Roubo de dados empresariais

 
Neste artigo vou abordar um tema que já me passou pelas mãos várias vezes, e que há bastante tempo tinha ideia de falar sobre ele, mas não se tinha proporcionado.  Desta feita, dado que fiz uma apresentação sobre o tema na última edição da Confraria de Segurança de Informação, aproveito a embalagem e passo para o “papel” os esboços mentais. Dentro daquilo que pode ser considerado roubo de dados, vou abordar a vertente “Insider Threat”, ou seja, as ameaças provenientes do interior da organização, que podem facilmente conduzir a uma situação de roubo de dados.  Este tipo de situação não é noticia tão frequentemente como um ataque externo que expõe informação interna da empresa, que gera muito mais “burburinho”, mas no meu ponto de vista pode ter tanto ou até mais impacto para a organização do que um ataque externo.  Uma diferença fundamental é que num ataque externo que se torne público, existe uma perda de imagem corporativa, que pode levar a perdas de clientes ou financeiras. Numa ameaça interna, apesar de usualmente não vir a público, os dados roubados podem ser usados para extorsão, venda, ou como acontece mais frequentemente (pelo menos em Portugal), são usados no próximo emprego ou para abrir um negócio concorrente e evitar começar do zero. Este tipo de ameaças internas pode ter duas fontes de motivação diferentes, pode ocorrer por simples erro humano ou acaso, ou pode ser premeditada, sendo que também pode conduzir a dois desfechos diferentes, onde no primeiro tipo de motivação pode levar a que se abra um incidente interno, se a motivação do envolvido for a melhor, ou pode resultar em roubo de dados, quer porque alguém se aproveitou de uma circunstância, quer porque tinha esse objetivo de inicio. Seja qual a circunstância, é importante ter em mente que isto é um problema real, e que acontece com muita frequência nas empresas nacionais, ou melhor, até mais aqui do que em outros países europeus, quer pela maturidade (ou falta dela) existente especialmente ao nível das PME’s, onde não existem sequer politicas de segurança definidas que ajudem quer empregadores quer empregados a entender quais são os seus direitos e deveres, quer também pela cultura em que estamos inseridos, a cultura latina, que tem imensas coisas positivas (e da qual gosto), mas no que toca a esta temática, é um tanto “deixa andar”, e enquanto não há problemas sérios, ninguém leva muito a sério o tema da segurança. Mas não sejamos egoístas, porque isto não acontece apenas em Portugal, e lá fora até se fazem estudos sobre o tema, e um deles tem alguns resultados que merecem ser destacados. Um estudo mostra alguns números interessantes: 66% levaram ou levariam informação que eles próprios estiveram envolvidos na sua criação 72% rouba informação que pensa que lhe pode ser útil num emprego futuro 21% leva consigo as propostas da empresa 18% leva consigo os planos estratégicos da empresa   Ler mais