Queira o Sr. Perito comentar sobre os riscos das exceções concedidas aos donos da informação

A informação substituirá a autoridade (Peter Drucker). É com essa ideia que empresas têm investido cada vez mais na governança de segurança da informação. Mas qual é o alcance ideal das políticas de controle e restritivas? O que fazer quando os donos da informação não querem se submeter às políticas que eles próprios são responsáveis?

Esse tema é cada vez mais relevante, principalmente porque são justamente os mais altos escalões de uma empresa que têm acesso às informações mais sensíveis.

A GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO

Toda organização possui informações estratégicas que precisam ser protegidas, dentre as quais podemos destacar as informações financeiras, contábeis, dados de planejamento e de recursos humanos. Essas informações são comumente controladas por sistemas integrados como CRM’s e ERP’s que, por sua vez, são gerenciados pelo departamento de Tecnologia da Informação – TI.

O departamento de TI costuma gerenciar esses sistemas com base em políticas predefinidas pelo departamento de Segurança da Informação – SI – que são criadas com foco na preservação do patrimônio da empresa em conformidade com seus objetivos e regras de negócio.

Os controles mais comuns são: a autenticação de usuários, controle de permissão para garantir que apenas quem pode ter acesso à informação de fato terá, registros de alteração, backups e outros. Dessa forma tudo parece seguro, correto? Se as informações relevantes estão sob a guarda de sistemas gerenciados pelo TI que são parametrizados com base nas regras definidas nas políticas de segurança,  devemos nos questionar, afinal, a quem toda essa estrutura está subordinada?

A estrutura de SI normalmente está subordinada aos níveis executivos mais altos de uma empresa. E é assim que deve ser, pois a SI trata de processos críticos que demandam poder de decisão, aprovação de investimentos elevados e, por ventura, mudanças nas características do negócio. Podemos, então, simplificar a estrutura de SI conforme Diagrama 1.

A estrutura de SI e as definições de que ela deve ser única e diretamente subordinada aos níveis executivos mais elevados da empresa estão nas normas vigentes de SI e de governança, tal como ISO 27.001 e COBIT.

A intenção dessa exigência é garantir que todos os níveis da empresa estarão submetidos aos controles definidos pelo departamento de SI e implementados pelo departamento de TI.

O DESVIO DE INFORMAÇÕES CORPORATIVAS

Segundo estudo “Job at Risk = Data at Risk”  realizado pelo Instituto de Pesquisa Ponemon, o índice de funcionários que desviaram informações confidencias das empresas onde trabalhavam para benefício próprio ou para ajudar na sua recolocação no mercado é de 67%. Esse estudo informa, ainda, que a cópia de e-mails e arquivos foi a ação mais praticadas por ex-funcionários. Estas informações costumam deixar as empresas através de pendrives ou como anexos de e-mails enviados para contas pessoais.

Mas o que as empresas têm feito para mitigar essas práticas? No geral, os departamentos de SI investem em tecnologia de controle e restrição, tais como firewalls e proxies, comunicadores instantâneos internos, armazenamento local de e-mails, gerenciadores de arquivos, bloqueios de portas USB, etc.

Apesar de comprovadamente eficazes contra o desvio de informação, essas práticas tendem a engessar a operação e causam, em determinados aspectos, a sua indisponibilidade. Devemos lembrar que a disponibilidade é um dos pilares básicos da SI. Ainda assim, a maioria das empresas prefere ter um nível de segurança mais alto em detrimento da disponibilidade.

Disponibilidade significa ter a informação acessível sempre que ela for necessária. No ambiente corporativo moderno isso geralmente significa, também, ter acesso às informações em qualquer lugar por meio de dispositivos externos de armazenamento ou mobile. Podemos, portanto, equiparar a disponibilidade de dados à inovação na utilização dos recursos da empresa. Entretanto, no contexto de segurança da informação, quanto mais rápida a adesão à inovação, menor é o nível de segurança.

