Umberto Barbosa da Silva Milton Roberto de Almeida 2005 Proteção de Informações e Conhecimentos Empresariais Segurança do Capital Intelectual

Este curso é uma criação de: UMBERTO BARBOSA DA SILVA Tenente-Coronel R/R da FAB; Tecnólogo Aeroespacial (ITA) e Mestre em Psicologia. Membro da ADESG – Associação dos Diplomados da Escola Superior de Guerra. Foi Gerente de Segurança e Treinamento da EMBRAER, onde, no programa de intercâmbio com empresas internacionais, realizou missões técnicas junto às áreas de segurança da Boeing, Lockhead, Northrop, Hugghes Aeroespatial, Aeritalia, etc. MILTON ROBERTO DE ALMEIDA Administrador de Empresas; Consultor de Inteligência e Segurança de Negócios. Membro da ADESG – Associação dos Diplomados da Escola Superior de Guerra. Membro instituidor da FAEPE – Fundação de Altos Estudos de Política e Estratégia de Apoio à Escola Superior de Guerra. Expositor de cursos na rede FIESP/CIESP, sindicatos industriais e empresas privadas. Professor universitário de Planejamento Estratégico e Jogos de Empresas. mra030787@yahoo.com.br

OBJETIVOS DO CURSO Alertar os participantes sobre o perigo que a Espionagem Empresarial representa e prejuízos que pode acarretar aos negócios.

PROGRAMA 1 – O VALOR ECONÔMICO DO CONHECIMENTO Importância do conhecimento no mercado globalizado Crescimento mundial da espionagem econômica 2 – O QUE É ESPIONAGEM EMPRESARIAL Espionagem: busca dissimulada, ilegal e aética de informações Perigos gerados pela espionagem: pirataria de produtos, perda de negócios e clientes, roubos, seqüestros, falências de empresas. 3 – COMO O CONHECIMENTO PODE SER ROUBADO Espiões empresariais: quem são, como agem e o que procuram. Principais técnicas de espionagem empregadas contra as empresas e seus funcionários. Atuação dos espiões nas feiras de negócios e outros eventos empresariais 4 – COMO PROTEGER O CONHECIMENTO Medidas de contra-espionagem para identificar e neutralizar espiões Planejamento de segurança do conhecimento: estrutural, humana e eletrônica Treinamento especial de executivos e vendedores para atuação em feiras de negócios

CONHECIMENTO: SEGREDO EMPRESARIAL DE ALTO VALOR, PROVENIENTE DE VÁRIAS FONTES.

O AMBIENTE ESTRATÉGICO: DISPUTA ENTRE INTELIGÊNCIAS O conhecimento de um versus o conhecimento do outro

O assunto “espionagem” é mencionado em diversas citações no Velho e Novo Testamentos. O Velho Testamento menciona que espiões foram usados pelos israelitas contra seus adversários. Também as várias facções das tribos de Israel usaram espiões, umas contra as outras. No Novo Testamento, espiões eram usados pelas forças políticas contrárias ao desenvolvimento do cristianismo e pelos membros da recém criada Igreja cristã para protegerem-se.

Moisés conduziu a mais antiga operação de espionagem registrada na Bíblia. Após a fuga do Egito, ao chegar às planícies de Canaã, êle escolheu 12 proeminentes líderes, um de cada uma das 12 tribos, e os instruiu a ir à Terra Prometida e ver e aprender tudo sobre ela.

A segunda operação de espionagem ocorreu, aproximadamente, 40 anos mais tarde, sob o comando de Josué (que havia sido um dos espiões de Moisés). Naquela época, os israelitas haviam completado sua peregrinação pelo deserto e tentavam, novamente, entrar na Terra Prometida. Josué escolheu dois espiões desconhecidos e os enviou à cidade de Jericó.

TODAS AS EMPRESAS SOFREM ATAQUES A CONHECIMENTOS SIGILOSOS. OS NÚMEROS SÃO ALARMANTES: 100% das empresas são atacadas; apenas 30% admitem o fato. 90% dos ataques exploram falhas conhecidas. 70% dos ataques são realizados por pessoas de dentro da empresa. 17% dos ataques são atribuídos à espionagem industrial e inteligência competitiva. O governo americano estima que sua economia perde US$ 300 BILHÕES por ano devido à espionagem e roubo de informações empresariais.

