A parte mais fraca da contrainteligência (segurança)

Segurança do conhecimento tem sido destaque em muitos textos desde que foi divulgado pela mídia o monitoramento sistemático de comunicações pelos Estados Unidos da América (EUA).

A segurança do conhecimento ou da informação como queira chamar, tem sido destaque em muitos textos desde que foi divulgado pela mídia o monitoramento sistemático de comunicações pelos Estados Unidos da América (EUA).

As pessoas passaram a conhecer melhor a Agência Nacional de Segurança (NSA), local onde trabalhava como analista Edward Snowden, que revelou ao mundo documentos e o programa de espionagem americano, no que diz respeito à coleta de dados por meio eletrônico, e-mails, ligações telefônicas e mensagens de celular.

Apenas como ilustração e segundo reportagens, a NSA foi criada depois da Segunda Guerra Mundial. Tinha como missão principal produzir conhecimentos de Inteligência que ajudassem os EUA a não serem surpreendidos com ataques como o ocorrido em Pearl Harbor. Após o atentado às Torres Gêmeas, em 11 de setembro de 2001, a NSA recebeu expressivos orçamentos para aperfeiçoar o combate ao terrorismo.

Ainda no contexto das revelações de Edward Snowden, matéria do jornal O Globo mostrou a existência de um possível sistema de espionagem para a América Latina com objetivos não apenas de segurança, mas também com interesses comerciais.

Bem, isso é um exemplo da importância da Contrainteligência Competitiva, ramo da Atividade de Inteligência Competitiva que visa à proteção da empresa contra ameaças de qualquer natureza que afete pessoas, conhecimentos, produtos e serviços, áreas e instalações.

Sempre procuro destacar a Contrainteligência nos cursos e palestras que ministro. Porém, infelizmente ainda existem pessoas que vivem em uma verdadeira ilusão de segurança, que tende a se agravar quando, segundo Kevin Mitnick, entram em jogo a credulidade, a inocência ou a ignorância.

Tais pessoas acreditam que somente os equipamentos de segurança e guardas uniformizados são suficientes para a proteção dos bens tangíveis e intangíveis da empresa.

Não é assim. Mesmo com modernos equipamentos de segurança e guardas bem equipados existe uma parte desse sistema que é o lado mais fraco, os funcionários. Estes, não recebem, por razões variadas, a orientação e o treinamento necessário. Isso, por conta da comodidade, da redução de custos ou de mentalidades ultrapassadas.

Ainda, segundo Kevin Mitnick, à medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Ou seja, não adianta a empresa gastar somas imensas em tecnologia e não conscientizar e preparar o seu pessoal.

Um exemplo disso, vimos recentemente por ocasião da visita do Papa Francisco ao Rio de Janeiro, quando o sumo pontífice e a sua comitiva ficaram retidos em um engarrafamento no centro da cidade e expostos a perigos. Ali vimos o despreparo do fator humano, apesar da moderna tecnologia empregada.

Enganar pessoas com o objetivo de obter dados sensíveis e que possam beneficiar a si ou a outros é o que faz o engenheiro social. Para isso, usa a fraude, a influência e a persuasão. Buscam explorar a confiança, o desejo de ser útil, a simpatia e a credulidade, características que ainda existem na maioria das pessoas. Assim, é preciso que as empresas se conscientizem que correm riscos que variam da simples vingança de um funcionário revoltado até os crimes cibernéticos.

Continuando com Kevin Mitnick, tudo que necessita um engenheiro social é de um planejamento cuidadoso e de uma boa conversa para, trapaceando, atingir os seus objetivos. Diz Mitnick que a empresa pode estar perdendo dinheiro agora mesmo, ou alguém roubando os planos de novos produtos e ninguém sabe disso. Afirma também que se isso ainda não aconteceu na sua empresa, o problema não é se acontecerá, mas quando acontecerá.

A fim de obter dados ou instalar um programa espião, a ação mais comum é buscar identificar o nome de usuário e a senha de um funcionário. O alvo primordial é o inexperiente e mais novo contratado que tudo fará para agradar o seu interlocutor, no caso o engenheiro social.

Medidas de Contrainteligência são sempre muito antipáticas, mas é preciso que todos na empresa sejam sujeitos a elas. Da alta direção ao funcionário de nível mais baixo. É preciso que as pessoas saibam exatamente o que fazer e sigam rigorosamente o que está previsto e o exemplo tem que vir de cima.

Palestras, cursos, treinamentos e fiscalização são medidas indispensáveis para que haja a necessária conscientização de que a segurança não é um produto, resultado de um projeto. É um processo continuadamente aperfeiçoado e alimentado por conhecimentos de Inteligência. Assim, todos na empresa devem estar envolvidos e comprometidos em minimizar ou eliminar os riscos que ameaçam as empresas, particularmente, o mais grave de todos, o despreparo do ser humano.