Por Marcelo Pimentel
O termo acesso pode ser considerado como a palavra-chave da atividade de Inteligência e, também, da arte de se opor a ela, a Contrainteligência.
A Inteligência busca, em síntese, maneiras de se obter acesso aos dados de interesse, enquanto a Contrainteligência trabalha para protegê-los, em uma eterna e constante disputa entre insidiosos agentes externos e os guardiões dos segredos internos.
Organizações, das mais simples às mais complexas, têm a necessidade de manter dados, conhecimentos e materiais sensíveis ou sigilosos protegidos das ações de ameaças, que visam a comprometê-los, pela obtenção do seu conteúdo ou pela sua inutilização.
Para concretizar suas ações hostis, e causar impactos contra a organização-alvo, elementos adversos buscam obter o acesso aos conhecimentos ou materiais que desejam comprometer.
Esse acesso pode ser garantido em decorrência da possibilidade ou da oportunidade.
Pela possibilidade, o acesso decorre da autorização que determinadas pessoas possuem, em razão de sua função na organização-alvo.
Já a oportunidade, é obtida pela superação de sistemas ou medidas de segurança estabelecidos em torno dos conhecimentos/materiais sensíveis ou sigilosos, para a sua proteção.
Em consequência, para alcançar seu intento ilícito, a Inteligência adversa (sim, ela existe, acredite!) pode empreender duas formas de abordagem para a obtenção do acesso necessário: por meio de ações diretas ou ações indiretas.
Uma forma de ação direta é a inserção de um recurso humano (agente) do próprio elemento adverso na organização-alvo. Assim, esse agente poderia operar dentro da organização, conhecendo-a, verificando suas vulnerabilidades e se credenciando a obter a autorização (possibilidade) que lhe permita o acesso ao que se deseja.
Essa forma de atuação exige um planejamento rigoroso, que envolve a seleção do agente, seu preparo cuidadoso e depende do sucesso na admissão do recurso humano a ser infiltrado na organização-alvo. Trata-se, portanto, de uma técnica que demanda tempo, recursos e talento do agente infiltrado para imiscuir-se na organização-alvo e ganhar o acesso almejado.
A ação indireta pode se dar pelo recrutamento de uma pessoa da organização-alvo, que tenha o acesso desejado pelo elemento adverso. Por convencimento, chantagem, por meio de promessas de vantagens financeiras, emocionais, ou até por meio do aproveitamento de fragilidades pessoais ou da exploração de baixos sentimentos (vingança, ódio, ressentimentos de causas diversas), o recrutador pode motivar a pessoa a agir contra a própria organização a que pertença.
A forma indireta demanda uma escolha criteriosa da pessoa a ser abordada e um acompanhamento da sua vida pregressa e de sua rotina atual, a fim de se levantar possíveis motivações e formas de recompensas que poderão fazer com que essa pessoa aceite a futura proposta, a ser feita pelo recrutador.
Há, ainda, outras técnicas de emprego de agentes e recursos (equipamentos), que podem oferecer o acesso a conhecimentos e materiais protegidos.
Agentes adversos podem obter acesso físico ou remoto a instalações ou sistemas pela superação de barreiras, sensores, alarmes e equipes de vigilância, em ações de espionagem; ou pelo emprego de técnicas de “hackeamento, em caso de sistemas informatizados; ou, ainda, pelo emprego de técnicas de Engenharia Social, que lhes forneçam informações que possibilitem, futuramente, burlar proteções físicas e virtuais.
Em resumo, o acesso é fundamental para que o elemento adverso alcance seus deletérios objetivos contra as organizações.
Trata-se, então, de dotar as organizações de mecanismos que impeçam, na melhor hipótese; ou dificultem, na medida do possível, o acesso a suas informações sensíveis ou sigilosas.
Para isso, a resposta está na Contrainteligência, em particular no segmento da Segurança Orgânica.
Para evitar a inserção de recursos humanos que possam empreender ações hostis de espionagem e/ou sabotagem contra conhecimentos, materiais ou contra a infraestrutura da organização, há que se estabelecer medidas de segurança na contratação. Medidas como o “Background Check” são imprescindíveis. Essa e outras medidas deverão ser mais severas e aprofundadas quanto mais acesso a pessoa selecionada terá, na organização. Também é fundamental cercar-se de medidas de segurança na contratação de terceirizados, junto a empresas fornecedoras desses recursos humanos.
Para dificultar o recrutamento de pessoas com acesso a informações sensíveis ou sigilosas na organização, deve-se adotar medidas como a inclusão de cláusulas de confidencialidade nos contratos de trabalho; acompanhamento da vida da pessoa na organização, por meio de seus chefes imediatos; estabelecimento de políticas claras de proteção do conhecimento; implantação de ciclos constantes de treinamento, esclarecendo as pessoas sobre possíveis ações adversas de recrutamento; estabelecimento de comunicação interna facilitada e dinâmica, de modo a perceber as demandas do público interno; implantação de estrutura de Compliance, a fim de resolver, tempestivamente, problemas internos que possam causar insatisfações ou estimular práticas e comportamentos inadequados no público interno; e o estabelecimento de um bom e saudável ambiente de trabalho.
Para dificultar a ação direta de agentes adversos contra instalações e sistemas computacionais, é necessário realizar um levantamento prévio das vulnerabilidades da organização, a identificação e medição dos riscos a que está submetida.
Em seguida, a organização deve eliminar as vulnerabilidades encontradas, físicas e virtuais, para diminuir a possibilidade de acessos indevidos.
Também deve-se orientar o público interno, mormente os que mantenham, em razão da função que desempenham na organização, contato com o público externo, sobre formas de atuação de agentes extratores de dados, a fim de dificultar a obtenção de informações que permitam a elementos adversos construírem estruturas de ataques físicos ou virtuais à própria organização (Engenharia Social).
Proteger a organização e seus conhecimentos sensíveis ou sigilosos é controlar o acesso, negando-o àqueles que não têm a necessidade de conhecer e permitindo-o aos que a possuem, mediante critérios rígidos e cuidadoso estudo de situação.