O ciclo do conhecimento, lato sensu, se refere inicialmente à capacidade de uma organização em observar, coletar e reunir “dados”, conceitualmente entendido como o relato de “fatos” sobre um determinado assunto.
O resultado primário desse trabalho de pesquisa e organização dos dados a ser elaborado por um analista gera o que pode ser chamado de “informação”, na continuidade desse ciclo calcado, por exemplo, na ferramenta 5W2H.
Como consequência, a análise do conjunto de informações proveniente dos dados, ao sofrerem um processo cognitivo com a agregação de juízos de valor, sejam eles dedutivos ou indutivos, culmina no produto chamado de “Conhecimento”.
Um exemplo de conhecimento é o que se costuma denominar de Análise da Conjuntura sobre um determinado tema ou problema, cuja conclusão do trabalho pode indicar tendências de como se comportará a questão em um determinado lapso temporal e espaço geográfico. Outros exemplos de conhecimento seriam um Plano de Negócio, Estudos de P&D, pesquisas econômicas e de mercado, listas de fornecedores ou clientes, tabelas de preços, etc., que tratam de interesses institucionais da empresa.
É esse conhecimento consolidado que permite aos decisores de uma organização terem uma ampla visão do assunto de interesse e assim definirem estratégias no processo de tomada de decisão.
À guisa de nota, é fundamental que o trabalho de coleta de dados, desde o seu início, seja amplo e que as análises sejam desprovidas de vieses e opiniões particularizadas, caso contrário o conhecimento pode ser considerado como tendencioso. Um exemplo desse tipo de avaliação foi a assumpção por parte de setores da inteligência norte-americana que concluíram que o Iraque estaria provido de armas químicas, por conta dos desdobramentos dos ataques terroristas sofridos pelos Estados Unidos, em 11/09/2001. Tal conhecimento influenciou o(s) decisor(es) a adotar(em) a estratégia de invasão militar ao Iraque, em 2003. Posteriormente, verificou-se que não foram encontradas provas da existência de um programa de desenvolvimento de armas químicas naquele país.
Feito este breve introito, a Proteção do Conhecimento Sensível tem como foco a observância de procedimentos que se destinam a evitar que conhecimentos considerados como estratégicos aos interesses econômicos da organização, e que, portanto, devem ter sua divulgação restrita somente àquelas pessoas credenciadas para tal, não sejam divulgados publicamente sem a devida autorização da empresa, ou que cheguem às mãos de uma terceira parte de forma indevida.
Neste contexto, de forma sintética, os procedimentos para uma boa Proteção do Conhecimento Sensível devem estar calcados em três pilares: Pessoas, Processos e Tecnologias.
A Pessoa que recebe incentivo por meio de treinamentos e cursos mais facilmente será sensibilizada a se preocupar com a proteção dos conhecimentos ao seu dispor, evitando ser vítima de phishing ou de engenharia social; tal como, aquela que acontece em uma abordagem aparentemente não intencional (despretensiosa) em um simpósio, congresso ou feira de negócios, ou por abordagem no LinkedIn, quando um interlocutor inicia uma aproximação casual e, com o passar do tempo, conduz um processo de entrevista reforçando os pontos fortes do entrevistado.
Empresas que investem na adoção de melhorias de Processos sejam eles administrativos ou de caráter técnico, via de regra, são aquelas que obtêm repostas e resultados mais rápidos e positivos diante de um ambiente empresarial cada vez mais competitivo. Tal como, cita-se a relevância de realização de análise dos processos internos relativos à Gestão de Risco da organização.
Por fim, a inexorável marcha do aprimoramento da Tecnologia que alicerça a atividade humana, vide o IoT (Internet of Things), torna indispensável à empresa tratar de investimentos, por exemplo, para a adoção de medidas protetivas, em especial, no ambiente cibernético, haja vista os recorrentes exemplos de ransomware e ataques DoS (Denial of Service) perpetrados por hacker individualmente, por organizações criminosas (cyber crime) ou por concorrentes desleais.
Qual é a diferença entre vazamento de dados e violação de dados?
Primeiramente, tanto o vazamento (data leak) como a violação de dados sensíveis (data breach) de uma empresa podem levá-la a uma situação de fragilidade perante o mercado e a concorrência ou de dificuldades financeiras por conta de perdas contratuais.
A prevenção contra possíveis perdas (loss prevention) permeia, assim sendo, o entendimento desses dois conceitos aparentemente transversos: vazamento de dados e violação de dados.
Por vazamento de dados (data leak), conceitualmente entende-se como a “divulgação não autorizada de informações sigilosas da empresa que, portanto, merecem alguma proteção, a fim de não se tornarem públicas sem o devido consentimento de seu proprietário”.
