Até recentemente, a ideia de que um dos funcionários da empresa cometeria traição e comprometeria dados confidenciais era praticamente inconcebível. O consenso foi que as ameaças à empresa vêm de fora, não de dentro, e as medidas de segurança foram criadas de acordo. Isso mudou drasticamente quando o mundo soube de Edward Snowden – um contratado até então anônimo que roubou e vazou arquivos confidenciais da NSA.
Além do caso Snowden, um relatório revelador da “Boscom” também desafiou a noção de que a principal ameaça aos dados de uma empresa vem de fora: de hackers, espiões industriais e outros concorrentes. Este relatório revela um fato perturbador: quase oitenta e cinco por cento dos ex-funcionários de qualquer empresa deixaram seu local de trabalho com dados confidenciais – se não com documentos reais. Embora o roubo de Snowden da NSA tenha sido visível e digno de notícia em nível global, o relatório da Boscom mostra como é fácil para os funcionários em todos os lugares simplesmente saírem com tesouros de dados confidenciais.
Diante do exposto, é fácil entender por que as empresas têm dificuldade em manter a segurança dos dados, especialmente quando o maior risco vem de seus próprios funcionários e quando o acesso dos funcionários aos dados é vital não apenas para seu trabalho, mas para o sucesso da empresa em geral. É por isso que a solução de restringir o acesso aos dados, que é a resposta intuitiva, é problemática – diminui inerentemente a capacidade de funcionamento da empresa. Então, isso significa que as empresas se deparam com um problema para o qual não há solução?
Vejamos esse enigma por meio de um cenário prático que é relevante para o nosso setor: uma corretora Forex. Uma corretora tem vários departamentos, cada um dos quais precisa acessar determinados dados para funcionar adequadamente. De representantes de vendas a membros da equipe de marketing (por exemplo, profissionais de marketing por e-mail), vários aspectos das informações do cliente devem ser visíveis para pessoas diferentes e apenas um software adequado pode garantir a compartimentalização. É quando os funcionários ficam a par das informações que eles não devem ver que as maiores violações de segurança se tornam possíveis – e é por isso que a importância da compartimentalização não pode ser enfatizada o suficiente. É a única maneira pela qual uma corretora pode proteger as informações de possíveis ameaças internas, sem comprometer a produtividade.
Em um nível técnico, as duas ferramentas mais importantes à disposição de uma corretora são um bom CRM e uma boa criptografia. O primeiro permite que a administração determine quem tem acesso a quais dados e o segundo impede que pessoas não autorizadas acessem informações por meio de computadores que não sejam da empresa (“hackers”). Outro benefício de uma boa criptografia é que ela impede que funcionários desonestos enviem dados confidenciais, pois é inútil sem a decriptografia adequada, que eles não possuem.
Para melhor implementar essas contramedidas, é importante primeiro decidir sobre uma política de segurança de dados que será suportada e implementada por esses meios. Isso significa que as medidas técnicas são determinadas pela política, não pela política pelos meios disponíveis. Além das medidas técnicas empregadas, a administração também deve definir claramente as regras e regulamentos internos, como proibição de drives USB na propriedade da empresa, proibição de fazer logon com o nome de usuário de um funcionário diferente e muito mais. Embora isso pareça óbvio, nada é óbvio quando se trata de proteger seus dados.
Edward Snowden tornou visível a vulnerabilidade dos dados. Afinal, se a todo-poderosa NSA é vulnerável a roubos, onde está o resto de nós? Mas, no contexto do setor privado, contramedidas adequadas diminuem significativamente a vulnerabilidade de uma empresa. Com Snowden em mente, também é preciso ter em mente a identidade de quem está roubando informações e seus recursos: as agências nacionais de inteligência têm mais recursos do que uma empresa concorrente e seus agentes estão dispostos a correr riscos maiores para obter informações. Pessoas como Snowden roubam informações por razões ideológicas, enquanto a inteligência de negócios é impulsionada por dinheiro e lucros. Portanto, as contramedidas necessárias para impedir o roubo no setor privado também são mais acessíveis e acessíveis.
No final das contas, vivemos em um mundo onde nossos dados estão constante e continuamente em risco, no entanto, também existem muitas soluções tecnológicas e procedimentos operacionais padrão que reduzem significativamente esse risco. Lembre-se de que você precisa estar vigilante e à frente de possíveis ameaças, mas lembre-se também de que mesmo essas ameaças, por mais significativas que sejam, também são gerenciáveis e que manter a segurança dos dados não precisa prejudicar a produtividade e os lucros.
