<p> </p>
<p>A expressão “agente infiltrado” refere-se ao funcionário que rouba informações de sua empresa e as vende para concorrentes. Há um bom tempo, esse conceito foi introduzido em nosso vocabulário e, sem dúvidas, veio para ficar.</p>
<p>Os ataques de agentes infiltrados – vazamentos de informações pessoais e confidenciais – entre outros crimes cibernéticos são os que possuem o maior nível de ocultação e o menor índice de detecção. Dependendo do grau de preparação anterior ao “vazamento”, os ataques de agentes infiltrados podem ser divididos em:</p>
<p><strong>Situacionais</strong>: Um novo funcionário recém-contratado tem a oportunidade de realizar um roubo, seus princípios morais o permitem fazê-lo e ele comete a fraude. Outra situação bem comum: o profissional trabalha há um bom tempo na empresa, mas não é devidamente reconhecido. Ou é reconhecido, mas não o quanto acredita merecer. Obviamente, o funcionário não está satisfeito. Ao roubar informações, ele tenta “compensar” o que, em sua opinião, lhe foi negado injustamente.</p>
<p>Como exemplo, podemos citar o caso de um dos clientes da SearchInform. O departamento de segurança de uma loja atacadista de materiais de construção detectou documentos estatutários em uma intercepção do sistema DLP. Descobriu-se que estes documentos foram usados pelo vice-diretor comercial que, sentindo-se desvalorizado, há dois meses se desentendia com a direção da empresa e, por fim, decidiu abrir o seu próprio negócio. A vigilância dos profissionais do departamento de segurança da informação impediu a retirada de informações valiosas, mas não conseguiu evitar outras perdas. O ex vice diretor conseguiu “persuadir” parte do quadro de funcionários e, ao demitir-se, levou os subordinados consigo.</p>
<p><strong>Planejados</strong>: O exemplo mais simples é a espionagem industrial, que chega ao conhecimento público por meio de filmes, livros e, menos frequentemente, pela imprensa. Um exemplo comum é o do funcionário que “vaza informações” por motivo de vingança. Ele planeja minuciosamente suas ações, sabe como pode ser pego e está familiarizado com os protocolos internos de segurança.</p>
<p>Um caso assim ocorreu em uma empresa panificadora. Com o auxílio do sistema DLP, descobriu-se que o recém-contratado gerente de redes comerciais era, na verdade, um “agente infiltrado”. Ele se estabeleceu na função para ter acesso aos programas da empresa e obter informações sobre as contrapartes. Se essas informações chegassem aos concorrentes, a empresa sofreria danos consideráveis – haveria perda de clientes e os prejuízos financeiros anuais totalizariam pelo menos US$ 5 milhões.</p>
<p><strong>Como identificar funcionários com inclinação à prática de ataques internos?</strong></p>
<p>Como observado por Christopher Barnes, a predisposição de uma pessoa para práticas fraudulentas, pode ser identificada através da análise de seus valores morais, particularidades durante a tomada de decisões morais, auto regulação, determinação de suas relações consigo mesmo, com outras pessoas, com o trabalho, com o dinheiro e com as normas legais.</p>
<p>As pessoas com inclinação para fraudes podem ser identificadas através:</p>
<p>- do predomínio de valores universais baseados no individualismo e pragmatismo</p>
<p>- atitude gananciosa em relação ao dinheiro</p>
<p>- desvalorização do trabalho honesto e produtivo</p>
<p>- descaso para com as normas morais tradicionais</p>
<p>- auto regulação moral sem escrúpulos</p>
<p>- cinismo destrutivo</p>
<p>- impulsividade e inclinação ao risco na tomada de decisões</p>
<p>- egoísmo</p>
<p>O alto desenvolvimento desses sinais indica a prontidão psicológica da pessoa para a fraude. Mas é importante lembrar, também, a atmosfera saudável dentro da empresa</p>
