Entenda o papel dos colaboradores no vazamento de dados corporativos

Especialistas afirmam sem medo de errar: o maior causador de vazamento de informações e dados das empresas é o descuido dos funcionários.

Nem sempre se trata de uma ação proposital: muitas vezes, eles não têm noção do que estão provocando, simplesmente porque não são treinados para lidar com soluções mais inovadoras.

No ano passado, foi feita uma pesquisa na Espanha que apontou que 43% das empresas já haviam tido perda de dados devido às atitudes de seus funcionários. Nos Estados Unidos, 63% das companhias afirmam ter medo do que podem sofrer em suas infraestruturas, devido ao mau uso e administração de tecnologias.

Essa já era uma preocupação quando redes sociais nem eram tão populares como hoje: em 2009, um estudo da empresa de segurança Sophos mostrou que 63% das corporações mundiais já tinham receio de como as comunidades de Web 2.0 poderiam afetar a infraestrutura corporativa em relação à segurança.

Muitos defendem que a navegação na Internet liberada na rede comercial poderia ser a grande vilã, e que a saída seria controlar seu uso e bloquear o acesso a alguns sites e aplicativos.

Porém, esta é uma iniciativa difícil de ser mantida: geralmente, grande parte das empresas libera o acesso a sites como Facebook, LinkedIn e Twitter. Algumas dependem desses canais para se comunicar com clientes e parceiros, e simplesmente não podem bloquear os acessos porque eles fazem parte da rotina de trabalho.

E, certamente, impedir o acesso a redes sociais e e-mail particular, por exemplo, não é uma atitude que incentivará os funcionários, ao contrário: a insatisfação só aumenta.

É preciso pensar pelo outro lado: sua empresa impõe regras e condições? Ela deixa claro o que e como pode ser usado na corporação, como pen drives ou smartphones? Há uma política madura e clara para o uso desses tipos de equipamento? E o que achar do funcionário que usa seus equipamentos pessoais para trabalhar?

Educação

Não há como assegurar dados sem antes ensinar e treinar os funcionários. Com laptops, smartphones e tablets, e com informações facilmente disponíveis em redes e na nuvem, eles são como portas de saída de dados, inclusive confidenciais, se não tiverem certeza e consciência do que estão fazendo. Eles tendem a confiar demais nos conteúdos apresentados e não tomam cuidados básicos, como conferir se aquele link é realmente da fonte que diz ser.

Antes de iniciar a total abertura de acesso, é recomendável fazer um planejamento e estudar quais setores e colaboradores precisam de acesso a quais tipos de informações – trata-se de considerar a necessidade que cada nível tem, sempre de olho na segurança.

Criar regras e monitorar seu cumprimento também é importante: como os funcionários podem acessar seus e-mails pessoais do laptop corporativo? E as redes sociais? Quais são as regras que devem ser seguidas por todos, em qualquer equipamento, pessoal ou corporativo?

Idealmente, a empresa deveria ainda analisar diariamente suas vulnerabilidades e entender como podem afetá-la – isso possibilitaria o desenvolvimento de novos planos de segurança.

Simplesmente proibir o acesso a determinados sites não alivia as ameaças de segurança: sempre vai haver um jeito de burlar as regras e acessar tais redes, e esses meios encontrados podem ser ainda mais perigosos para o sistema corporativo.

Daí a necessidade de criar ações educativas constantes: a informação é essencial para esclarecer aos colaboradores quais riscos existem, qual o grau de responsabilidade deles e que tipo de soluções podem usar para se proteger e, consequentemente, proteger os dados empresariais.

Encontrar a harmonia entre proteção e liberação de uso é um dos grandes desafios para TI. Enquanto muitas empresas entendem que não têm como coibir o uso da Internet, elas buscam mais formas de se manterem protegidas e de informarem seus funcionários de onde estão pisando.

Olhe para a sua corporação e reflita: todos conhecem riscos e dominam as ferramentas para garantir a proteção dos dados?