(*) Mário Sérgio Ribeiro
Vivemos momentos conturbados e delicados em nosso país. Parece que não se fala outra coisa a não ser: corrupção, fraude, propina, suborno…e agora o termo da vez é Vazamento de Informação. Capa da última edição da revista Isto É, por conta da delação premiada do senador Delcídio do Amaral, o certo, a despeito de estar na moda e na boca do povo, é que o vazamento de informação é um problema antigo e, infelizmente, na maioria das vezes erroneamente interpretado e consequentemente mal combatido.
O Vazamento de Informação pode ter dois agentes. Um é interno, na figura de seus colaboradores de uma maneira geral. O outro é externo, onde seu mais ilustre representante é um hacker. Vou me ater nesse artigo ao agente de ameaça interno.
O conceito de Vazamento de Informação no contexto do ambiente empresarial, público ou privado, e olhando o agente interno, é a ação de colaboradores dessas empresas ou mesmo de terceiros que lá trabalham, tendo ou não tendo acesso autorizado à uma dada informação, de compartilhar informações classificadas, no mínimo como internas, para o ambiente externo da empresa, por exemplo, para a concorrência Essa desobediência, essa ação não autorizada com relação à política de classificação da informação da empresa é que caracteriza o Vazamento de Informação.
A despeito de alguns considerarem que o vazamento de informação pode ter um caráter não intencional, p.ex., envio de um e-mail para um destinatário errado, a questão é que o termo ganhou uma característica de uma ação intencional, praticada com diversos intuitos. E a pergunta é: por que alguém faz isso?
Entre os vários intuitos destacam-se a possibilidade de ganho financeiro com a informação vazada e/ou a possibilidade de prejudicar o proprietário direto ou indireto da informação, por exemplo, uma vingança. Em muitos casos quem pratica tem aquele pensamento: com uma paulada mato dois coelhos. Leva a grana do solicitante da informação e prejudica ao mesmo tempo o proprietário da mesma; entretanto, existem inúmeros casos em que a ideia era só a de prejudicar.
Com base em uma série de casos e fatos que vocês já leram ou tomaram conhecimento, imaginam que é algo intrínseco do ser humano, e dessa forma, muito complicado de evitar. Certamente, de evitar sim, mas não de mitigar essa possibilidade, colocá-la em um patamar em que posso fazer o gerenciamento de um risco residual aceitável.
Valor e Classificação.
Uma empresa que entende e de fato cumpre na prática a máxima de que a Informação, em todo seu ciclo, é um dos principais ativos que mantém seu negócio de pé, procura a todo custo avaliar o risco do Acesso à Informação.
O Acesso a Informação sucede a duas importantes premissas: o Valor e a Classificação da Informação. O valor determina sua classificação. Se eu não consigo determinar o valor de cada informação no meu negócio, eu não consigo classificá-la.
Valorar a informação pode não ser uma tarefa das mais fáceis, mas deve ser feita. Você deve assumir uma série de critérios e atributos para valorar a informação de sua empresa. Feito isso, passe para a etapa de classificar a informação, colocar um rótulo nela.
Aqui cabe um lembrete oriundo da ciência da informação. É importante você ter em mente nesse trabalho de valoração e classificação da informação que existem abordagens, modalidades de informação em uma empresa. São elas: a informação não-estruturada, a estruturada em papel e a estruturada em computadores. Entender cada uma dessas modalidades é de extrema importância nesse trabalho.
A informação em computadores e seu dilema.
Vivemos a era da informação em computadores, mas com dilema. As pessoas certamente preferem as informações que são oportunas e ricas em detalhes contextuais. Elas gostam quando envolvem sequência e causalidade, percebem uma historia, quando são apresentadas com humor ou quando ganham uma interpretação única – informações visivelmente ricas, em cores, texturas, estilos – e que tenham relevância para nossas vidas e nosso trabalho.
Mas o que recebemos dos computadores são normalmente informações datadas, com pouco contexto ou significado, destituídas de sequência ou causalidade, apresentadas em formato geralmente pobre, ou em volume muito maior do que desejamos.
Várias pesquisas indicam que gestores preferem informações que não residem no computador, porque elas não oferecem a variedade, atualidade ou relevância que esses executivos exigem. Como resultado, a maioria das informações verbais em suas fontes são mais importantes. Esses gestores tendem a obter de fontes humanas mais de dois terços da informação que usam. A maior parte dessa informação provém de contatos pessoais, conversas telefônicas, e-mail e semelhantes.
E isso é um grande perigo e acende o sinal amarelo quase laranja. Essas informações não-estruturadas dependem única e exclusivamente para sua proteção da conscientização e educação da pessoa em relação à segurança da informação. Bato muito nessa tecla em minhas palestras. São fundamentais!
Acesso a Informação.
Quem pode acessar O Que nos sistemas computacionais? Quem pode ler determinado documento no papel? Quem pode entrar em determinada sala na empresa? Sempre QUEM e sua relação com O QUE, aqui subentendido como a informação corporativa.