72% das empresas que NÃO adotaram medidas para reduzir sua vulnerabilidade à espionagem industrial faliram em dois anos devido aos prejuízos sofridos. 43% das corporações americanas apresentaram uma taxa média de 6 (seis) incidentes envolvendo espionagem industrial. O valor médio de cada incidente: US$ 55 milhões. Pesquisa realizada pelo CSIS - Canadian Security and Intelligence Service mostra que: Esses números são estimativas, pois 70% das empresas negam terem sido vítimas de atos de espionagem.

Essas pessoas são visadas por espiões porque possibilitam acesso a informações e conhecimentos importantes, base para a execução de diversas ações criminosas:

Se essas situações estão ocorrendo, saiba que não é por acaso. Quem as executa conta com informações PROVENIENTES DE DENTRO DE SUA PRÓPRIA EMPRESA! FAÇA UMA AVALIAÇÃO: Sua empresa está, inexplicavelmente, perdendo negócios e clientes? Projetos e segredos tecnológicos estão chegando ao conhecimento dos concorrentes? Produtos e marcas estão sendo pirateados? Ocorrem ataques contínuos a caminhões que transportam seus produtos? Dirigentes recebem ameaças anônimas? Suas rotinas e hábitos profissionais e pessoais são conhecidas? Funcionários importantes são ameaçados de seqüestro? SUA EMPRESA ESTÁ SENDO VÍTIMA DE ESPIONAGEM?

Em 1992, funcionários da General Motors foram acusados de roubar mais de 10.000 documentos e discos contendo segredos comerciais da GM quando “desertaram” para a Volkswagen. A GM, em 1997, recebeu uma indenização de US$ 100 milhões da VW. CASOS CONHECIDOS DE ESPIONAGEM INDUSTRIAL CASO GENERAL MOTORS A GM reclama 4 conjuntos de documentos furtados por Lopez: (1) 3.350-páginas de listagens, contendo 60.000 componentes, seus fornecedores, custos e programações de entrega da GM-Europa. (2) Detalhes das futuras linhas de produtos da GM. (3) Detalhados estudos de produção e custos da fábrica X. (4) Materiais de apresentação usados por Lopez na redução de custos de fornecedores.

CASOS CONHECIDOS DE ESPIONAGEM INDUSTRIAL (CONT.) Airbus, 1994, chamadas telefônicas e fax interceptadas pela NSA McDonnell-Douglas perdeu contrato de US$ 6 Bilhões com linha aérea nacional da Arábia Saudita. Motivo: subornos não descobertos ICE/TGV, 1993, telefonemas e faxes gravados no escritório da SIEMENS, em Seul. Siemens perdeu contrato para o trem coreano de alta velocidade para a GEC-Alsthom. Motivo: Competidor conhecia os cálculos de custos feitos pela SIEMENS. Thomson-CSF, 1994, comunicações interceptadas pela NSA/CIA Thomson-CSF perdeu imenso contrato de radares para a floresta brasileira para a Raytheon. Motivo: subornos não descobertos. Valor estimado dos danos provocados pela espionagem industrial 10 bilhões de euros por ano, apenas para a Alemanha Source: European Commission Final Report on ECHELON, July 2001

World Economic Forum 2001 in Davos Todos os bancos de dados do WEF foram roubados por Hackers 161 Mbytes de dados 27'000 nomes 1'400 números de cartões de crédito Endereços residenciais e números de telefones

NSA - NATIONAL SECURITY AGENCY REDE GLOBAL DE VIGILÂNCIA Operado pela National Security Agency (NSA) Monitoramento Global de comunicações via satélite (telefone, fax, e-mail)

Espiões empresariais: quem são e como agem “Conheça seu inimigo e conheça a si mesmo, e poderá lutar mil batalhas sem derrotas.” Sun-Tzu

O que procuram os espiões? Organogramas e estruturas hierárquicas. Listas telefônicas internas, listas de correio eletrônico. Diagramas de sistemas de Tecnologia da Informação, grupos de TI, grupos de suporte, fornecedores. Diretórios “Quem é Quem”, instruções para visitantes, pacotes de introdução de novos funcionários (tudo que você precisa saber sobre nossa empresa!). Planos de segurança, controle físico de acessos, políticas de senhas, segurança de computadores, etc. Tipos de software e hardware, tipos de equipamentos, sistemas operacionais e políticas de administração. Publicações em jornais e revistas: releases, anúncios de empregos, lançamento de produtos, mudanças de executivos, aquisição de equipamentos, novas instalações, etc.