Apesar de a maioria das empresas assumirem posturas rígidas para o controle da informação em detrimento da disponibilidade, resta um risco cada vez maior representado pelo grupo de pessoas que tem poder sobre o departamento de SI.

O dia a dia de investigação de fraudes e desvios de informação mostra que as principais válvulas de escape são os altos executivos. Esse risco é intensificado pelo fato de que os departamentos de SI estão subordinados a estes níveis. Por isso, os profissionais de SI que deveriam garantir o cumprimento das políticas tendem a ser dissuadidos por seus superiores para a criação de exceções que obviamente facilitam o trabalho dos executivos, no entanto, representam um enorme risco de segurança para a informação e para a empresa.

FATORES EXTERNOS E INTERNOS DOS RISCOS MODERNOS

O volume de celulares vendidos no mundo já supera o número de habitantes, seguindo essa tendência, o volume de tablets vem aumentado de forma exponencial. Segundo o instituto de pesquisas IDC, o aumento nas vendas de dispositivos mobile cresceu 110% no último trimestre. Nesse mesmo contexto, a Kaspersky Lab tem chamado a atenção para o aumento nas ações de ciber-espionagem móvel, principalmente devido a crescente utilização de dispositivos mobile dentro das empresas.

Com essa nova onda tecnológica surgem novos desafios de segurança. Hoje, a maior preocupação das empresas tem sido como garantir que dispositivos móveis utilizados por seus funcionários e executivos estejam menos vulneráveis a ataques e vírus. Essa é principalmente uma preocupação de segurança da informação, motivada pelos inúmeros ataques que empresas e governos vêm sofrendo recentemente.

Segundo o CERT.Br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, entre os meses de abril e junho de 2013 foram registrados mais de 83 mil incidentes de segurança. A maior parte dos scans, fraudes e invasões é motivada pelo acesso a informações pessoais ou corporativas.

Na luta contra esses ataques, empresas especializadas estão se empenhando em criar novos recursos de segurança visando diminuir riscos. Contudo, ao mesmo tempo em que esse é um trabalho importante e necessário, o empenho em criar novos critérios de controles para proteção dos dados contra ataques a dispositivos móveis tem feito com que as empresas se preocupem cada vez menos com os riscos internos de desvio de informação ou eventuais desvios de conduta de funcionários.

Outra tendência reativa do mercado é o grande empenho em criar políticas que visam mitigar riscos de divulgação indevida de informação por meio de fraudes e roubos. Essas formas têm por natureza serem iniciadas a partir de ambientes externos aproveitando-se de eventuais vulnerabilidades. Porém, a forma mais fácil de uma informação confidencial ser divulgada para pessoas ou entidades que não deveriam ter acesso a ela é o vazamento. O vazamento geralmente tem a participação de pessoas internas e que possuem acesso legítimo à informação.

Quando o vazamento é realizado por um funcionário cuja estrutura de trabalho está completamente sob o controle do departamento de SI, ainda que o vazamento já tenha acontecido, as medidas de resposta à incidentes podem ser rápidas e eficazes. Outro ponto é que uma vez que o vazamento aconteceu a partir da estrutura monitorada da empresa, é possível identificar o seu autor e até mesmo instruir medidas judiciais de reparação.

Em contrapartida, uma das principais premissas da SI é a criação de restrições por níveis de usuários que visam garantir que cada funcionário tenha acesso a apenas as informações correspondentes a sua função. Sendo assim, quanto maior o nível hierárquico, maior será a possibilidade de acesso aos dados importantes para uma empresa e, por sua vez, maior será a dificuldade em rastrear eventuais desvios.

Isso faz reforçar a importância de se observar principalmente os níveis executivos das empresas, pois além de eles terem acesso às informações mais importantes e confidenciais, costumam ter facilidades e exceções que facilitam o desvio de informação, seja ele intencional ou não. Por sua vez, a rastreabilidade de um desvio de informação é muito menor quando ele é facilitado pelas exceções de controles de segurança garantidas aos níveis executivos.

