O roubo de dados que acontece dentro das empresas

Por ETCO
17/07/2015

Por Heloísa Ribeiro* e Pamela Passman**

roubo digital

As novas tecnologias de informação trouxeram vários benefícios às empresas, como a possibilidade de gerar, compartilhar e transportar dados facilmente. Esse tem sido um dos motores dos ganhos de produtividade em diversos segmentos. Existe, no entanto, um lado ruim nessa história. Cada vez mais, as empresas estão sujeitas a grandes prejuízos provocados pelo roubo ou pela destruição voluntária de dados confidenciais valiosos.

Os crimes cibernéticos, como são chamados, não tem recebido a devida atenção em boa parte das organizações. Muitos ainda acreditam que a principal ameaça encontra-se fora da companhia. Bandidos hi-tech seriam os principais responsáveis por invadir os sistemas e roubar dados das empresas. De fato, esse tipo de crime existe e costuma ganhar grande repercussão na mídia. Um caso recente envolveu a Sony Pictures, dos Estados Unidos, invadida por hackers no que seria uma represália contra o filme A Entrevista, que faz uma caricatura do presidente da Coréia do Norte. Eles roubaram e divulgaram na internet contratos com celebridades, planos de negócio e outros documentos e destruíram inúmeros arquivos de dados, provocando grande prejuízo financeiro e de imagem à companhia.

Mas esses crimes de grande repercussão representam apenas uma parcela do problema. Na maioria das vezes, o roubo ocorre dentro da própria empresa ou por meio de parceiros comerciais. Como muitas companhias nem sequer percebem que foram roubadas e outras, ao descobrir o crime, evitam divulgar o caso para não expor suas fragilidades, o problema não aparece com a dimensão que deveria.

Para ajudar as empresas brasileiras lidar com essa ameaça, o ETCO-Instituto Brasileiro de Ética Concorrencial e o Centro para Empreendimento e Comércio Responsáveis (CREATe.org) firmaram uma parceria para tratar do tema. Um dos principais objetivos é aumentar o nível de conhecimento das companhias brasileiras sobre as origens do problema.

 

PRINCIPAIS FALHAS

Uma das causas mais comuns está relacionada com as permissões de acesso às informações. Muitas empresas não tomam as devidas providências para limitar o tipo de dado que cada colaborador pode visualizar ou copiar. Um estudo recente, feito nos Estados Unidos pelo instituto Ponemon, especializado no assunto, mostrou que 71% dos funcionários das empresas americanas acreditam ter acesso a dados que não deveriam, como cadastros de clientes, contratos e arquivos com propriedade intelectual.

A mobilidade profissional é outro componente do problema. Na economia globalizada de hoje, profissionais de vários segmentos tem muitas oportunidades de mudança de emprego ou mesmo de país. Tem sido cada dia mais comum histórias de funcionários que se desligam da companhia carregando centenas de arquivos de computador com a intenção de fornecê-los a competidores.

Uma história recente aconteceu na Coréia do Sul, onde um engenheiro automotivo de alto nível hierárquico da empresa Daewoo Motors foi condenado por entregar documentos sigilosos para um concorrente da China. Os documentos continham detalhes de testes de segurança e desempenho de tecnologias desenvolvidas pela companhia sul-coreana.

Muitas vezes, o problema ocorre pela falta de consciência sobre o valor e o caráter sigiloso das informações. A pesquisa do instituto Ponemon mostrou, por exemplo, que 76% dos profissionais não veem problema em baixar documentos confidenciais da empresa em seus computadores pessoais e celulares ou armazená-los na nuvem, atitudes que abrem as portas da empresa para o roubo de dados.

Outra forma comum de vazamento dessas informações acontece quando funcionários, fornecedores ou clientes instalam programas nos computadores da empresa. Muitas vezes, sem saber, acabam usando software pirata contendo códigos maliciosos que invadem os sistemas da companhia em busca de informação valiosa.

 

FALTA DE TREINAMENTO

Poucas empresas transmitem adequadamente a funcionários e parceiros suas expectativas em relação à confidencialidade e segurança das informações. Menos ainda tomam o cuidado de monitorar se os procedimentos apropriados estão sendo adotados. Não é de estranhar, portanto, que muitos funcionários deixem de tomar os cuidados necessários para proteger a propriedade intelectual da empresa ou prevenir ataques cibernéticos.

Claramente, a ameaça de pessoas de dentro da companhia não pode ser remediada por meio de antigos sistemas de proteção. Ela requer uma solução multi-facetada, uma abordagem pró-ativa envolvendo TI, mas também procedimentos de segurança, elaboração de termos de conduta, treinamento e supervisão. Essas medidas precisam se basear numa análise cuidadosa de onde estão as informações mais valiosas da empresa, sejam elas dados de consumidores, segredos comerciais ou outras formas de propriedade intelectual.

O sistema para proteger a empresa dos riscos internos deve ser contrabalançado pela necessidade de facilitar o trabalho da grande maioria dos empregados e parceiros que atuam corretamente. O mundo globalizado e digital proporciona oportunidades sem precedentes. Mas aproveitá-las exige tomar as providências necessárias para minimizar os riscos. Adotar uma abordagem sistemática – com estratégias específicas para evitar perdas com o pessoal interno e planos para se proteger dos invasores externos – é o melhor e mais efetivo caminho para as empresas competirem num ambiente de negócios cada dia mais instável e desafiador.

 

 

* Heloísa Ribeiro é diretora-executiva do ETCO-Instituto Brasileiro de Ética Concorrencial.

**Pamela Passman é presidente do Centro para Empreendimento e Comércio Responsáveis (CREATe.org).