Parta do princípio de que não existe zero por cento de risco. Por mais que todas as portas estejam protegidas (a última moda tem sido bloquear USB), que os processos sejam bem-estruturados e haja normas e código de ética, o elo mais fraco da segurança chama-se pessoas. E não há maior vulnerabilidade que funcionário insatisfeito. Ou seja, todo o imenso investimento para proteger as informações cruciais pode ir por água abaixo se a companhia descuidar do que ela tem de mais importante: os profissionais que ali trabalham.
Especialistas em segurança assinalam que o descontentamento do colaborador pode levá-lo a cometer infrações. A desmotivação somada à identificação de alguma brecha na segurança representa uma bomba-relógio. ?Um funcionário que tem metas inatingíveis, trabalha em uma estrutura de opressão, não se sente confortável, não tem perspectivas de desenvolvimento na carreira, isto tudo cria um ambiente propício para executar um ato ilegal?, aponta Frank Meylan, sócio da KPMG para área de Risk Advisory Services.
Então, a primeira medida para impedir o vazamento de informações é deixar o colaborador do lado da empresa. Há duas décadas na HP, o diretor de recursos humanos, Jair Pianucci, logo avisa que não há formula pronta para isto. ?Contrate certo, faça permanentemente programas de engajamento para as pessoas sentirem que vale a pena trabalhar na empresa e consiga continuamente melhorar o conhecimento, as habilidades e as atitudes dos funcionários?, ensina.
Ser seletivo na escolha do tipo de profissional significa também buscar mão-de-obra que se assemelhe à filosofia da empresa. Neste aspecto, a companhia, antes de tudo, precisa decidir qual tipo de organização quer ser, pois tais características têm ligação direta com o direcionamento de sua política de segurança. ?Se quiser extrair o melhor das pessoas, não pode colocar uma série de restrições. Quando começa a dizer que nada pode, torna-se a empresa do não-pode. Assim, as pessoas vão usar a criatividade em outro lugar e não onde estão?, exemplifica Pianucci.
Dois lados da restrição
Investir no bem-estar para combater a fraude. A receita da Sara Lee Cafés do Brasil tem dado certo, conforme conta o gerente de TI, Mauricio Arguello. Na fabricante das marcas Pilão, Café do Ponto, Seleto, Caboclo e União, as informações extremamente importantes são de conhecimento restrito, como a composição dos produtos que apenas duas pessoas da área técnica sabem a fórmula inteira. Já para garantir o sigilo a outros dados (estratégia de vendas e marketing, números financeiros, entre outros) é realizada campanha de conscientização com os funcionários.
Mensagens instantâneas e webmail não podem, mas não há monitoramento do e-mail corporativo. E quanto às portas USB? ?É um problema hoje. Se você fechar demais, tira praticidade das pessoas, então, não fechamos. É uma questão de balancear o risco e agilidade?, responde Arguello. Ele defende que, ao restringir, a corporação cria pessoas insatisfeitas, porque não conseguem fazer nada. ?Restringir muito não é legal. Só deixa os funcionários mais nervosos e com vontade fazer alguma transgressão?, salienta.
Na contramão, Meylan recomenda o bloqueio de acesso aos mecanismos de entrada e saída de dados. O especialista afirma que, em algumas empresas, a prática é comum há algum tempo, como em segmentos financeiros, de engenharia ou que trabalhe com segredo industrial. ?Mas não adianta você blindar a estação, se permitir que os funcionários entrem com celular com câmera. Por isto, recomendamos que em determinadas áreas críticas não se possa entrar com qualquer dispositivo eletrônico.?
A tendência, de acordo com ele, é cada vez mais restringir o ambiente por causa das vulnerabilidades, agravadas, por exemplo, pela popularização dos celulares que permitem sincronização e contam com uma série de interfaces. ?Se antes a fronteira da rede da empresa era clara ? acesso à internet com conexões monitoradas ?, hoje, com smartphones, há outros caminhos. O risco aumenta. As companhias têm de adequar suas políticas, normas, controles internos e monitoração à medida que surgem novos dispositivos.?
Fechar as portas, no entanto, implica em andar na direção contrária do mercado, que pede por mais interação. O desafio para as companhias ? e, consequentemente, seus diretores de TI ? é balancear os benefícios que os recursos oferecem frente aos riscos que eles agregam ao ambiente corporativo. ?O balanceamento deve levar em conta o perfil de atividade do departamento dentro da corporação. Hoje, não existe uma política única para toda a companhia?, admite Meylan.
Políticas estruturadas
Ao criar políticas das diretrizes gerais da corporação (como cartilhas de conduta), normas direcionadas a atividades específicas de uma determinada área e procedimentos para realização das atividades, as companhias deixam claras suas regras para que possam a cobrar discernimento dos funcionários. De posse da definição da linha geral da segurança, a empresa implementa os controles. Mas esta é apenas uma primeira etapa: deve-se assegurar que os controles serão seguidos no dia-a-dia, por meio de monitoramento e auditoria dos processos.
