segunda-feira, 5 de novembro de 2007

ESPIONAGEM NAS EMPRESAS

Como proteger as informações estratégicas do olhar de funcionários bisbilhoteiros – às vezes, a serviço da concorrência.

Fonte: http://amanha.terra.com.br/edicoes/236/capa02.asp


Marcos Graciani e Simone Fernandes

Por pouco, o novo fenômeno da Fórmula 1, Lewis Hamilton, não perdeu os pontos que acumulou durante a brilhante campanha deste ano. Sua escuderia, a McLaren, foi condenada pelo Conselho Mundial da Federação Internacional de Automobilismo (FIA) a pagar uma multa de US$ 100 milhões por espionagem à rival Ferrari e perdeu todos os pontos conquistados no Campeonato de Construtores de 2007. Em julho, 780 páginas de informações técnicas da Ferrari foram encontradas na casa de Mike Coughlan, na época o projetista-chefe da McLaren. Elas foram repassadas por Nigel Stepney, ex-mecânico-chefe da escuderia italiana, demitido ainda em junho sob acusação de sabotagem. Os pilotos da McLaren não foram punidos porque não se descobriram indícios de uso de propriedade intelectual da Ferrari nos seus carros. Em depoimento no início de outubro, Stepney disse que também recebia informações de Coughlan. Pelo que havia sido apurado até então, não se sabia se algum dos dois funcionários havia sido subornado para repassar os projetos ou se apenas trocavam informações que deveriam ser confidenciais.

O rumoroso caso envolvendo a McLaren e a Ferrari ganhou uma repercussão singular, mas a espionagem nas empresas é muito mais comum do que parece. Só que a maioria dos casos não chega à polícia, nem às páginas dos jornais. E, quando chega, descobre-se uma característica comum a grande parte dos casos: a participação de funcionários da empresa espionada. Para quem está interessado em bisbilhotar o concorrente é mais vantajoso buscar a ajuda de alguém que já conhece o funcionamento e as rotinas da organização. “Para entrar no sistema de uma empresa, por exemplo, sai muito mais caro contratar um hacker. Mais fácil é comprar as senhas de um funcionário”, ilustra o detetive Edilmar Lima, fundador da Central Única Federal dos Detetives do Brasil, em Brasília, que trabalha com contra-espionagem.

ara Walter Félix Cardoso Júnior, doutor em Aplicações, Planejamento e Estudos Militares pela Escola do Exército e professor da Universidade do Sul de Santa Catarina (Unisul), a primeira atitude que a empresa deve tomar para se proteger da espionagem é tornar mais crítico o processo de seleção. Checar, por exemplo, se o que a pessoa disse na entrevista é verdadeiro. “Quanto mais rigoroso o processo, maior conhecimento a empresa terá sobre quem está contratando”, diz. No entanto, são raríssimas as empresas ou organizações brasileiras que adotam procedimentos rigorosos na hora de contratar um funcionário. Somente as Forças Armadas, em alguns casos, além da Presidência da República e a área de inteligência do governo. No setor privado, os especialistas citam apenas a Embraer. “Depois de botar alguém pouco conhecido para dentro da empresa, o risco de ter uma surpresa é muito alto”, afirma Cardoso.

Quando providências mais rígidas não foram adotadas no início do processo, é preciso agir logo que surgem os primeiros indícios de vazamento de informações. Nesses casos, algumas empresas recorrem aos serviços de contra-espionagem – geralmente feitos por detetives. Uma das primeiras ações é fazer um check-up dos funcionários. Verificar, por exemplo, onde já trabalharam, se vieram de algum concorrente ou se mantêm relacionamento com pessoas suspeitas. Caso seja necessário investigar melhor algum deles, o procedimento mais comum é a infiltração de um falso funcionário na empresa. Essa fase pode demorar alguns meses, até que o infiltrado consiga se aproximar das pessoas e obter as evidências a respeito do suspeito.

Porém a maior parte dos casos de espionagem não é descoberta porque as empresas não têm idéia de que estão sendo espionadas. Para o detetive Wilson Teixeira, de Belo Horizonte (MG), as companhias não deveriam contratar um serviço de contra-espionagem apenas quando estão desconfiadas. “As empresas não se previnem. Somente se dão conta quando aparecem os prejuízos. E aí, quase sempre, é tarde demais”, ressalta.


