A Novela é ficção, mas o vazamento é real!

Vazamento de informação pode acontecer em toda situação onde a informação tenha valor comercial. Seja este valor transformado diretamente em dinheiro ou em situações que possam gerar dinheiro vivo. O autor da novela ?Passione?, Silvio Abreu em entrevista indica que ?existe uma máfia que atua e atinge todas as novelas da Globo.? Ele complementa indicando a forma como isso acontece:?Na verdade comprar capítulos subornando funcionários da empresa, devia ser considerado um crime. Pelo menos é uma apropriação indébita. É complicado achar este pessoal que vaza os capítulos, parecem fantasmas, ninguém os encontra. A Globo, particularmente, há muito tempo convive com isso, e mil esquemas já foram montados (ou ficaram na tentativa) pela sua direção para se evitar ou descobrir quem presta tão mau serviço.? Com certeza este assunto veio à tona para o público em geral por tratar-se de uma novela. Mas, infelizmente é uma situação que tem ocorrido em várias organizações. E com uma característica: atinge organizações de todo o porte e de todo tipo de negócio. O Silvio Abreu fala de um assunto delicado que é o roubo de informação através de funcionários que recebem dinheiro. São subornados. Como tratar essa questão? Não é uma questão simples e exige o envolvimento de toda a organização. Porém, entendo que devem existir algumas ações estruturais, tipo: a) Rígido controle de acesso à informação (computador e convencional)Sou questionado muitas e muitas vezes sobre a proibição de certos dispositivos ou limitação de emails. Evidentemente todos os recursos de informação devem ter os controles. Mas, quando uma informação vaza, não é porque certo dispositivo estava liberado. Ela vaza porque um usuário não autorizado teve acesso indevido à informação ou alguém autorizado está usando de má fé. Garanta que o acesso à informação funciona.b) Regras explícitasA organização deve ter regras explícitas sobre o comportamento dos usuários e do que pode e não se pode fazer em relação ao acesso à informação.c) Rastreabilidade do acesso e uso da informaçãoDeve-se ter o monitoramento dos recursos de informação e deve-se ter registro de tudo o que acontece com a informação. Conheço várias organizações onde não é feita a ratreabilidade de leitura da informação. ?Iria gastar muito espaço de disco?, indica a área de TI. Mas essa não é uma questão de TI. É uma questão de proteção do negócio.d) Canal de denunciaA organização deve ter um canal de recebimento de denuncias e de incidentes que garanta o sigilo da identidade de quem está registrando o fato. Tenha certeza, existem mais pessoas honestas do que pessoas desonestas. Porém, as pessoas honestas precisam ter um canal seguro onde possam indicar situações suspeitas.e) Analise de risco e simulações constantesA organização precisa gastar esforço e tempo em manter uma análise de riscos contínua. A realização de estudos e simulações permitem ?abrir a mente? para novas formas de ações de má fé.Não é um processo simples. Como todas as demais situações que exigem segurança, a situação de vazamento de informação exige trabalho (suor e mente) e continuidade no tempo.Não deixe sua organização virar uma novela. Neste caso o enredo será real e o vazamento da informação poderá ser fatal.Edison Fontes, CISM, CISA  Consultoria em Segurança da Informaçã[email protected]