O que o WikiLeaks ensina sobre segurança da informação?

Depois de alguns avisos, WikiLeaks liberou uma centena de segredos de estado. O site contém cerca de 250 mil documentos com dados confidenciais. À medida que vêm a público, estas informações geram desconforto diplomático mundo afora. O portal com preceitos colaborativos virou, além de assunto em rodas de conversa, referência para imprensa internacional, que se esbalda com notícias baseadas em arquivos divulgadas no site. Mas que lição os responsáveis pela segurança da informação podem tirar do episódio?

A pergunta pertinente vem baseada em duas questões fundamentais. A primeira delas relaciona-se diretamente ao modelo de negócios do site, que tem como core business a divulgação de informações sigilosas. Isso mostra, na visão de Edgar D´Andrea, sócio da PwC e articulista de segurança da InformationWeek Brasil, que a origem das informação não está segura.

O segundo ponto, mais preocupante, vincula-se à uma estratégia do WikiLeaks divulgada recentemente, que revelou que o próximo alvo seria vazar informações confidenciais do mundo empresarial. “Acredito que, no futuro, iremos ter mais material pertencente à comunidade corporativa”, disse Kristinn Hrafnsson, porta-voz da empresa, à Reuters. Segundo a agência de notícias, no início da semana, um executivo teria dito que o site possui dezenas de milhares de documentos internos de um grande banco norte-americano em fase de avaliação que pode vir a público no início do ano que vem.

D´Andrea acredita que o caso deve gerar uma profunda reflexão nos responsáveis pela segurança da informação nas companhias. O especialista aponta algumas indagações válidas a estes profissionais, como se eles têm ciência dos dados que a empresa realmente precisa protege, se têm certeza de que eles estão bem protegidos ou há só uma falsa percepção de segurança. Possui mecanismos de verificação sistemática sobre a sensibilidade daquela informação? “Generalizar a proteção pode não ser eficiente se você não sabe a criticidade da informação que precisa ser protegida. À medida que conhece dados de alto risco, é fundamental ter capacidade de canalizar a segurança para aquilo”, acrescenta o sócio da PwC.

O especialista Ricardo Castro, presidente da Isaca Capítulo São Paulo, acredita que a quantidade e o aspecto das informações vazadas indicam uma falha de controle de acesso humano às informações. Ele aponta que três recomendações que daria para empresas passam pela destruição ou sanitização de mídias descartadas e utilização de recursos de criptografia. “Formatação pura e simples hoje em dia não é obstáculo algum para quem quer recuperar dados”, comenta, para acrescentar: “A criptografia não é garantia absoluta de que os dados não serão revelados, mas garante um bom grau de conforto”. A terceira recomendação é “cuidado com o que escreve em comunicados formais da empresa”.

Todo rebuliço gerado pelos incidentes revelados até então deixam ainda mais clara e pertinente a constatação de Edison Fontes, blogueiro do IT Web, que trata com propriedade sobre o tema: “O Grande Irmão é maior do que pensamos, e já deixou, há muito tempo, de ser Irmão”.

ð        Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.