A Guerra da Informação

Notícias da Guerra, 1848, Richard Caton Woodville

Que a informação é poder já sabemos. Mas, tendo-se tornado um dos fatores de sucesso críticos para a sobrevivência das organizações, a informação passou a ser um alvo primordial para os combatentes em qualquer situação competitiva ou antagônica.

A informação, portanto, precisa ser defendida tanto quanto os ativos físicos.

Por outro lado, a Guerra da Informação não assola somente os sistemas de computadores. É a informação — e o uso a que é posta — que é importante. A tecnologia da informação é apenas o novo repositório para coleta, transmissão, processamento e exibição dos dados. Os princípios que regem o levantamento, a armazenagem e o uso da informação são muito antigos.

Essa guerra cobre ampla gama de atividades de informação, desde a destruição de equipamentos de TI até a sutil gestão da percepção, desde a espionagem industrial até o marketing. O uso agressivo da informação não deve ser desconsiderado por gestores sobrevivendo num mundo de negócios hostil.

Mas as organizações não são só ameaçadas por seus competidores. Empregados contrariados e grupos de pressão, como o Greenpeace ou a Associação das Donas de Casa, podem se tornar inimigos. O crime organizado e os terroristas são outra fonte de ameaças, assim como nações que usam suas agências de inteligência para obter informações empresariais confidenciais.

Bill Hutchinson e Matt Warren, em seu livro “Information Warfare“, enumeram três objetivos da Guerra da Informação (que eles chamam de I-War):

1. usar sua própria informação e sistemas associados para ganhar vantagem sobre competidores e/ou protagonistas;
2. proteger sua informação e sistemas associados dos que lhe queiram prejudicar;
3. formular estratégias e ações que produzam efeitos prejudiciais a competidores e/ou protagonistas.

Enumeram também quatro estratégias a serem aplicadas:

1. Negar acesso aos dados — Isso pode ser alcançado através de ataques ao hardware ou ao sistema contendo os dados, ou da deleção dos dados. Como muitos dados têm uma dimensão temporal, pode-se também atrasar tanto o acesso aos dados a ponto de torná-los inúteis.
2. Disrupção ou destruição de dados — A disrupção pode ser causada ao sistema que coleta e armazena a informação, ou à parte do sistema que a dissemina. A destruição dos dados pode ser física (da mídia de armazenamento) ou dos dados em si, de modo que se tornem irrecuperáveis a tempo de serem úteis.
3. Roubo de dados — O roubo de dados sigilosos, que pode permanecer ignorado pela vítima, dá vantagens competitivas empresariais, de negociação ou até mesmo criminosas ao ladrão, provendo insights sobre as operações da vítima.
4. Manipulação de dados — Dados podem ser adicionados, deletados ou alterados para dar vantagem ao atacante.

Leia o resto deste post »

Vazamento de dados: pela porta dos fundos.

Em fevereiro deste ano, a Petrobrás anunciou o sumiço de um laptop e de um HD do interior de um container sob a responsabilidade da Halliburton. O sumiço aconteceu no trajeto entre a Bacia de Campos e Macaé e o equipamento roubado continha informações sigilosas sobre as reservas de petróleo e gás na camada ultra-profunda chamada de pré-sal, onde está o megacampo de petróleo de Tupi, na bacia de Santos.

Não foi a primeira vez que a Petrobrás teve dados sigilosos roubados, nem isso é incomum na indústria em geral e na petroleira em particular.

Segundo o Ponemon Institute, de Michigan, 73% das empresas sofreram perda ou roubo de dispositivos de armazenamento de dados nos últimos 24 meses. Apesar disso, essas mesmas organizações “pouco se esforçam para gerenciar essa vulnerabilidade”.

Proteger os dados armazenados em dispositivos fora do controle da empresa (laptops, PDAs, pendrives, Hds externos, smartphones, etc.) é uma tarefa considerada impossível. No entanto, os custos de uma perda ou roubo de dados, seja na rede ou fora dela, podem ser astronômicos.

A empresa de segurança McAfee diz que todas as semanas 132 milhões de documentos sigilosos são removidos dos recintos das empresas em dispositivos móveis e que quatro entre dez companhias não têm políticas para lidar com documentos sigilosos.
“É bobagem pensar que políticas e treinamento sejam a solução,” diz Mark Fullcroft, CEO da Cyber-Ark, empresa de segurança digital com longa e impressionante lista de clientes. “Fui treinado para dirigir, mas isso não quer dizer que eu não ultrapasse o limite de velocidade. Você pode ter regras, mas as pessoas as ignoram. O treinamento não basta – aplique tecnologia ao problema para chavear as coisas.”

Um software contra vazamento é capaz de travar elementos do sistema, desabilitar portas USB ou impor direitos digitais que governam quais arquivos empregados específicos podem acessar. É projetado para inspecionar conteúdo através de toda a empresa para manter os dados privados dentro da organização.

Estima-se que, em 2008, haja uma demanda latente de US$ 3,15 bilhões por tecnologia e software de proteção de dados. Isso só nos Estados Unidos.