Informação: o ativo mais importante do seu negócio

Kevin Mitnick, considerado o maior hacker dos Estados Unidos nos anos 1990, que hoje é consultor de segurança, escreveu no livro A Arte de Invadir:

“Qual é o ativo mais valioso do mundo em qualquer organização? Não é o hardware de computador, não são os escritórios nem a fábrica, nem mesmo o que é proclamado no tão conhecido clichê da corporação – ‘Nosso ativo mais valioso é nosso pessoal’. O fato óbvio é que qualquer um deles pode ser substituído. Tudo bem, não tão facilmente, não sem luta, mas muitas empresas sobreviveram depois que sua fábrica foi queimada ou que alguns funcionários chave saíram. Sobreviver à perda da propriedade intelectual, entretanto, é uma história totalmente diferente. Se alguém rouba seus designs de produto, sua lista de clientes, seus planos de novos produtos, seus dados de P&D, esse seria um golpe que poderia fazer sua empresa desaparecer”, Mitnick e Simon (2006).

A informação sempre foi um ativo de grande valor para as empresas e às pessoas de modo geral, mas ganhou mais importância devido aos avanços tecnológicos e a dinâmica das mudanças nos mercados de produtos e serviços.

Este avanço é inevitável, a cada dia novas tecnologias são desenvolvidas para dar suporte à segurança pública e privada. Hoje em dia, seria impossível pensarmos em um projeto de segurança sem a interface da segurança eletrônica. Grande parte deste avanço tecnológico teve sua base ampliada a partir do uso da internet. Para identificarmos o desenvolvimento e a rapidez do avanço da internet e suas implicações nos diversos modais ligados à segurança eletrônica, pública e privada, basta observarmos o seu uso crescente.

Nas décadas de 1970 e 1980, além de ser utilizada para fins militares, a internet também foi um importante meio de comunicação acadêmico. O número de dispositivos conectados em 1984 era de mil aparelhos, e com a difusão do uso da web a partir de 1990 começou a alcançar a população em geral, obtendo o número espantoso de um milhão de dispositivos conectados em 1992, já em 2008 era de um bilhão e em 2014, 10 bilhões.

De acordo com a 12ª edição da pesquisa TIC Domicílios (2017), divulgada pelo Comitê Gestor da Internet no Brasil – CGI.br, apesar da desigualdade no Brasil, 36,7 milhões de domicílios (54% do total) possuem acesso à internet.

O relatório (2017) sobre economia digital divulgado pela Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD – United Nations Conference on Trade And Development) colocou o Brasil em 4º lugar no ranking mundial de usuários de internet, com 120 milhões de brasileiros conectados.

Agora, com a chamada “4ª revolução industrial”, a qual já está alterando e ainda vai alterar muito mais os nossos processos de desenvolvimento com mais velocidade, maior alcance das tecnologias e maior impacto nos sistemas, trarão ainda mais mudanças.

A Internet das Coisas (Internet of Things – IoT) trará mais integração, do mundo físico com o mundo digital, através de um processo de inteligência, com coleta, processamento e análise de dados gerados através da conectividade e integração dos diversos meios tecnológicos.

Na prática estamos vendo a crescente demanda pela portaria remota (que prefiro chamar de portaria inteligente), que, a pouquíssimo tempo, era inimaginável e está revolucionando a forma de atendimento, principalmente nos condomínios residenciais.

Outro exemplo é o projeto City Câmeras da prefeitura de São Paulo, com a integração entre a tecnologia e a participação da sociedade na prevenção e reação contra a criminalidade.

Com isso, cada vez mais, a segurança das informações terá mais espaço na agenda, não só dos empresários, mas de todas as pessoas.

O ativo intangível, hoje, em muitas empresas, já é maior do que o valor de qualquer empreendimento físico (fábricas, máquinas, móveis, etc.).

Para essas empresas, a imagem e as ideias dos homens têm muito mais valor do que qualquer produto palpável. Tome como exemplo a Microsoft, o Google, a Coca-Cola, etc. As grandes empresas têm se preocupado mais com a segurança das informações do que as pequenas e médias, onde muitas ainda não possuem uma precaução mínima a respeito do assunto e serão surpreendidas com esta necessidade, cada vez mais emergente.

Neste contexto, observamos que as grandes empresas ainda falham no desenvolvimento da cultura de segurança, deixando de lado o ponto frágil de qualquer estrutura que possamos pensar em relação à segurança – as pessoas.

Quando os sistemas computacionais são mais bem protegidos, as pessoas tendem a não se preocupar com a segurança, acreditando que o setor de TIC cuidará de tudo, que haverá programas para impedir qualquer acesso indevido aos arquivos.

Além disso, nenhum firewall ou protocolo de criptografia do mundo será suficiente para deter um hacker decidido a atacar um ativo intangível de uma empresa.

O treinamento dos colaboradores também é essencial. Para demonstrar isso, basta vermos as ações dos engenheiros sociais, que atuam na parte mais sensível de qualquer sistema – as pessoas.

Kevin Mitnick definiu em seu outro livro, A Arte de Enganar: “A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia”, Mitnick e Simon, (2003).

Um dos precursores deste conceito é o ex-fraudador americano, Frank W. Abagnale. Seu livro, Prenda-me se for capaz (1980), virou filme e foi dirigido por, nada menos que, Steven Spilberg, e foi protagonizado pelos atores não menos famosos, Leonardo DiCaprio e Tom Hanks, em 2002.

No Brasil nós também temos pessoas que conseguiram notoriedade com seus golpes de engenharia social. Um deles é Marcelo Nascimento da Rocha. Sua extensa lista de mentiras e trapaças, das mais diversas possíveis, demonstradas no livro VIP’s – Histórias reais de um mentiroso (2005), também virou filme com o mesmo nome, protagonizado pelo ator Wagner Moura em 2011.

Outro exemplo foi Carlos da Cruz Sampaio Júnior, o falso Coronel Sampaio, que atuou na Polícia Militar do Rio de Janeiro, sendo desmascarado e preso em 2010.

São vários os exemplos de como as pessoas conseguem ludibriar para conseguirem o que querem e usar o conhecimento de maneira criminosa. Só o treinamento sistemático pode mitigar os riscos da ação de um engenheiro social.

E para demonstrar a importância do treinamento, deixo um recado: “Há um ditado popular que diz que um computador seguro é aquele que está desligado. Isso é inteligente, mas é falso: o hacker convence alguém a entrar no escritório e ligar aquele computador”, Mitnick (2003).

Cláudio Moretti
Diretor da ABSEG e professor da Brasiliano & Associados – claudio_moretti@uol.com.br