Está comprovado. A grande maioria dos funcionários demitidos leva informações da empresa sem autorização. Os dados constam de pesquisa recente feita pelo Ponemon Research Institute, nos Estados Unidos, divulgada em março.
O estudo mostra que, dos mil entrevistados que perderam o emprego nos últimos 12 meses, 59% admitiram ter roubado informações confidenciais da empresa. Outros 79% disseram que levaram dados sem autorização e 82%, declararam que seus empregadores não realizaram uma auditoria ou revisão de papéis e documentos eletrônicos, antes do desligamento deles. Entre essas informações, estão listas de clientes, listas de contatos, arquivos e e-mails. De acordo com o levantamento, o setor financeiro é o que mais sofre perdas com esse tipo de fraude.
Os dados são alarmantes e registram com clareza os riscos reais de um processo de demissão mal realizado. Na essência, o problema está em dois pontos: a falta de ferramentas tecnológicas que garantam a restrição às informações e a ausência total de procedimentos de demissão integrados, que isolem o funcionário de dados confidenciais e de sistemas.
Para entender o problema do vazamento de informações, é preciso primeiramente conhecer o estado em que elas se encontram. Registram-se três estados diferentes para dados corporativos: armazenado, em movimento e em uso. São considerados dados armazenados os que residem em notebooks, desktops e servidores. Dados em movimento são aqueles arquivados em pen drives, CDs, DVDs, mídias removíveis e e-mails. E dados em uso são os que se encontram em processamento (sistemas de e-commerce, bancos de dados, ERPs, etc.).
Funcionários têm, em teoria, acesso a dados em qualquer estado, principalmente aos dados armazenados. São normalmente eles que removem arquivos de um estado armazenado e os colocam em movimento através de e-mails, pen drives e CDs. Os desafios são tornar esse movimento seguro e evitar que funcionários, demitidos ou não, levem informações confidenciais da empresa sem autorização.
O primeiro passo é, realmente, centrar esforços para proteger as informações armazenadas. Por esse motivo, o uso da criptografia para proteger arquivos em redes e dispositivos móveis, como os notebooks, por exemplo, vem sendo procurado pelas empresas. A preocupação delas é evitar o vazamento de informações críticas.
No entanto, a busca por esse tipo de solução exige algumas precauções. A criptografia não pode ser encarada como uma solução caseira, que pode ser “tocada” por qualquer funcionário da área de TI. Sua eficácia depende do conhecimento de quem está aplicando a tecnologia. Alguns cuidados, como os enumerados abaixo, podem tornar a criptografia uma poderosa aliada na defesa de informações confidenciais.
Projetos de proteção de dados seguem normalmente as seguintes etapas:
1. Identificação – É preciso definir o que será protegido. Em se tratando de segurança de dados, a definição do estado em que o dado será protegido é um ótimo começo, pois o enquadramento das ferramentas será feito respeitando esse conceito.
2. Escolha do fornecedor – É muito importante encontrar empresas no mercado que sejam especializadas em segurança de dados. Muitas empresas especializadas em segurança ainda não dominam todos os conceitos nem as melhores práticas para projetos de criptografia.
3. Implantação – Projetos de criptografia consomem mais tempo e recursos em fases iniciais de planejamento e desenho. Um bom planejamento normalmente resulta em um bom projeto.
4. Suporte – Todo projeto de criptografia é dinâmico e exige suporte técnico. Os fornecedores devem oferecer serviços completos de suporte e manter um nível de comprometimento com o cliente seguro e confiável.
5. Integração com processos existentes – Uma vez implantado, o projeto de criptografia deve ser introduzido na cultura da empresa e integrado aos processos de negócio.
Grande parte da perda de dados pode ser evitada através de controles de acesso às informações (proteção), políticas claras e melhor comunicação com os funcionários. Sendo o epicentro do problema, nesse caso, o próprio ex-funcionário, fechar os olhos para a real necessidade de utilizar os procedimentos adequados pode trazer prejuízos financeiros para a empresa e também para a sua imagem.
Breno Niero é diretor de negócios da Utimaco Safeware América Latina.
Publicidade
