O título completo deste comentário é: Cuidado: a informação da sua organização pode ser enviada para o WikiLeaks!
Sim, você leu correto. Diferentemente do que a maioria das pessoas pensam, não é o WikiLeaks que vai buscar a informação da sua organização. O WikiLeaks não tenta retirar e nem retira informação confidencial da sua organização.
As informações confidenciais é que vão para o WikiLeaks! Mas como isto acontece? Mágica? Calma, não existe nenhuma mágica!
As informações das organizações vão para o grande repositório público de dados, chamado WikiLeaks, enviadas por usuários dessas organizações e autorizados a acessar as informações das mesmas. O WikiLeaks garante o anonimato desses usuários. É uma espécie de “disque denúncia”. Seria um “disque informação e jogue no ventilador da Internet”.
O WikiLeaks se propõe a ser um divulgador de informações de empresas e governos no que tange a corrupção, a abusos organizacionais, ações que prejudiquem a humanidade ou grupos que controlam a humanidade e outras informações que mereceriam (segundo seus editores) ser de conhecimento de todos.
O WikiLeaks ganhou dois prêmios importantes, da revista Economist e da Anistia Internacional, e começou a incomodar os EUA quando neste ano de 2010 revelou abusos do exército americano no Iraque e no Afeganistão. Evidentemente existe uma linha muito tênue no julgamento do que deveria ser de conhecimento da população do mundo e do que não deveria ser divulgado para não colocar vida de pessoas em perigo.
Mas, o formato do WikiLeaks está divulgado e outros serviços equivalentes poderão ser criados em todo o mundo, e alguns podem ser voltados exclusivamente para organizações como a sua ou na qual você trabalha.
Enfim, sua organização pode ter informações disponibilizadas no WikiLeaks (ou similar) desde que usuários autorizados entendam que sua empresa não está agindo corretamente e podem divulgar para todos os internautas.
Baseando-se nas informações disponibilizadas, fica bem claro que um dos problemas principais é a falta de avaliação constante nos controles existentes. No caso das informações do governo americano, o vazamento foi feito por dois soldados que tinham acesso às correspondências (telegramas) dos diplomatas americanos.
Aparentemente esses soldados não precisariam ter acesso sempre a todas as correspondências/comentários de diplomatas americanos em todos os países do mundo. É muita abertura! Neste sistema, existem (ou existiam na época dos vazamentos) dois milhões e quinhentos mil usuários autorizados a acessarem estes “telegramas” diplomáticos. Isso parece ser uma quantidade exagerada de usuários que vêem tudo desse sistema, mesmo para os padrões norte americanos.
Mas, voltando para a sua organização, o que fazer? Em um dos meus livros já publicados, eu tenho um capítulo que dedico ao tema: “Alguém autorizado vai acessar!”. Onde indico que em um processo de segurança da informação, pessoas terão acesso às informações confidenciais e secretas. A questão é que não precisa ser todos os usuários!
O controle de acesso à informação deve garantir que apenas aqueles usuários que realmente necessitam da informação para o desempenho profissional na organização, é quem deve ter este acesso. Sem choro nem vela! E sem levar para o lado pessoal! Não precisa ter acesso: não tem acesso! Pode ser o presidente da empresa.
Se o presidente de um banco não tem como responsabilidade funcional fazer transferências de dinheiro entre bancos, ele não terá acesso à transação de transferência de dinheiro entre bancos. Não é uma questão de hierarquia. É uma questão de tratamento profissional para a proteção da informação.
Quando se discute acessos à informação nos deparamos com o mito: é somente leitura. Pois leitura por pessoas que não devem ter acesso pode fazer tanto mal quanto uma alteração indevida.
Sendo pragmático, verifique se na sua organização existem acessos autorizados de usuários que já saíram da organização ou que mudaram de função profissional. Estes acessos devem ser cortados imediatamente.
Faça uma revisão periódica dos acessos à informação. Uma revisão a cada seis meses é uma boa recomendação.
Registre todos os acessos realizados, mesmo os acessos de somente leitura.
Conscientize seus usuários sobre a responsabilidade deles em relação ao sigilo da informação.
Crie um canal onde o usuário possa (com garantia de anonimato, se ele quiser) denunciar abusos, ações incorretas e outras situações que o incomodam. Que tal criar um WikiLeaks interno? Se criar, me mande um email pois gostaria de saber.
Principalmente: tenha um processo de segurança contínuo, permanente e com profissionais habilitados. Isto custa dinheiro? Claro que sim! Custa dinheiro!. E custa mais do que dinheiro, custa recurso como o tempo e a atenção da direção da organização. Mas, é infinitamente menor do que o impacto financeiro ou de imagem, em não ter este processo de segurança da informação.
E finalmente, tenha as melhores pessoas trabalhando para você. Sempre haverá alguém que terá (e precisa ter) acesso às informações confidenciais e secretas. Por isso invista nas pessoas e mantenha os controles.
Não sei detalhes, mas entendo que as pessoas que sabem a fórmula da Coca-Cola são consideradas totalmente confiáveis por esta companhia. Mas, reza a lenda de que nenhuma delas sabe a fórmula sozinha. Não se brinca com os segredos da organização.
Não se esqueça do ditado popular: “Um olho na missa e outro no padre!”
Abraços,
Edison Fontes, CISM, CISA
Núcleo Consultoria em Segurança
edison@pobox.com
Leia Também: Que Hacker resiste a tanta facilidade?
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.