O vazamento de informações corporativas tem permeado com certa freqüência os principais veículos de comunicação com notícias nada agradáveis para as empresas e entidades envolvidas. Além disto, este problema tem se consolidado cada vez mais como uma das principais ameaças à segurança da informação. Uma rápida consulta ao Google poderá facilmente corroborar esta afirmação e para os mais céticos recomendo a leitura dos recentes casos noticiados pela mídia especializada.  

Para equacionar este tipo de problema o que todos buscam é uma solução mágica, lamento informar, mas isto não existe. Um dito popular afirma que “um segredo somente é um segredo enquanto uma só pessoa o conhece”, assim sendo, comente o seu segredo com uma outra pessoa e ele já estará comprometido. Exageros a parte, o fato é que o problema do vazamento de informações corporativas tem um fator determinante, são as pessoas - o elo fraco da corrente da segurança da informação.  

E o que fazer então? Ficar de braços cruzados não é mais possível. Diante desta realidade é que realizei uma pesquisa com alguns profissionais de segurança da informação envolvendo consultores, security officers e professores a respeito do tema. A referida pesquisa foi estruturada com a apresentação de 17 medidas para mitigar este tipo de ocorrência, uma vez que, em segurança da informação a única certeza é que nada é 100% seguro, portanto, buscávamos apenas a percepção dos entrevistados quanto às medidas sugeridas. 
 
As 05 principais medidas recomendadas pela pesquisa por ordem de importância foram: (1) Realizar campanhas de conscientização, (2) Controlar o uso de mídias removíveis, (3) Monitorar o uso do e-mail corporativo dos funcionários, (4) Adotar uma política de Sanções Disciplinares e (5) Criar processos para o descarte de informações confidenciais (exs: fragmentadoras, coleta seletiva do lixo, etc.). 

O item mais importante identificado foi o processo de conscientização, muito embora pareça óbvio, muitos ainda acreditam que isto não traz resultados práticos. Acredito que a adoção de um mix seria o ideal, ou seja, aliar processos, tecnologias e pessoas. Entendo também que somente o processo de conscientização por si só não resolverá o problema é preciso também punir. O item ter uma Política de Sanções Disciplinares foi apontado também como sendo de extrema relevância. Contudo, é importante enfatizar que a punição deve ser aplicada de forma justa evitando-se os excessos. Uma recomendação final sobre a Política de Sanções Disciplinares é que seja amplamente divulgada de tal forma que todos tenham um conhecimento prévio das principais sanções as quais estão sujeitos, pois isto será um importante fator para desencorajar os incautos. O item controle de mídias removíveis também foi apontado como sendo o 2º mais importante, contudo, se atuarmos fortemente no 1º deles, acredito que ele terá menos importância, concordam?

AS QUESTÕES

1. Monitorar as estações de trabalho através de softwares específicos.
2. Controlar o uso de mídias removíveis.
3. Adotar uma política de sanções disciplinares.
4. Realizar campanhas de conscientização.
5. Treinar as pessoas para evitar o vazamento de informações por erro no uso de ferramentas da empresa.
6. Aplicar testes psicológicos nos processos de seleção para reduzir a contratação de funcionários com desvio de conduta.
7. Adotar um código de ética.
8. Monitorar os e-mails dos funcionários.
9. Adotar soluções de criptografia, antispyares, dentre outras.
10. Adotar uma política de Tela Limpa x Mesa Limpa
11. Treinar as pessoas quanto às informações passadas por telefone, fax, e e-mail – prevenção quanto à engenharia social.
12. Instruir e treinar as pessoas quanto ao uso das impressoras para evitar o esquecimento de documentos confidenciais.
13. Proibição de uso de celulares, PDAs, iPODs, Handhelds nas áreas que tratam com informações sensíveis.
14. Evitar deixar informações sensíveis expostas em salas para reuniões.
15. Realizar varredura ambiental para prevenção de escuta telefônica e outros recursos de espionagem.
16. Criar processos para o descarte de informações confidenciais, tais como fragmentadoras e coleta seletiva de documentos.
17. Controlar o uso de internet e proibir o acesso ao webmail pessoal.

Antônio Everardo Nunes da Silva, Gerente de Segurança da Informação / BICBANCO