Polícia/SP prende quadrilha que vendia informação!

A venda de informação que deveria ser mantida em sigilo foi investigada pela Polícia e Ministério Público de São Paulo e gerou o pedido de prisão de vinte pessoas. Tudo isso foi conseqüência de um ano de investigação e trata-se de criminosos que agiam constantemente. Não se trata de caso de pessoa que comete um deslize moral e faz um ato criminoso isolado. Não que este último caso deva ser amenizado, mas, de forma correta a Polícia atacou quadrilhas organizadas.Seja qual for a origem da demanda por informação confidencial que não deveria ser disponibilizada, exceto por ordem judicial, existe a participação de pessoas internas de bancos, operadoras de cartão de crédito e operadoras de serviços telefônicos. Esse fato confirma o que as estatísticas apontam: na grande maioria das vezes existe a participação de pessoas internas da Organização. Uma empresa que defina um bom processo de segurança de informação vai chegar no limite de que alguém autorizado vai acessar. E se essa pessoa autorizada disponibilizar (normalmente vendendo) para terceiros essa informação confidencial, fica difícil detectar a situação.Mas, fica difícil, não impossível. Algumas ações podem ajudar a minimizar este risco:a) Registro de tudo que é feitoDevem-se registar todas as ações realizadas em relação à informação. mesmo a simples leitura.b) Analise periódica de comportamentoBaseado no registro pode-se analisar comportamento diferente do que podemos considerar normal. Usuário acessando informação muito mais do que seu trabalho exige ou fora do expediente, merece uma luz amarela.c) Garanta que o usuário acessa apenas o que deve acessar.Este é um ponto básico. Muitos usuários passam por diversas áreas e levam eternamente os acessos que um dia foram autorizados. Outra questão é a liberação de acesso: tem que ser rígido e profissional.d) Exija que seus usuários tirem fériasUsuário tem que tirar férias e tem que ser substituído. Muitas situações de fraude aparecem neste momento.e) Para o operacional: faça rodízio periódico!Funções operacionais que tratam com informações confidenciais devem ter usuários que são periodicamente substituídos. Isso exige que os processos e controles sejam de bom nível e estejam atualizados.f) A organização deve ter um comprometimento com o profissionalismoTodos na organização devem estar comprometidos com as regras e profissionalismo. Do presidente ao estagiário recém contratado. Será de pouca valia todas as orientações de segurança, se o vigilante impedir o presidente de entrar em um ambiente físico por ele estar sem crachá, e no outro dia este vigilante ser punido com demissão porque impediu o “Doutor Presidente”.Essas e outros controles exigem que a organização gaste recursos financeiros, de tempo e de pessoas. Mas quem disse que segurança é gratuita? A segurança custa recursos, mas todas as organizações têm condições de implementar! Todas! Inclusive a sua!Edison Fontes, CISM, CISA.Consultor ExecutivoNúcleo Inteligência Consultoria, Participa ABSEG, ISACA e InfoSecCouncil.[email protected]Ética! Um princípio sem fim!