Como as ações dos funcionários prejudicam a segurança das empresas

Conheça histórias de atitudes comuns que colocam em risco as informações corporativas e saiba o que fazer para controlá-las ou minimizar as suas consequências
ComputerWorld / Vinicius Cherobino
20/01/2009
Como forma de driblar as restrições de segurança da faculdade, um aluno desenvolveu um software. Chamado U2, o programa permite o acesso a qualquer porta do computador simulando que o tráfego estava passando pela porta 80, de tráfego HTTP.
Em outras palavras, esse aluno fazia tudo o que queria – navegava sem restrições, instalava programas e, até, chegou a criar uma rede P2P que funcionava 24 horas por dia.
A história é contada por Nilson Ramalho, instrutor do curso de redes na Impacta e também gerente de suporte técnico da faculdade. Segundo ele, o caso – acontecido cinco meses atrás – foi descoberto por conta do consumo na banda e gerou mudanças na estratégia de defesa. “Depois disso, adotamos gestão de identidade e acesso para evitar problemas desse tipo”, conta.
Vários outros incidentes deste tipo acontecem a todo o momento em universidades e empresas. Acostumados a navegar e usar o computador livremente em suas casas, os funcionários muitas vezes colocam as informações corporativa e a própria corporação em risco por conta dos seus hábitos.
Sites maliciosos, pornografia, programas desconhecidos, correntes de e-mail com ppts, pastas no servidor com mp3 e vídeos, portas abertas no computador, etc, etc... A lista de comportamento hostil para segurança poderia seguir indefinidamente.
Estratégia de defesa
O que o gestor de segurança ou o profissional de TI responsável pela proteção pode fazer para contornar esses comportamentos?
Álvaro Teófilo, superintendente do Centro de Operações de Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, conta a iniciativa do grupo para o controle do vazamento de informações. A estratégia do banco pode ser encarada como uma maneira de estabelecer toda a política de segurança da informação.
“Minimizar o risco de vazamento de informação tem três dimensões: a definição das regras de manipulação de informações (por meio de políticas organizacionais), a divulgação destas regras (que chamamos de ‘planos de conscientização’) e a implantação de controles que permitam minimizar incidentes e orientar as pessoas”, conta Teófilo, em entrevista por e-mail.
Ramalho compartilha a idéia. Para ele, o maior desafio está em deixar claro para os funcionários quais são as regras e que tipo de comportamento é exigido. Depois, aconselha, é preciso apresentar as regras de maneira clara e criar maneiras de garantir que ela está sendo cumprida. “Se a regra de segurança não for auditada, ela cai em descrédito e não funciona. Só ter a ferramenta não resolve”, defende.
Para Sergio Alexandre, coordenador do MBA de segurança da informação na FIAP, a educação é o ponto principal para garantir a eficiência da política de defesa. “Só assim os usuários não vão tomar decisões que podem conflitar com a política de segurança. O papel do CSO é de facilitador, para garantir que tudo aconteça da maneira correta, mas também opressor”, afirma.
Eterno conflito
Mesmo com a educação e as normas claras, o que nenhum profissional de segurança pode esperar é plena aceitação.
Curiosidade é o motor do usuário, afirma Ramalho, ele quer descobrir o porquê ele não pode acessar ou ter determinados comportamentos. “O papel da pessoa de segurança é orientar o indivíduo e explicar as escolhas”, acredita.
Mesmo com as ferramentas de bloqueio instaladas e as políticas de segurança estabelecidas e claras, os usuários pesquisam e descobrem meios para driblas os bloqueios. Sempre buscando mais liberdade de acesso. “Os usuários estão mais preparados e descobrem com mais rapidez”, relata Sergio.
Outro problema comum é a vontade dos usuários de querer ajudar os colegas de trabalho – driblando as políticas de segurança para isso. Conta Teófilo: “O compartilhamento de logins, por exemplo, é um velho problema. Ao tentar tornar mais ágil um processo, um funcionário poderá ser apontado como responsável pelo eventual mau uso do sistema que, na verdade, foi feito por um colega para ele cedeu o seu login de acesso”.
No final, a relação entre funcionários ou alunos e profissionais de segurança sera sempre tensa. “O funcionário ou aluno passa por várias fases para aceitar as restrições, de negação a fúria. Depois disso, ele tem a garantia que pode confiar na rede”, completa Ramalho.