Mundo sem lei: como se prevenir de vazamento de dados na internet

São raras as pessoas e corporações que não temem em ter suas informações pessoais e sensíveis, guardadas em computadores ou dispositivos móveis, nas mãos de terceiros. Mas, também podemos dizer que são poucas as pessoas que além de se preocuparem fazem algo preventivo. O país está acompanhando nas últimas semanas o caso de uma atriz que teve suas fotos íntimas divulgadas na internet. Apesar do constrangimento da vítima, no caso da artista, as fotos podem até ter aumentado sua popularidade. Mas o que aconteceria se ao invés de fotos fossem informações restritas e estratégicas da sua empresa? Uma coisa é certa, o retorno nunca seria positivo.

Deparamos-nos constantemente com notícias de vazamento de informações de grandes corporações, tanto referente às suas informações sensíveis, que acarretaram muitas vezes em prejuízos, processos judiciários e desvalorização da marca, quanto do vazamento de informações de clientes, como dados pessoais e bancários. Como gestor, você sabe onde estão seus ativos de informação, quem possui acesso, propriedade deles? Caso não esteja tão certo, vale a pena pensar em implantar um bom processo de gestão e controle tecnológico condizente com o valor destas informações.

Todos nós possuímos em nossos computadores, e até celulares, informações privadas, sejam elas fotos, vídeos e/ou dados bancários. No caso de roubo dessas informações, toda pessoa ou companhia passa a ser refém desse “cracker”, como é chamado o hacker que age para o mal. Já que essa pessoa pode fazer uso das informações divulgando-as na internet para acesso de todos (maneira mais rápida da vítima ficar sabendo do roubo) ou pode simplesmente guardar as informações com ela a até mesmo inserir um “trojan” que monitore passo a passo da vítima ou empresa naquele dispositivo, sem que estes desconfiem, uma vez que a maioria desses criminosos apenas fazem cópias das informações, mantendo o original com a vítima.

No Brasil ainda não temos uma legislação ou normas que atuem com crimes cometidos na internet, apesar de existirem Projetos de Leis e discussões públicas há anos, assim, a vítima precisa usar a legislação já existente para se proteger ou fazer justiça sobre este crime. O caminho não é fácil. A vítima terá problemas para processar, dificuldade para provar a fraude, sem contar a briga geográfica, pois o vazamento da informação pode ter se iniciado em outra cidade, estado ou país.

Para evitar situações como esta, há um caminho mais simples, a criptografia das informações. Assim, uma informação roubada nas mãos de terceiros serão apenas símbolos ilegíveis e impossíveis de serem decifrados. A criptografia pode ser utilizada de diversas maneiras, desde simplesmente cifrar um disco rígido, um email ou até mesmo um banco de dados corporativo. Usualmente a criptografia vem associada a dois fatores de autenticação para o acesso a informação através de sua chave criptográfica, como algo que você sabe (senha) e algo que você tem (token).

Para as empresas que não são adeptas da crença de que “nunca vai acontecer comigo”, o jeito é a prevenção. Além da criptografia, os riscos de vazamento de informação estão fazendo com que várias companhias voltem suas atenções para ferramentas de Data Loss Prevention (DLP). A solução, que controla e monitora as informações sensíveis, ajuda a prevenir que usuários tenham acesso a dados não autorizados e os levem para fora da companhia.

Numa era digital, prevenir o vazamento de informação é um desafio constante, já que novas maneiras de crimes são descobertas quase que diariamente. A única solução de se ter sucesso na segurança de suas informações é a inclusão de atividades a mais nos seus processos, como por exemplo, passar a criptografar tudo aquilo que for restrito, como no caso de um email, texto, foto, ou outros. Mas, afinal, o que são alguns segundos a mais em comparação ao tempo que pode ser dedicado a reparação dos prejuízos.

.Por: Umberto Rosti é Administrador, sócio-fundador da SafeWay Consultoria, com MBA em Tecnologia pela FGV, possui mais de 13 anos de experiência atuando principalmente com Segurança da Informação em consultoria e auditoria. Também é certificado CISA, CRISC e professor de pós-graduação em Segurança da Informação, além de participar de organizações como ISACA e CB21.