Detenha o Edward Snowden da sua empresa
3 fevereiro 2014
Aos olhos de alguns, o delator da NSA (agência de segurança dos EUA), Edward Snowden, é um herói que vazou informações sobre operações de vigilância altamente secretas realizadas pelo governo a jornalistas, gerando um debate global sobre privacidade. Contudo, sob a perspectiva do seu empregador, ele jamais seria considerado um modelo de bom funcionário.
Snowden foi subcontratado pela empresa de consultoria de tecnologia Booz Allen Hamilton para trabalhar em um escritório da NSA, onde começou a fazer cópias de documentos secretos e a montar um dossiê gigantesco de evidências das operações de vigilância dos Estados Unidos, no país e no exterior. No geral, considera-se que Snowden subtraiu cerca de 1,7 milhão de documentos sem autorização, e as manchetes continuam dominando os meios de comunicação até hoje.
No centro dessa história está a NSA, a Agência de Segurança Nacional – a organização de inteligência que tem por missão não apenas reunir inteligência estrangeira, mas também é responsável por proteger os sistemas de informações do governo dos EUA.
O fato de a NSA não ter conseguido proteger adequadamente as “joias da coroa”, os arquivos confidenciais no centro de suas operações, devido a falhas na segurança, é extremamente negativo e profundamente humilhante.
Afinal, se a NSA não consegue manter seus próprios segredos bem guardados, o que dizer sobre a sua capacidade para manter em segurança dados e informações confidenciais que possam estar reunindo sobre mim, você, empresas ou um potencial terrorista?
Além disso, quem roubou as informações não foi uma potência estrangeira ou uma equipe de hackers cibernéticos. Para que isto ocorresse, bastou um jovem terceirizado, com conhecimentos de tecnologia e insatisfeito.
O desafio, naturalmente, é que a NSA às vezes precisa compartilhar informações sigilosas, com sua própria equipe, com terceirizados ou com agências internacionais de aplicação da lei com as quais estão cooperando. Similarmente, a sua empresa provavelmente precisa compartilhar dados sigilosos entre funcionários, parceiros externos, funcionários terceirizados, advogados, etc.
Se os profissionais de segurança apertam demais a colaboração, nenhum trabalho é possível e, consequentemente, as empresas sofrem. Ninguém deseja que um nível razoável de segurança atrapalhe a capacidade de a empresa fazer negócios. Entretanto, mais do que isto, se medidas de segurança atrapalham a capacidade de o funcionário executar seu trabalho, ele pode adotar serviços de compatibilidade de arquivos para consumidores domésticos, buscando maior facilidade e, dessa forma, colocando a segurança em risco. Assim, é preciso haver um equilíbrio.
Como as empresas devem gerenciar as informações sigilosas?
Minha recomendação é que as empresas reduzam a ameaça de uma violação de dados com um controle mais rígido do acesso e da movimentação de informações confidenciais “sem” perturbar o trabalho legítimo que precisa ser feito.
O que isto quer dizer?
Em primeiro lugar, sim, os profissionais de segurança realmente precisam garantir que o básico já exista – software antivírus, firewalls, controle de acesso e correções de segurança atualizadas. Além disso, as empresas devem configurar corretamente suas redes para limitar o poder dos administradores de sistemas (especialmente se eles forem contratados externos que trabalham no local) e o que eles podem acessar sem aprovação superior.
Contudo, as empresas também devem controlar a superfície de vulnerabilidade da TI. Adicionar incessantemente tecnologias que com frequência se sobrepõem cria complexidades impossíveis de gerenciar. É possível implantar tecnologias para examinar arquivos enquanto um usuário tenta copiá-los para discos rígidos portáteis ou dispositivos USB ou tenta enviá-los para uma conta de webmail. Estas medidas podem ser usadas para determinar se o comportamento é autorizado ou se as informações são confidenciais, com a emissão de um alerta para o departamento de TI e bloqueio opcional do comportamento. É muito mais fácil vetar tecnologias mais antigas (tais como copiar para um CD ou unidade USB) e implantar uma solução corporativa de compartilhamento de arquivos onde todos os recursos de controle sejam integrados, em comparação a mecanismos de análise e verificadores fixos, descritos anteriormente.
Entretanto, esta solução particular para impedir o uso indevido de dados não funcionará tão bem quando informações sensíveis forem compartilhadas com outras empresas que possuem suas próprias redes, que não estão sob o seu controle. Por esta razão, um número cada vez maior de empresas está explorando soluções corporativas de compartilhamento de arquivos que não atrapalhem a colaboração, mas atenuem os riscos de segurança enquanto os dados saem da rede da empresa.
Tais soluções permitem que as empresas controlem quem (dentro e fora das organizações) pode acessar informações confidenciais e se há permissão para salvá-las ou imprimi-las. Em alguns casos, elas podem até mesmo impedir que o usuário capture telas das informações de forma ilícita. E, fundamentalmente, as melhores soluções permitem a capacidade de “desfazer o compartilhamento” de informações compartilhadas anteriormente, impedindo que elas sejam acessadas após a conclusão de um projeto ou quando já não são necessárias.
A vantagem desta abordagem é que as empresas podem acompanhar tudo o que ocorre com os dados, registrando por quem, o que e quando as informações são acessadas e controlando como o conteúdo é alterado e utilizado.
O fundamental é que, se você trabalha com alguém como Edward Snowden, determinado a revelar os seus segredos, não há muito o que fazer para impedi-lo de falar. Entretanto, as empresas podem minimizar a probabilidade de que os funcionários andem por aí com uma unidade USB cheia de informações confidenciais no bolso das calças, esperando para repassá-las a jornais ou vendê-las à concorrência.
