Na última semana tivemos o caso de vazamento de informação com a Sony. É um dilema…Mas o que fazer contra essa questão que assola todas, eu disse, todas empresas. Simples? Talvez. Tem três vilões nessa história: cultura organizacional, negligência executiva e falta de grana mesmo. Explico.
O vazamento de informação não é realizado por um fantasma ou algo parecido, é por gente mesmo, de carne e osso. Em alguns casos acidentalmente, mas na maioria intencionalmente. Se é por gente mesmo, eu tenho gente interna, que trabalha na empresa ou que de vez em quando põe o pé nas instalações da mesma; e tenho gente externa, que pode estar mancomunado com gente interna, ou pode não estar, e tem interesse em determinadas informações da empresa (um bom exemplo é a figura do hacker, caso da Sony). Ok, conceituo esses caras como agentes de ameaça, e nossa ameaça chama-se vazamento de informação.
Certo, contra o cara externo, notadamente aquele que busca informações digitais, as empresas contam com um arsenal de ferramentas tecnológicas e normas e arcabouços conhecidos, que permitem reduzir o risco inerente a um risco residual de nível relativamente baixo e perfeitamente gerenciável. Ok. Nesse caso percebo que existe certa cultura organizacional, baixa negligência executiva e grana, bem a grana aparece, às vezes mal aplicada, mas aparece.
Mas, e o cara interno? O que temos? Baixa cultura organizacional, alta negligência executiva e falta grana, como consequência. A visão do risco que se tem com o agente de ameaça externa, não se tem com o agente de ameaça interno. Veja, estou falando em visão de risco, mas não que a maioria das empresas façam Gestão do Risco de Segurança da Informação ou mesmo de Risco Operacional, NÃO, não fazem…mas esse é assunto para outro blog. Definitivamente não são estabelecidos processos e controles preventivos com base na Gestão do risco para tentar domar essa eterna Ameaça de nome Vazamento de Informação.
Voltaremos aos detalhes em breve.
Abraços e até a próxima!
