Como garantir o sigilo de dados empresariais em uma época em que a simples auditoria pode acabar se tornando alvo de um processo de invasão de privacidade? Ou ainda, quando as próprias ferramentas usadas para produtividade no trabalho são usadas para o mal?

e-mail institucional vs justiça

Já existem vários processos judiciais onde uma empresa venceu o direito de auditar as contas de e-mails institucionais, mas claro que devem haver meia dúzia por ai em que o juiz acabou crucificando o dono da empresa e o sysadmin deixando o empregado ordinário feliz da vida.

Ainda que nós auditemos as caixas de e-mail e isso seja muito bem descrito na politica de segurança da empresa e nunca venhamos a ter problemas judiciais, ocorre que a morosidade da justiça brasileira pode dificultar qualquer processo judicial contra algum funcionário que tenha violado as regras e neste caso se tão logo o sysdamin tenha detectado o problema, não faça uma “fotografia” do cenário pode ser que quando os dados sejam exigidos judicialmente eles já tenham sido perdidos.

quem toma conta do e-mail particular do usuário?

Outro ponto importante a levantar aqui é que, sabendo que pode ser auditado, um funcionário que tenha a intenção de roubar informações privilegiadas para o concorrente, poderia usar outra conta de e-mail que o administrador não tem acesso.

O tal funcionário poderia usar o seu e-mail particular no Gmail, no hotmail, Yahoo etc etc onde você não tem acesso e nem autorização para auditar. Pior do que isso, o tal espião poderia só o fazer a partir do seu notebook, tablet ou smartphone particular usando uma conexão 3G que você também não pode auditar, ou ainda de casa.

No caso de usar puramente o e-mail particular, dentro do perimetro de segurança de sua rede, um sniffer pode resolver – certifique-se que isto esteja descrito em sua política de segurança também. Você vai farejar os pacotes vindo da máquina do cara e se não forem criptografados poderá ter exito na auditoria.

você tem autorização para auditar o smartphone particular da gerente de vendas?

Como eu já citei no tema anterior, alguém com privilágios poderia usar seu próprio equipamento particular para roubo de dados e como você vai auditar um equipamento particular?

Talvez o espião nem o leve para o escritório. Ele simplesmente copia os documentos para um pendrive e do conforto e sigilo da sua casa ele envia o material para o inimigo. Impedir o uso de pendrive não é uma boa ideia.

Hoje em dia existem muitos equipamentos que permitem armazenar informações. É inimaginável que uma pessoa que trabalhe com tecnologia ou com gestão e não tenha ao menos um smartphone com memória, com gravador de voz, com câmera de alta resolução, filmadora etc.

quem são os potenciais espiões?

Eu citei a área de tecnologia e a de gestão porque certamente são as duas áreas onde os funcionários poderão ser tentados a praticar espionagem e roubo de dados, pelo simples motivo de terem acesso aos dados “mais quentes” da sua empresa. Mas não duvide que até mesmo um faxineiro, ou a dona que faz o cafezinho, seja um espião em potencial.

Informação já é o maior bem que uma empresa moderna pode guardar. E ai, o que fazer? Probir todos os funcionários de usarem estes equipamentos dentro da empresa? Talvez isso não resolva e talvez a paranoia dos sysadmins não tenha cura.

E agora?

Sabendo destes problemas e dificuldades em resolvê-los o que tiramos de conclusão é que os responsáveis pela segurança devem garantir que haja uma boa politica de segurança sempre a mão que o respalde a realizar procedimentos de auditoria; que tão logo uma suspeita de roubo seja detectada, o máximo possível de informações seja coletada e guardada; equipamentos particulares se não puderem ser proibidos que se pense uma uma forma de restringir o acesso a dados sigilosos a partir deles e ainda uma boa politica de direitos de acesso aos dados.

Com estas dicas não resolveremos todos os problemas mas certamente evitaremos que ocorram de maneira descarada desmoralizando assim a função de segurança da informação.