Vazamento de informação! 35% admitem! É pouco!

Uma pesquisa realizada pela Cyber-Ark nos Estados Unidos e Inglaterra, envolvendo 400 administradores seniores de TI indica que 35% dos profissionais admitem que suas organizações já foram vítimas de vazamento de informações confidenciais. De acordo com este relatório, 37% dos profissionais entrevistados indicam que o furto de informações foram feitas por ex-funcionários. Em segundo lugar de causa vem a falha humana. Os dados mais visados são cadastro de clientes e dados de pesquisas.Não tenho dados científicos, mas minha opinião é que 100% das organizações já foram vítimas de roubo de informações. Evidentemente, a maioria dessas informações roubadas não causou grandes danos, por isso, provavelmente, a organização pensa que não teve vazamento de dados.Para mim essas estatísticas valem muito pela comprovação da existência de uma situação. Esta por exemplo, indica que vazamento de informação continua ocorrendo.Recentemente tenho tido oportunidade de realizar trabalhos em empresas que não são as maiores, mas possuem faturamentos de valores altos. Nestes casos a questão do cadastro de clientes é de longe o conjunto de dados mais desejado (e às vezes alcançado) pelos criminosos. Existem organizações que possuem uma razoável segurança no acesso via o sistema estruturado, mas por limitação (ou falta de investimento neste sistema), é necessário a manipulação da base de clientes de uma determinada maneira que o sistema não atende, e neste momento alguém teve uma grande idéia (?) que momentaneamente resolveu o problema: joga todas as informações em uma base Excel. A partir daí perde-se o controle de quem acessa e por onde esta base de cliente vai circular. Em um caso de vazamento de informação provavelmente pelo Excel, na qual questionei o porque do não investimento na atualização do sistema estruturado, a resposta (do gestor de TI) foi que o sistema exigia um investimento de R$ 100 mil. Neste caso a empresa faturava anualmente cerca de R$ 70 milhões. Minha pergunta foi: a área de negócio explicitamente e formalmente se responsabilizou por este alto risco de vazamento de informação? Neste caso especifico a resposta foi: não. Um erro estrutural onde TI resolve assumir riscos que não são de sua competência.Fontes históricas indicaram que esse tipo de base poderia ser vendida para concorrentes por R$ 30 mil.Você sabe quais foram os últimos vazamentos de informação da sua organização? Seja por criminoso ou por erro de funcionário altamente confiável.Atualmente a questão não é se ocorreu vazamento de informação. A questão que se levanta é: o quanto conseguimos identificar e o quanto não conseguimos identificar em relação aos vazamentos que ocorreram?Termino com uma lágrima pelo encantamento do Mestre Paulo Moura. A partir de agora haverá mais um lindo som de sax no céu. A Benção Mestre Paulo Moura! Edison Fontes, CISM, CISA Consultoria em Segurança da Informação.[email protected]