Redes sociais: uma área livre com regras rígidas
Vivemos na era do "Like" – as redes sociais nos acompanham na resolução de uma variedade de problemas: aqui aprendemos, trabalhamos, relaxamos, fazemos compras. Por sua vez, os especialistas em gerenciamento de tempo não se cansam de nos lembrar, como as redes sociais podem ser prejudiciais à nossa produtividade, como sem perceber, gastamos horas por dia com elas. Além da baixa eficiência, o uso incorreto das redes sociais traz riscos e pode comprometer a reputação, arruinar carreiras e causar perdas financeiras.
Não menos problemas as redes sociais podem trazer aos negócios: vazamentos de informações, publicações impensadas de funcionários em redes sociais, e como consequência – danos à imagem da organização. Os limites entre as contas pessoal e profissional estão se estreitando cada vez mais, o que, infelizmente, é pouco compreendido pelos funcionários.
Outra história levada à justiça foi a demissão de um funcionário da Apple por causa de uma declaração negativa sobre a empresa no Facebook. A justiça trabalhista britânica reconheceu que a demissão era legal, uma vez que as regras corporativas da Apple prescreviam a proibição estrita de declarações desse tipo tanto sobre a própria empresa quanto sobre seus produtos. Além disso, o tribunal apontou que mesmo publicações ocultas nas páginas pessoais de funcionários poderiam ser compartilhadas por amigos virtuais e prejudicar a imagem da empresa.
As ameaças das redes sociais
De que forma as redes sociais podem ser perigosas para os usuários e empresas?
Publicação de informações confidenciais e fotos em redes sociais. Tais incidentes geralmente chegam até a mídia. Os usuários postam voluntariamente fotos de seus passaportes e cartões de embarque nas redes sociais, contando sobre suas viagens. De acordo com o especialista SI, Brian Krebs, o código de barras ou código QR da passagem - é uma fonte de informação se houver acesso à Internet.
As empresas também estão na zona de risco devido à imprudência de seus funcionários. Assim, com um dos clientes da SearchInform, ocorreu a seguinte história:
Dois funcionários foram trabalhar no final de semana. Na segunda-feira, um especialista do serviço de segurança descobriu uma foto de uma instalação secreta no Facebook. Os funcionários visitaram o local, Tiraram fotos nas instalações e as postaram nas redes sociais. As fotos foram rapidamente apagadas. Em caso de ampla divulgação, o cliente provavelmente suspenderia o contrato e a empresa perderia mais de US$ 4 milhões.
Fraudes, técnicas de engenharia social, ataques de phishing. Por enquanto, em geral, estamos falando sobre o roubo de dados de pessoas físicas, a retirada de fundos de suas contas, e sobre a invasão das contas de seus amigos e parentes. Mas, muitas vezes, os dados coletados são usados para um ataque subsequente à empresa empregadora. Divulgando informações sobre o local de trabalho e seus colegas, os funcionários ajudam os fraudadores a reunir um dossiê profissional. De acordo com especialistas do Anti-Phishing Working Group (APWG), empresas com cerca de 10.000 funcionários gastam US$ 3,7 milhões por ano para eliminar os efeitos de ataques de phishing.
Prática comum: um funcionário recebe um e-mail de seu supervisor, pedindo para que envie imediatamente informações confidenciais através de sua rede social ou mensageiro instantâneo. O mesmo se encontra em uma viagem de negócios ou de férias. O funcionário envia os dados e depois fica sob monitoramento do serviço de segurança – uma vez que na empresa, existe a proibição direta sobre o envio de informações via mensageiros instantâneos.
Para entender a situação, os especialistas SI devem ter à sua disposição ferramentas especiais - DLP, Sistemas SIEM, etc. Com uma análise retrospectiva dos eventos, o sistema DLP irá resolver a situação facilmente. O programa mostrará com que finalidade o funcionário enviou dados. E embora isso não o torne inocente, ao menos mostrará que ele não agiu com más intenções.
Erros ao enviar mensagens. Na área de trabalho, muitas vezes temos várias janelas abertas, por isso não é surpreendente quando enviamos algo por engano para um endereço errado: mensagens, documentos, capturas de imagens. Isso é sempre desagradável, mas às vezes acarreta em consequências mais sérias. Por exemplo, muitas vezes dessa forma, várias pessoas tomam conhecimento sobre os salários de seus colegas ou os dados pessoais de clientes acabam sendo divulgados através de um envio em massa.
Para evitar tais acidentes, também existem ferramentas especiais - mecanismos de bloqueio. Os documentos sigilosos são marcados com inscrições especiais e seu envio para fontes externas é bloqueado. Ao enviar um documento desse tipo, o e-mail é colocado em quarentena e sem a verificação do serviço de segurança, o e-mail não será enviado.
