O impacto das redes sociais na Segurança da Informação

Conforme a tecnologia evolui, principalmente a web, as ameaças à segurança da informação crescem. Porém, um assunto, em específico, tem chamado a atenção ultimamente: as redes sociais.

Ao acompanharmos as evoluções da web, até chegarmos na Web 3.0, percebemos que passamos por várias fases. A de leitura, onde a web era um grande livro, pela fase da leitura e publicação, em que colocávamos conteúdo na web e disponibilizávamos algumas informações, e hoje, a fase da Web 3.0, na qual lemos, interagimos e mais do que nunca fazemos parte.

Afinal, apenas participar não serve mais, temos agora, sim, que fazer a diferença! O gráfico abaixo deixa claro que passamos por uma grande transformação em tecnologia, saindo da era da computação (Processamento e Transformação) para entrarmos na era da percepção, consciência e atenção. Assim, deixamos de ser passivos e passamos a criar comunidades virtuais de interesse entre si para partilharmos gostos, preferências, fazermos amigos, dentre tantas outras coisas.

Para analisarmos a dimensão que isso tomou, é só pensar em três níveis de conexões, quantos amigos virtuais você tem? Some isso ao número de amigos que seus amigos têm, e assim por diante. Podemos chegar facilmente a 20 ou 30 mil pessoas.

É claro, que as redes sociais apresentam um enorme potencial de crescimento para a sociedade em geral.

Um exemplo é o desenvolvimento de redes de Networking, tanto aproveitado por indivíduos como por empreendimento. No entanto, apesar de todo o potencial, essas redes sociais são igualmente uma séria ameaça. A ideia de ser o primeiro a divulgar as informações e, assim, conseguir mais seguidores e leitores, faz com que, muitas vezes, essa corrida ultrapasse o limite dos desabafos e novidades em blogs, twitter, Flickr, Facebook...

Nós somos conexões!

Essa corrida maluca para que façamos parte de alguma rede social ou que tenhamos um blog, pelo simples motivo de TER um blog, pois todos têm, faz com que as pessoas comecem a procurar assuntos para publicar.Hoje não basta fazer parte, tem que fazer a diferença, ser diferente e gerar notícias.

Em minha breve pesquisa analisei 47 blogs e 55 comunidades (twitter) onde os “proprietários” dessas comunidades eram gerentes, supervisores ou simples funcionários de empresas com expressão no Brasil. O que eu encontrei? Todos sem exceção divulgaram, mais de uma vez, informações que podem ser confidenciais ou que facilitam o trabalho de fraudadores.

Em minha pesquisa nos blogs e, principalmente, no twitter, observei comentários como:

“Fechamos um grande contrato com a empresa X e agora vamos ir comemorar no restaurante Y”

ou “Aqui na empresa tá tudo uma bagunça, nosso sistema já caiu três vezes, hoje, e não temos previsão de melhorar, que Deus me ajude hehehe”, mas o pior de todos, sem dúvida é este: “Parabéns equipe de vendas da empresa X, fechamos o contrato de Segurança da Informação da empresa M, e agora vamos garantir que eles não tenham mais incidentes de segurança”.

Esses são alguns dos relatos que eu coletei, mostrando que toda nossa preocupação com sistemas de bloqueio Web, políticas do tipo “tranca tudo” e controles para evitar fugas de informação são pouco eficazes, pois ninguém pode bloquear a máquina das pessoas, nas casas delas!

Por vezes as pessoas se escondem por traz de Nicks ou Avatares para que não sejam identificadas, podendo, assim, divulgar informações da empresa ou descontentamentos com chefes e políticas internas sem sabermos quem está reclamando, sendo isso um sintoma claro de falta de política interna para uma ouvidoria.

Você deve estar se perguntando e agora? Como eu posso evitar isso? Como evitar que pessoas da minha empresa não divulguem informações confidenciais ou restritas de forma deliberada?

Não podemos! Não existe como impedir! Bom, acredito que se eu queria assustar os leitores eu consegui, certo?

Ótimo, agora vamos analisar quais são as melhores formas de minimizar os impactos causados pelas redes sociais na segurança da informação das empresas.

Tudo inicia com educação, pense em seus filhos. Se não pode impedi-los de sair de casa para alguma festa ou passeio com os amigos no final de semana, pode educá-los sobre como deve ser seu comportamento fora do alcance de seus olhos.

Dessa mesma forma devemos atuar com as pessoas que trabalham em nossas empresas, pois não podemos impedir que elas interajam como pessoas fora do convívio do trabalho, e não adianta pensar em castigo ou punição, pois também não funcionariam com os filhos!

Educação é o foco! As pessoas precisam ter claro quais são seus limites, qual o impacto de suas ações, e precisam entender o limite entre a confidencialidade e uma informação que para ela sé inofensiva.

É nossa obrigação esclarecer isso, deixar claro que muitas informações aparentemente inofensivas podem, em um contexto, prejudicar o nosso negócio. O foco aqui são redes sociais virtuais, mas não podemos esquecer que temos conexões físicas e pessoais. O churrasco de domingo, o happy hour, e outras ocasiões podem transformar uma simples conversa entre amigos em uma divulgação de informações confidenciais.

Quando criamos a cultura da informação, podemos deixar claro a todos qual o limite dessas informações. E como é inevitável que façamos parte do mundo das redes sociais, seguem algumas dicas que podem ajudar minimizar os impactos negativos delas em seu negócio:

1 - Sua empresa está na rede: Inevitavelmente sua empresa tem o nome exposto em comentários positivos ou negativos em diversas redes, aconselho que você acompanhe isso periodicamente, pois podemos ter algumas informações que nos ajudarão a antecipar alguns fatos positivos ou negativos, e assim gerenciá-los.

2 - Deixe claro para todos os funcionários o porquê é perigoso e problemático a divulgação de informações, mesmo que omita o nome da empresa. Ex: Eu tenho um Blog, se eu citar algum fato da empresa ou de algum colega, não precisa dizer onde eu trabalho, todos sabem! Pois me conhecem!

3 - Explique o que pode ser dito ou abra um canal para as pessoas perguntarem se podem divulgar certa informação, pois proibir completamente a divulgação de informações não funciona, na verdade piora, pois de uma forma ou de outras as pessoas vão falar. Participe desse processo para saber o que é dito e poder orientar.

4 - Faça sua empresa participar de redes sociais, incentivem as pessoas da sua empresa a usarem apenas esse canal para falar do negócio! É uma ótima forma de minimizar os impactos de divulgações indevidas. Crie espaço para as pessoas interagirem, para trocarem ideias, não apenas de trabalho, mas pessoais e pensamentos, esta é uma ótima forma para as pessoas exporem, de forma orientada, informações e irem criando uma cultura de segurança. Como sabemos que é inevitável participarmos desse movimento, participe dele de forma ordenada e planejada, assim podemos tirar melhor proveito do que atualmente para a segurança da informação é uma ameaça.