Como funcionários honestos acabam caindo em armadilhas
Quando a simplicidade é a causa de problemas
Por Vladimir Prestes*
Sei, por experiência própria, que incidentes no campo da segurança da informação frequentemente devem-se ao despreparo dos funcionários honestos.
Há mais de dez anos trabalhamos no desenvolvimento de sistemas corporativos para prevenção de vazamentos de informações, em outras palavras – DLP (Data Loss Prevention). E as principais razões pelas quais os funcionários envolvem-se em situações desagradáveis são: negligência em relação às regras de segurança da informação, confiança excessiva nos colegas e o simples descuido.
Um estudo recente de nossos analistas mostrou que na maioria das empresas russas (84%) os funcionários assinam um contrato de confidencialidade de dados corporativos. Treinamentos sobre segurança da informação são realizados em 72% das organizações. Mas a eficiência dessas medidas será mínima até que os próprios funcionários entendam a importância dessas regras. Somente nesse caso poderíamos esperar um resultado positivo.
Vítimas Inocentes, Otimistas Descuidados e Funcionários peculiares
Vazamentos de informações raramente acontecem por acaso. A motivação dos agentes internos é clara – geralmente está ligada a um ganho pessoal. Porém, tudo é mais complicado quando funcionários honestos estão envolvidos em vazamentos de dados. Analisando tais incidentes, chegamos à conclusão de que todos os agentes internos “involuntários” podem ser divididos em três grupos.
Vítimas Inocentes
Este grupo inclui funcionários desavisados, enganados intencionalmente por um dos colegas. Na empresa de um de nossos clientes, os agentes de segurança da informação identificaram que um dos funcionários armazenava em seu disco local documentos importantes aos quais ele não deveria ter acesso. Esta era uma violação grave do regulamento interno, que exigiu uma investigação urgente. Descobriu-se que um software para acesso remoto era usado frequentemente no computador deste funcionário, o que era desnecessário para a realização de seu trabalho. A investigação do serviço de segurança revelou que o funcionário suspeito de violações nem sabia sobre o armazenamento dos arquivos em seu computador. O culpado era, na verdade, um especialista técnico da empresa que usava o computador do nosso “herói” para armazenamento temporário antes de transferir os dados confidenciais para terceiros.
Otimistas descuidados
Assim eu chamo aqueles funcionários que se tornam autores de vazamentos por negligência, ignorância ou ingenuidade. Darei um exemplo. Ao se demitir, o funcionário de uma Construtora enviou documentos de trabalho para sua caixa de e-mail pessoal. Entre os quais, como se constatou, encontrava-se também informação confidencial. O funcionário não suspeitava de que havia feito o download de dados sigilosos e nem de qual era o valor dos mesmos. Os agentes de segurança da informação perceberam a tempo e conseguiram evitar o incidente. No entanto, se esses dados tivessem chegado aos concorrentes, devido à negligência do ex-funcionário da empresa, os prejuízos causados seriam de 169 mil dólares em apenas um ano.
Funcionários peculiares
Esses funcionários são “inofensivos” até que algo os provoque. Em suas vidas pessoais, há “pontos fracos”, dos quais pessoas mal-intencionadas podem tentar se aproveitar. Por exemplo, dívidas, dependência química ou alcoolismo, ou outros vícios que possam ter existido no passado do funcionário. Os agentes de segurança da informação consideram esses funcionários um grupo de risco, uma vez que criminosos podem acabar usando tais “peculiaridades” para chantageá-los.
Outro caso obtido em nossa experiência. Em uma empresa, por motivos desconhecidos, foram selecionados os mesmos fornecedores, embora as condições propostas não fossem as melhores. Os agentes de segurança da informação começaram a monitorar a especialista responsável pelo setor de compras. A primeira suspeita, de que a funcionária recebia propinas, não foi confirmada.
No entanto, os agentes de segurança notaram outro fato interessante.
A moça, especialista de compras, se comunicava frequentemente com um colega de outro departamento. Percebeu-se que havia um “clima” entre os dois jovens. E justamente esse sentimento foi usado pelo rapaz para persuadir a garota a escolher os fornecedores dos quais ele recebia “bônus”.
Como evitar que incidentes aconteçam por descuido dos funcionários
Os incidentes decorrentes de “vítimas inocentes” podem ser detectados (e especialmente evitados) apenas pelos agentes de segurança. A “vítima”, além do fato de não suspeitar do que está acontecendo, carece de habilidades técnicas e conhecimento profissional para detectar e neutralizar pessoas mal-intencionadas. Os agentes do serviço de segurança dirigem mais atenção aos funcionários com acesso a “informações sigilosas”. Mas os incidentes com funcionários do segundo grupo – aqueles que eu chamo de otimistas descuidados – acontecem com mais frequência por causa da falta de cuidado e negligência em relação às regras elementares de segurança. Darei alguns exemplos comuns.
O que é meu é seu
Os agentes de segurança da informação encontraram certa atividade em um computador a partir da conta de usuário de um funcionário que naquele momento estava de férias e não deveria estar realizando qualquer tarefa. Descobriu-se que antes de sair de férias, o funcionário deu todas as senhas para seu colega caso este necessitasse, tipo “se precisar de alguma informação, não me incomode, procure no meu computador você mesmo”. As regras internas da empresa proibiam categoricamente esse tipo de conduta. No computador do funcionário estavam armazenadas informações confidenciais, que, em caso de vazamento, acarretariam em sérios prejuízos financeiros e à reputação da empresa. Os vazamentos foram evitados a tempo, e o funcionário descuidado, teve que passar por treinamento adicional sobre as regras de segurança da informação.
Amantes de selfie
Na fábrica de um de nossos clientes, dois funcionários inesperadamente foram trabalhar no fim de semana. Na segunda-feira, o serviço de segurança analisou o que eles estiveram fazendo. Descobriu-se que os funcionários visitaram uma instalação secreta, tiraram fotos com um foguete desmontado ao fundo e postaram as fotos nas redes sociais. Os agentes do departamento de segurança reagiram prontamente ao incidente – e as fotos foram excluídas. A disseminação dessas informações levaria ao término do contrato com um cliente importante e à perda de mais de US $ 4 milhões.
Nuvens com segredos
A contadora-chefe de uma Transportadora enviou para uma nuvem pública um arquivo com grande volume de documentos. Ela não tinha más intenções – apenas queria facilitar sua própria vida. O serviço de segurança da informação procurou saber o que estava acontecendo, já que a empresa era uma sociedade limitada e a divulgação de algumas informações seria inaceitável. Depois de uma verificação na nuvem, constatou-se que a informação enviada não fora divulgada. Se ela chegasse aos concorrentes, os prejuízos da empresa seriam de cerca de 506 mil dólares.
A proteção da informação é uma medida necessária para reduzir os riscos do negócio. O treinamento e a instrução do pessoal no que diz respeito à segurança da informação é parte integrante dela. Essa é a única maneira de proteger os funcionários de falhas não intencionais durante o trabalho com dados confidenciais.
*Vladimir Prestes é Diretor Geral da SearchInform no Brasil, líder russa em sistemas de segurança da informação há mais de 20 anos. Com mais de dois mil clientes e cerca de 1.200.000 computadores protegidos, possui escritórios em 16 países.
Leia também