Espionagem: a percepção popular “Hackers” são adolescentes geniais que possuem profundos conhecimentos de computadores Espiões empresariais são “James Bonds” altamente treinados que podem obter tudo o que quiserem. São necessários métodos super avançados e milhões de dólares em novas pesquisas para descobrir como detê-los.

A Realidade da Espionagem Os “espiões” não realizam ações fantásticas nem são pessoas de elevada inteligência. Eles tiram proveito do acesso que lhes é permitido. Aproveitam-se das vulnerabilidades ou brechas de segurança existentes. Eles exploram a amizade e confiança das pessoas para obterem informações. Eles obtém bons resultados em suas investidas porque as organizações realizam o mínimo em medidas de contra-inteligência e contra-espionagem.

Que medidas de segurança sua empresa adota para impedir que informações valiosas sejam obtidas através do lixo? Espiões coletam tudo. Para eles o seu lixo empresarial é uma mina de ouro. Mergulhar na lata de lixo é uma oportunidade para descobrir: * Listas de Empregados * Listas de Clientes * Planos de Marketing * Rascunhos de Relatórios * Desenhos de Novos Produtos * Todo tipo de informação sensível descartada por empregados descuidados. Algumas empresas descartam até drives e sistemas de computadores desatualizados sem fazer uma prévia limpeza eletrônica de dados. Com um pouco de trabalho sujo os espiões podem descobrir “diamantes” de informação. LIXO: VALIOSA FONTE DE INFORMAÇÕES

As informações que o Departamento de Marketing/Propaganda de sua empresa envia para publicação são submetidas a crivos de segurança? Coletores procuram e lêem toda informação que sua empresa torna pública para clientes, investidores, pesquisadores ou estudantes. Eles consultam bibliotecas e arquivos públicos em busca de informações sobre patentes, finanças, acordos comerciais, parcerias. Artigo publicado sobre a Inteligência Chinesa destaca que 80% das informações militares procuradas estão disponíveis em fontes públicas (jornais, revistas, TV, Web, etc.) PUBLICAÇÕES: DIVULGANDO SEGREDOS VITAIS

Conferências profissionais proporcionam excelentes oportunidades para os espiões. É nelas que cientistas e profissionais premiados por suas pesquisas apresentam suas últimas descobertas e discutem seus métodos de desenvolvimento com seus pares. Os Espiões estão à vontade para sentarem-se na audiência, aproximarem-se posteriormente dos palestrantes e fazerem perguntas complementares, posicionando-se como seus iguais. Os profissionais de sua empresa, que realizam apresentações públicas, estão treinados para identificar eventuais espiões e utilizar técnicas de contra-inteligência? CONFERÊNCIAS, CURSOS E PALESTRAS

DOMINADORES DA HUMANIDADE

Utilizando endereços de email ou ICQ “mascarados”, os espiões podem adquirir a forma de um investidor, potencial cliente, repórter ou mesmo de um estudante pesquisando sobre os principais executivos da empresa no mundo. Depois de obter as respostas, o Espião poderá direcionar seus ataques, UTILIZANDO A IDENTIDADE de qualquer pessoa da organização. Tudo isso com o mínimo risco. “Na Internet, ninguém sabe se você é um cachorro.” INTERNET: VOCÊ SABE COM QUEM ESTÁ FALANDO?

Feiras de Negócios: campo fértil para a espionagem empresarial. Os expositores, como estão receptivos a contatos com qualquer pessoa interessada em suas empresas e produtos, fornecem, ingenuamente, todos os tipos de informações solicitadas por "gentis visitantes”.

