Insiders: uma breve reflexão sobre o caso Edward Snowden

Edward Snowden, 30 anos, era analista da poderosa NSA (Agência Nacional de Segurança dos Estados Unidos) quando revelou detalhes de alguns programas de monitoramento de informação que a Agência utilizava contra cidadãos americanos e estrangeiros, até mesmo em redes sociais como Facebook, Youtube e Skype.

O que se seguiu às denúncias, estamos acompanhando até agora, com a busca de Snowden por asilo em países claramente contrários aos Estados Unidos, como Equador ou Cuba. Os transtornos que Evo Morales, presidente da Bolívia, passou para que seu voo oriundo de Moscou chegasse à La Paz são bons exemplos do tamanho da encrenca.

Não quero hoje entrar aqui no mérito do absurdo que representa este monitoramento, nem tergiversar sobre a completa perda de privacidade do mundo em que vivemos. Meu ponto é sobre o risco que os funcionários com mais acesso à informação (tipicamente os TI) representam para as empresas. Muito provavelmente, este risco é muito maior do que o de ataques externos para furto de informação sigilosa e com absoluta certeza há muito mais medidas de defesa em prática contra ataques externos do que há para evitar vazamentos internos.

As ferramentas de DLP (Data Leak Prevention) que existem justamente para evitar vazamentos de informação quase sempre são ineficazes, pois as empresas fazem um trabalho claramente insuficiente na classificação da informação e na gestão de seu ciclo de vida. Aqui no Brasil, como de praxe, estamos ainda atrasados e poucas de nossas empresas sequer utilizam alguma solução de DLP.

Aos poucos, temos visto mais empresas desenvolverem termos de confidencialidade para seus funcionários com acesso privilegiado à informação (como os de TI) e acho que este caminho faz todo o sentido em nosso país, pois torna mais fácil o controle e, eventualmente, as punições. Treinamento e conscientização, como sempre, seriam parte da solução, mas sabemos que quase nada se faz neste sentido. Principalmente no Brasil. Por aqui é quase certo que um profissional leve de uma empresa para a outra informações da empresa de onde veio, às quais teve acesso enquanto lá trabalhava sem ao menos desconfiar que isso é ilegal e fere a ética.

Resta-nos reforçar os controles em nossas empresas, principalmente sobre o pessoal de TI: termos de confidencialidade bem embasados e revisados periodicamente; e muito, muito treinamento e conscientização para diminuir os episódios de vazamento de informações. Digo, diminuir, porque evitar é virtualmente impossível.

.Por: Flávio Carvalho, diretor de Serviços da Arcon serviços gerenciados de segurança.