumando dor de cabeça no futuro. Aqui não cabe eu preciso acessar, eu sou amigo do dono e por aí vai. É preciso fazer a coisa certa!

 

Riscos do Vazamento de Informação.

Mesmo valorando, classificando, definindo o acesso, e claro, com política e normas complementares homologadas e conscientizadas aos colaboradores, os riscos são vários.

 

O tal colaborador necessitando de uma grana com um interessado em determinadas informações subornando-o, ele vai arrumar um jeito de vazar essa informação, mesmo não tendo autorização de acesso a tal. Como?

 

De uma coisa podemos ter certeza, as possibilidades são muitas. Vamos a duas bem simples, que certamente existem na maioria das empresas.

 

Situação 1

Não tendo autorização de acesso a determinada informação e precisando obtê-la para levantar a grana, utilizo da técnica da engenharia social sobre determinada pessoa que tem acesso a essa informação, independente de onde esteja essa informação. E com grande chance a tenho em mãos. Difícil? Negativo. Um bom engenheiro social interno ainda consegue hoje em dia fazer muito estrago e acreditem, sair ileso da história. Oculta e muito bem.

Situação 2

Preciso da informação, mas não quero ter muito trabalho e até posso demorar um pouco mais até obtê-la. Como? Seleciono aqueles que porventura podem me fornecer sem desconfiar de nada. Monitoro-os anotando seus hábitos e costumes. Vejo que ele tem por hábito deixar documentos sobre a mesa, tela aberta em sistemas que tem a informação que preciso, sai de salas de reunião com quadro branco por apagar, e por aí vai. Anoto e vou à luta. Hoje muito mais simples do que antigamente. Com meu super telefone celular, fotografo com altíssima resolução tudo o que desejo, de forma disfarçada, dissimulada.

Pronto. Feito. Afinal de contas, a moda de hoje é fotografar qualquer coisa, então…

 

Controle e Monitoramento.

Estabelecer e implantar Controles tem por objetivo reduzir a possibilidade de que o vazamento ocorra. Deve ser determinado a partir de sua matriz de risco. A gama de controles é inúmera e depende da cultura organizacional, de quanto sua empresa se preocupa com os impactos de um incidente desses, o quanto ela está disposta a investir, e por aí vai.

Por exemplo, e pegando a situação 1 do exemplo que dei para riscos de vazamento, tem empresa que proibiu o uso de celular com câmera no interior da empresa. É um controle? Sim. Mitiga a possibilidade de risco de vazamento? Sim, claro. Mas, você pode argumentar que não é uma atitude simpática, ok? Certamente. Mas a empresa também pode argumentar: o colaborador precisa trazer uma máquina fotográfica para trabalhar? A não ser que seja um fotógrafo! Pode ser uma discussão de quem nasceu primeiro, o ovo ou a galinha?

Já o Monitoramento, para ser eficaz, deve ser estabelecido de tal forma que eu consiga detectar que um vazamento de informação está na iminência de ocorrer e conseguir evitar. Existem diversos mecanismos que possibilitam essa ação. Outras formas de Monitoramento em que eu apenas consiga detectar que um vazamento ocorreu ou que está ocorrendo, pode não ser nada eficaz, pois dependendo da situação, pode ser uma bomba para a empresa. Infelizmente em muitas empresas o Monitoramento nem existe, o que pode ser um erro terrível nesse caso.

 

O problema é antigo, mas com o tempo novas abordagens o tornam mais do que atual. As vulnerabilidades no ambiente empresarial são inúmeras, quase sempre provocadas por uma visão desfocada do problema, o estabelecimento de pobres controles, quando eles existem, e má gestão.

 

Claro que você deve ter a política, as normas, a conscientização e outros controles básicos que mitigam a possibilidade de vazamento, mas é necessário ir mais fundo para tentar colocar esse risco em um ponto bem residual. Já falei em outros artigos que o mundo hoje é absolutamente diferente do que era há 50, 30, 20 anos atrás. Valores mudaram, transformações ocorrem diariamente, tecnologia avança em ritmo frenético e aqueles profissionais que tem que lidar com esses incidentes precisam, mais do que nunca, acompanhar essa evolução e adequar na melhor condição. Caso contrário, lamenta-se, quando ainda se pode!

 

Até a próxima!

 

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

O vazamento na Receita Federal. Você tem uma receita? – 03set2010

enigma.consultoria Sem categoria Leave a comment  

 Claro que estamos em época eleitoral e um assunto desses envolvendo pessoas, que de uma forma direta ou indireta estão no pleito político, o assunto ganha outra conotação. Vazamento de informação não é um assunto novo, mas a questão é muito simples: nosso nível de maturidade de prevenção ao risco é muito baixo! Aliás, se eu for levar o pé da letra, prevenção é uma coisa que o brasileiro pouco pratica, gestão do risco então…vamos detalhar esse tema de risco um dia desses.

 Voltando as vacas magras, a prevenção ao risco de vazamento de informações tem sede de processos e controles devidamente planejados, implementados, monitorados e corrigidos periodicamente. Alguém já ouviu falar do PDCA, ciclo de Deming, é isso. Nossas empresas agem nesse ciclo? Não, literalmente não! Podem no máximo planejar e implementar, mas não monitoram e não corrigem.

 Então, a Receita não está sozinha nessa?! Por certo que não! O azar dela é que ela custodia informações de elevado nível de criticidade dos cidadãos brasileiros economicamente ativos. E aí, essas informações tem um valor tangível e intangível que alcança as nuvens. Logo, conhece a regra, o que importa é o que interessa, vem com tudo. Pode-se vazar por interesses políticos, para extorquir, para vender, para sabotar, por revanchismo, enfim, a lista é grande. Vocês leram, um dia desses prenderam um camarada que vendia um CD recheado na região da 25 de março com informações detalhadas de milhares de pessoas.

Mas há quanto tempo o cara agia?

 Dessa forma, lanço um desafio: você tem uma receita para o não vazamento de informações de uma empresa (de qualquer natureza)?

 Um abraço e até a próxima!