<p>De acordo com Roger Martin, “o mundo dos negócios exerce uma pressão terrível, nos forçando a agir contrariamente às regras de uma sociedade saudável e genuína e, gradualmente, a base moral do ser humano é corroída. Ele se acostuma a viver mentindo, acreditando em uma coisa, mas fazendo outra coisa. Ele entende a importância dos relacionamentos de longo prazo com o cliente, mas age como se o mundo inteiro só precisasse de uma coisa: um relatório trimestral”.</p>
<p>“Infelizmente, a suposição de que o comportamento antiético no local de trabalho é o produto de algumas maçãs podres cegou muitas organizações para o fato de que todos nós podemos ser influenciados negativamente por forças situacionais, mesmo quando nos importamos muito com a honestidade. No entanto, as abordagens para afastar o problema deste campo escorregadio não precisam ser drásticas” – observa Francesca Gino em sua pesquisa.</p>
<p><strong>O que é necessário para evitar fraudes e ataques internos no trabalho?</strong></p>
<p>Ao realizar testes, os departamentos de RH utilizam programas especializados que analisam e interpretam dados automaticamente, o que simplifica bastante o processo de diagnóstico. Em geral, o trabalho pode ser feito de acordo com o seguinte algoritmo:</p>
<p>- o departamento de RH realiza testes para a admissão no trabalho ou processo de certificação regular;</p>
<p>- os resultados do teste são repassados para o serviço de segurança da informação;</p>
<p>- o funcionário do departamento de SI identifica os funcionários propensos a cometer ataques internos;</p>
<p>- caso o funcionário seja detentor de algum tipo acentuado, enquadrando-se no “grupo de risco”, é assegurado o controle primário de suas atividades.</p>
<p><strong>E o que deve ser feito?</strong></p>
<p>1. Determine claramente as funções atribuídas ao grupo de risco: quem trabalha com informações confidenciais, dados pessoais, documentos com segredos comerciais, etc.</p>
<p>2. Desenvolva documentos normativos que expliquem como os funcionários dessas funções devem trabalhar com os dados confidenciais.</p>
<p>3. Defina o perfil do cargo: que competências o departamento de RH gostaria ou não de encontrar no profissional para a função determinada.</p>
<p>4. Selecione métodos para a identificação de qualidades morais e psicológicas.</p>
<p>5. Tome medidas preventivas: use soluções para evitar vazamentos de dados, como sistemas DLP.</p>
<p>6. Implemente uma política de proteção de dados, monitorando o uso não autorizado de informações confidenciais. Informe os funcionários sobre violações, pois isso ajuda a aumentar a conscientização da equipe, impedindo o roubo de dados.</p>
<p>7. Realize um trabalho informativo constante: apenas a existência de uma política, sem sua compreensão e aplicação efetiva por parte dos funcionários, não produzirá resultados.</p>
<p>8. Lembre-se de que o roubo é precedido por algumas condições fundamentais: os principais problemas associados à motivação do agente infiltrado surgem antes mesmo que ele cometa o roubo.</p>
<p>9. Tenha em mente que o funcionário pode “induzir a ação” de outros trabalhadores. Isso geralmente acontece em caso de rebaixamento de cargo ou quando as expectativas sobre a carreira não são correspondidas.</p>
<p>10. Informe à gerência, ao departamento de RH e ao pessoal responsável pela segurança da informação, todos os casos em que um funcionário, durante o desempenho de sua função ou após sua demissão, acessa dados críticos importantes, realizando o seu carregamento de maneira atípica e assim por diante.</p>
<p>Seguindo essas regras sua empresa poderá proteger-se da transformação de pessoas potencialmente inclinadas a prática de ataques internos, agindo como verdadeiros agentes infiltrados. Afinal, é melhor prevenir o incidente do que lidar com suas consequências. Um manual de proteção contra ameaças internas pode ajudar a identificar riscos e a planejar o trabalho com antecipação.</p>
<p><em>(*) Diretor Geral da SearchInform no Brasil.</em></p>