Declarações inadequadas na rede. Aparentemente a maioria das pessoas deveria estar acostumada com o fato de que mesmo uma conta pessoal não é tão pessoal a ponto de expressarem absolutamente qualquer pensamento publicamente, mas sérios incidentes continuam acontecendo.
As pessoas acreditam que sua conta pessoal é um espaço privado onde compartilham sua opinião principalmente com os amigos. Diante disso, o que as empresas podem fazer é regular as ações de seus funcionários na rede, a fim de evitar danos à sua imagem e proteger os funcionários de publicações impensadas. Uma opção é a criação de "Regras de uso de mídias sociais" (Social Media Policies), como as utilizadas pelas gigantes Hewlett-Packard, Best Buy, Adidas e Los Angeles Times. No entanto, o cumprimento de quaisquer regras deve ser verificado, por isso, os especialistas SI devem possuir ferramentas modernas de analise dos fluxos de informações e notificação de incidentes.
Vazamento de dados de organizações. Aqui estamos falando sobre ações deliberadas de funcionários, a saber - sobre "desvios" de informação confidencial. Visto que as redes sociais são também um canal de transmissão de dados comum, assim como o e-mail. Vamos relembrar o caso com o ex-funcionário do Conselho de Segurança Nacional dos EUA, Jofi Joseph, que administrava uma conta do Twitter com o nome de usuário @NatSecWonk, onde criticou duramente as decisões de seus chefes e divulgou informações sigilosas. Durante um ano e meio, Jofi Joseph conseguiu publicar cerca de 2.000 mensagens, após as quais ele foi incriminado pelo serviço de segurança do Departamento de Estado dos EUA.
Como se defender?
Para que as redes sociais não venham a ser uma armadilha para pessoas e empresas, os gestores e gerentes de RH deveriam tomar certas precauções:
• Regulamentar o uso de redes sociais. Convença seus funcionários que um comportamento cauteloso nas redes sociais é regra. A permissividade acarreta no risco de perda emprego e à empresa – a perda de sua reputação. Outra opção é tornar a conta anônima e não especificar o local de trabalho. Embora para figuras públicas e gestores isso seja extremamente difícil. Neste caso, a introdução das "Regras de uso de mídias sociais" será de grande ajuda.
• Recomendar a criação de uma conta separada, caso as redes sociais sejam necessárias para as tarefas de trabalho. Quando a empresa possui um sistema de proteção contra vazamentos de informações (DLP), ele rastreia automaticamente todas as atividades realizadas pelo usuário no PC, salva o histórico de mensagens, sem diferenciar as contas pessoais e de trabalho nas redes sociais. Assim, o empregador garante a segurança de seus segredos comerciais. Os funcionários, no entanto, precisam ser notificados sobre as medidas de segurança da informação para que possam manter a privacidade de suas conversas pessoais e não as façam usando os equipamentos do empregador.
• Realizar um trabalho explicativo. As pessoas, sem se importar, compartilham na rede dados de passaportes, endereços, telefones e outras informações pessoais. "Quem precisa disso? Estou seguro" – acreditam os usuários ingênuos e muitas vezes se veem enganados quando descobrem, por exemplo, um débito no cartão bancário realizado por pessoas desconhecidas. Alguém em busca de "likes" publica notícias (e muitas vezes não públicas) sobre a empresa baseadas em sua própria interpretação. Tais ações imprudentes ameaçam empresas e funcionários com sérios problemas.
O problema também é que as redes sociais não estão muito preocupadas com os dados que seus usuários têm publicado e não realizam trabalhos explicativos. Portanto, é melhor que as empresas tomem conta deste assunto e conduzam regularmente atividades de treinamento SI entre seus funcionários.
• Recomendar aos funcionários que protejam suas contas com senhas mais complexas. Essa dica já pode ser considerada clássica, assim como a recomendação de não usar a mesma senha para todas as contas. No entanto, até hoje, esses conselhos são negligenciados por um grande número de funcionários.
• Proteger os dados usando o sistema DLP. Prever todos os tipos de riscos e se proteger contra o fator humano é impossível. No entanto, podem ser utilizadas soluções técnicas modernas como os sistemas DLP, que garantem a preservação de informações confidenciais e, portanto, protegem não apenas a empresa, mas também seus funcionários de danos à reputação e perdas financeiras.
As redes sociais, assim como a internet em geral, não podem ser consideradas um espaço seguro, mas aparentemente, verdades banais como estas, com o advento de novas ameaças, precisam ser reaprendidas.
(*) Vladimir Prestes é Diretor Geral da SearchInform no Brasil, líder russa em sistemas de segurança da informação há mais de 20 anos. Com mais de dois mil clientes e cerca de 1.200.000 computadores protegidos, possui escritórios em 16 países.