Os aplicativos gratuitos de mensagens, como o WhatsApp, se tornaram tendências no Brasil desde que novas tecnologias se disseminaram entre os usuários. Todavia, as questões de Cibersegurança dessas plataformas ainda não foram respondidas de forma clara de acordo com as melhores práticas de Segurança. Sem a possibilidade de monitorar esses usos, inclusive na troca de informações e arquivos sigilosos em ambientes de trabalho, os Líderes de SI não têm a garantia real de proteção desses dados.
O assunto tem levado empresas a gerar códigos de conduta para funcionários e gestores em relação à forma como se comunicam no meio digital, especialmente por meio de aplicativos de mensagens. A ideia é orientá-los a somente tratar de assuntos internos por meio de canais vigiados pelos times de Segurança. Caso contrário, o colaborador poderia ser passível de sanções por parte da instituição.
Uma demonstração se deu no último dia 26, quando contratados da Morgan Stanley foram multados em até US$ 1 milhão devido ao uso de apps como o WhatsApp para tratarem de assuntos corporativos. As quantias cobradas levaram em conta a quantidade de mensagens enviadas, o nível hierárquico do funcionário e se é também um caso de reincidência.
Rodrigo Raiher, DPO no Grupo PortoBello, explica que a definição de uso das comunicações estabelecidas precisa ser respeitada como qualquer outra proibição prevista em contrato. A depender da gravidade, da reincidência e de outros fatores, as punições podem ser advertências, multas ou mesmo demissões.
“Dependendo do modelo de negócio da empresa, o uso de aplicativos de mensagens pode elevar o risco corporativo. Exemplos são instituições financeiras, lidando com informações altamente sigilosas. Isso exige a assinatura de cláusulas de confidencialidade pelos usuários, proibindo aquelas informações de circularem em qualquer canal”, afirma ele em entrevista para a Security Report.
Raiher ressalta que as grandes ameaças existentes dentro desses apps envolvem golpes com Engenharia Social. Além disso, a impossibilidade de contratar o WhatsApp, por exemplo, como um serviço de comunicação interna da companhia tira o controle da proteção de dados das mãos dos CISOs.
Dessa forma, não há meios para avaliar a integridade das informações, o seu tráfego ou mesmo saber onde elas são armazenadas. Ainda que, segundo o aplicativo, exista uma proteção de criptografia ponta a ponta, não são conhecidos os detalhes dessa mecânica, se está atualizada ou se ocorre da melhor forma possível.
“Outro problema, ainda mais grave, envolve os arquivos enviados em conversas. Esses anexos obviamente acabam indo para os servidores do WhatsApp e eles podem conter dados pessoais de qualquer setor da empresa, de clientes ou mesmo documentos sigilosos. Não temos controle sobre o armazenamento daquelas informações vitais”, acrescenta o DPO.
Cuidados com as Solução
Raiher aponta duas formas para lidar com o uso desses aplicativos de mensagens. Existe a permissão monitorada do aplicativo feito através de ferramentas de Segurança, como o DLP. Essa função permite liberar parte do uso aos colaboradores com a contrapartida de manter algum controle sobre o que é escrito ou anexado em um diálogo. Havendo informações críticas para o funcionamento da organização, essa ferramenta bloqueia o envio.
Já a outra solução seria proibir o uso completamente, a partir de uma política definida pela alta gestão. Entretanto, essa medida pode gerar alto impacto no negócio, porque o uso desses apps se tornou um fator cultural. Hoje, o WhatsApp é, segundo o Gerente de Proteção de Dados, a primeira opção de quase todos para se comunicar ou compartilhar conteúdo.
Assim, na visão do DPO, as preocupações sobre o uso interno do WhatsApp exigem a aplicação de controles mais rígidos à plataforma, ao mesmo tempo, essa utilização não pode se tornar um gargalo para o negócio. Os líderes de SI devem encontrar equilíbrio entre controle e liberação para atender as demandas do business.
“Geralmente, o definido para uso dentro da corporação só funcionará naquele ambiente. Mas o colaborador, precisando compartilhar algo externo, vai sempre optar pela plataforma mais prática e comum, no caso, o WhatsApp. Esse tipo de problema costuma ocorrer em múltiplas áreas críticas da instituição, como marketing ou o comercial, que trabalham com agilidade de metas e uma rotatividade grande”, conclui ele.