Embed Size (px)
Citation preview
Edição Outubro . 2010
O impacto das redes sociais na Segurança da Informação
Ao acompanharmos as evoluções da web, até chegarmos na Web 3.0, perce-bemos que passamos por várias fases. A de leitura, onde a web era um grande livro, pela fase da leitura e publicação, em que colocávamos conteúdo na web e disponi-bilizávamos algumas informações, e, hoje, a fase da Web 3.0, na qual lemos, intera-gimos e mais do que nunca fazemos parte. Afinal, apenas participar não serve mais, temos agora, sim, que fazer a diferença!
O gráfico abaixo deixa claro que pas-samos por uma grande transformação em tecnologia, saindo da era da computação (Processamento e Transformação) para entrarmos na era da percepção, consciên-cia e atenção.
Assim, deixamos de ser passivos e pas-samos a criar comunidades virtuais de in-teresse entre si para partilharmos gostos, preferências, fazermos amigos, dentre tantas outras coisas.
AR
TIG
O
Conforme a tecnologia evolui, principalmente a web, as amea-ças à segurança da informação crescem. Porém, um assunto,
em específico, tem chamado a atenção ultimamente: as redes so-ciais.
1
1980s 1980s 2000s 2010s
processing, transforming
conectivity,access
awareness,perception, attention
SENSING
COMUNICATIONS
COMPUTING
Source: Institute the Future
The Next SensoryTransformation
É claro, que as redes sociais apresentam um enorme poten-cial de crescimento para a so-ciedade em geral. Um exemplo é o desenvolvimento de redes de networking, tanto aproveitado por indivíduos como por empre-endimentos. No entanto, apesar de todo o potencial, essas redes sociais são igualmente uma séria ameaça. A ideia de ser o primei-ro a divulgar as informações e, assim, conseguir mais seguidores e leitores, faz com que, muitas vezes, essa corrida ultrapasse o limite dos desabafos e novidades em blogs, twitters, Flickrs, face-books...
Nós somos conexões!Essa corrida maluca para que
façamos parte de alguma rede social ou que tenhamos um blog,
pelo simples motivo de TER um blog, pois todos têm, faz com que as pessoas comecem a procurar assuntos para publicar.
Hoje não basta fazer parte, tem que fazer a diferença, ser diferente e gerar notícias. Em minha breve pesquisa analisei 47 blogs e 55 comunidades (twitters) onde os “proprietários” dessas comunidades eram gerentes, su-pervisores ou simples funcionários de empresas com expressão no Brasil. O que eu encontrei? Todos sem exceção divulgaram, mais de uma vez, informações que podem ser confidenciais ou que facilitam o trabalho de fraudadores. Em minha pesquisa nos blogs e, prin-cipalmente, no twitter, observei comentários como: “Fechamos um grande contrato com a empre-
sa X e agora vamos ir comemorar no restaurante Y” ou “Aqui na em-presa tá tudo uma bagunça, nosso sistema já caiu três vezes, hoje, e não temos previsão de melho-rar, que Deus me ajude hehehe”, mas o pior de todos, sem dúvida é este:“ Parabéns equipe de vendas da empresa X, fechamos o contra-to de Segurança da Informação da empresa M, e agora vamos garan-tir que eles não tenham mais inci-dentes de segurança”.
Esses são alguns dos relatos que eu coletei, mostrando que toda nossa preocupação com sis-temas de bloqueio Web, políticas do tipo “tranca tudo” e controles para evitar fugas de informação são pouco eficazes, pois ninguém pode bloquear a máquina das pes-soas, nas casas delas!
AR
TIG
O
2
Para analisarmos a dimensão que isso tomou, é só pensar em três níveis de conexões, quantos amigos virtuais você tem? Some
isso ao número de amigos que seus amigos têm, e assim por diante. Podemos chegar facilmente a 20 ou 30 mil pessoas.
