Recentemente acredito que todos acompanharam o incidente do roubo de equipamentos da Petrobrás contendo informações altamente sigilosas e estratégicas. Muito embora as investigações iniciais por parte da Polícia Federal apontavam para um caso de espionagem industrial, segundo entrevistas do próprio superintendente da PF, Jacinto Caetano em artigo publicado no site Folhaonline. Entretanto, o desfecho deste incidente mostrou que foi apenas um caso roubo de equipamentos.

Contudo, as conseqüências deste episódio poderiam ter sido muito mais danosas para aquela empresa considerando o tipo de informação guardada nos referidos equipamentos. Dessa forma, cabe fazer aqui algumas reflexões sobre este incidente, ou seja, aprender com o erro dos outros.  
1º) Por que informações tão importantes foram despachadas em um contêiner?
2º) Por que pelo menos 45 pessoas possuíam condições de abrir o referido contêiner, pois eram detentoras de cópias da chave? Isto não é um número elevado, considerando a importância do conteúdo transportado? Será que a empresa Halliburton responsável pelo transporte foi devidamente avisada sobre a importância deste conteúdo? 
3º) Por que tais informações não estavam criptografadas (cifradas) de forma a garantir o seu sigilo?
4º) Será que todos os envolvidos no transporte deste conteúdo possuíam noções dos riscos envolvidos quanto à segurança destas informações? Foram treinadas para tal?
5º) Será se existem procedimentos escritos para o tratamento destes casos? E se existem, porque não foram observados?
São perguntas que somente a Petrobrás poderá responder. 

A priori, nos parece que a Petrobrás cometeu um erro básico quando o assunto é segurança da informação. O erro de acreditar que este tipo de incidente somente ocorre com nosso vizinho. Aviso aos incautos: o nosso vizinho também pensa a mesma coisa.

Corroborando esta afirmação, vejamos o resultado de uma enquete realizada pelo site IT Web intitulado: “Como a sua empresa protege informações em notebooks?”. Os resultados parciais apresentados em 20.02.2008 são:
Criptografia 15,79%
Uso de tokens 7,89%
Uso de senhas 15,79%
Programas de conscientização 7,89%
Biometria 5,26%
Não há proteção para dados em notebooks 47,37%

O resultado dessa enquete destaca que 47,37% das empresas ainda não adotaram nenhuma medida para proteger o conteúdo neste tipo de dispositivo, portanto, concluímos que a maioria das empresas ainda não tomou nenhuma medida para mitigar este tipo de risco, ou seja, a percepção de que isto somente acorre com o vizinho ainda persiste.    

Que lições podemos aprender com este tipo de incidente?
(1º) Não podemos ficar alheios este problema, pois ele também pode acontecer conosco.
(2º) Informações estratégicas e confidenciais da empresa devem ser protegidas adequadamente, já existem mecanismos que permitem isto.
(3º) O uso de notebooks é uma realidade assim como é também uma realidade o que número de furtos destes equipamentos vem crescendo vertiginosamente e isto não pode ser simplesmente ignorado e deixado para amanhã.
(4º) Nunca ignorar o elemento humano no processo da segurança. O treinamento deve ser constante bem como deve envolver todos aqueles que se utilizam deste tipo e equipamento.   
(5º) A terceirização de informações sensíveis deve, na medida do possível, ser evitada. Entretanto quando isto não for possível, controles adicionais devem ser adotados para mitigar o risco.

Fica, portanto a seguinte mensagem final:
“Quanto o assunto é Segurança da Informação é preferível aprender com o erro dos outros”.

Autor: Antônio Everardo Nunes da Silva
Gerente de Segurança da Informação do BICBANCO
Referências:

JUNIOR, Cirilo. PF descarta hipótese de crime comum em furto de dados Petrobrás. Folha Online. Rio. Disponível em: http://www1.folha.uol.com.br/folha/dinheiro/ult91u373793.shtml Acesso em: 20.02.2008.

Portal IT Web – O Ponto de encontro da comunidade de tecnologia da informação. Enquete: Como a sua empresa protege informações em notebooks? Disponível em: http://www.itweb.com.br Acesso em: 20.02.2008