Segurança da Informação. A questão da cultura organizacional.

A segurança da informação (SI) tem sido explorada no mundo empresarial com maior intensidade a cada dia. As razões são muitas, porém, a Lei Geral de Proteção de Dados (LGPD) e as invasões cibernéticas, que têm sido cada vez mais rotineiras no mundo, colaboram para isso.

Um exemplo recente foi o de um hospital francês invadido e que teve seus dados criptografados, aparentemente por meio de um “ransomware”, em 20 de agosto de 2022. A invasão provocou enormes distúrbios, deixando inacessíveis "todo o software comercial, os sistemas de armazenamento (em particular, de imagens médicas) e o sistema de informação relacionado às admissões[1]". O pedido de resgate dos dados foi de US$ 10 milhões.

O termo segurança da informação possui diversas definições, mas pode ser resumido como um conjunto de boas práticas para garantir a confidencialidade, a integridade e a disponibilidade (CID) das informações de uma organização ou pessoa. Pode-se, também, se adicionar os termos autenticidade, não repúdio e confiabilidade aos três primeiros.

É importante destacar que a SI não se limita ao campo digital ou computacional; ela vai além e envolve infraestrutura, pessoas, arquivos físicos, segurança patrimonial e ambiental, e muito mais. Abrange, de forma ampliada, a segurança física e do ambiente, a segurança cibernética, a segurança digital, segurança das comunicações e a segurança dos recursos humanos.

Um dos casos mais famosos de vazamento de informações foi o da NSA[2], causado por Eduard Snowden, relatado por ele em seu livro “Eterna Vigilância. Como montei e desvendei o maior sistema de espionagem do mundo”. Ao lidar com esse assunto, sempre nos ocorre a figura do “hacker”[3], sentado com um moletom com capuz, comendo “junk food” e digitando códigos complexos. Sim, muitas vezes isso acontece; mas outras formas de se obter “portas” para se entrar em uma empresa podem ser mais simples.

Ele conseguiu já aos 13 anos, por um tempo, burlar o sistema de notas de sua escola simplesmente entendendo as regras para cálculo de cada uma (A,B,C, D e F), descobrindo qual aspecto de cada aula poderia ignorar, ganhando tempo livre e obtendo nota suficiente para passar de ano. Importante notar que ele não usou nenhum computador, apenas teve acesso às informações (regras) que permitiram a ele compreender como o sistema de notas funcionava e como “hackear” com uma solução engenhosa.

Mais tarde, já trabalhando para a NSA, tiraria os dados copiados dos seus computadores em um cartão micro SD, idêntico àqueles que usamos em câmeras digitais, embutidos em um cubo mágico. Como era conhecido no ambiente de trabalho como “o cara do Cubo Mágico”, já que andava sempre com um na mão, ele fez um trabalho de engenharia social simples, porém criativo: comprava cubos mágicos e distribuía para os funcionários. Cada pessoa que pegasse um ainda recebia dicas sobre como resolver o problema do cubo. Assim, entrar e sair do local em que ele trabalhava com um cubo mágico – ou tê-lo em sua mesa - passou a ser, aos olhos de todos, algo comum, inclusive para os guardas da portaria, que ainda faziam comentários, quando viam Snowden com um cubo mágico na mão, como “Nossa, cara, eu brincava com isso quando era criança”.[5] Pura engenharia social.

Assim, pode-se entender que a “primeira linha de defesa” quando se trata de proteger dados, é a cultura da empresa e de seus colaboradores em estar sempre alertas e evitar “brechas” como a descrita acima, que precisou somente de um simples cartão SD, um cubo mágico e falha no monitoramento de entrada e saída de pessoas.

É preciso, portanto, implementar uma cultura de segurança, onde todos devem se sentir responsáveis pela segurança. Além dos tradicionais programas de conscientização, é preciso testar a segurança o tempo todo e, encontrando falhas, aprender com elas e aperfeiçoar a SI, dentre outras boas práticas.

Medidas simples, como controle efetivo das pessoas que entram e saem do prédio da empresa, prevenção a ações de engenharia social, como uso de e-mail “phishing” (e como reconhecer e evita-los), verificação de comportamentos anómalos (como chegar usual ou extraordinariamente excessivamente cedo e sair tarde demais do expediente sem uma justificativa plausível), uso de trancas em portas que dão acesso a locais com possibilidade de conecção na rede da empresa por estranhos (isso pode ser feito até por um telefone VoIP que se encontra em uma sala de espera), catracas com controle de crachás, criptografia de “pen drives” e HD externos que precisem sair da empresa (para uma viagem ou palestra, por exemplo), política de troca de senhas obrigatória de tempos em tempos (formadas por caracteres especiais, números, letras maiúsculas e minúsculas), comunicação imediata de perda de crachá por parte de um colaborador para que as permissões sejam bloqueadas e políticas para o uso de celulares particulares no trabalho, dentre muitas outras, são efetivas, implicam em fatores de mitigação para ameaças e custam muito pouco ou sequer possuem custo financeiro. É só uma questão de hábito, de cultura.

Lógico que não se deve descuidar de outras áreas mais técnicas da SI, como a cibernética, por exemplo. Mas é fundamental que seja estabelecida uma “cultura de segurança” nas empresas, inclusive para que elas continuem a sobreviver no mercado e, consequentemente, mantenham os empregos que ela propicia à sociedade. No ambiente empresarial complexo e inseguro do mundo moderno, essas práticas são fundamentais para proteger o maior ativo de uma organização, depois dos seus recursos humanos: seus dados. São eles que conferem vantagens competitivas importantes em uma sociedade marcada pelos “data-driven models” do chamado capitalismo de dados.

Assim, o conjunto de ferramentas tecnológicas modernas, inclusive com o uso de inteligência artificial (IA), com uma cultura puramente humana de se preocupar com a SI das organizações, propiciará uma barreira robusta contra a maioria das ameaças, mantendo a empresa mais segura e focada em sua Missão e na sua Visão de Futuro.

[1] <https://www.rfi.fr/br/fran%C3%A7a/20220823-hospital-na-fran%C3%A7a-%C3%A9-atacado-por-hackers-entenda-por-que-este-crime-%C3%A9-recorrente>

[2] “National Security Agency” ou, em português, Agência de Segurança Nacional. Pertence aos Estados Unidos e é responsável pela SIGINT (inteligência obtida a partir de sinais, incluindo interceptação e criptoanálise).

[3] Palavra de origem inglesa e que vem do verbo “to hack”, que significa "cortar grosseiramente". Usado como substantivo, “hack” significa "gambiarra" ou uma solução improvisada, original ou engenhosa.

[4] Snowden, Eduard. Eterna Vigilância. Como montei e desvendei o maior sistema de espionagem do mundo. São Paulo: Planeta do Brasil. 2019. p. 50.

[5] Snowden, Eduard. Eterna Vigilância. Como montei e desvendei o maior sistema de espionagem do mundo. São Paulo: Planeta do Brasil. 2019. p. 224.