A paranoia da confidencialidade

Alerta

estou aqui para alertar sobre uma possível doença de quadro psico-mercadológico que afeta nossos conceitos e prejudica a forma como protegemos a informação dentro das organizações.

Para evitar que a expressão "possível doença" te cause qualquer estranhamento, não custa acrescentar que o Stedman Medical Dictionary conceitua como:

Doença: um distúrbio funcional de um órgão, psicológico ou do organismo como um todo que está associado a sinais e sintomas específicos"

O que acabei de apresentar foi o sentido científico da palavra doença, isso é, uma ideia experimentada e comprovada pela ciência sobre seu significado. Já as ideias que apresento a seguir, se baseiam apenas em percepções pessoais a respeito da segurança da informação.

Ademais, o que pretendo com este artigo é unicamente juntar os pedaços de uma especulação que há algum tempo tenho em mente, e quais finalmente encadeei em um só lugar, da melhor maneira que fui capaz de fazê-lo.

Com a leitura, pode ser que você se identifique, ou até mesmo descubra que já tenha te ocorrido algo semelhante. De toda forma, e sem maiores pretensões que esta, espero que o que compartilho faça para você algum sentido.

Segurança da informação e confidencialidade

#Segurança da Informação equivale à preservação de determinados critérios da informação,

Acredito que a paranoia da confidencialidade manifesta o transtorno de déficit de atenção em quem é contagiado.

Em sala de aula, palestras, ou simplesmente em uma roda de colegas de prossifão, quando toco no assunto "segurança da informação" gosto de falar sobre impactos da falta de proteção à informação através de exemplos que viraram notícias populares.

Daí, eu noto algo curioso....

É difícil oferecer um exemplo sobre o impacto da falta de confidencialidade que surpreenda alguém: afinal, todo mundo já está "careca de saber" do Edward Snowden, e de Hillary Clinton!

Perceba que o que quero dizer não é apenas que as pessoas conhecem estes episódios, mas que estas pessoas já haviam previamente relacionado tais episódios à disciplina de #Segurança da Informação. Aliás, a própria mídia muitas vezes já faz a associação quando emite a notícia!

Por outro lado, se exponho notícias igualmente "bombásticas", só que desta vez relacionadas a integridade da informação, parece que os exemplos causam surpresa. Meu exemplo passar a ser "interessante"...

Aparenta que, as mesmas pessoas "antenadas" para a interface entre segurança da informação a Edward Snowden (por conta da tal confidencialidade), não haviam feito a mesma relação dentre segurança da informação e os episódios que figuram perda da proteção à integridade, por mais conhecidos que fossem.  

• Não são raras as noticias de pessoas que têm o membro errado amputado simplesmente porque o médico cirurgião recebeu sua ficha com a informação errada. A área de saúde denomina isto como erro de lateralidade cirúrgica. O cidadão comum denomina de "tenha medo!".
• Lembra dos casos em que produtos aparecem nas lojas de e-commerce com preços errados? Também ilustra falha de integridade da informação e, por consequência, da segurança da informação.
• Se um executivo de uma empresa manipula dados financeiros para simular um lucro de uma empresa acima da realidade, aquela informação perde a propriedade de integridade. Foi isso que aconteceu no decorrer de grandes escândalos corporativos em 2001, envolvendo empresas americanas envolvidas com fraudes, como por exemplo no caso da Enron.

Diante da insistência em ignorar a relação destes fatos com a segurança da informação, só me resta crer que muitas pessoas estão sofrendo de déficit de atenção como sintoma da síndrome de qual eu falo!

Complicações possíveis

Quando detectada tardiamente e não tratada após o surgimento dos primeiros sintomas, a paranoia da confidencialidade pode resultar em complicações como:

• desvio do foco estratégico para proteção da informação;
• práticas de segurança viciadas pelo elemento sigilo;
• menor valor agregado ao negócio;
• custo desnecessário para proteção descomedida do sigilo, simultaneamente a falhas para tratamento de demais critérios;
• sistemas que, embora automatizem processos de negócio de nível moderado para confidencialidade, exigem passos intermináveis para validar identidades, qual fossem um internet banking;
• restrições não justificáveis à disponibilidade da informação;
• burocracia e perda de agilidade em processos de negócio;
• insatisfação do cliente diante do excesso de regras e normas que previnem a quebra da confidencialidade;
  
• oportunidades de publicidade e branding desperdiçadas graças ao medo em compartilhar com o mercado informações que enaltecem(riam) a empresa;
• contaminada pela paranoia, falta de publicidade acaba causando problemas de comunicação dentre departamentos;
• submeter termos de sigilo em excesso pode gerar barreiras que afetam a aproximação dentre parceiros, assim como colaboradores e suas empresas; 
• políticas de segurança corporativas destacando o sigilo, quase que unicamente;
• oportunidades de conscientização e capacitação desperdiçadas graças ao medo de transmitir aos colaborados informações estratégicas;
• medo de transmitir  informações estratégicas aos colaborados pode também causar perda de lealdade e desmotivação.

Prevenção

Para quem acredita em tudo que sugeri aqui, deixo algumas recomendações preventivas:

• Vídeo aulas sobre segurança da informação 
  
• Apostilas e Ebooks sobre Segurança da informação
• A ISO 27010 orienta como compartilhar informações corporativas com outras empresas, mesmo sendo sigilosas.