Espiões usam as vulnerabilidades de sua organização contra você São as simples situações diárias que são exploradas pelos espiões. São as simples situações diárias que podem impedir o roubo de informações sensíveis. São as simples situações diárias que permitem identificar os potenciais espiões. Use os recursos que você já tem.

COMO OS ADVERSÁRIOS CHEGAM AO CONHECIMENTO

70% das ações de espionagem são praticadas por pessoas de dentro da empresa, estimuladas por uma combinação adequada de fatores. => OPORTUNIDADE para cometer o crime; => MOTIVO ou NECESSIDADE => SUPERAR NATURAIS INIBIÇÕES ao comportamento criminoso, como valores morais, lealdade ao empregador ou companheiros ou medo de ser preso, e => INCENTIVO que leve à ação. Essas condições são influenciadas por mudanças no ambiente econômico e social. Se o ambiente (p. ex. tecnológico) cria meios que facilitem a espionagem, a ameaça dentro da empresa também poderá crescer. “Encontramos o inimigo. Ele está entre nós!”

Capturando Espiões Você pode fazer a diferença! Espiões têm sido capturados graças à atuação de pessoas como você.

ESPIÕES, EM 80% DOS CASOS, SÃO CAPTURADOS NO PRIMEIRO ANO DE ATIVIDADE. MÉTODOS DE DETECÇÃO Reduzem chance de ataque e criam “inputs” para a prevenção.

MONITORAMENTO ROTINEIRO DE CONTRA-ESPIONAGEM: Operações rotineiras de contra-espionagem permitem identificar as vulnerabilidades da organização às principais ameaças. Qualquer candidato a espião que não conheça o funcionamento dos sistemas de contra-inteligência e contra-espionagem é, fatalmente, capturado.

SINAIS DE RIQUEZA, INCOMPATÍVEIS COM OS GANHOS DO FUNCIONÁRIO O Dr. Ronald Hoffman gerenciava um contrato secreto da Força Aérea americana. De 1986 a 1990 vendeu tecnologia espacial secreta a companhias japonesas - Mitsubishi, Nissan, Toshiba e IHI - recebeu US$ 500.000. Foi preso e condenado graças à denúncia de uma secretária que observou algo que parecia estranho. Acidentalmente ela viu um fax da Mitsubishi para Hoffmann avisando sobre um depósito de US$ 90.000 em sua conta e solicitando confirmação do recebimento. Também suspeitou do estilo de vida de Hoffmann - duas Corvettes, um Audi, um imponente veleiro e uma luxuosa casa que não pareciam compatíveis com o salário de Hoffmann na empresa.

Não há boas desculpas para não relatar suspeitas. Os casos de espionagem têm algo em comum: as pessoas envolvidas sempre fornecem indicadores de que estão com sérios problemas pessoais ou que já estão praticando atos de espionagem. A observação e relato desses indicadores, por amigos ou companheiros de trabalho, tem ajudado a capturar muitos espiões. No caso de problemas pessoais, a comunicação permite que a pessoa seja ajudada antes de envolver-se em problemas mais sérios. Mas, com freqüência, esses indicadores não são relatados. Veja as desculpas: Lembre-se: a espionagem provoca danos ao País, à empresa, ao seu emprego e à sua família.

“Devo cuidar da minha vida e não me envolver.” Cuidar de seus próprios negócios é, geralmente, uma boa política, mas segurança é uma responsabilidade compartilhada. A empresa é um negócio de TODOS, inclusive seu! Goste ou não, você está envolvido, principalmente se tiver uma posição privilegiada, de confiança, e isso lhe impõe certas responsabilidades. ”Alguém mais irá reportar. Eu não tenho tempo.” Não tente jogar sua responsabilidade para os outros. Segurança faz parte de seu trabalho. Faça-o! ”Se eu relatar, eles irão ignorar. Eles não me levarão à sério.” O trabalho de segurança exige que todos os relatos sejam seriamente considerados e avaliados com a apropriada discreção. ”Não é correto delatar alguém.” Não é o que pensam muitos espiões. Eles precisavam de ajuda mas ninguém ouviu. Agora eles estão cumprindo penas de dezenas de anos por espionagem. Desculpas para não relatar

