Informação em perigo

Muitas empresas temem sofrer ataques de hackers ou “espiões” da concorrência. Quase sempre, porém, o verdadeiro risco de vazamento está dentro de casa Por Rogério Rokembach As empresas investem milhões (ou bilhões) no desenvolvimento de novos produtos, em novos mercados, em equipamentos modernos, em marketing e na elaboração dos seus planos estratégicos e orçamentários, entre tantos outros itens de vital importância para a sobrevivência e prosperidade de seus negócios. Mas como as companhias tratam a proteção das suas valiosas informações – e quanto investem nisso? Há um modo de saber. Experimente responder rapidamente a estas questões: Você sabe como a sua empresa trata as informações sigilosas e quem é o responsável por elas? Qual é o controle real sobre o acesso aos documentos físicos (que ficam em arquivos muitas vezes abertos nos departamentos)? Quem avalia – e com que periodicidade – se os perfis de acesso dos colaboradores estão corretos e adequados? Quem monitora o acesso do pessoal da TI ao conteúdo eletrônico de toda a empresa? Por quantas mãos, computadores e olhos passam as informações estratégicas e sigilosas da empresa? Quem avalia e testa as políticas de segurança das informações, das senhas e dos e-mails? Se as respostas que você deu a essas perguntas lhe deixaram desconfortável, não se surpreenda. Você está igual à imensa maioria dos gestores das empresas. É muito comum, no ambiente empresarial, constatar que esse assunto não é tratado com a importância devida. A implantação de sistemas integrados de gestão oportunizou muitas melhorias no dia a dia das empresas e contribuiu substancialmente para a eliminação de processos que exigiam retrabalho. Entretanto, estimulou a disseminação de uma falsa ideia de que “cuidariam de tudo” e que as estruturas de controle das empresas (como a auditoria interna, por exemplo) poderiam ser reduzidas ou até, quem sabe, eliminadas. Investir na manutenção da segurança das informações é como comprar um seguro – que só passa a ter valor quando algo realmente ruim acontece Ocorre que, logo após qualquer processo (quase sempre, tumultuado) de implantação de um sistema, seja de gestão ou simplesmente de banco pela internet, passa a existir uma necessidade praticamente diária de alterações em perfis de acesso, em parametrizações dos registros, inclusão ou exclusão de cadastrados e definição de poderes a eles concedidos. Pela dinâmica das atividades, essas alterações não são revisadas por ninguém, o que gera vários problemas. Eis alguns deles: As senhas são compartilhadas por vários funcionários. Ex-funcionários permanecem com perfis ativos de acesso aos sistemas. Chefes entregam, sem cerimônia alguma, as suas senhas a subordinados diretos. Documentos físicos são armazenados de qualquer maneira, sem controle e sem segurança, em um local com nome sinistro – arquivo morto. A portaria serve para quase nada, além de receber as pessoas e os veículos e anunciar a chegada de alguém. Colaboradores em férias ou até afastados do serviço “acessam” diariamente os sistemas porque alguém achou mais “fácil” pegar a a senha deles emprestada do que fazer uma nova para o substituto. Arquivos confidenciais são enviados por e-mail a conselheiros de administração e consultores sem a menor preocupação com a segurança oferecida pelos computadores que eles utilizam. O arquivo confidencial é salvo em um pen-drive e passa por várias mãos até chegar à sala de reuniões – que fica vazia por vários minutos, com o arquivo aberto e projetado no data show, até que os participantes cheguem... Todos os colaboradores e terceiros ingressam na empresa sem constrangimento algum, carregando pen-drives, computadores, celulares que filmam etc. Os funcionários podem acessar sem restrição a internet e seus e-mails particulares (que não são monitorados). Além disso, utilizam os computadores da empresa para fazer trabalhos para a faculdade (entre outros), misturando o particular com o da empresa, salvando arquivos e os enviando por e-mail, em um verdadeiro sabe-se-lá-o- que-foi-enviado-para-quem. Os colaboradores mantêm verdadeiras estruturas paralelas de registros e controles em seus computadores, que em grande parte das situações sequer são submetidos a backups. O mais interessante é que grande parte dos gestores continua achando que o risco vem sempre de fora da empresa. Seus principais temores quanto à possibilidade de informações importantes vazarem dizem respeito à possível ação de hackers – enquanto, no mundo real, a maior preocupação deveria estar na fragilidade da segurança interna das informações, aliada à existência de colaboradores ambiciosos ou chateados com a empresa. Acredite: quase a totalidade das suas informações estratégicas e sigilosas vaza (muitas vezes, de graça), através dos seus funcionários – e aí se incluem desde diretores até porteiros. Fala-se muito na segurança dos sistemas, mas quase sempre se ignora a segurança das informações. Crise ética Nunca se viveu, no Brasil, uma crise ética tão grande quanto nos dias de hoje. As pessoas, nas relações com as empresas, estão ficando cada vez mais indiferentes às consequências dos seus atos. Essa realidade torna ainda mais necessário proteger as informações em relação ao ambiente interno. Nunca tantas informações importantes vazaram de empresas quanto hoje em dia. Apesar disso, continua-se investindo pouco ou nada para protegê-las. Talvez isso aconteça porque investir na manutenção da segurança das informações seja como investir em seguro – somente se dá valor quando ocorre alguma coisa ruim. O problema é que efetivamente ocorre muita coisa ruim com as empresas sem que elas saibam. Enquanto a ficha não cai, muitas companhias atribuem o que ocorre à agilidade e à astúcia dos concorrentes, sem desconfiar de que tudo pode ter começado com uma informação que vazou de seus próprios funcionários. Quem se despreocupa com segurança das informações no ambiente empresarial e pouco ou nada investe nisso não pode reclamar quando os concorrentes sabem dos seus planos e os neutralizam antes mesmo de serem colocados em prática. O resultado, óbvio, é que seus investimentos de milhões (ou bilhões) acabam servindo para quase nada, comprometendo a prosperidade e ameaçando a continuidade da sua empresa.