Assim, um funcionário de uma organização ou um prestador de serviço terceirizado que conscientemente e inadvertidamente, ou mesmo inconscientemente, entrega/fornece a uma terceira parte dados/conhecimentos sabidamente sensíveis e que, portanto, deveriam ser protegidos, ainda que sem interesse financeiro ou concorrencial, acaba por comprometer a gestão do conhecimento sensível da empresa.
A outra ação danosa à gestão do conhecimento sensível se deve à violação de dados (data breach) que ocorre por conta da conduta intencional de um ator externo que utilizando-se de técnicas operacionais como uma cópia xerox ou fotografia de documentos, ou o furto qualificado de documentos pela apropriação indevida, ou por meio do acesso indevido a redes de computadores de uma organização, consegue se apropriar e extrair conhecimentos sensíveis, que, por sua vez, estavam supostamente protegidos seja pelo armazenamento físico em um cofre, por exemplo, ou no espaço cibernético, seja em banco de dados local ou por hospedagem na nuvem.
Segundo Nihad Hassan, autor do livro Open Source Intelligence Methods and Tools – A Practical Guide to Online Intelligence (2018), a violação de dados se define como: “a data breach occurs when an adversary from outside your organization gains unauthorized access to sensitive resources.”
Ainda segundo Hassan, o vazamento de informação se caracteriza por um ato que acontece de dentro da empresa:
Data leakage, on the other hand, happens from the inside target organization. Hence, an intruder working in a subject organization leaks sensitive information to outside parties or leaves a gap in security defenses that external attackers can exploit to gain a foothold inside the organization network.
Destarte, embora não se tenha a pretensão de criar uma regra inquestionável, percebe-se que o vazamento de dados está associado a uma ação que se origina pela ação interna ao ambiente no qual o conhecimento sensível encontra-se disponível, o que caracteriza a ação de um insider.
Por conseguinte, a violação de dados, na forma de extração indevida, pode levar o conhecimento sensível de uma empresa a se tornar público ou ser motivo da cobrança de um resgate para a sua não divulgação, que se origina comumente pela conduta de um outsider.
Não se pode descartar, todavia, a possibilidade de atuação conjunta de um insider com um outsider, ou vice-versa, na intenção de permitir que uma terceira parte se beneficie da apropriação do conhecimento sensível de uma empresa. Neste contexto de participação imbricada e recíproca de um insider com um outsider ocorre uma dupla ação entre vazamento seguido de violação de dados, invariavelmente com propósitos escusos.
Cita-se como exemplo de tal possibilidade o artigo abaixo publicado em site especializado que aponta para a tentativa de hackers cooptarem um colaborador interno para perpetrar um ataque ransomware.
Outro exemplo que merece destaque sobre a tentativa de um outsider cooptar um insider pode ser visto no caso referente à empresa TESLA:
Há poucos exemplos para citar, pois as organizações quando se deparam com este tipo de problema de comprometimento de seus segredos comerciais, procuram tratar a situação com discrição, evitando exposição nos meios de comunicação, o que é totalmente compreensível. Nesta toada, merece destaque o artigo publicado sob o título “10 Recent Examples of How Insider Threats Can Cause Big Breaches and Damage”, que apresenta dez (10) casos que reforçam a necessidade de contínua preocupação com a proteção de conhecimentos sensíveis.
CONCLUSÃO
Organizações governamentais ou não além de empresas privadas investem consideráveis somas de recursos financeiros em pesquisas e desenvolvimentos de projetos que merecem um tratamento de segurança diferenciado, de tal sorte que o conhecimento alcançado com este trabalho não se torne indevidamente público.
De acordo com uma postagem no site da Sociedade Brasileira de Gestão do Conhecimento (SBGC), “o conhecimento, além de suportes, necessita de gestão, processo de armazenagem, zelo na guarda de suas informações, gerenciamento e canais para a sua disseminação. O conhecimento abrange o capital intelectual, o capital humano, a capacidade de pesquisar e inovar e a inteligência empresarial”.
Tal assertiva da SBGC reforça a necessidade de investimentos na tríade Pessoas, Processos e Tecnologias, não somente de recursos financeiros, mas também em treinamentos para o incremento da mentalidade de proteção do conhecimento sensível. A preocupação com a cyber segurança e o uso de ferramentas para identificar vulnerabilidades de segurança, tal como um pen test (teste de intrusão), podem se traduzir, na verdade, em Retorno Sobre os Investimentos (ROI).
O objetivo desse artigo foi o de apresentar a diferença conceitual entre vazamento e violação de dados, haja vista o entendimento, como condição fundamental para a proteção daquilo que é sensível, da necessidade de percepção para a atuação de atores insiders e outsiders isoladamente ou em conjunto.
