Proteção da Aquisição Adversária de nossos Conhecimentos Sensíveis

Proteção da Aquisição Adversária de nossos Conhecimentos Sensíveis

Até aqui vimos as Atividades que nos permitem alcançar os Conhecimentos Sensíveis que são importantes para a tomada de decisão, que são aquelas voltadas à Aquisição. Agora, vamos estudar um pouco as Atividades de Proteção, que garantem a segurança e a privacidade desses mesmos Conhecimentos, que são objeto de interesse dos nossos concorrentes e de outras ameaças ainda mais agressivas, como as representadas pelo crime organizado, cujo acesso a essas informações privilegiadas representa um excelente comércio, dada a possibilidade do cometimento de inúmeros ilícitos como fraudes, chantagens, extorsões e muitos outros.

Proteção é uma atitude, e não uma sensação, como a de segurança, por exemplo, o que faz com que termos como Segurança da Informação, ao contrário do que se propaga, não existam isoladamente nem por si mesmas, e sim sejam resultados das Atividades de Proteção, sendo mais coerente, assim, falar-se em uma “Proteção da Informação”. A Proteção também se difere da Neutralização essencialmente por ser uma função defensiva, ao contrário daquela, que possui uma natureza proativa e baseada em estudar e aprender as capacidades, intenções, métodos e focos dos concorrentes.

As Atividades de Proteção se dividem em duas frentes de trabalho. A Proteção Funcional, cujo programa básico é o de Proteção dos Sistemas, tem como seus objetos de atenção todo o processo de produção dos Mosaicos, seus Elementos (Dados, Informações e Conhecimentos) e o próprio produto final, o que, atualmente, resulta em um grande investimento na proteção das redes eletrônicas da Organização. Essa Proteção tem como seus pontos básicos de atenção: Pessoas, Áreas e Instalações, Documentos e Materiais, Comunicações e Sistemas de Informação.

Na parte de Pessoas, o cuidado existe em todas as fases de sua presença na Organização, ou seja, da sua seleção e admissão, quando é feita uma avaliação de sua vida pregressa em relação à sensibilidade das função às quais ele terá acesso, passando pelo acompanhamento durante o desempenho de suas tarefas, quando é necessário capacitá-lo nas regras de Gestão de Conhecimentos Sensíveis e outras adotadas pela Organização, até o seu desligamento, etapa na qual é fundamental uma entrevista que reitere ao agora ex-colaborador as suas responsabilidades, especialmente as legais, para com os sigilos a que teve acesso durante a vigência de seu contrato de trabalho, e que persistem mesmo após a sua saída da empresa.

Áreas e Instalações se baseia em estabelecer controles de acesso, por meio da demarcação de áreas controladas, do estabelecimento de barreiras e do credenciamento com níveis de autorização de acesso, para citar apenas os exemplos mais comuns.

Documentos e Materiais tem sua atenção na especificação das medidas de controle para Produção, Expedição, Recepção, Manuseio, Arquivamento e Destruição, ou seja, o ciclo de vida da informação, durante o qual ela terá uma atribuição de grau de sigilo, equipamentos para reprodução de documentos operados sempre por funcionários credenciados e exclusivamente dentro de áreas com acesso controlado e monitorado, além de uma atenção especial ao seu descarte, inclusive dos insumos utilizados, dando-se preferência sempre à sua trituração.

Comunicações dialoga muito com o tópico anterior, pois auxilia na proteção do conteúdo, caso esse seja exposto indevidamente. Está concentrado em tornar indecifrável a mensagem contida nos meios de armazenamento da empresa, utilizando principalmente sistemas de criptografia e de esteganografia, que se diferem pelo fato de que, enquanto a primeira é a técnica de se codificar textos exigindo o conhecimento de uma senha para decodificá-los, a segunda é a técnica de ocultação de uma mensagem em uma imagem, de forma codificada ou não, com o objetivo de torná-la imperceptível a quem desconheça previamente a sua presença.

Procedimentos como esse último são utilizados com frequência em comunicações militares, as quais muitas vezes lançam mão também da técnica conhecida como tráfego falso, emitindo mensagens especialmente fabricadas para serem vistas pelo adversário e levá-lo a tomar atitudes da nossa conveniência, como por exemplo movimentar recursos para locais onde não serão úteis, ou simplesmente empregá-los de forma equivocada.

Sistemas de Informação, por fim, tem o foco na integridade dos sistemas e dos programas de tratamento da informação da empresa, especialmente as redes eletrônicas, esforçando-se para garantir a sua continuidade e tendo a necessidade de uma segurança de pessoal específica, limitando os funcionários que ali operam à sua “necessidade de conhecer”, ou seja, cada um tem acesso apenas ao que precisa saber para exercer a sua função; pela atribuição de senhas individuais de acesso e com troca periódica, e no credenciamento especial para os técnicos externos de manutenção que sejam necessários para o funcionamento desses sistemas.

Já a Proteção Operacional, ao contrário da Funcional, que tem o seu foco nas Informações e nos Conhecimentos Sensíveis, dirige sua atenção para as Informações e Conhecimentos Abertos, os quais, por serem de livre circulação e observação externa, podem ter os seus conteúdos associados entre si e daí resultar uma interpretação que permita aos concorrentes alcançar uma compreensão indesejada de nossas capacidades e intenções, tornando necessário tomar medidas voltadas a eliminar ou reduzir essa visibilidade.

Isso é feito identificando, controlando e protegendo os indicadores associados ao planejamento e à condução das operações e atividades da Organização, impedindo assim que se consiga externamente uma visão precisa das nossas capacidades ou alcançar a previsibilidade das nossas intenções, em resumo, que se possa deduzir as nossas intenções a partir das nossas capacidades, por meio de evidências livremente observáveis.

Desta forma, a Proteção Operacional, a Proteção Funcional e a Neutralização se apoiam mutuamente, formando uma aliança em busca da preservação da surpresa ao adversário e da efetividade do Sistema, atuando em caráter defensivo aos interesses da Organização por meio de análise e gerenciamento de riscos, que são disciplinas específicas executadas por profissionais altamente especializados. Por fim, após adquirir e proteger os Conhecimentos Sensíveis esses necessitam ser comunicados, de forma interna ou externa, de maneiras especiais as quais são o objetivo do nosso próximo encontro.

Sobre o Colunista: Cláudio Andrade Rêgo é Líder do Grupo de Pesquisas em Inteligência no CNPq pela Universidade de Cuiabá e Pesquisador do Núcleo de Estudos em Inteligência e Contra inteligência no CNPq pela Fundação Pedro Leopoldo, com mais de 15 anos de experiência como um dos poucos Peritos Judiciais em Informática reconhecidos pela Business Software Alliance (BSA) e especialista em Guerra Cibernética, é Fundador e Presidente do Conselho de Administração do Capítulo Brasil da International Association for Intelligence Education (IAFIE BRASIL). Diretor do Centro de Instrução de Atividades Sigilosas (atual denominação da Escola Superior de Inteligência).

E-mail de contato: claudio.rego@antecipar.com.br.

Se você tem comentários, sugestões ou alguma dúvida que gostaria de esclarecer, aproveite o espaço a seguir.