Seu concorrente sabe seus preços e descontos?
Você perdeu uma concorrência inexplicavelmente?
Aquele seu fornecedor especial “exclusivo” também está fornecendo a seu concorrente? Você tem perdido sistematicamente processos trabalhistas?
O fiscal da receita sabe exatamente em quais contas procurar transações onde você adotou critérios que ela costuma questionar?
Você perdeu trechos de arquivos ou banco de dados em computador, e não consegue restaurar de “backups”?
Todos os sintomas acima sinalizam roubo ou dano à propriedade intelectual da empresa: informações confidenciais críticas sobre custos, processos, fornecedores, clientes estão em poder da concorrência ou de opositores.
Em um mundo em que é comum a utilização de computadores, Internet, emails, celulares com câmera, IPods, pendrives é facílima a obtenção ou destruição sub-reptícia de amplas e completas informações sobre sua empresa.
Pesquisas mundiais dizem que 60% dos roubos de propriedade intelectual são efetuadas por pessoal interno e 20% por pessoal com mais de 5 anos de trabalho. A cadeia de proteção à propriedade intelectual deve considerar vários elos:
1-Pessoal interno: gerentes insatisfeitos, alguém que foi despedido, profissionais ou consultores subornáveis, sócios negligenciados, empregados desavisados ou incompetentes.
2-Políticas claras, escritas, que estabeleçam direitos e deveres das pessoas com relação às informações a que tem acesso. Devem ser aceitas explicitamente e fazer parte dos contratos de trabalho ou serviço das pessoas para que possam ser responsabilizadas quando descoberto e comprovado um vazamento de informação.
3-Uma estratégia de fracionamento de informações e ações críticas da empresa para dificultar a ocorrência do roubo e a viabilizar a identificação de um vazamento ou destruição. Muitas vezes mencionada como “need to know”, divisão de funções e outras.
4-Processos integrados aos sistemas de informação que fiscalizem políticas e documentem violações, identificando os responsáveis. Claro que reforçar um só destes elos pode ser insuficiente e combinar investimentos neles de forma eficaz dentro de um orçamento limitado é uma arte.
A maioria dos orçamentos empresariais de infra-estrutura de TI contempla sistemas anti-trojan, anti-spyware, de backup e até de detecção de intrusão, TODOS voltados a espiões externos, que são minoria (40%). Até porque estes intrusos também “derrubam” sistemas. Os sistemas empresariais de TI voltados a espiões internos podem ser:
1-DRMs – sistemas de gerenciamento de direitos a documentos digitais: onde o acesso é controlado, limitadas a impressão, cópia, ou tranferência de seu todo ou parte.
2-Fiscalização e/ou bloqueio de acesso a email, Internet, dispositivos removíveis como pendrives, analisando arquivos e textos suspeitos que estejam sendo copiados ou transferidos.
Vide encriptação empresarial aqui.
Vide fiscalização aqui.
3-BSMs – sistemas de gerenciamento de processos de negócio, onde procedimentos de segurança como backups são monitorados e alertados quando atrasam ou falham. Muitas dos processos a monitorar constam de padrões como COBIT, SOX e HIPAA. Transações sobre informações críticas podem ser monitoradas uma a uma.
Vide BSM aqui.
Uma combinação judiciosa destes elos e sistemas talvez não impeçam um espião interno, mas facilitam sua descoberta e punição.