O que é preciso proteger

Cada empresa deve analisar profundamente quais são as informações estratégicas que ela precisa proteger e estabelecer nveis de segurança.
Mas alguns tipos de dados deveriam ser protegidos em qualquer empresa:

Pesquisa e desenvolvimento – principalmente nos casos dos laboratórios farmacêuticos, fabricantes de bebidas e alimentos, setores que estão na lista dos mais espionados

Estratégias de marketing

Planilhas de custos

Quem são os clientes e os contratos estabelecidos com eles

Informações pessoais de clientes e dos funcionários. No caso das informações sobre os clientes, os escritórios de advocacia estão entre os mais espionados. É que, além de ouvir confissões das pessoas que cometeram crimes, os advogados também participam de processos sigilosos das empresas, como fusões e aquisições, operações de abertura de capital ou participação em licitações

Vazamento involuntário

Embora existam muitos casos de espionagem planejada por funcionários, os especialistas ressaltam que a maior parte dos vazamentos de informação nas empresas acontece de forma não-desejada. O funcionário não tem a intenção de entregar para um estranho as informações sigilosas, mas acaba falando sem perceber ou cometendo inconfidências ao fazer comentários em público. “Cerca de 85% das informações estratégicas são vazadas involuntariamente. E principalmente por diretores, presidentes e pessoal da área de pesquisa”, garante Antonio Brasiliano, diretor executivo da Brasiliano & Associados Gestão de Riscos Corporativos. Segundo ele, a espionagem de hoje é bem diferente daquela da época da Guerra Fria. “O espião não precisa mais entrar fisicamente na empresa para roubar a chave do cofre. Ele usa outras técnicas”, revela o consultor, que defendeu dissertação de mestrado justamente sobre a fuga involuntária de informações. Ele cita as técnicas de indução e de infiltração. Na indução, o espião conversa com a pessoa até extrair alguma informação dela, o que pode demorar algumas semanas. Ele pode conhecê-la num happy hour ou no avião e tentar manter o contato. Na técnica de infiltração, ele cola em alguém para saber aonde a pessoa vai e o que faz, além de ouvir as conversas dela.


Detetive Lima: é mais fácil e barato comprar senhas de um funcionário do que contratar um hacker

Os especialistas são unânimes em apontar os aviões e os aeroportos como o paraíso dos espiões. “É só ficar na sala vip e observar o que acontece”, indica Brasiliano. Os executivos falam sobre os negócios no celular e respondem e-mails de trabalho em público, sem nenhuma cerimônia. Eles também participam de reuniões e depois falam pelo celular sobre o que foi negociado dentro dos táxis, no elevador. “Colocar chave, crachá, firewall é fácil. Difícil é convencer as pessoas a mudar de comportamento. E o engraçado é que, quanto mais proteção física a empresa instala, mais as pessoas se sentem relaxadas e descuidam das próprias atitudes”, avalia Brasiliano. O diretor de negócios da Plugar Informações Estratégicas, Fábio Rios, conta que foi contratado há alguns anos por uma grande empresa brasileira para um serviço na área de portais corporativos. No avião, Rios se sentou ao lado do diretor jurídico da empresa – que não o conhecia e nem sabia que ele havia sido contratado para aquele trabalho. Sem se importar com sua presença, o diretor começou a ler os e-mails e respondeu até uma mensagem do presidente da companhia. “Não falei nada e não fiquei olhando. Mas e se eu fosse um concorrente?”, questiona.

Na multinacional ADP, que fornece soluções para folhas de pagamento e recursos humanos, o esforço para conscientizar os funcionários é constante. “Todo mundo diz que a pessoa é o elo mais fraco. Nós trabalhamos para que nossos profissionais sejam a melhor proteção. Queremos que sejam firewalls humanos” diz Jarbas Cruz, gerente de segurança da informação da ADP. Para isso, a empresa tem um programa de conscientização permanente. Quando é contratado, o funcionário recebe um treinamento. Depois, há boletins mensais, campanhas a cada seis meses e um seminário anual. “É uma tarefa interminável. É educação de longo prazo”, afirma.


Proteção eletrônica

Uma das principais frentes de preocupação é o acesso a dados eletrônicos. É comum que as empresas não mantenham registros sobre quem mexe nos arquivos ou quando eles foram abertos. Mais que isso, elas permitem que qualquer funcionário tenha acesso até mesmo a arquivos que deveriam ser restritos. O especialista em gestão de risco Sérgio Citeroni, sócio da área de auditoria da Ernst & Young, ressalta que o correto é cada funcionário ter trânsito livre apenas para as informações que lhe dizem respeito – e a empresa deve monitorar quem acessa o que e os motivos que levaram algum funcinário a tentar acessar informações sigilosas. “Por que todo mundo vai ver a folha de pagamentos?”, questiona. Citeroni conta que há casos em que até ex-funcionários conseguem obter informações simplesmente porque não cancelarem seu acesso.

