Preparando-se para uma apresentação na antesala de reunião, o engenheiro de pré-vendas abre seu laptop e é brindado pela fatídica tela azul do Windows, que entre mensagens e bytes, informa “olá amigo, seu disco rígido se foi”. Imediatamente pensa: “terei que mudar o plano da reunião já que não poderei mas fazer a apresentação” e “quando foi a última vez que fiz backup?”. Um consultor de segurança da informação janta com um amigo, consultor de segurança patrimonial para grandes corporações que, no meio da conversa, pergunta “você acha que as informações dessas empresas estão protegidas? Digo isso porque já vi várias falhas no manuseio e transporte de computadores pessoais, além de roubo de laptops dos escritórios”. Um funcionário desavisado (ou negligente) envia a um parceiro de negócios uma apresentação com os dizeres “confidencial” em cada slide. Quando chamado para dar explicações, o funcionário alega que todo mundo na empresa ignora a palavra “confidencial” nas apresentações, já que os slides, mesmo aqueles com informações públicas, sempre trazem o termo.
Esses três casos, sem nenhuma ligação aparente, mostram o problema mais presente nas empresas. Todas, permitam-se generalizar, sem exceção: o da segurança pessoal em informática, ou, o cuidado do usuário com a segurança de seus dados. Acredito que a grande maioria das grandes empresas já incorporou em seus treinamentos de RH, principalmente para novos empregados, instruções para manuseio de informações, e mantém campanhas internas de conscientização. Mas por que será, que o final dos casos que citei seriam que o laptop não tinha backup, que os dados confidenciais armazenados nos laptops roubados não estavam criptografados e que realmente todo mundo escreve “confidencial” em qualquer coisa sem ter a mínima noção do que está fazendo?
Eu ousaria dizer que o motivo é que segurança da informação ainda é um negócio complicado, e que as áreas de segurança falham em torná-lo mais fácil e acessível. Tomemos o exemplo do backup. Os discos rígidos dos computadores pessoais são cada vez maiores. Novos computadores chegam com no mínimo 250GB de capacidade e, é razoavel supor, que ano após ano os arquivos irão se acumular nos discos dos usuários. É claro que espaço em disco centralizado para backups torna-se a cada nova leva de computadores um problema literalmente maior, mas quero chamar a atenção para outra questão: que usuário quer perder uma hora por semana, no minimo, para fazer backup de seus dados? O que é melhor: esperar o backup acabar ou ir logo para casa na sexta-feira? Quem é que quer dizer ao chefe irritado: “não posso te enviar o email agora porque estou fazendo backup”. Ninguém gosta de fazer backup. Eu mesmo odeio ficar 40 minutos (faço um backup semanal) olhando a barra avançar.
Mas vamos olhar nosso backup com mais atenção: por que fazemos backup de dados que baixamos de servidores de intranet? Ou da cópia local do inbox de correio? Ou dos arquivos que criamos há cinco anos atrás e que não acesso a quatro anos e meio? Precisamos desses arquivos? Eu diria que não. Eu mesmo tive uma experiência interessante quando mudei de computador da última vez. Ao invés de migrar todos os arquivos de uma só vez, decidi por falta de tempo copiar apenas os arquivos dos últimos meses e deixar o resto no backup do computador velho, para ir pegando conforme a necessidade. Se eu disser que precisei de 5% do que estava lá estarei exagerando. A resposta para o dilema do backup é que não precisamos fazer backup de tudo. Talvez seja apenas necessário quinze minutos por semana para copiar o que realmente importa.
O mesmo se aplica à classificação dos dados. Por que dados de dominio público aparecem com a tarja de confidenciais? Por que informações de produtos continuam como confidenciais mesmo depois de terem sido lançados? Por que essa é uma missão que parece impossível? Certamente porque tentamos classificar tudo, agravado pelo fato de que é uma tarefa subjetiva, afinal é feita por seres humanos. É impossível mesmo uma empresa classificar todas as suas informações, mas também é desnecessário. As informações confidenciais são uma parte pequena do acervo de dados. O primeiro passo em um projeto deve ser definir sem paixões o que deve ser resguardado. Informações de faturamento, capital intelectual, segredos industriais, propostas e estratégias comerciais, por exemplo. Notem que cada tipo de informação pode ser associado imediatamente a uma área criadora e/ou mantenedora. Se não está claro quem é o criador, então aquele tipo de informação não deve ser classificado.
Outro complicador é tentar definir muitos níveis. Para mim só são necessários dois níveis: uma para informações que não podem sair da empresa, e outra para informações que só podem ser divulgadas para outras empresas com contratos de confidencialidade firmados. No máximo se poderia criar um terceiro nível para informações que só podem ser divulgadas para algumas pessoas dentro da empresa. O resto é público. Para que complicar? Mas ainda falta um elemento à classificação: data. Imaginem que uma empresa irá lançar um novo produto e realiza um treinamento interno, que seria classificado como “confidencial”. Esta é uma prática comum, no entanto é igualmente comum que as informações continuem classificadas de “confidencial” meses depois do lançamento. Por que? Porque faltou a informação de data. Qualquer restrição deveria trazer um prazo de validade. Para segredos industriais seria indefinido, para novos produtos a data de seu lançamento. Mas não complica ainda mais? Não se restringirmos a classificação a algumas áreas muito específicas, e a algumas informações ainda mais específicas. No final teremos poucas pessoas que criarão informações classificadas, um público capaz de ser treinado.
E ai chegamos a criptografia. O que deve ser criptografado em um laptop? Isso mesmo, as poucas informações que são classificadas. O resto é bobagem. Vejam que muitas vezes algumas informações que achamos ser confidenciais na verdade são públicas de fato. Listas de preço por exemplo. Qualquer fabricante publica suas listas para centenas ou milhares de parceiros. Não dá para controlar, tanto que elas são facilmente achadas na Internet. Mas quem dá bola para listas de preços? Elas são apenas referenciais porque no final o que conta é o desconto, que depende de outros fatores e é autorizado muitas vezes caso a caso. Então para que classificar e criptografar uma lista de preços?
Descomplicar a segurança deveria ser um objetivo básico de todas as áreas que tratam de políticas e programas de conscientização. Muitas vezes queremos que o usuário leia e aceite manuais de segurança longos demais. A maioria aceita sem ler. É tedioso ficar lendo normas. E é inútil ter muitas normas. Por que? Porque nos esquecemos delas. Já poucas são lembradas. Uma página no máximo, com letras grandes. Nenhum usuário precisa de mais de meia duzia de ações para manter seus dados seguros. Mas a gente gosta de adicionar conhecimentos, fazer com que o usuário “aprenda”. Faltou perguntar se ele quer aprender alguma coisa. Normalmente não.
(publicado na revista RTI em Junho/2010 - acesse aqui a edição digital)
