Perda e furto de dispositivos móveis
Achei interessante fazer mais algumas considerações sobre este assunto, aproveitando ainda os recentes acontecimentos dessa natureza ocorridos com a Petrobras.
A dependência cada vez mais crescente que as organizações têm da informação digitalizada é inegável. Segredos industriais, planos de negócios, dados financeiros, folhas de pagamento, projetos estratégicos, e-mails corporativos, enfim: praticamente todas as informações necessárias para o funcionamento de uma organização estão armazenados digitalmente. A perda de tais informações pode acarretar perdas econômicas imensas para a empresa.
Não é raro, no entanto, os responsáveis pela TI negligenciarem os cuidados ao armazenamento e transporte de tais dados. E isso ocorre mesmo em face dessa dependência total da informação digitalizada. É muito comum funcionários transitarem portando notebooks recheados de informações estratégicas e confidenciais. As boas práticas de Segurança da Informação aconselham que dispositivos móveis (notebooks, pda's, drives móveis, etc) estejam com seus dados criptografados. Isso faz com que na eventualidade da perda ou roubo dos dispositivos, não haja a possibilidade de haver a leitura dos dados nele armazenados. Caso isso ocorra, a perda se dá apenas no valor do hardware perdido ou furtado. Estes, ao contrário das informações, em geral tem baixo valor para a organização e podem ser facilmente repostos. Uma informação estratégica perdida, como já se disse, pode representar uma perda monetária imensurável.
O que se disse até agora não é novidade para a maioria das empresas. Qualquer análise de risco identifica o potencial risco de carregar informações sensíveis em dispositivos móveis sem contar com procedimentos de criptografia. Com isso pergunta-se: Por que ainda ocorrem incidentes envolvendo perda de informações em dispositivos móveis? Por que as empresas insistem aceitar um risco que pode ser facilmente evitável?
A primeira resposta diz respeito à resistência dos donos da informação de seguirem as regras de proteção estabelecidas nas políticas (quando elas existem). Muitas empresas possuem, em suas políticas as determinações acerca de criptografia de dados mas, no entanto, os envolvidos não compreendem o alcance e importância da norma. Com isso o maior problema é realmente a falha e o erro humano.
Outra resposta, por mais simplória que possa parecer, é que em geral vige nas organizações a idéia de que incidentes ocorrem apenas com os outros. E isso ocorre em todo o mundo, não apenas aqui no Brasil. No dia 14 de Fevereiro, em um hospital da Inglaterra, foi roubado um notebook contendo dados médicos de mais de 5000 pacientes. A perda para o hospital é imensurável! Além do dano à imagem, que pode ser medido pela perda de clientes e de credibilidade, há o risco de processos envolvendo a divulgação indevida dos dados perdidos além é claro do risco de desrespeito à legislação local sobre segurança de dados. Em geral, em tais situações, a empresa afetada contrata consultorias para amenizar as perdas. Quando tal perda ocorre com bancos é comum os bancos contratarem consultorias financeiras especializadas para acompanhar as contas dos clientes tentando previnir eventuais desvios, numa demonstração de boa-fé.
Tal caso lembra uma outra situação ocorrida nos EUA em que um cracker conseguiu interceptar dados médicos de pacientes de um hospital através de uma rede sem fio. O que em um primeiro momento podia indicar um fato sem importância, acabou tornando-se um caso sério de extorsão. O criminoso selecionou os dados de pacientes que eram portadores do vírus da AIDS e, com isso, passou a chantageá-los para não divulgar publicamente tal informação. Importa lembrar que os EUA possuem uma norma federal regulando o controle de informações médicas dos pacientes: é o conhecido HIPPA (Health Insurance Portability and Accountability Act).
Do ponto de vista jurídico é importante citar que a negligência no que diz respeito à guarda de dados é jurídicamete relevante. Caso trate-se de relação negocial comum, irá se apurar a responsabilidade subjetiva dos responsáveis pela informação no caso de seu furto ou perda. Há um dever, mesmo que tácito e não disposto nos contratos, de zelar pelo armazenamento de informações confidenciais Tal dever pode ser entendido com um dever anexo ao dever geral de cuidado, dever este advindo da regra da boa-fé objetiva. Além do mais, a perda de informações pode consubstanciar a violação de algum eventual Acordo de Confidencialidade (também conhecido como NDA - Non-disclosure agreement).
Na seara consumeirista, vige o conceito de responsabilidade objetiva. Isso significa que não se discutirá a existência de culpa sobre a perda ou divulgação indevida dos dados em uma relação de consumo. Basta haver o dano e o nexo causal.
Em face disso nota-se que os responsáveis pelo setor de TI das organizações devem sempre observar as melhores práticas do setor acerca da proteção e segurança das informações armazenadas em dispositivos móveis.
Achei interessante fazer mais algumas considerações sobre este assunto, aproveitando ainda os recentes acontecimentos dessa natureza ocorridos com a Petrobras.