”Se as pessoas souberem que comuniquei minhas suspeitas sobre um companheiro, isto causará tensão e desconfiança no escritório.” As empresas devem manter uma política de confidencialidade sobre as informações prestadas em confiança. É imperativo que as fontes sejam mantidas em sigilo. Se você tem dúvidas sobre a confidencialidade, confirme antes de fazer seu relato. ”Não posso acreditar que êle esteja nos traindo. É um funcionário dedicado, leal e trabalha aqui há anos.” Você não tem como saber o que outras pessoas estão pensando. Apenas relate os comportamentos observados e deixe que os especialistas em segurança e psicologia verifiquem seus significados. Seu relato de um indício aparente não é uma acusação; é apenas algo que precisa ser verificado. Pode ser ou não importante. Mas ninguém sabe até que seja verificado. ”Não é meu trabalho. Não tenho todos os fatos. Não é meu problema.” Naturalmente não é seu trabalho. Mas será seu problema se deixar de comunicar fatos importantes de segurança e contra-inteligência. Desculpas para não relatar (Cont.)

Planejamento Integrado de Segurança da Informação

As empresas devem identificar suas informações sensíveis e classifica-las como tal. Informações sobre inovações tecnológicas ou novas estratégias de marketing podem ser facilmente identificadas como “sensíveis”. Outras, como cadastros de clientes ou fornecedores, devem ser avaliadas. “Que prejuízos teríamos se essas informações chegassem ao conhecimento de nossos concorrentes? Primeiro:

Segundo: A empresa deve realizar uma avaliação de riscos para determinar sua vulnerabilidade a transmissões indesejáveis de informações. Deve, também, identificar quais os concorrentes que poderiam explorar essas vulnerabilidades ou que seriam beneficiados pelas informações.

Terceiro: Uma POLÍTICA DE SEGURANÇA DE INFORMAÇÕES deve ser desenvolvida para orientar a organização, como um todo, abrangendo: Doutrinas de ação, Organização, Treinamento, Liderança, Recursos, Cultura.

Quarto: Melhoria de Treinamento e Comunicações para todos os níveis e áreas da empresa. Os administradores devem estar claramente informados sobre quais informações devem ser cuidadosamente guardadas e meios pelos quais os rivais tentarão obtê-las. No caso de uma suspeita de tentativa de solicitação de informação sensível, uma eficaz linha de comunicação deve existir para que a organização possa enfrentar o problema, ao invés de perdê-lo ou desconsiderá-lo devido a complicadas burocracias.

A informação pode chegar ao conhecimento dos concorrentes por caminhos surpreendentes. Enquanto a empresa investe pesado em segurança eletrônica e de informática, a informação pode estar saindo por meio de: secretárias, vendedores, funcionários de escritório, prestadores de serviços, equipes de limpeza, consultores, etc. Eles são visados porque podem permitir acesso a informações valiosas. NUNCA PENSE: “EU NÃO TENHO UTILIDADE PARA ESPIÕES” ADVERTÊNCIA A escolha de uma pessoa não deverá ser interpretada, por si só, como falta de integridade ou lealdade do indivíduo. As pessoas são armas de dois gumes na proteção dos segredos empresariais, sendo tanto a melhor proteção como o maior risco. Nunca imagine que, por ter um nível hierárquico baixo, você não desperta o interesse de espiões.

Finalmente: A Política de Segurança deve ser regularmente avaliada e modificada para acompanhar mudanças do ambiente competitivo, ações dos competidores e evolução das tecnologias de informação.

O SISTEMA INTEGRADO DE SEGURANÇA

Como a empresa pode proteger-se contra o roubo de informações e conhecimentos sensíveis? Fatores de Planejamento: Pessoas Acessos Coisas

Planejamento de Segurança da Informação

IDENTIFICAÇÃO DO PROBLEMA PLANEJAMENTO DA SOLUÇÃO DO PROBLEMA

TESTE DE VULNERABILIDADE (Penetration Test) Valioso método para repensar os sistemas de segurança da organização, olhando-a de FORA para DENTRO. Olhando-a do ponto de vista do INIMIGO. “Como eu atacaria minha empresa se fosse o inimigo?” A resposta a esta questão permite identificar as várias vulnerabilidades do sistema de segurança, gerando opções de melhorias.