Estudo divulgado pela Symantec, empresa especializada em segurança da informação, apontou que 62% dos profissionais brasileiros que mudam de emprego levam consigo informações confidenciais das empresas. E os motivos são os mais diversos, indo desde utilizar os dados na nova companhia (56%) até o sentimento de posse pela informação (40%).
Esse levantamento revela um (triste) cenário digital que presenciamos hoje, repleto de facilidades para a gravação, compartilhamento e envio de arquivos via pendrive, CD, e-mail e, também, mostra a dificuldade das organizações em proteger informações sigilosas. Dados recentes do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.Br) mostram um aumento de 197% de incidentes de segurança da informação no país em 2014, sendo que 45% deles representam tentativas de fraude. Anualmente, as empresas perdem cerca de 5% do faturamento devido a fraudes relacionadas a vulnerabilidades de TI, de acordo com a Association of Certified Fraud Examiners.
Esse problema vem exigindo que as companhias adotem softwares e soluções eficientes para proteger suas informações, promovendo a prevenção contra a perda de dados (Data Loss Prevention ou DLP). Porém, atrelado a isso está o comprometimento do RH e da empresa, junto ao departamento de TI, em fornecerem os acessos corretos para cada área e função, além de informarem adequadamente as políticas de uso dos dados, com a criação de documentos legais que respaldem a organização ao não compartilhamento de informações.
Atualmente, o mercado oferece diversas soluções baseadas em software DLP concebidas para detectar e coibir o vazamento de informações consideradas sensíveis ou confidenciais para a organização, como explica Carlos Sant’Anna, especialista em segurança da Arcon, empresa referência em serviços gerenciados de segurança. “Essas soluções podem abranger, inclusive, o uso de smartphones. Ao adotar o uso de controles como esse, deve-se ter em mente que o objetivo é alcançar um ponto de equilíbrio aceitável na proporção de risco que a organização está disposta a correr, e não uma mitigação de 100% dos riscos envolvidos, até porque não existe segurança 100%”, diz.
Mas, segundo Carlos Rodrigues, country manager da Varonis, empresa de tecnologia especializada em governança de dados não estruturados, hoje já é possível rastrear quem acessou determinada informação e o que o usuário fez com ela. “Algumas ferramentas permitem verificar tudo o que o usuário acessou em termos de informação, e quando. A partir do momento em que é possível ver essa trilha do usuário na rede, é fácil verificar se houve algum vazamento de informação, e o que pode ter ocorrido”, conta. Com os softwares, é possível fazer a gestão de dados não estruturados como arquivos de texto, planilhas, apresentações, e-mails. “É dessa forma que auxiliamos as empresas a gerir a informação de forma efetiva, evitando que usuários não autorizados acessem dados que podem expor a organização de alguma forma”, relata Rodrigues.
A ICTS, empresa de consultoria, auditoria e serviços em gestão de riscos, também auxilia as empresas na prevenção de fraudes, vazamentos e roubos de dados e ruptura operacional por meio de uma metodologia que visa o conhecimento dos riscos do negócio e seus impactos. As soluções incluem desde o levantamento, tratamento e monitoramento ativo e remediação de vulnerabilidades até a criação de um site para alertar sobre os riscos em tecnologia da informação. “O site [www.gestaodevulnerabilidades.com.br] surgiu a partir do momento em que foi identificada a necessidade de oferecer uma visão pragmática dos riscos de TI, e alertar que as empresas estão suscetíveis a eles”, relata Marco Ribeiro, gerente-executivo da ICTS Protiviti. É por meio do portal que a empresa disponibiliza a metodologia que permite prevenir, conhecer, corrigir e avaliar vulnerabilidades para o controle dos riscos de informações. Para Ribeiro, “o monitoramento contínuo e a implementação adequada de padrões efetivos de segurança são fundamentais para a proteção do negócio”.
Acesso restrito
Anos atrás, a grande onda das empresas foi a de limitar o acesso físico aos dados, não permitindo a utilização de dispositivos de gravação; porém, nada impedia que alguém acessasse alguma informação e a enviasse por e-mail, por exemplo. Por isso, é importante que as empresas estabeleçam controles internos para a informação de quem acessa determinado dado e quando pode fazê-lo. “Essa é a maneira mais efetiva de garantir que um usuário mal-intencionado não tenha acesso a dados que podem comprometer a organização, ou seus clientes”, aconselha Rodrigues.
Para Sant’Anna, da Arcon, assim como houve um grande crescimento de transações on-line de pessoas físicas, o universo corporativo também expandiu suas operações e transações para a Internet, com a troca de e-mails e informações de diferentes níveis de criticidade e, como consequência, a oportunidade de roubo de informações, ataques a sistemas de gestão (ERPs) e informações sensíveis. “Por isso, atualmente o processo de proteger informações corporativas recai não somente sobre a tecnologia, mas também sobre pessoas e processos”, diz.
Gestão da Informação
Para evitar riscos, é importante que o RH e a empresa estejam engajados em assegurar que os colaboradores sejam formalmente comunicados e instruídos sobre as políticas de segurança da empresa por meio de iniciativas e campanhas internas de divulgação. Para Sant’Anna, os colaboradores devem assinar um termo de responsabilidade, atestando sua concordância em seguir as regras apresentadas e manter sigilo quanto às possíveis informações sensíveis acessadas por eles durante o curso normal de suas atividades diárias.
Para Ribeiro, da ICTS, as empresas investem em alta tecnologia, hardwares e softwares, mas a segurança se faz com padrões e processos. “Não adianta ter os melhores equipamentos se não houver configurações adequadas de segurança para o controle. A responsabilidade sobre a segurança da informação não deve estar atrelada à área de TI, mas sim estar diretamente ligada à área de governança, compliance, riscos”, conta.