Vazamento de informação por usuário autorizado!

É noticia de domínio público que uma funcionária da Receita Federal acessou os dados, aparentemente sem motivos profissionais, de um determinado político. Essas informações vazaram e estava sendo construído um dossiê contra este político.Neste mesmo conjunto de notícias, a Receita Federal informa que ocorreram outros acessos à conta do político, porém estes acessos estavam ligados às atividades normais dos funcionários.Muitas notícias e informações vão aparecer sobre este caso. Gostaria de deixar de lado o mesmo e concentrar no que este fato tem haver com as nossas organizações.Sempre que falo sobre vazamento de informação chamo atenção sobre as duas fontes: acesso de pessoas não autorizadas e acesso de pessoas autorizadas. O primeiro caso é mais visível, pois, normalmente o acesso foi conseguida de forma ilícita ou ocasionada por uma ação de erro ou negligência, tipo: colocou no lixo, sem destruir, uma relação de clientes.Quando tratamos de acesso autorizado, aquele usuário, por força das suas atividades profissionais na organização precisa e consequentemente foi autorizado a acessar a informação. Para estas situações podemos ter alguns controles que minimizam a ameaça de vazamento de informação:a) Manter atualizadas as autorizações de acessoA autorização de acessar a informação só deve existir enquanto o usuário estiver exercendo a função que exige que se tenha o acesso à informação. Nas nossas organizações, muitas vezes as pessoas mudam de cargo, função ou área organizacional e continuam tendo os acessos anteriores.b) Registrar tido acesso à informaçãoQualquer tipo de acesso (leitura, alteração, remoção ou inclusão) deve ser registrado. Muitas vezes quando se trata somente de leitura não é feito o registro por economia de espaço. Não tem sentido. Todo acesso deve ser registrado.c) Atrelar o acesso á tarefas Todo acesso à informação sensível deve estar atrelado a uma tarefa profissional a ser feita. Não se deve acessar uma informação apenas por curiosidade.d) Revisar periodicamente a autorização de acessoAs autorizações de acessos concedidos devem ser revisadas e revalidadas periodicamente. Quanto mais a informação for sensível ou confidencial, mais curto deve ser este período.e) Ter regras de comprometimento de uso da informaçãoA organização deve ter políticas e normas de uso da informação e cada usuário deve assinar um termo de aceitação das regras da organização para uso da informação.E finalmente o mais importante: tenha os melhores profissionais e seja uma organização ética, correta e de bom clima organizacional. Vão ter situações que a organização faz todos os itens anteriores e quem vai definir a ocorrência de vazamento por pessoas autorizadas vai ser este último item. Ele não evita, mas minimiza bastante.Edison Fontes, CISM, CISA Consultoria em Segurança da Informação.[email protected]