RECURSOS DE DISPONIBILIDADE QUE REPRESENTAM RISCOS

É comum, embora não seja correto, executivos utilizarem recursos proibidos aos outros funcionários, tais como dispositivos externos, serviços de sincronização de dados via internet (Dropbox, SkyDrive, Google Drive), acesso à sua conta de e-mail pessoal, etc. Também é comum executivos terem acesso à Internet por meios alternativos e não controlados pela empresa, tal como conexão via 3G/4G através de modens portáveis.

Essas necessidades são geralmente justificadas por serem supostos facilitadores de acessos às informações necessárias em eventuais trabalhos externos, já que profissionais executivos tendem a trabalhar em horários diversificados e, algumas vezes, de suas próprias residências.

As exceções, por sua vez, costumam ser autorizadas por duas razões: a primeira é o poder que os níveis executivos exercem sobre os departamentos de controle de SI; a segunda é o fato de que os executivos geralmente não são incluídos nos grupos de risco para a empresa, pois entende-se que se eles alcançaram esse nível na empresa é porque são profissionais envolvidos com o negócio e presumidamente de confiança.

De acordo com os princípios de governança e segurança da informação, é incorreto excluir qualquer nível hierárquico dos controles, principalmente porque os desvios de informação que causam maiores prejuízos às empresas são justamente os de autoria de cargos de alto escalão.

É claro que nem sempre as ações que causam prejuízos são premeditadas. Algumas vezes uma informação confidencial chega às mãos dos principais concorrentes de uma empresa justamente como moeda de troca, ou seja, os executivos divulgam as informações em troca de melhores oportunidades de carreira, mas além disso, existe um risco ainda mais iminente que é a perda ou roubo de dispositivos externos, ou a invasão de recursos que não deveriam conter informações confidenciais da empresa, contudo, contêm essas informações delicadas devido aos privilégios garantidos aos seus utilizadores.

Embora isto represente um grande risco para as empresas, quiçá o maior, é muito difícil impedir que essas exceções ocorram mesmo nas empresas mais conscientes, pois na maioria das vezes elas estão ligadas a produtividade dos executivos. Sendo assim, os departamentos de SI devem prever alternativas para controlar esse risco e possibilitar o rastreamento de um eventual incidente.

COMO CONTROLAR OS RISCOS

Para termos sobre controle até mesmo as exceções, faz-se necessário a criação de políticas diferenciadas para os níveis executivos. Ainda que algum profissional desse nível não faça uso de exceções ou regalias sistêmicas, de fato todos eles têm acesso legítimo às principais informações de uma empresa, o que, por si só, justifica essa diferenciação.

A intensificação de controles de acesso de dados pode trazer grandes dores de cabeça. Afinal de contas, aqueles que dirigem os departamentos de SI não querem se submeter a controles adicionais. Então, uma saída é criar políticas de monitoramento, preservação e retenção de dados diferenciadas para esse nível hierárquico.

E-mails corporativos é um exemplo de recurso que as empresas costumam ter retenção limitada. Motivada pelo controle de custo, a maioria das empresas cria caixas de e-mails pequenas em seus servidores incentivando seus funcionários a fazerem constantes backups no computador ou notebook. Acontece que uma vez que o funcionário tem todos os seus e-mails armazenados apenas no próprio computador, tem também o poder de desviá-los ou de destruí-los.

Uma forma de garantir a satisfação dos executivos e ao mesmo tempo aumentar os níveis de segurança da empresa é criar caixas de e-mails com tamanho ilimitado nos servidores apenas para esses poucos profissionais. Essas caixas de e-mail, por sua vez, devem ter retenção indeterminada, afinal de contas, os assuntos tratados por e-mail pelos executivos nunca deixam de ser importantes para o negócio da empresa.

