Redes sociais – uma área livre com regras rígidas -


Escrito por Vladimir Prestes

Vivemos na era do “Like” – as redes sociais nos acompanham na resolução de
uma variedade de problemas: aqui aprendemos, trabalhamos, relaxamos, fazemos
compras. Por sua vez, os especialistas em gerenciamento de tempo não se
cansam de nos lembrar, como as redes sociais podem ser prejudiciais à nossa
produtividade, como sem perceber, gastamos horas por dia com elas. Além da
baixa eficiência, o uso incorreto das redes sociais traz riscos e pode
comprometer a reputação, arruinar carreiras e causar perdas financeiras.

Não menos problemas as redes sociais podem trazer aos negócios: vazamentos
de informações, publicações impensadas de funcionários em redes sociais, e
como consequência – danos à imagem da organização. Os limites entre as
contas pessoal e profissional estão se estreitando cada vez mais, o que,
infelizmente, é pouco compreendido pelos funcionários.


Outra história levada à justiça foi a demissão de um funcionário da Apple
por causa de uma declaração negativa sobre a empresa no Facebook. A justiça
trabalhista britânica reconheceu que a demissão era legal, uma vez que as
regras corporativas da Apple prescreviam a proibição estrita de declarações
desse tipo tanto sobre a própria empresa quanto sobre seus produtos. Além
disso, o tribunal apontou que mesmo publicações ocultas nas páginas pessoais
de funcionários poderiam ser compartilhadas por amigos virtuais e prejudicar
a imagem da empresa.

As ameaças das redes sociais

De que forma as redes sociais podem ser perigosas para os usuários e
empresas?

Ø Publicação de informações confidenciais e fotos em redes sociais. Tais
incidentes geralmente chegam até a mídia. Os usuários postam voluntariamente
fotos de seus passaportes e cartões de embarque nas redes sociais, contando
sobre suas viagens. De acordo com o especialista SI, Brian Krebs, o código
de barras ou código QR da passagem – é uma fonte de informação se houver
acesso à Internet.

As empresas também estão na zona de risco devido à imprudência de seus
funcionários. Assim, com um dos clientes da SearchInform, ocorreu a seguinte
história:

Dois funcionários foram trabalhar no final de semana. Na segunda-feira, um
especialista do serviço de segurança descobriu uma foto de uma instalação
secreta no Facebook. Os funcionários visitaram o local, Tiraram fotos nas
instalações e as postaram nas redes sociais. As fotos foram rapidamente
apagadas. Em caso de ampla divulgação, o cliente provavelmente suspenderia o
contrato e a empresa perderia mais de US$ 4 milhões.

Ø Fraudes, técnicas de engenharia social, ataques de phishing. Por
enquanto, em geral, estamos falando sobre o roubo de dados de pessoas
físicas, a retirada de fundos de suas contas, e sobre a invasão das contas
de seus amigos e parentes. Mas, muitas vezes, os dados coletados são usados
para um ataque subsequente à empresa empregadora. Divulgando informações
sobre o local de trabalho e seus colegas, os funcionários ajudam os
fraudadores a reunir um dossiê profissional. De acordo com especialistas do
Anti-Phishing Working Group (APWG), empresas com cerca de 10.000
funcionários gastam US$ 3,7 milhões por ano para eliminar os efeitos de
ataques de phishing.

Prática comum: um funcionário recebe um e-mail de seu supervisor, pedindo
para que envie imediatamente informações confidenciais através de sua rede
social ou mensageiro instantâneo. O mesmo se encontra em uma viagem de
negócios ou de férias. O funcionário envia os dados e depois fica sob
monitoramento do serviço de segurança – uma vez que na empresa, existe a
proibição direta sobre o envio de informações via mensageiros instantâneos.

Para entender a situação, os especialistas SI devem ter à sua disposição
ferramentas especiais – DLP, Sistemas SIEM, etc. Com uma análise
retrospectiva dos eventos, o sistema DLP irá resolver a situação facilmente.
O programa mostrará com que finalidade o funcionário enviou dados. E embora
isso não o torne inocente, ao menos mostrará que ele não agiu com más
intenções.

Ø Erros ao enviar mensagens. Na área de trabalho, muitas vezes temos várias
janelas abertas, por isso não é surpreendente quando enviamos algo por
engano para um endereço errado: mensagens, documentos, capturas de imagens.
Isso é sempre desagradável, mas às vezes acarreta em consequências mais
sérias. Por exemplo, muitas vezes dessa forma, várias pessoas tomam
conhecimento sobre os salários de seus colegas ou os dados pessoais de
clientes acabam sendo divulgados através de um envio em massa.

Para evitar tais acidentes, também existem ferramentas especiais –
mecanismos de bloqueio. Os documentos sigilosos são marcados com inscrições
especiais e seu envio para fontes externas é bloqueado. Ao enviar um
documento desse tipo, o e-mail é colocado em quarentena e sem a verificação
do serviço de segurança, o e-mail não será enviado.

