Publicidade

quinta-feira, 10 de outubro de 2013

Entrevista: Entenda por que é necessário proteger as informações da sua empresa

Informação é um ativo vital para a empresa. Não apenas por seu potencial de subsidiar a tomada de decisões estratégicas, mas pelo valor que ela pode ter no mercado negro. A espionagem corporativa é uma realidade e pode se dar de diferentes maneiras, desde uma fotografia de um documento sigiloso até invasões de sistemas digitais e truques de engenharia social. Um estudo da consultoria PwC mostra que 32% das empresas brasileiras já sofreram com ações de cibercriminosos.
As repercussões de uma informação valiosa nas mãos erradas são imprevisíveis: vão desde um pequeno incômodo ou uma profunda crise. "Se pegarmos o caso de uma startup ou de uma empresa de médio porte que esteja lançando um serviço ou produto inédito, um roubo de informações pode, sim, custar sua consolidação ou até seu futuro", acredita Laurent Serafini, especialista em engenharia de segurança e sócio-diretor da Velours International.
Para ele, embora essa seja uma ameaça iminente, poucas empresas se protegem adequadamente em relação às suas informações. Em muitos casos não é necessário sequer um código complexo para invadir um sistema: basta levar um funcionário a clicar em algum link suspeito ou baixar um aplicativo falso para conseguir acesso privilegiado. "É importante que as empresas compreendam que o pensamento não deve ser o de 'se a crise vai acontecer', mas, sim, o de 'quando a crise vai acontecer' e se prepararem para isso", diz.
Confira abaixo a entrevista completa.
A segurança das informações é um tema que tem ganhado destaque nos últimos meses, principalmente agora, após a sanção das leis Carolina Dieckmann e Azeredo. Mas a segurança corporativa é ainda mais crítica, já que o vazamento de informações pode significar a falência. Quais são as maiores falhas das empresas brasileiras nesse sentido?
Atualmente, o Brasil é o terceiro país mais afetado por atividade ilegal na internet (segundo pesquisa realizada pela Norton/Symantec), com o custo do cibercrime chegando a R$ 16 bilhões anuais, ficando atrás apenas de China (R$ 92 bilhões) e EUA (R$ 42 bilhões). Especialistas podem ser contratados por menos de U$ 400 dólares por dia para realizarem ataques pela internet. Outros dados, da empresa PricewaterhouseCoopers (PwC), apontam que apenas o cibercrime atinge hoje 32% das empresas brasileiras, superando problemas como corrupção e suborno.
vírus
(imagem: Thinkstock)

