O aumento do uso de dispositivos móveis e a leniência das políticas corporativas de segurança formam o ambiente perfeito para violações de sigilo e vazamento de informações

*Por Fabio Ferreira

 Neste ano, teremos 27 bilhões de dispositivos conectados à internet no mundo todo. Esse é o número estimado por um estudo realizado em 2022 pela ISG Provider Lens Internet das Coisas (IoT), uma referência sobre o tema. É uma cifra que impressiona e, principalmente, preocupa qualquer profissional ligado a segurança da informação.

Pense: quantos aparelhos você usa diariamente? Computador, celular, smartwatch…junto de você, estão milhões de pessoas espalhadas pelo globo – e nem sempre adotando  medidas de segurança ou, mesmo, bom senso. 

O problema para a segurança da informação corporativa ocorre quando usuários mantêm arquivos empresariais em seus aparelhos pessoais, em vez de recorrerem a drives compartilhados ou ambientes de nuvem geridos pela organização. Como esses dispositivos não estão sujeitos às políticas de backup, a chance de que não existam cópias de segurança é grande – fato que só é descoberto quando o usuário perde um documento ou quando é demitido.

Mas a situação pode piorar, e bastante. O WhatsApp é disseminado no Brasil a ponto de ser utilizado por 93% dos internautas com idades entre 16 e 64 anos, segundo dados divulgados pelo Digital 2024: Global Overview Report. Isso representa algo perto de 197 milhões de pessoas, segundo estimativas da própria Meta. Porém, nem sempre ele é a ferramenta corporativa para troca de mensagens instantâneas – grandes empresas tendem a preferir produtos que podem ser gerenciados com mais segurança, como Microsoft Teams ou Slack. 

A orientação corporativa não impede que os colaboradores façam uso do aplicativo pessoal para trocar arquivos e informações confidenciais, por considerá-lo “mais prático”. Esse comportamento representa um enorme risco quando o aparelho é roubado, ou mesmo danificado e levado a uma assistência técnica. O sigilo é sacrificado em prol da conveniência e do conforto.

Vigiar e punir

Com tantos comportamentos inseguros e questionáveis no que diz respeito ao uso de dispositivos móveis, é imprescindível que as empresas estabeleçam políticas rígidas para seu uso. E, de fato, as políticas existem – ao menos, “no papel”. O problema é que nem sempre a rigidez se faz notar, com as transgressões recebendo vista grossa – algo como “não vou dar advertência a um funcionário só porque ele copiou um arquivo de maneira incorreta”.

Mas a verdade é que sim, punições dessa natureza deveriam acontecer. Ações disciplinares não são assunto exclusivo do departamento jurídico – aliás, muitas vezes o próprio Jurídico é o ofensor da política de segurança da informação. As empresas têm que ter a consciência de que uma política restritiva não lhe é necessariamente prejudicial. É claro que alguns comportamentos podem ser permitidos em caráter de exceção, quando necessário, desde que isso seja feito sob o controle dos responsáveis por essas políticas. E isso só pode acontecer sob a garantia de que, quando as regras forem desrespeitadas, sanções serão empregadas. 

Se a política de segurança da informação nunca é empregada em sua totalidade, ela não será respeitada. Se ela não cumpre o que promete, o usuário se sente livre para fazer o que bem entender. Se ele não recebe sequer uma advertência formal, quanto mais uma punição, é pouco provável que ele venha a compreender a real necessidade de se submeter às regras definidas pela TI.

Nas relações com segurança da informação, especialmente no que se refere ao uso de dispositivos conectados, impera a leniência. Empresas europeias, asiáticas e norte-americanas não se furtam de demitir funcionários, entre eles altos executivos, quando a confidencialidade é violada. Seria de se esperar que, após a implantação da Lei Geral de Proteção de Dados (LGPD) em território nacional, esse cenário seria mais comum no Brasil. Mas ainda não vemos isso acontecer em escala significativa. Ao contrário: é bastante comum nos deparamos com integrantes da alta direção se mostrando contrários às políticas de segurança da informação.

Cultura viciada

A empresa que quer fazer um trabalho de segurança de endpoint efetivo deve definir suas políticas, realizar campanhas de conscientização e medir os resultados de todos esses esforços. Também é preciso educar e treinar antes de adotar qualquer sanção mais rígida. Esse conjunto de medidas é fundamental para criar cultura. E por mais que essa palavra seja um guarda-chuva bastante amplo e nem sempre compreendido pelas empresas, é preciso reconhecer que a segurança da informação tem um forte caráter cultural.

A recorrência de roubos e golpes envolvendo celulares furtados ou clonados deixou o usuário mais consciente sobre a necessidade de proteger seu dispositivo. Esse entendimento pode facilitar o trabalho das empresas que estão dispostas a criar uma cultura mais virtuosa e menos viciada no que diz respeito a permissões, confidencialidade e cibersegurança nos endpoints.

O que talvez ainda não esteja claro – para todas as instâncias corporativas – é que o risco que uma política de segurança leniente oferece é altíssimo. Por isso, é um dever do CIO e de toda a alta liderança trabalhar para implantar políticas mais completas, bem como endurecer as modalidades de vigilância para garantir seu cumprimento. Mais que investimentos, o tema demanda planejamento, dedicação e consistência.