No escritório Koury Lopes Advogados existe um controle rígido sobre cada documento, desde quando é criado. Se ele for confidencial, fica visível apenas para as pessoas que precisam acessá-lo. Se outro funcionário faz uma pesquisa sobre o assunto, não o enxerga. Além disso, tudo que o acontece com o documento fica registrado: quando e por quem é editado, se é enviado por e-mail, copiado ou impresso. A porta USB dos computadores é bloqueada e se algum profissional sai de sua mesa e deixa a máquina conectada à rede. Depois de cinco minutos, ela trava automaticamente. Mas os especialistas advertem: controlar o acesso a dados e documentos é diferente de monitorar a correspondência eletrônica do funcionário. As empresas que querem acompanhar como os empregados usam o e-mail devem avisá-los antes, sob pena de ter problemas na Justiça.

Já na ADP, toda informação sobre os clientes é considerada confidencial, o lixo é destruído e os documentos devem ficar guardados sempre em gavetas. “De que adianta um firewall no computador se os documentos ficam à vista em cima da mesa?”, justifica Cruz. Os cuidados são tantos que nenhum arquivo confidencial é enviado para os clientes por e-mail, mas por um sistema alternativo. E para mandar um fax, antes é enviada uma página de teste e confirmado por telefone se a pessoa que deve receber o documento está no outro lado da linha. Só então, é enviado o fax.

Hoje, adverte Cruz, a maior ameaça à segurança das empresas é o que vem sendo chamado de “ataque de engenharia social”, que pode ser real ou virtual. É quando alguém finge ser quem não é. É o caso dos e-mails que se identificam como provenientes do Serasa, da Receita Federal ou de um banco. “Usar a internet hoje em dia é mais arriscado que entrar desarmado na favela do Complexo do Alemão, no Rio de Janeiro”, exagera Paulo Luz, consultor em segurança pública e privada da Ability BR. Segundo ele, um hacker pode invadir os sistemas de uma empresa e não somente captar as informações, mas, também, destruí-las. Portanto, é fundamental ter um setor de informática competente e sistemas de proteção sempre atualizados.


Jérome Stoll, presidente da Renault do Brasil: segredo absoluto sobre o novo carro

O ataque de engenharia social pode ser feito também pelo telefone, quando uma pessoa se faz passar por outra. Nesses casos, o funcionário que atende ao telefone só deveria dar informações sobre o chefe ou até mesmo transferir a ligação após a pessoa que está na linha ter se identificado devidamente. “Essas coisas todas não têm a ver com tecnologia. A proteção vai muito além dos recursos tecnológicos”, avalia, convicto de que o fundamental é que as pessoas tomem atitudes corretas. De qualquer modo, diz ele, não há como blindar a empresa contra a espionagem. “Não existe um sistema 100% seguro, mas, se as pessoas estiverem treinadas, a proteção será bem maior”, diz.

O “engenheiro social” usa as técnicas de indução. Por exemplo, ele faz um favor para uma pessoa, que depois se sente na obrigação de retribuir. O hacker Kevin Mitnick, autor do livro A Arte de Enganar, conta que tinha facilidade para conseguir informações não tanto pelas suas habilidades computacionais, mas por sua capacidade de convencer os outros de que ele era outra pessoa. Outra história parecida é a do impostor e falsificador de cheques Frank Abagnale Jr., mostrada no filme Prenda-Me Se For Capaz. Hoje, Abagnale tem uma empresa de consultoria contra fraudes financeiras.

Para aumentar os níveis de segurança, algumas empresas acompanham o comportamento dos seus principais executivos. “Ninguém gosta de ser monitorado, mas a empresa não tem outra opção”, defende Paulo Luz, da Ability BR. A companhia precisa saber se as pessoas que cuidam das suas informações estratégicas não se comportam de forma arriscada, o que inclui o uso de drogas, bebidas ou companhias desconhecidas. “Digamos que um executivo vai a uma festa, bebe demais e termina a noite com uma mulher linda. Quem garante que ela não estava lá de propósito, com o objetivo de arrancar informações dele?”, questiona Luz.

2 comentários:

Unknown disse...

Ofereço meus conhecimentos, trabalho a 23 anos desempenho qualquer trabalho no mundo todo.

não me procure só me passe o trabalho

Unknown disse...

Ofereço meus conhecimentos, trabalho a 23 anos desempenho qualquer trabalho no mundo todo.

não me procure só me passe o trabalho