Tenha cuidado ao tratar de assuntos sigilosos

A grande maioria dos profissionais que militam na área da Tecnologia da Informação e Comunicação – TIC sabem o significado do termo “engenharia social”. Porém poucos profissionais, mesmo os da área de Segurança da Informação, dão importância a um problema de segurança envolvendo a “engenharia social” por ser de difícil constatação e acompanhamento,qual seja o vazamento de informações sigilosas em decorrência de conversas entre funcionários da empresa, seja entre executivos ou entre o pessoal operacional.

Mas existe um elenco de boas práticas que podem minimizar esta vulnerabilidade – são elas:

• Elabore, juntamente com o pessoal de Treinamento da empresa, um programa de conscientização para todos os funcionários, a começar pela Alta Administração (isto é importante para dar o exemplo e demonstrar a preocupação da empresa para com o assunto) – educar através do treinamento é a chave para a solução de grande parte dos problemas de segurança;
• Acompanhe a observância do calendário do programa de treinamento;
• Verifique se houve mudanças sensíveis no comportamento das pessoas;
• Se necessário faça ajustes no programa de treinamento.

Tudo bem, mas quais devem ser os assuntos a serem incluídos no programa de treinamento? Grosso modo, recomenda-se que sejam abordados os seguintes temas envolvendo os cuidados ao tratar de assuntos sigilosos:

• Conceito do que são e quais são os assuntos considerados sigilosos;
• Nas conversas de corredor, nas cafeterias, restaurante e no “happy hour” – regra geral: cuidado com o que se fala em lugares públicos;
• Ao se falar ao telefone público ou celular, em lugares públicos;
• Ao se discutir assuntos sensíveis em outros eventos públicos como seminários, cursos, painéis, em reuniões de negócios, etc.
• Nos bate-papos informais nas viagens utilizando meios coletivos de deslocamento (aviões e ônibus) e nos aeroportos e estações rodoviárias.

Regra de ouro: se for necessário conversar assuntos confidenciais em lugares públicos, afaste-se com seu interlocutor ou interlocutores para um local afastado do movimento geral e de pessoas paradas; verifique se não há pessoas próximas que possam escutar a conversa; mantenha o tom de voz baixo – cuidado com as emoções e argumentos inflamados; seja o mais breve possível.

Lembrar que a segurança da organização, aí incluída a segurança da informação, depende principalmente do comportamento humano. Comportamento humano só pode ser ajustado mediante treinamento e disciplina – e este é um assunto para um outro texto.