Ø Declarações inadequadas na rede. Aparentemente a maioria das pessoas
deveria estar acostumada com o fato de que mesmo uma conta pessoal não é tão
pessoal a ponto de expressarem absolutamente qualquer pensamento
publicamente, mas sérios incidentes continuam acontecendo.

As pessoas acreditam que sua conta pessoal é um espaço privado onde
compartilham sua opinião principalmente com os amigos. Diante disso, o que
as empresas podem fazer é regular as ações de seus funcionários na rede, a
fim de evitar danos à sua imagem e proteger os funcionários de publicações
impensadas. Uma opção é a criação de “Regras de uso de mídias sociais”
(Social Media Policies), como as utilizadas pelas gigantes Hewlett-Packard,
Best Buy, Adidas e Los Angeles Times. No entanto, o cumprimento de quaisquer
regras deve ser verificado, por isso, os especialistas SI devem possuir
ferramentas modernas de analise dos fluxos de informações e notificação de
incidentes.

Ø Vazamento de dados de organizações. Aqui estamos falando sobre ações
deliberadas de funcionários, a saber – sobre “desvios” de informação
confidencial. Visto que as redes sociais são também um canal de transmissão
de dados comum, assim como o e-mail. Vamos relembrar o caso com o
ex-funcionário do Conselho de Segurança Nacional dos EUA, Jofi Joseph, que
administrava uma conta do Twitter com o nome de usuário @NatSecWonk, onde
criticou duramente as decisões de seus chefes e divulgou informações
sigilosas. Durante um ano e meio, Jofi Joseph conseguiu publicar cerca de
2.000 mensagens, após as quais ele foi incriminado pelo serviço de segurança
do Departamento de Estado dos EUA.

Como se defender?

Para que as redes sociais não venham a ser uma armadilha para pessoas e
empresas, os gestores e gerentes de RH deveriam tomar certas precauções:

• Regulamentar o uso de redes sociais. Convença seus funcionários que um
comportamento cauteloso nas redes sociais é regra. A permissividade acarreta
no risco de perda emprego e à empresa – a perda de sua reputação. Outra
opção é tornar a conta anônima e não especificar o local de trabalho. Embora
para figuras públicas e gestores isso seja extremamente difícil. Neste caso,
a introdução das “Regras de uso de mídias sociais” será de grande ajuda.

• Recomendar a criação de uma conta separada, caso as redes sociais sejam
necessárias para as tarefas de trabalho. Quando a empresa possui um sistema
de proteção contra vazamentos de informações (DLP), ele rastreia
automaticamente todas as atividades realizadas pelo usuário no PC, salva o
histórico de mensagens, sem diferenciar as contas pessoais e de trabalho nas
redes sociais. Assim, o empregador garante a segurança de seus segredos
comerciais. Os funcionários, no entanto, precisam ser notificados sobre as
medidas de segurança da informação para que possam manter a privacidade de
suas conversas pessoais e não as façam usando os equipamentos do empregador.

• Realizar um trabalho explicativo. As pessoas, sem se importar,
compartilham na rede dados de passaportes, endereços, telefones e outras
informações pessoais. “Quem precisa disso? Estou seguro” – acreditam os
usuários ingênuos e muitas vezes se veem enganados quando descobrem, por
exemplo, um débito no cartão bancário realizado por pessoas desconhecidas.
Alguém em busca de “likes” publica notícias (e muitas vezes não públicas)
sobre a empresa baseadas em sua própria interpretação. Tais ações
imprudentes ameaçam empresas e funcionários com sérios problemas.

O problema também é que as redes sociais não estão muito preocupadas com os
dados que seus usuários têm publicado e não realizam trabalhos explicativos.
Portanto, é melhor que as empresas tomem conta deste assunto e conduzam
regularmente atividades de treinamento SI entre seus funcionários.

• Recomendar aos funcionários que protejam suas contas com senhas mais
complexas. Essa dica já pode ser considerada clássica, assim como a
recomendação de não usar a mesma senha para todas as contas. No entanto, até
hoje, esses conselhos são negligenciados por um grande número de
funcionários.

• Proteger os dados usando o sistema DLP. Prever todos os tipos de riscos e
se proteger contra o fator humano é impossível. No entanto, podem ser
utilizadas soluções técnicas modernas como os sistemas DLP, que garantem a
preservação de informações confidenciais e, portanto, protegem não apenas a
empresa, mas também seus funcionários de danos à reputação e perdas
financeiras.

As redes sociais, assim como a internet em geral, não podem ser consideradas
um espaço seguro, mas aparentemente, verdades banais como estas, com o
advento de novas ameaças, precisam ser reaprendidas.

Vladimir Prestes é Diretor Geral da SearchInform no Brasil, líder russa em
sistemas de segurança da informação há mais de 20 anos. Com mais de dois mil
clientes e cerca de 1.200.000 computadores protegidos, possui escritórios em
16 países.


Leia Também:

Anterior:

Próxima: