Dentre as contínuas notícias sobre espionagem entre países amigos, neste fim de semana veio a notícia de que um agente brasileiro da ABIN foi recomendado se aposentar porque colaborou, isto é, repassou informações para um agente espião do governo dos Estados Unidos. Este fato confirma uma característica do mundo da espionagem e contra espionagem: para que gastar tempo quebrando mensagens criptografadas, se é possível, mais rápido e mais barato cooptar uma pessoa da organização (ou nação) alvo e ter acesso às informações que procura?
Nas organizações isto também acontece, infelizmente são poucas, muito poucos, as estatísticas sobre roubo ou vazamento de informações nas organizações. As que existem disponibilizam dados muito superficiais. Mas, quem trabalha com segurança da informação sabe que isto acontece e com uma frequência maior do que as organizações percebem.
A primeira razão de não termos informações sobre roubo de informações é porque as organizações não querem informar estes fatos. É até compreensível. Mas, entendo que o agravante é que as organizações nem querem comentar este tipo de assunto em fóruns profissionais.
O segundo maior motivo que as organizações não querem comentar o assunto roubo ou vazamento de informações é porque elas não sabem que estão sendo roubadas ou suas informações estão sendo vazadas. Não sabem e parecem que não querem saber. Buscam passar para a alta direção que está tudo bem. Como roubo de informação não “arranca pedaço”, isto é, a informação é roubada, mas continua existindo na organização, a percepção do roubo não existe.
Outra questão é que, na maioria das vezes quando há cooptação de usuário interno da organização, com recompensa em dinheiro, normalmente esta quantia é satisfatória para este usuário, mas não irá mudar totalmente o seu padrão de vida. Então este funcionário corrupto não chegará no outro dia com um carro importado de valor impossível dele adquirir com o seu salário. Como também, muitas vezes a informação roubada é de grande valia para um concorrente, mas trará ganhos médios a este concorrente, pensa-se que em alguns momentos o concorrente foi mais inteligente e conquistou uma determinada fatia do mercado da organização. Este roubo de informação somente será identificado se for o caso de um novo produto com muitas inovações, que “milagrosamente” o concorrente lança dias antes. Ou a perda de uma concorrência onde a organização tinha certeza que estava apresentando o melhor preço e condições.
Espionagem entre organizações existem. Bem como doação de informação por negligência, também existe, quando relatórios desatualizados são colocados no lixo sem a devida destruição. Ou equipamentos de tecnologia são descartados e vendidos sem que os dados sejam apagados.
Para proteger a sua informação a organização precisa ter um Processo Organizacional de Segurança da Informação. Evidentemente um processo sério e profissional. Não tipo “me engana que eu gosto”.
Segurança, democracia e virgindade: ou se tem ou não se tem!
Como está a segurança da informação da sua organização?