Você deve estar se perguntando e ago-ra? Como eu posso evitar isso? Como evi-tar que pessoas da minha empresa não divulguem informações confidenciais ou restritas de forma deliberada?
Não podemos! Não existe como impe-dir!
Bom, acredito que se eu queria assus-tar os leitores eu consegui, certo? Ótimo, agora vamos analisar quais são as melho-res formas de minimizar os impactos cau-sados pelas redes sociais na segurança da informação das empresas.
Tudo inicia com educação, pense em seus filhos. Se não pode impedi-los de sair de casa para alguma festa ou pas-seio com os amigos no final de semana, pode educá-los sobre como deve ser seu comportamento fora do alcance de seus olhos.
Dessa mesma forma devemos atuar com as pessoas que trabalham em nossas
empresas, pois não podemos impedir que elas interajam como pessoas físicas fora do convívio do trabalho, e não adianta pensar em castigo ou punição, pois tam-bém não funcionariam com os filhos!
Educação é o foco! As pessoas preci-sam ter claro quais são seus limites, qual o impacto de suas ações, e precisam en-tender o limite entre a confidencialidade e uma informação que para elas é ino-fensiva.
É nossa obrigação esclarecer isso, dei-xar claro que muitas informações apa-rentemente inofensivas podem, em um contexto, prejudicar o nosso negócio. O foco aqui são redes sociais virtuais, mas não podemos esquecer que temos cone-xões físicas e pessoais. O churrasco de domingo, o happy hour, e outras ocasiões podem transformar uma simples conver-sa entre amigos em uma divulgação de informações confidenciais.
3
Por vezes as pessoas se escondem por traz de Nicks ou Avatares para que não sejam identificadas, podendo, assim, divulgar in-
formações da empresa ou descontentamentos com chefes e políti-cas internas sem sabermos quem está reclamando, sendo isso um sintoma claro de falta de política interna para uma ouvidoria.
AR
TIG
O
4
AR
TIG
O
Quando criamos a cultura da informação, podemos deixar claro a todos qual o limite dessas informações. E como é inevitável
que façamos parte do mundo das redes sociais, seguem algumas dicas que podem ajudar minimizar os impactos negativos delas em seu negócio:
Sua empresa está na rede: Inevitavelmente sua empresa tem o nome exposto em comentários po-sitivos ou negativos em diversas redes, aconselho que você acompanhe isso periodicamente, pois po-demos ter algumas informações que nos ajudarão a antecipar alguns fatos positivos ou negativos, e assim gerenciá-los.
Faça sua empresa partici-par de redes sociais, incenti-vem as pessoas da sua empre-sa a usarem apenas esse canal para falar do negócio! É uma ótima forma de minimizar os impactos de divulgações inde-vidas.
Crie espaço para as pesso-as interagirem, para trocarem ideias, não apenas de traba-lho, mas pessoais e pensamen-tos, esta é uma ótima forma para as pessoas exporem, de forma orientada, informações e irem criando uma cultura de segurança.
Como sabemos que é ine-vitável participarmos desse movimento, participe dele de forma ordenada e planejada, assim podemos tirar melhor proveito do que atualmente para a segurança da informa-ção é uma ameaça.
Deixe claro para todos os funcionários o porquê é perigoso e problemático a divulgação de informa-ções, mesmo que omita o nome da empresa. Ex: Eu tenho um Blog, se eu citar algum fato da empresa ou de algum colega, não precisa dizer onde eu tra-balho, todos sabem! Pois me conhecem!
Explique o que pode ser dito ou abra um canal para as pessoas perguntarem se podem divulgar certa informação, pois proibir completamente a di-vulgação de informações não funciona, na verdade piora, pois de uma forma ou de outras as pessoas vão falar. Participe desse processo para saber o que é dito e poder orientar.
www.qualytool.com
Qualytool Consulting GroupAv. Rio Branco, 07, Sala 901
São PelegrinoCaxias do Sul - RS / Brasil
Fone +55 54 30256363
Por Cassio Furtado Râ[email protected]
