Por Dr. Roberto Gallo
Suas informações confidenciais estão indo para os concorrentes.
Mais da metade dos vazamentos de informações são feitas por algum colaborador.
5 dicas para combater este risco.
Sabe aqueles dados confidenciais do CRM, a sua lista de clientes, as suas planilhas de formação de preços, os seus planos estratégicos?
Tenho duas notícias, ambas más: a chance que aconteça um vazamento na sua empresa em 2018 é de cerca de 40% [pesquisa Ponemon/IBM 2017]. E em metade dos casos envolverá alguém de confiança da sua equipe.
Nota: antes de eu continuar para as dicas, quero dizer que você precisa ter confiança nos seus colegas e na sua equipe: eles são a alma da empresa, aquilo que a faz funcionar e a esmagadora maioria é honesta. Também é importante ser realista: mesmo pessoas honestas podem eventualmente serem tentadas a cometer um desvio. É importante, portanto, prevenir, monitorar e controlar e – claro – separar o joio do trigo.
Feito esse “disclaimer”, a boa notícia é que você pode combater os riscos internos com um conjunto de boas-práticas.
Em primeiro lugar, no entanto, é importante entender as principais causas e motivações das ameaças internas em uma empresa:
- Sentimento de “propriedade” sobre as informações. Muitos colaboradores, pelo fato terem ajudado na criação ou mesmo compilação de informações sigilosas sentem-se donos das mesmas, confundindo uma eventual autoria com direitos sobre as informações.
- Vantagem competitiva ou mesmo concorrência futura. Em empresas comerciais ou que dependem de propriedade intelectual, conhecimento sobre contatos (e contratos), bem como tecnologias possuem um enorme valor. Seja por mero oportunismo, seja de caso pensado, colaboradores podem extraviar informações sigilosas com intuito de usar (ou se proteger) do futuro.
- Reparação de “injustiças”. Seja qual for o motivo (real ou não), é bastante comum pessoas sentirem-se injustiçadas no ambiente de trabalho e buscarem formas de reparo ou simples vingança. Ao invés de procurarem o Judiciário, não são raros os casos onde (ex-)colaboradores usarem informações vazadas para fazer justiça com as próprias mãos.
Para combater as ameaças internas, seguem 5 dicas de eficiência comprovada:
- Conscientização: É fundamental que cada membro da organização entenda que as informações corporativas não são de propriedade pessoal, (e que autoria é diferente de propriedade) que haverá responsabilização legal nos casos de incidentes. Além disso, é importante comunicar de forma clara, objetivo e recorrente dos riscos de vazamento. Claro, é também importante que cada um dos colaboradores saiba diferenciar informações sensíveis daquelas sem necessidade de proteção;
- Formalização: A proteção última contra vazamento de informações é a Justiça comum. Por isso os deveres e responsabilidades dos colaboradores devem ser formalizadas preferencialmente através de um Programa de Integridade, de Compliance, da qual a Política de Segurança (implementada e seguida) é um dos capítulos, a assinatura de NDA, um termo individual de sigilo, com cada colaborador, em que ele toma conhecimento do Código de Ética e das Normas Internas sobre uso de ativos virtuais e de informações Confidencias e da Política de Segurança da empresa é essencial. A existência de Normas, Políticas e Regulamentos internos tratando desse e de outros assuntos relevantes, Publicadas, Registradas em Cartório e disponíveis na Intranet da Empresa é essencial;
- Necessidade do Conhecimento: Benjamin Franklin dizia: “Três pessoas são capazes de guardar um segredo somente se duas estiverem mortas”. É um pouco radical, mas também é muito intuitivo que quanto maior o número de pessoas envolvidas com uma determinada informação sigilosa, menos tempo ela permanecerá assim. Posto, é importante implementar o chamado “princípio da necessidade do conhecimento” onde uma pessoa dentro da organização somente deve ter conhecimento de algo se imprescindível. Evidentemente que isso não impede vazamentos, mas compra tempo e em se tratando de informação sigilosa, tempo é um fator essencial;
- Criptografia: Segundo relatório Ponemon/IBM 2017 sobre vazamento de dados, a resposta técnica de maior eficiência na proteção de dados sensíveis é ter uma estratégia de criptografia – ou seja, uma coordenação transversal na organização do uso das proteções de cifração (encriptação) de dados, indo da criptografia dos dados desde a coleta, armazenagem em banco de dados, leitura até a proteção de credenciais de usuários;
- Monitoramento: O monitoramento pode e deve ser realizado em diversos eixos: estar atento ao comportamento dos colaboradores, monitorar o endpoints de usuário (computadores, equipamentos móveis, uso de mídias removíveis), rede, acesso às bases de dados, e-mails e outros canais de comunicação. Para o monitoramento técnico, existem diversas soluções. Para empresas de porte médio em diante, o estabelecimento de um SOC (Security Operations Center) ou a contratação de serviços gerenciados de segurança de monitoramento são recomendáveis.
Além das dicas acima, existem diversas outras contramedidas que podem ser implementadas. O ideal, no entanto, é começar com uma avaliação da postura de segurança da sua organização, identificando os principais gaps em termos de maturidade no assunto.
Dr. Roberto Gallo atua desde 1999 na área de segurança cibernética. É fundador e diretor executivo da KRYPTUS Segurança da Informação e coordenador do Comitê de Segurança e Riscos Cibernéticos da ABES.