Edward Snowden, 30 anos, era analista da poderosa NSA (Agência Nacional de Segurança dos Estados Unidos) quando revelou detalhes de alguns programas de monitoramento de informação que a Agência utilizava contra cidadãos americanos e estrangeiros, até mesmo em redes sociais como Facebook, YouTube e Skype.

O que se seguiu às denúncias estamos acompanhando até agora, com a busca de Snowden por asilo em países claramente contrários aos Estados Unidos, como Equador ou Cuba. Os transtornos que Evo Morales, presidente da Bolívia, passou para que seu voo oriundo de Moscou chegasse à La Paz são bons exemplos do tamanho da encrenca.

Não quero hoje entrar aqui no mérito do absurdo que representa esse monitoramento, nem tergiversar sobre a completa perda de privacidade do mundo em que vivemos. Meu ponto é sobre o risco que os funcionários com mais acesso à informação (tipicamente os de TI) representam para as empresas. Muito provavelmente, esse risco é muito maior do que o de ataques externos para furto de informação sigilosa e, com absoluta certeza, há muito mais medidas de defesa em prática contra ataques externos do que há para evitar vazamentos internos.

As ferramentas de DLP (Data Leak Prevention) que existem justamente para evitar vazamentos de informação quase sempre são ineficazes, pois as empresas fazem um trabalho claramente insuficiente na classificação da informação e na gestão de seu ciclo de vida.  Aqui no Brasil, como de praxe, estamos ainda atrasados e poucas de nossas empresas sequer utilizam alguma solução de DLP.

Aos poucos, temos visto mais empresas desenvolverem termos de confidencialidade para seus funcionários com acesso privilegiado à informação (como os de TI), e acho que esse caminho faz todo o sentido em nosso país, pois torna mais fácil o controle e, eventualmente, as punições. Treinamento e conscientização, como sempre, seriam parte da solução, mas sabemos que quase nada se faz nesse sentido, principalmente no Brasil. Por aqui é quase certo que um profissional leve de uma empresa para a outra informações da empresa de onde veio, às quais teve acesso enquanto lá trabalhava sem ao menos desconfiar de que isso é ilegal e fere a ética.

Resta-nos reforçar os controles em nossas empresas, principalmente sobre o pessoal de TI: termos de confidencialidade bem embasados e revisados periodicamente, e muito, muito treinamento e conscientização para diminuir os episódios de vazamento de informações. Digo diminuir porque evitar é virtualmente impossível.