Como evitar vazamentos de informações por má conduta de colaboradores?

 

Prejuízos financeiros, legais e de reputação são as principais consequências dos vazamentos de informações. Tecnologias recém-lançadas são capazes de prevenir esse tipo de dano sem impactar a produtividade e agindo sobre o conteúdo, protegendo-o de ponta a ponta

Em meados deste ano um vazamento de um episódio de Game of Thrones, uma das mais bem-sucedidas séries da história da HBO, foi tema de jornais e polêmicas nas mídias sociais.  O ocorrido, conforme apurado, estava relacionado a um parceiro de distribuição do canal na Índia.

Outro caso, mais recente, porém não muito conhecido pelo público, é igualmente ou até mais grave: em Londres, um pendrive supostamente encontrado na rua continha informações confidenciais sobre a segurança do maior aeroporto internacional do país, o Heathrow, e também da rainha Elizabeth II. A exposição dos arquivos, que não continham qualquer tipo de criptografia, poderia servir de insumo para atos terroristas ou de espionagem.

Os dois casos têm em comum o vazamento de informações sensíveis ou confidenciais por colaboradores diretos ou indiretos das empresas. Todos os anos esse tipo de ocorrência causa impactos milionários. Apenas no Brasil, o custo total da violação de dados em organizações foi de R$ 4,72 milhões em 2017, conforme estudo da Ponemon Institute em parceria com a IBM Security. Ainda de acordo com a pesquisa, um vazamento feito por um colaborador mal-intencionado sai mais caro do que por descuido.

De acordo com o estudo, podem ser três as causas de vazamentos: falha no sistema, ataque malicioso ou criminoso e negligência interna. No caso de má conduta de colaboradores, que pode ser categorizada como ataque malicioso ou criminoso, um exemplo clássico é o insider trading, ou o vazamento de informações financeiras que ainda não foram comunicadas a acionistas ou ao mercado. Trata-se de um crime gravíssimo, que pode levar à cadeia e que põe em risco a fundação sobre a qual o mercado de capitais está estabelecido. Mas se esse tipo de prática é uma praga para a economia, para as empresas pode ser fatal, com perda de valor, competitividade e danos legais.

Os sintomas desse tipo de crime são ritmos de negócios fora do comum, valorizações repentinas e quedas abruptas de ações. Usualmente investigados pela IBMF Bovespa, os casos sempre que possível são abafados pelas empresas. O objetivo é evitar que a concorrência se beneficie para roubar mercado, com prejuízos para as expectativas de lucro e queda de ações, e impedir que a organização se mostre fragilizada e vulnerável para seus públicos. Como se não bastasse, a reputação da organização pode ser seriamente danificada perante parceiros comerciais, com o cancelamento de contratos, e diante dos consumidores, que podem rejeitar a marca, agora estigmatizada.

Se a empresa é de capital aberto, ainda existe a possibilidade de os próprios acionistas entrarem com ações legais contra a empresa. Outros processos podem vir de órgãos reguladores como bancos ou entidades internacionais.

Somam-se a tudo isso os custos com atividades forenses e investigativas, serviços de auditoria, gerenciamento da crise e comunicações com a gerência executiva e com o conselho de administração.

Frentes de prevenção

A prevenção de vazamentos por colaboradores passa por três pilares. O primeiro diz respeito à gestão de pessoas: os funcionários devem ser sempre orientados sobre como lidar com as informações. Isso significa, por exemplo, assinar contratos de confidencialidade e se comprometer formalmente a seguir regras de conduta e a obedecer estatutos de segurança da informação. Em resumo, as pessoas precisam saber que existem regras e que vão sofrer consequências se não as respeitarem.

Em seguida estão os processos, que devem ser criados pelas empresas para que as pessoas saibam como lidar com as informações. Por exemplo, os documentos precisam vir classificados com o seu nível de sensibilidade e com um aviso sobre como devem ser tratados.

Finalmente, existe a tecnologia. A empresa precisa fornecer soluções tecnológicas que permitam que o trabalho possa ser feito de forma segura, porém mais intuitiva e fácil, sem restringir a produtividade. A tecnologia pode, por exemplo, registrar o quê, quando e como cada usuário está fazendo ou se está lidando com um determinado arquivo.

Uma tecnologia com foco no conteúdo

A natureza dos arquivos vazados varia bastante: além de informações sobre movimentações de mercado, pode ser relativa a linhas de atuação em setores específicos ou a estratégias de lançamento de produtos e serviços – como no caso de Game of Thrones.

Como a tecnologia poderia impedir o vazamento de um episódio da famosa série, por exemplo, ou de informações confidenciais relativas à segurança nacional, como no caso do pendrive encontrado em Londres?

Tomando como exemplo o produto audiovisual, há vários pontos em que poderia acontecer um vazamento, desde a concepção do roteiro, passando pela produtora e distribuidora e até de dentro do próprio canal.

Lançada em 2017, a SecureCircle assegura que todo o conteúdo protegido somente seja aberto por dispositivos e usuários autorizados. Se um funcionário insatisfeito deseja compartilhar trechos de um roteiro com a concorrência ou na deep web, por exemplo, o conteúdo poderá até ser enviado por e-mail, salvo em um pendrive ou compartilhado por sistemas como o Dropbox ou o Google Drive. No entanto, os usuários e dispositivos não-autorizados simplesmente não conseguirão ler, ver ou assistir o conteúdo protegido. Criptografado, o arquivo simplesmente não será aberto.

No início de novembro mais um caso de exposição de informações confidenciais veio à tona. Desta vez, um jornalista da BBC, ao tentar entrar em sua conta na Huddle (ferramenta que permite colegas de trabalho compartilharem arquivos), surpreendeu-se ao acessar, acidentalmente, uma conta da consultoria KPMG com acesso completo a arquivos financeiros. Se os arquivos estivessem sob proteção da SecureCircle, esse caso jamais teria acontecido, pois o jornalista simplesmente não conseguiria ler o conteúdo dos documentos da KPMG.

Reconhecida como uma solução capaz de proteger informações sensíveis sem burocracia e garantindo a produtividade, a SecureCircle já é utilizada por uma grande produtora de filmes de Hollywood e por bancos e entidades financeiras na Europa e Estados Unidos.  No Brasil, é representada pela Fiandeira Tecnologia.