Com essa medida simples, caso haja algum tipo de falha de conduta do profissional por meio do e-mail corporativo, todo o histórico estará devidamente preservado sob a estrutura controlada pela empresa.

Um outro exemplo de medida pode ser dado quanto ao uso de dispositivos externos de armazenamento. A maioria das empresas impede que seus funcionários utilizem esses recursos como forma de mitigar o desvio de informação, mas tendem a permitir que seus executivos usem pendrives e discos externos.

Se for impossível negociar o bloqueio total desses dispositivos, deve-se, ao menos, garantir que eles sejam controlados. Isso pode ser feito, por exemplo, com o fornecimento de pendrives e discos externos de propriedade da empresa e munidos de recursos de criptografia de dados. Assim, se eles forem perdidos, os dados não poderão ser acessados por qualquer indivíduo e, se o executivo deixar a empresa, deverá devolver o dispositivo, haja vista que ele não lhe pertence. Esse mesmo conceito deve ser utilizado para dispositivos mobile.

Porém, todas as sugestões acima são, de alguma forma, previstas pelas práticas de governança e segurança da informação, embora não seja comum a criação de políticas sobre uso de dispositivos externos distintas por nível hierárquico. Já a preservação e retenção de dados de executivos após o seu desligamento da empresa sequer são avaliadas sob a ótica da segurança, ao invés disso, costumam ser avaliadas apenas sob o ponto de vista da continuidade do negócio.

Devemos considerar que os níveis executivos acessam as informações mais importantes de uma empresa, portanto representam um risco potencial. Quando um executivo sai da empresa seus dados devem ser preservados e armazenados de forma segura por tempo indeterminado, pois a qualquer momento pode ser necessário acessar não só os e-mails do ex-executivo, mas também o próprio computador que ele utilizava para verificar se houve alguma conduta em desacordo com as políticas de segurança da empresa.

Nesse contexto, os métodos comuns de preservação de dados são incompletos ou ineficazes para esse fim, pois costumam modificar propriedades de arquivos que seriam fundamentais para comprovação da idoneidade dos dados. Note que casos identificados de desvio de conduta de executivos geralmente motivam processos judiciais, logo, a preservação dos dados deve estar em conformidade com os critérios de armazenamento e apresentação de provas digitais em um litígio.

Essa é uma abordagem crítica, mas pouco considerada pelas empresas. Não obstante, podemos encontrar referências nas normas de segurança da informação sobre a coleta e preservação de dados para fins litigiosos, trata-se da ISO/IEC 27.037. Essa norma, utilizada para fins forenses, define parâmetros mínimos que devem ser seguidos para a preservação de dados armazenados em computadores e outros dispositivos informáticos.

Sendo assim, o computador, o celular e os pendrives utilizados por um ex-executivo não podem ser simplesmente formatados e realocados para outros funcionários, pois esse tipo de prática pode inviabilizar completamente a comprovação de um eventual desvio de informação futuramente descoberto pela empresa. Ao invés disso, esses equipamentos devem ser coletados e preservados pela empresa.

CONCLUSÃO

Apesar de os níveis executivos terem acesso a informações importantes das empresas, é cada vez mais difícil de impedir que eles usem o poder que exercem sobre os departamentos de gerenciamento de segurança da informação para garantir regalias e formas de burlar as políticas de segurança da empresa.

Sendo assim, controles específicos devem ser previstos pelos departamentos de SI para garantir que, embora existam exceções, os dados sejam de alguma forma controlados pela empresa.

A principal diferença que deve ser considerada é o tratamento dos dados de ex-executivos. Como esse nível hierárquico possui notórios privilégios no acesso à informação e aos mais diversos recursos, todos os dispositivos utilizados por eles devem ser monitorados e, quando da sua devolução à empresa, preservados para futuras necessidades. Somente assim as empresas poderão de alguma forma instruir ações de reparação de eventuais condutas irregulares desses profissionais.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s