A dependência cada vez mais crescente que as organizações têm da informação digitalizada é inegável. Segredos industriais, planos de negócios, dados financeiros, folhas de pagamento, projetos estratégicos, e-mails corporativos, enfim: praticamente todas as informações necessárias para o funcionamento de uma organização estão armazenados digitalmente. A perda de tais informações pode acarretar perdas econômicas imensas para a empresa.
Não é raro, no entanto, os responsáveis pela TI negligenciarem os cuidados ao armazenamento e transporte de tais dados. E isso ocorre mesmo em face dessa dependência total da informação digitalizada. É muito comum funcionários transitarem portando notebooks recheados de informações estratégicas e confidenciais. As boas práticas de Segurança da Informação aconselham que dispositivos móveis (notebooks, pda's, drives móveis, etc) estejam com seus dados criptografados. Isso faz com que na eventualidade da perda ou roubo dos dispositivos, não haja a possibilidade de haver a leitura dos dados nele armazenados. Caso isso ocorra, a perda se dá apenas no valor do hardware perdido ou furtado. Estes, ao contrário das informações, em geral tem baixo valor para a organização e podem ser facilmente repostos. Uma informação estratégica perdida, como já se disse, pode representar uma perda monetária imensurável.
O que se disse até agora não é novidade para a maioria das empresas. Qualquer análise de risco identifica o potencial risco de carregar informações sensíveis em dispositivos móveis sem contar com procedimentos de criptografia. Com isso pergunta-se: Por que ainda ocorrem incidentes envolvendo perda de informações em dispositivos móveis? Por que as empresas insistem aceitar um risco que pode ser facilmente evitável?
A primeira resposta diz respeito à resistência dos donos da informação de seguirem as regras de proteção estabelecidas nas políticas (quando elas existem). Muitas empresas possuem, em suas políticas as determinações acerca de criptografia de dados mas, no entanto, os envolvidos não compreendem o alcance e importância da norma. Com isso o maior problema é realmente a falha e o erro humano.
Outra resposta, por mais simplória que possa parecer, é que em geral vige nas organizações a idéia de que incidentes ocorrem apenas com os outros. E isso ocorre em todo o mundo, não apenas aqui no Brasil. No dia 14 de Fevereiro, em um hospital da Inglaterra, foi roubado um notebook contendo dados médicos de mais de 5000 pacientes. A perda para o hospital é imensurável! Além do dano à imagem, que pode ser medido pela perda de clientes e de credibilidade, há o risco de processos envolvendo a divulgação indevida dos dados perdidos além é claro do risco de desrespeito à legislação local sobre segurança de dados. Em geral, em tais situações, a empresa afetada contrata consultorias para amenizar as perdas. Quando tal perda ocorre com bancos é comum os bancos contratarem consultorias financeiras especializadas para acompanhar as contas dos clientes tentando previnir eventuais desvios, numa demonstração de boa-fé.
Tal caso lembra uma outra situação ocorrida nos EUA em que um cracker conseguiu interceptar dados médicos de pacientes de um hospital através de uma rede sem fio. O que em um primeiro momento podia indicar um fato sem importância, acabou tornando-se um caso sério de extorsão. O criminoso selecionou os dados de pacientes que eram portadores do vírus da AIDS e, com isso, passou a chantageá-los para não divulgar publicamente tal informação. Importa lembrar que os EUA possuem uma norma federal regulando o controle de informações médicas dos pacientes: é o conhecido HIPPA (Health Insurance Portability and Accountability Act).
Do ponto de vista jurídico é importante citar que a negligência no que diz respeito à guarda de dados é jurídicamete relevante. Caso trate-se de relação negocial comum, irá se apurar a responsabilidade subjetiva dos responsáveis pela informação no caso de seu furto ou perda. Há um dever, mesmo que tácito e não disposto nos contratos, de zelar pelo armazenamento de informações confidenciais Tal dever pode ser entendido com um dever anexo ao dever geral de cuidado, dever este advindo da regra da boa-fé objetiva. Além do mais, a perda de informações pode consubstanciar a violação de algum eventual Acordo de Confidencialidade (também conhecido como NDA - Non-disclosure agreement).
Na seara consumeirista, vige o conceito de responsabilidade objetiva. Isso significa que não se discutirá a existência de culpa sobre a perda ou divulgação indevida dos dados em uma relação de consumo. Basta haver o dano e o nexo causal.
Em face disso nota-se que os responsáveis pelo setor de TI das organizações devem sempre observar as melhores práticas do setor acerca da proteção e segurança das informações armazenadas em dispositivos móveis.
Um dia após o fechamento desse post, precisamente 21 de Fevereiro de 2008, a Computerworld publicou uma notícia intitulada "A lição do roubo na Petrobras". A notícia versa sobre a gestão da segurança da informação e seu conteúdo complementa de certa forma o que foi aqui escrito.
A notícia pode ser vista clicando aqui.
Nenhum comentário:
Postar um comentário