A ideia desse controle todo é simples: evitar que pessoas não autorizadas possam ter acesso à determinada informação, que tem seu valor e sua classificação definida, quer seja em uma informação estruturada em papel, não estruturada ou em computadores.
Eis aí a questão. Desde que você já tenha feito a lição de casa como se deve para a Valoração e Classificação da Informação, agora começa por fornecer o Acesso à ela. E aqui mora o perigo.
O acesso à informação em uma empresa pública ou privada deve ser fornecido em uma relação diretamente proporcional à necessidade do indivíduo para exercer o seu trabalho, nem mais e nem menos. E isso inclui, veja, acesso a sistemas computacionais, internet, e-mail…acesso a documentação em papel …acesso em locais físicos onde existam informações. Essa é uma premissa absolutamente básica.
A partir daí você pode utilizar a metodologia que bem entender em obediência à suas políticas e normas de segurança da informação. Mas ferir essa premissa, por certo estará arrumando dor de cabeça no futuro. Aqui não cabe eu preciso acessar, eu sou amigo do dono e por aí vai. É preciso fazer a coisa certa!
Riscos do Vazamento de Informação.
Mesmo valorando, classificando, definindo o acesso, e claro, com política e normas complementares homologadas e conscientizadas aos colaboradores, os riscos são vários.
O tal colaborador necessitando de uma grana com um interessado em determinadas informações subornando-o, ele vai arrumar um jeito de vazar essa informação, mesmo não tendo autorização de acesso a tal. Como?
De uma coisa podemos ter certeza, as possibilidades são muitas. Vamos a duas bem simples, que certamente existem na maioria das empresas.
Situação 1
Não tendo autorização de acesso a determinada informação e precisando obtê-la para levantar a grana, utilizo da técnica da engenharia social sobre determinada pessoa que tem acesso a essa informação, independente de onde esteja essa informação. E com grande chance a tenho em mãos. Difícil? Negativo. Um bom engenheiro social interno ainda consegue hoje em dia fazer muito estrago e acreditem, sair ileso da história. Oculta e muito bem.
Situação 2
Preciso da informação, mas não quero ter muito trabalho e até posso demorar um pouco mais até obtê-la. Como? Seleciono aqueles que porventura podem me fornecer sem desconfiar de nada. Monitoro-os anotando seus hábitos e costumes. Vejo que ele tem por hábito deixar documentos sobre a mesa, tela aberta em sistemas que tem a informação que preciso, sai de salas de reunião com quadro branco por apagar, e por aí vai. Anoto e vou à luta. Hoje muito mais simples do que antigamente. Com meu super telefone celular, fotografo com altíssima resolução tudo o que desejo, de forma disfarçada, dissimulada.
Pronto. Feito. Afinal de contas, a moda de hoje é fotografar qualquer coisa, então…
Controle e Monitoramento.
Estabelecer e implantar Controles tem por objetivo reduzir a possibilidade de que o vazamento ocorra. Deve ser determinado a partir de sua matriz de risco. A gama de controles é inúmera e depende da cultura organizacional, de quanto sua empresa se preocupa com os impactos de um incidente desses, o quanto ela está disposta a investir, e por aí vai.
Por exemplo, e pegando a situação 1 do exemplo que dei para riscos de vazamento, tem empresa que proibiu o uso de celular com câmera no interior da empresa. É um controle? Sim. Mitiga a possibilidade de risco de vazamento? Sim, claro. Mas, você pode argumentar que não é uma atitude simpática, ok? Certamente. Mas a empresa também pode argumentar: o colaborador precisa trazer uma máquina fotográfica para trabalhar? A não ser que seja um fotógrafo! Pode ser uma discussão de quem nasceu primeiro, o ovo ou a galinha?
Já o Monitoramento, para ser eficaz, deve ser estabelecido de tal forma que eu consiga detectar que um vazamento de informação está na iminência de ocorrer e conseguir evitar. Existem diversos mecanismos que possibilitam essa ação. Outras formas de Monitoramento em que eu apenas consiga detectar que um vazamento ocorreu ou que está ocorrendo, pode não ser nada eficaz, pois dependendo da situação, pode ser uma bomba para a empresa. Infelizmente em muitas empresas o Monitoramento nem existe, o que pode ser um erro terrível nesse caso.
O problema é antigo, mas com o tempo novas abordagens o tornam mais do que atual. As vulnerabilidades no ambiente empresarial são inúmeras, quase sempre provocadas por uma visão desfocada do problema, o estabelecimento de pobres controles, quando eles existem, e má gestão.
Claro que você deve ter a política, as normas, a conscientização e outros controles básicos que mitigam a possibilidade de vazamento, mas é necessário ir mais fundo para tentar colocar esse risco em um ponto bem residual. Já falei em outros artigos que o mundo hoje é absolutamente diferente do que era há 50, 30, 20 anos atrás. Valores mudaram, transformações ocorrem diariamente, tecnologia avança em ritmo frenético e aqueles profissionais que tem que lidar com esses incidentes precisam, mais do que nunca, acompanhar essa evolução e adequar na melhor condição. Caso contrário, lamenta-se, quando ainda se pode!
Até a próxima!
_______________________________________________________________
(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br
