De acordo com pesquisa conversa no elevador é mais perigosa que ataque hacker

As companhias brasileiras estão preocupadas com a segurança da informação, mas seus esforços para evitar o vazamento de dados não têm se mostrado à altura do potencial dessa ameaça. A conclusão é de uma pesquisa que será divulgada hoje pela consultoria Flipside, e cujos resultados foram antecipados ao Valor.

Nos últimos 12 meses, o número de incidentes de segurança causados pelo fator humano aumentou para 37,02% das companhias ouvidas, e permaneceu estável, sem alterações significativas, para outros 32,44%. Os problemas só diminuíram para 12,21% do universo pesquisado, de 262 empresas, a maioria delas (42,37%) com mais de 10 mil funcionários.

O resultado mostra o que outras pesquisas têm indicado ¬ que frequentemente as pessoas são o elo mais fraco na cadeia de informação. “Não adianta usar a criptografia mais sofisticada se os funcionários comentam abertamente informações da empresa nos corredores ou no elevador, sem saber quem está ao redor”, diz Anderson Ramos, sócio da Flipside.

Para mais de 85% das companhias pesquisadas, o papel dos usuários na segurança da informação é considerado fundamental. As ações de conscientização, no entanto, tendem a ser muito incipientes, afirma Ramos. A iniciativa mais comum se resume a dar dicas de segurança para os funcionários (56,15%). Enquanto isso, trabalhos mais profundos, como a simulação de ataques externos, só aparecem em 23,85% dos pesquisados.

A disseminação dos conceitos também é desigual. A política de segurança é idêntica para todos os funcionários, sem privilégios, em 76,47% das companhias, mas o público atingido pelas campanhas de informação fica mais escasso à medida que se chega ao topo da pirâmide gerencial. Mais de 92% das empresas disseram que conseguem atingir a base de funcionários, mas o percentual cai para 34% no caso da diretoria executiva e para 11% no conselho de acionistas.

Na década passada, diz Ramos, as empresas passaram a investir mais em segurança para se adequar a regras legais. Muitas, agora, estariam fazendo o mínimo necessário para continuar a obter uma avaliação positiva de suas auditorias, sem perceber que era digital exige uma nova visão para lidar com riscos ainda desconhecidos.

Tome¬se o caso da internet das coisas, que interliga máquinas entre si. Recentemente, uma companhia de celulose, cliente da Flipside, passou a discutir internamente como se proteger de eventuais ameaças novas, depois de comprar colheitadeiras com conexão à internet. Ao fornecer dados em tempo real, a conectividade ajuda a melhorar a produção, mas os executivos da empresa começaram a se perguntar qual o risco de um hacker invadir os equipamentos.

Na maior parte dos casos, as companhias ficam vulneráveis por causa da ingenuidade dos funcionários. “As pessoas deveriam se perguntar como uma determinada atitude pode afetar o negócio no qual trabalham”, diz Alexandre Salgado, especialista em segurança digital do banco BNP Paribas na América Latina.

A companhia iniciou um projeto com o qual pretende atingir quase 2 mil funcionários no Brasil e em outros países da região. As ações serão desenvolvidas ao longo de dois ano e meio, combinando treinamentos e palestras presenciais a ensino a distância e distribuição de material impresso.

As companhias estão aprendendo que tornar mais efetiva a segurança dos dados não requer, necessariamente, investimento pesado em sistemas. “Os profissionais de tecnologia estão acostumados a resolver tudo com software, mas esse não é um problema técnico”, diz Ramos, da Flipside.

Na EDP Energias do Brasil, uma das ações regulares é o programa “Mesa Limpa”, iniciado em 2012. Depois do expediente, uma equipe verifica o que foi deixado em cima de cada mesa. À princípio, os mais descuidados recebiam orientações educativas. Mas o grau de reincidência se mostrou muito alto. Agora, quando informações sensíveis são encontradas, isso é comunicado ao diretor da área, que fica responsável por tratar do assunto com o funcionário. A medida reduziu bastante a reincidência, diz Felipe Barbosa Rodrigues, especialista de segurança da companhia.

Em janeiro, a EDP deu início a um projeto de monitoramento global, que reúne a matriz em Portugal e as demais operações, incluindo o Brasil. A ideia é comparar o comportamento dos usuários em diversos países sempre que alguma anomalia for detectada. Com isso, diz Rodrigues, será possível saber em quanto tempo um problema foi corrigido e trocar experiências, tanto para fixar as melhores práticas como para obter certificações internacionais.

Fonte: Valor Econômico