Artigo: A Lava-jato e os dispositivos móveis

A grande maioria das notícias publicadas em jornais hoje em dia são sobre a operação Lava-jato, que tenta mudar a concepção de impunidade e dar um grande passo no caminho da diminuição da corrupção no Brasil. Os investigadores buscam todas as formas e fontes de obtenção de dados para poder comprovar atos ilícitos, estejam armazenados em computadores, pen-drives, documentos impressos ou mesmo em dispositivos móveis. Um grande volume de informações importantes tem sido conseguido através do acesso aos smartphones dos investigados. Todos sabemos que, na atualidade, a comunicação digital se dá, principalmente, através desses dispositivos, mas na maioria das vezes eles não estão imunes às quebras de senhas ou a outras formas de acesso ao conteúdo armazenado internamente.

Não quero dizer aqui como os criminosos devem se portar ou quais são as melhores práticas para que eles usem seus smartphones, mas, deixando o crime de lado, informação confidencial deve permanecer como tal em todas as empresas que se preocupam com isso. Ninguém quer que seus segredos comerciais ou informações de novos produtos vazem, ou mesmo que informações financeiras sejam extraídas de um telefone celular e publicadas em algum blog. A verdade é que as empresas ainda não se preocupam tanto com a segurança em dispositivos móveis e cada vez mais a informação corporativa “sai” da companhia “nas mãos” de seus colaboradores, armazenadas como anexos em seus e-mails ou mesmo salvas na memória de um celular. E quem garante a segurança dessa informação? O acrônimo MDM, que significa Mobile Device Management ou gerenciamento de dispositivos móveis, tem um nome infeliz, na minha opinião. Deveria ser MIM ou Mobile Information Management. O equipamento em si, não é tão importante, mas a informação nele armazenada sim.

Já existem diversas soluções para comunicação de voz sobre IP (ou voz sobre Internet, semelhante à comunicação usando Skype ou ferramentas similares) criptografadas. Empresas com ações em bolsas de valores têm, não apenas a preocupação, mas a responsabilidade de evitar que alguém tenha acesso privilegiado a tais informações. Alguns criminosos instalam escutas telefônicas para tentar obter dados antecipadamente para comprar ou vender ações, antes que algo se torne de conhecimento público. A performance ainda não é satisfatória, na maioria das soluções, mas ajuda a evitar esse tipo de roubo de informações. Claro que os “caras maus” também podem adquirir essas soluções e complicar a vida dos peritos da justiça.

Muitas empresas usam ferramentas de segurança para proteger a informação de seus dispositivos móveis, mas explorando apenas recursos básicos, como forçar o uso de senha ou remover os dados em caso de roubo ou furto. Dezenas de outras políticas podem ser aplicadas e estão disponíveis na maioria das ferramentas para aumentar a segurança da informação corporativa, mas, ou não são de conhecimento, ou não são de interesse daqueles que implementaram o básico e agora pensam “acabou o meu problema”. Eu, sempre que tenho oportunidade, recomendo algumas ações básicas que toda empresa deveria fazer para obter o melhor resultado no uso corporativo dos dispositivos móveis:

  1. Entenda qual o risco de ter informações confidenciais vazadas por smartphones ou tablets e proteja os dados de acordo com sua necessidade.
  2. Oriente seus colaboradores sobre as boas práticas de utilização desses dispositivos, evitando perda de produtividade e alertando-os sobre os riscos de atos/ações que podem trazer prejuízos para a companhia.
  3. Cuidado ao remanejar equipamentos internamente. Um usuário avançado, por exemplo, ao receber o smartphone antigo do presidente da empresa, poderia extrair dados anteriormente apagados do disco rígido do smartphone para uso indevido.
  4. Juntamente com o departamento de Recursos Humanos, crie políticas para orientar seus colaboradores sobre como a empresa autoriza e recomenda que seja o uso dos celulares corporativos.
  5. Use e abuse de políticas de restrição para os dispositivos corporativos. Eles são entregues como ferramenta de trabalho, assim como os computadores, que possuem diversas restrições e ninguém reclama. Sem políticas de segurança, a produtividade e a informação corporativa estarão em risco!

Em geral, a preocupação com segurança em dispositivos móveis deve ser algo de qualquer empresa e qualquer cidadão. Você não precisa ser um investigado para começar a se preocupar com as informações armazenadas em seu telefone celular, todos devemos ter certos cuidados. Documentos impressos podem ser queimados e virar cinzas, mas, quando se apaga informações de um telefone celular, não necessariamente elas viram cinzas. Existem formas de obtê-las e a maioria não sabe ou se atém a isso. Quando falamos de segurança da informação, falamos de se evitar prejuízos. Tentar consertar uma falha de segurança, em geral, não repara o impacto. Espero que nenhum leitor desse artigo use essas sugestões para proteger seus crimes contra investigações, mas que ajude suas empresas a melhorar a preocupação com a segurança da informação propriamente dita. Evitar o prejuízo ainda é a saída mais barata quando o tema é segurança e vazamento de informações.

Artigo: A Lava-jato e os dispositivos móveis