Home > Tendências

Convivendo com o inimigo (no escritório)

Suas informações confidenciais estão indo para os concorrente? E um colaborador pode ser o responsável? A boa notícia é que você pode combater os riscos internos com um conjunto de boas práticas

Roberto Gallo *

29/03/2018 às 19h04

bisbilhoteiro_557355178.jpg
Foto:

Sabe
aqueles dados confidenciais do CRM, a sua lista de clientes, as suas
planilhas de formação de preços, os seus planos estratégicos?

Tenho duas notícias, ambas más: a chance que aconteça um vazamento na sua empresa em 2018 é de cerca de 40% [pesquisa Ponemon/IBM 2017]. E em metade dos casos envolverá alguém de confiança da sua equipe.

Nota:
antes de continuar para as dicas, quero dizer que você precisa ter
confiança nos seus colegas e na sua equipe: eles são a alma da empresa,
aquilo que a faz funcionar. E a esmagadora maioria é honesta. Também é
importante ser realista: mesmo pessoas honestas podem eventualmente
serem tentadas a cometer um desvio. É importante, portanto, prevenir,
monitorar e controlar e – claro – separar o joio do trigo.

Feito esse "disclaimer", a boa notícia é que você pode combater os riscos internos com um conjunto de boas práticas.

Em primeiro lugar, no entanto, é importante entender as principais causas e motivações das ameaças internas em uma empresa:

Sentimento de "propriedade"
sobre as informações. Muitos colaboradores, pelo fato terem ajudado na
criação ou mesmo compilação de informações sigilosas sentem-se donos das
mesmas, confundindo uma eventual autoria com direitos sobre as
informações.

Vantagem competitiva
ou mesmo concorrência futura. Em empresas comerciais ou que dependem de
propriedade intelectual, conhecimento sobre contatos (e contratos), bem
como tecnologias possuem um enorme valor. Seja por mero oportunismo,
seja de caso pensado, colaboradores podem extraviar informações
sigilosas com intuito de usar (ou se proteger) do futuro.

Reparação de "injustiças".
Seja qual for o motivo (real ou não), é bastante comum pessoas
sentirem-se injustiçadas no ambiente de trabalho e buscarem formas de
reparo ou simples vingança. Ao invés de procurarem o Judiciário, não são
raros os casos onde (ex-)colaboradores usarem informações vazadas para
fazer justiça com as próprias mãos.

Para combater as ameaças internas, seguem 5 dicas de eficiência comprovada:

1 - Conscientização:
É fundamental que cada membro da organização entenda que as informações
corporativas não são de propriedade pessoal, (e que autoria é diferente
de propriedade) que haverá responsabilização legal nos casos de
incidentes. Além disso, é importante comunicar de forma clara, objetivo e
recorrente dos riscos de vazamento. Claro, é também importante que cada
um dos colaboradores saiba diferenciar informações sensíveis daquelas
sem necessidade de proteção;

2 - Formalização:
A proteção última contra vazamento de informações é a Justiça comum.
Por isso os deveres e responsabilidades dos colaboradores devem ser
formalizadas preferencialmente através de um Programa de Integridade, de Compliance, da qual a Política de Segurança
(implementada e seguida) é um dos capítulos, a assinatura de NDA, um
termo individual de sigilo, com cada colaborador, em que ele toma
conhecimento do Código de Ética e das Normas Internas sobre uso de
ativos virtuais e de informações Confidencias e da Política de Segurança
da empresa é essencial. A existência de Normas, Políticas e
Regulamentos internos tratando desse e de outros assuntos relevantes,
Publicadas, Registradas em Cartório e disponíveis na Intranet da Empresa
é essencial;

bisbilhoteiro


3 - Necessidade do Conhecimento
:
Benjamin Franklin dizia: "Três pessoas são capazes de guardar um
segredo somente se duas estiverem mortas". É um pouco radical, mas
também é muito intuitivo que quanto maior o número de pessoas envolvidas
com uma determinada informação sigilosa, menos tempo ela permanecerá
assim. Posto, é importante implementar o chamado "princípio da
necessidade do conhecimento" onde uma pessoa dentro da organização
somente deve ter conhecimento de algo se imprescindível. Evidentemente
que isso não impede vazamentos, mas compra tempo e em se tratando de
informação sigilosa, tempo é um fator essencial;

4 - Criptografia.
Segundo relatório Ponemon/IBM 2017 sobre vazamento de dados, a resposta
técnica de maior eficiência na proteção de dados sensíveis é ter uma
estratégia de criptografia – ou seja, uma coordenação transversal na
organização do uso das proteções de cifração (encriptação) de dados,
indo da criptografia dos dados desde a coleta, armazenagem em banco de
dados, leitura até a proteção de credenciais de usuários;

5 - Monitoramento.
O monitoramento pode e deve ser realizado em diversos eixos: estar
atento ao comportamento dos colaboradores, monitorar o endpoints de
usuário (computadores, equipamentos móveis, uso de mídias removíveis),
rede, acesso às bases de dados, e-mails e outros canais de comunicação.
Para o monitoramento técnico, existem diversas soluções. Para empresas
de porte médio em diante, o estabelecimento de um SOC (Security
Operations Center) ou a contratação de serviços gerenciados de segurança
de monitoramento são recomendáveis.

Além
das dicas acima, existem diversas outras contramedidas que podem ser
implementadas. O ideal, no entanto, é começar com uma avaliação da
postura de segurança da sua organização, identificando os principais
gaps em termos de maturidade no assunto.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail