Roubo de informações

Ontem, 14/2/2008, no final da manhã foi dada a noticia de que dois notebooks e dois discos rígidos contendo informações importantes, pertencentes à Petrobrás, foram roubados de um contêiner que foi transportado em um navio. O incidente foi detectado no dia primeiro deste mês. Quem trabalha com segurança da informação foi bombardeado por emails de amigos e colegas comentando fato. Durante a tarde e noite todos os meios de comunicação comentavam a notícia. Hoje pela manhã os principais jornais do Brasil dão destaque de primeira página ao assunto em função de que os dados desaparecidos são referentes às recentes descobertas de óleo e gás natural. Em relação a este caso específico, muitas informações ainda serão divulgadas e esclarecerão o que exatamente aconteceu, identificando eventuais falhas de controle. Roubo de informações sempre existiu, existe e existirá. As organizações precisam estar atentas continuamente para proteger um dos bens mais importantes para o negócio: a informação. Mas, o que deve ser considerado para essa proteção adequada da informação? a) Toda organização possui informações importantes para seus objetivos de negócio e…. para a  concorrência.                                      Complementando: existem concorrentes que jogam de maneira desleal e usam de expedientes fraudulentos. Isto é um fato. É uma ameaça que existe, quer você concorde ou não! Para tanto a organização deve identificar em relação à sua informação qual o nível de interesse pelos ladrões de informação e pela concorrência. b) A proteção da informação tem que ocorrer em todos os ambientes onde está a informação.                                                                 Ambientes como os centros de processamento de dados são (normalmente) muito bem protegidos, seja no aspecto físico como no aspecto lógico. Mas, temos que nos lembrar que a informação circula por muitos lugares e fica armazenada em diferentes tipos de mídia. Neste caso da Petrobras foram roubados dois notebooks que estavam em um contêiner. Mas, e os notebooks que circulam aos milhares pelas nossas ruas e avenidas? E as informações que são carregadas nos dispositivos tipo pen-driver? Ou aquelas folhas de papel que foram colocadas no lixo e não foram destruídas? Isso sem falar em computadores antigos que são descartados, mas as informações gravadas nos discos não são devidamente apagadas? Se seu notebook fosse roubado, o que aconteceria? c) Sempre pensar em mais um “E se …..”                                                                                                                                                                                              Não precisamos ficar neuróticos (em função desta questão) e não pararmos mais de pensar em ameaças e situações de problemas. Mas, pensar um pouco adiante sempre é vantajoso. ?E se alguém conseguir acessar esta mídia ou equipamento?? Uma avaliação sobre a necessidade de se colocar mais um nível de proteção, tipo criptografia dos dados, deve ser considerada e avaliada em relação ao valor da informação. d) O processo de segurança precisa ser 360 graus.                                                                                                                                                              Quando se trata de segurança da informação deve-se contemplar segurança física, segurança de acesso lógico, processos e controles, pessoas, valor estratégico e operacional da informação e requisitos de negócio. Isto significa que o negócio deve orientar as ações de proteção e o nível exigido de proteção. A segurança não existe por si só. Ela existe para possibilitar que os recursos de informação sejam utilizados pela organização para atingir seus objetivos a um custo de controle compatível com o valor de cada controle. e) Ações de má fé acontecem por três motivos Motivação: pode ser ganho financeiro, melhoria de imagem, defesa de uma causa ou algo similar. Fraqueza em um controle: controles são processos e ações que buscam proteger um determinado bem. Eles precisam ser eficientes sempre, para serem mais fortes do que as tentativas de quebra dos mesmos. Oportunidade: uma situação que permite que a ação de má fé seja realizada. Devemos considerar esses elementos no processo de proteção e minimizar a sua existência. f) A quebra da proteção acontece no elo mais frágilEssa é uma verdade que muitas vezes esquecemos. De forma semelhante a uma corrente, a quebra ocorre no elo mais frágil. Pode ser pessoas, senha fácil de ser imaginada, falta de monitoração, falta de dispositivos de alerta ou um simples cadeado frágil. Evidentemente não existe segurança perfeita. A perfeição deve ser uma busca. Mas, em muitas situações estamos muito longe da perfeição e temos muitas tarefas de casa para fazer. Situações como esse roubo de informações da Petrobrás deve servir de alerta para todas as organizações: como está a proteção da informação da minha organização? Ela pode sofrer algo semelhante? Já aconteceu e nem se sabe? Lembre-se que roubo de informação pode acontecer sem o desaparecimento da mídia onde está a informação. Mas, uma sugestão: procure solucionar de maneira simples. Não se encante com palavras de impacto e termos de moda. Segurança é um tema (tipo futebol, religião e política) em que todos podem dar opinião. Avaliar, identificar fragilidades, definir controles, implementar, monitorar e voltar para o início do ciclo. Sempre! Verifique como está a proteção da informação na sua organização! Registro que no mundo profissional da segurança da informação, a Petrobrás é uma das organizações de referência. Edison Fontes, CISM, CISA. Gerente Sênior da CPM Braxis. Participa da ABSEG, ISACA e InfoSecCouncil. [email protected]