Se pegarmos o caso de uma startup – ou seja, uma empresa que está nascendo e, portanto, lutando para conquistar seu espaço e crescimento – ou de uma empresa de médio porte que esteja lançando um serviço ou produto inédito, um roubo de informações pode, sim, custar sua consolidação ou até seu futuro. Na França, uma pesquisa revelou que metade das pequenas e médias empresas vítimas de roubo de informações pediu falência dois ou três anos depois do ocorrido.
Mais de 70% das empresas brasileiras ainda não contam com um sistema de segurança adaptado, e mesmo as que o possuem, focam apenas na proteção contra hackers ou crackers, sendo que boa parte desses crimes não exige tecnologia avançada e acontecem por falhas humanas na preservação de dados sigilosos.
Como exemplo, temos o picote ou até descarte errado de documentos, postagens de informações em redes sociais ou revelação de dados sigilosos a golpistas que usam de táticas como abuso de confiança, psicologia, manipulação ou identidade falsa, para obter de atendentes, secretárias e até porteiros, dados preciosos (até mesmo bancários) da empresa, sem que estes percebam.
Uma modalidade de fraude quase esquecida pelos empresários, mas ainda existente é a velha técnica manual de roubo de documentos e materiais. Uma Xerox, uma foto com o celular, o uso de um pen drive, são técnicas reais bastante utilizadas pelos golpistas neste sentido.
É importante que as empresas compreendam que o pensamento não deve ser o de 'se a crise vai acontecer', mas, sim, o de 'quando a crise vai acontecer' e se prepararem para isso.
O gerenciamento de riscos é algo subestimado, já que o objetivo não é gerar lucros imediatos e sim evitar as perdas e danos à empresa?
Muitas empresas fazem o mínimo, ou seja, preocupam-se com segurança patrimonial pensando que nada vai acontecer, que o risco ligado, por exemplo, à perda de informações ou à imagem da empresa não são reais, e essa é a principal fraqueza. Aceitar a existência dos riscos (que é uma essência do empreendedorismo) é já lutar contra eles.
Hoje, dentro de um mundo com forte concorrência, a busca da informação estratégica é forte. Se precaver e evitar invasões, perda de dados, espionagem, e ter um plano de continuidade de atividade é um investimento alto sim, mas tem um motivo fundamental: ajudar a empresa a não perder seus valores ou até a continuar a existir. Tentando economizar alguns reais, a empresa corre um risco fatal.
Além disso, a concorrência acentuada impõe que várias empresas se lancem em mercados difíceis, em zonas complexas, que aumentam os fatores de riscos. A gestão de riscos é prever o pior e se preparar devidamente para enfrentá-lo da melhor forma possível.
Estudos da Escola Central de Paris (renomada escola francesa de engenharia) demonstra que, para cada euro investido, sete euros são poupados durante uma crise, transformando o investimento em lucro.
Estar preparados impede despesas maiores com ações corretivas. Temos casos concretos no Brasil de clientes que já estão na fase de "apagar incêndio", que gastam mais dinheiro em segurança do que ganham com os negócios. Isso não é viável.
As empresas têm que entender que, hoje em dia, a segurança é um investimento normal e fixo das corporações, elas precisam disso para funcionar, e mais ainda no dia em que estiverem confrontadas com uma situação grave.
Imagine uma empresa que consegue manter um nível de atividade bom mesmo durante uma crise forte, que atinge, inclusive, seus concorrentes. Ela vai se destacar e ganhar mercado.
Os ataques de criminosos virtuais contra empresas têm se tornado mais constantes e sofisticados no Brasil. Mas no final, é o fator humano que mais proporciona brechas, principalmente com o aumento no uso de dispositivos pessoais no trabalho. Como lidar com esse problema, que é predominantemente subjetivo?
A prioridade é a formação. Estamos ministrando muitas palestras e cursos para que as empresas possam investir em treinamentos de seus funcionários.
É fundamental ensinar aos colaboradores os riscos que eles podem trazer à empresa pelo uso de redes sociais (particulares ou profissionais) e pelos seus comportamentos. Os protocolos podem ser bons, mas de fato se o colaborador não os respeita, acabam se tornando ineficientes. A formação é, então, a base da solução.
O crime organizado tem se especializado em se aproveitar dessas falhas com técnicas especificas, como as do Social Engineering que, nas palestras aos nossos clientes, demonstramos, na prática, como acontece.
Mostramos como é fácil manipular uma pessoa dentro de uma empresa, conseguir dados normalmente confidenciais, desestabilizar um executivo ou cometer uma fraude. Em um exemplo concreto e gravado, conseguimos, em 37 minutos, identificar a estrutura financeira de uma multinacional no Brasil, manipular uma secretária, e conseguir os dados bancários para fazer uma transferência e cometer uma fraude. Nosso investimento: muito pouco tempo, um computador, algumas ferramentas públicas de pesquisa na internet e um telefone celular básico comprado na Rua 25 de março. É claro que isso foi feito apenas como demonstração do que pode acontecer nesse universo de fraudes corporativas e quão rápido elas acontecem.
Internamente, as empresas têm que definir os protocolos específicos de acesso às informações e dados sigilosos. Esses protocolos devem ser elaborados nos planos gerais de segurança da empresa: quem tem acesso a que, quem pode olhar ou alterar documentos específicos, qual é a hierarquia em caso de problemas na empresa etc.
Sem esses dois fundamentos (treinamento e organização), as empresas correm sérios riscos. O que notamos no Brasil é que devido a um crescimento demasiado rápido, muitas empresas ainda não se prepararam e se adaptaram. Como consequência, são alvos da criminalidade.
O panorama no Brasil é bem diferente da França, principalmente por conta das diferenças na maneira como se encara a segurança da informação e a proteção contra cibercrimes. Enquanto a França, assim como boa parte dos países europeus, é mais severa, no Brasil há apenas algumas semanas foram aprovadas leis contra cibercrimes. Como a Velours, que atua nos dois países lida com essa diferença?
A gente tem que ter o conhecimento desses riscos.
Temos uma parte importante de pedagogia para que as empresas possam entender os verdadeiros riscos aos quais elas estão expostas.
Para reforçar e dar ênfase a esse fundamento, realizamos muitos treinamentos com casos concretos e atuais que participamos (na França ou aqui). Mostramos como o crime pode agir e manipular as pessoas em todos os níveis (da secretária ao presidente) para obter informações sigilosas.
Esses casos exemplares chocam o público. Mostramos como o crime organizado ou um concorrente podem atuar de várias maneiras, com telefonemas, correio, internet, hacking, encontros físicos provocados, misturando técnicas simples ou mais complexas. Trabalhamos com casos que, infelizmente, não são filmes, são realidades.
E temos uma gradação nos treinamentos, com níveis diferentes, no qual falamos de várias temáticas e para públicos diferentes. Não falamos e mostramos a mesma coisa para uma assistente ou para um alto executivo, evidentemente.
Uma vez feita essa primeira parte, podemos então atuar de forma mais direta sobre alguns cargos estratégicos das empresas, ensinando-lhes como se proteger e até como ser "ofensivos". Pensamos a proteção da informação, mas também como recolher informações de forma totalmente legal.
Neste caso, entramos na fase que chamamos de inteligência econômica ou estratégica. São riscos e oportunidades. Temos a proteção da informação e também como recolher e até difundir a informação, por exemplo, com o que chamamos de comunicação viral que pode mudar completamente a imagem de uma empresa no mundo dos negócios.
No Brasil, uma lei que saiu recentemente, trouxe um avanço. Só que, concretamente, as penas previstas são pouco severas e não vão ser cumpridas. Com certeza acontecerão alterações em breve.

Fonte: Administradores

2 comentários:

  1. Muito importante a sua postagem. Na realidade alem de batalhar pelo nosso espaço no mercado temos tambem que nos resguardar dos criminosos, parasitas, que nos assediam dia e noite simplesmente porque vivem disto e porque não possuem a capacidade de criar e desenvolver aquilo que levamos anos para construir. Em portugues nú e crú e desculpe pela expressão: "não sei desde quando o diabo está solto". Sei o que significa o conteúdo da sua postagem porque por duas vezes já vivi esta situação, olho no olho, imagine pela internet. Qualquer dia desses vou escrever uma postagem sobre assunto. Abraços

    ResponderExcluir
    Respostas
    1. É interessante estarmos a par do que acontece nesse mundo on line. Temos que ter os olhos abertos, isso é muito importante. E qto mais informações e esclarecimentos tivermos a respeito, teremos menos riscos de sermos trapaceados.

      Excluir