No Magazine Luiza, depois de cancelar a permissão de uso do software para mensagens instantâneas MSN, em 2005, devido ao mau uso, a rede varejista recuou da decisão por entender o MSN como uma ferramenta de trabalho. ?Não havia controle sobre o que era conversado, o tipo de informação trafegada e arquivos que poderiam ser trocados?, explica o analista de segurança da informação, Jederson Freitas.
A solução foi adotar um sistema (IM Control, da Octopus Tecnologia) para gerenciar desde o tempo e com quem o funcionário trocou mensagens até o conteúdo das conversas, que são gravadas para eventual análise de histórico. ?Criamos uma política de uso junto com o jurídico. Tudo é registrado e poderá servir como prova. E, a cada 30 minutos, o sistema avisa o funcionário e seu contato que ambos estão sendo monitorados para que eles não tenham a sensação de privacidade?, ressalta. Hoje, pouco menos de 700 pessoas usam MSN na empresa.
Os processos de segurança do Magazine Luiza encontram-se no portal interno, no qual constam as políticas divulgadas. ?Ainda não temos política para tudo, mas, sempre que notamos a necessidade de uma específica, criamos junto com os departamentos jurídico e de RH?, esclarece. Além do MSN, os e-mails dos funcionários também são monitorados ? e eles estão cientes disto. Porém, mais eficaz que qualquer política, Freitas defende a constante conscientização.
A criação de um código de conduta representa para a Hewlett-Packard sua ?grande cerca?. O conjunto de normas que a empresa considera aceitável e ético ? ou não ? no tratamento da informação é passado para os colaboradores em um processo educativo. ?Ensinamos o que é certo e errado em termos de informações, pois isto, às vezes, não está claro para todos?, aponta o diretor de RH, Jair Pianucci.
No que diz respeito ao tratamento de informação, a companhia considera três rótulos: restrito à HP (circula entre qualquer um, desde que dentro da HP), confidencial (informação restrita a uma comunidade dentro da HP) e privado (super-restrito). Com base nesta categorização, o gestor de cada área classifica as informações. ?Já tivemos casos de vazamento de informação. É demissão imediata, sem discussão. Se ocorre, investigamos?, conta.
Contra vazamentos
No caso do Hospital Israelita Albert Einstein, o fator mais crítico é o sigilo médico: dados sobre os pacientes não podem vazar de maneira alguma. Acreditado pela Joint Commission International, o Einstein tem de seguir os padrões rigorosos especificados pela organização não-governamental norte-americana. Há um capítulo sobre segurança da informação, que aponta, entre outros, como guardar, digitalizar e arquivar os prontuários. Com base nisto há ações e políticas para resguardar as informações físicas, eletrônicas e verbais.
A grande preocupação com o prontuário físico diz respeito a quem pode ter acesso a ele e em qual local deve ser guardado, com objetivo de evitar exposição a quem não estiver envolvido com o paciente. Com relação à parte eletrônica, o diretor-executivo de TI, Sergio Arai, esclarece que as políticas de acesso a sistemas, arquivos ou base de dados incluem monitoramento 24×7 e auditorias periódicas. ?Só tem permissão para ver as informações do paciente quem tiver ligação à assistência dele.?
A conduta orienta ainda o tratamento com relação ao que é transmitido verbalmente. Recomenda-se, por exemplo, evitar fazer comentários em lugares públicos e sempre que o fizer verificar quem são as pessoas que estão ao redor. Regras, como fugir do envio de e-mails com dados de paciente, constam de um conjunto de normas do hospital. Ao ingressar no Albert Einstein, todos os funcionários assinam um termo de confidencialidade e recebem treinamento sobre itens de segurança e sigilo. ?O mais complicado, sem dúvida, é a parte comportamental das pessoas; o trabalho maior é de conscientização?, ressalta Arai. No hospital, há um grupo de oito pessoas, composto pelo diretor de prática médica, de TI, de RH, de prática assistencial, jurídico e representantes das áreas assistenciais das unidades grandes, que se reúne para discutir a gestão da segurança.
Palavras-chave para a gestão da segurança, conscientização e treinamento devem acompanhar a trajetória de todas as corporações, independentemente do ramo de atuação. Os funcionários precisam estar cientes adequadamente da importância da informação que utilizam. Ou seja, se o funcionário não souber a relevância do dado que maneja, não saberá protegê-lo adequadamente. Na equação pessoas versus processos, o especialista em segurança CISM e CISA, Edison Fontes, defende que, se houver pessoas bem-orientadas, mesmo sem um processo formal, a organização conseguirá fazer a gestão. ?Por outro lado, ter processos não significa que as pessoas vão cumpri-los?, acrescenta.
Na era da sociedade da informação e do trabalho intelectual, quando o conhecimento representa o bem mais valioso, as políticas de segurança têm de ser muito bem-estruturadas para não atuar como um mecanismo que impeça o trabalho. Se, por um lado, a evolução tecnológica aumenta os riscos de invasão e, de certa maneira, o vazamento de dados, por outro, permite uma flexibilidade jamais vista. Fechar todas as portas ou restringir o uso de ferramentas não significa blindar a empresa. ?A segurança não está tanto no meio físico. Tudo que é trabalho intelectual ? o grande patrimônio das empresas de TI ? está principalmente guardado no cérebro das pessoas?, assinala Jair Pianucci.
