Google: além do Stret View, as senhas!

O Google admitiu que a frota de carros equipado com equipamentos de comunicação sem fio, que tirava fotos para o serviço Street View, gravou inadvertidamente endereços de correio eletrônico e senhas de usuários de computadores em vários países. Ao passar pelos locais os equipamentos desses carros captavam dados de redes de Wi-Fi. A empresa afirmou que está mudando suas práticas de privacidade e quer apagar os dados o mais rápido possível. Alan Eustace, vice-presidente do Google, reconheceu no blog da empresa que ?Ficou claro, a partir dessas inspeções, que, apesar de a maioria dos dados ser fragmentárias, em alguns casos, emails inteiros e endereços foram capturados, além de senhas.? Alguns dias passados o Google anunciou a criação de um cargo executivo para a questão de privacidade.Neste momento, espero que o Google já tenha apagado, sem ter tirado backup, dos dados de emails e as respectivas senhas. Mas o que podemos tirar de lição para as nossas organizações deste fato?a) Falhas acontecem!Não me parece que o Google tenha agido com o objetivo de má fé de capturar dados de emails e suas senhas. Afinal de contas, tecnicamente, o Google possui um dos maiores cadastros do mundo de endereços de emails, suas mensagens e as respectivas senhas.Que falhas tem ocorrido na sua organização? Pelo menos você sabe que tem ocorrido falhas? Se você responder que na sua organização não tem ocorrido erros, entendo que você (além das falhas) tem mais um problema: não sabe o que está acontecendo na sua organização.b) Como estamos enviando as mensagens de email?Da mesma maneira que o Google capturou estas informações, outras empresas (inclusive as concorrentes) ou pessoas poderiam capturar as informações da sua organização. A rede é apenas um meio. Por leveza a rede não deve ser pesada com proteções. A proteção deve ser feita nas pontas. Se sua empresa envia (e a maioria faz isso) mensagens abertas pela Internet (ou outras redes abertas), ela está colaborando para o vazamento de suas próprias informações. c) Reconhecer o erroO Google errou e veio publicamente dizer o erro. Evidentemente foi depois de algum tempo, mas reconheceu publicamente. Isso dá um que de seriedade organizacional.d) Destruição da informaçãoTão crítico como todos os requisitos de segurança, destruir informação requer procedimentos estruturados e formais. Brinquei no início do comentário que esperava que o Google já tenha destruído estas informações sem ter feito cópias de segurança. Brincadeira? Sim, mas com muita verdade! Ao destruir a informação deve-se informar e garantir para o mundo que as informações foram realmente eliminadas.e) A organização e os funcionáriosA organização pode ter toda a seriedade do mundo, mas esta seriedade acontece por seus funcionários e colaboradores. Se um funcionário ou colaborador agir de má fé, mesmo contra as orientações da organização, é  a organização que vai ser responsabilizada. Imagine um funcionário ou colaborador do Google, antes de destruir estas informações, resolver copiar para um pen driver estes dados, para algum uso desonesto posteriormente?f) Políticas e normas de segurança da informaçãoA organização precisa ter regras claras sobre o tratamento da informação e sobre o cuidado que se deve ter com a privacidade. O fato da informação estar aberta circulando no ar pelas redes de Wi Fi, não devem gerar acessos indevidos de organizações sérias. É como se, somente porque a casa não tem um muro alto que as pessoas podem entrar no terreno.Analise a situação da sua organização. Ela precisa saber como está a gestão da segurança da informação e como a privacidade das pessoas é considerada.Edison Fontes, CISM, CISA  Consultoria em Segurança da Informaçã[email protected]