Diabetes mellitus

Conforme Smale (2004) em adição a proteção dos recursos tecnológicos (internet e sistemas de telefonia) as organizações precisam estar atentas aos seus empregados, sendo trabalhadores de tempo integral ou mesmo contratados para limpeza. Justin King, consultor da C2i Internacional - empresa especializada em gerenciamento de risco, cita ter clientes que tiveram documentos vitais roubados ou fotografados através de celulares ou copiados através de fotos copiadoras (SMALE, 2004).

Casos reais ilustram a participação de funcionários no vazamento de dados confidencias ou venda de informações confidenciais, como o ocorrido com a indústria farmacêutica Pfizer na qual um ex-funcionário acessou ilegalmente e descarregou cópias de informações

confidenciais dos sistemas de informação corporativos, entre esses dados estão informações pessoais de 34 mil funcionários da empresa (PFIZER, 2007).

Assim como o ocorrido com a Pfizer, a Fidelity National Information Services (FIS), processadora de serviços financeiros, teve roubado e vendidos por um funcionário de uma subsidiária dados de 2,3 milhões de clientes. O funcionário era responsável por reforçar a segurança da informação na organização através da função de administrador de banco de dados (FUNCIONÁRIO, 2007).

Para o instituto de pesquisas Gartner as brechas que expõem dados confidenciais estão custando cerca de 20% a mais a cada ano até 2009, ou seja, os prejuízos causados por perdas de dados significativos às organizações só tende a crescer. Conforme John Pescatore, vice- presidente de pesquisas do Gartner, o maior risco que as organizações sofrem são os ataques focados (targeted attacks) que criam pragas para roubar informações específicas de determinada empresa (apud GARTNER, 2007).

As informações descritas anteriormente apontam o grande crescimento de ataques de segurança direcionados para o roubo de dados, informações ou conhecimento direcionados para determinado alvo. Para Amrit Williams, diretor de pesquisas do Gartner, é possível observar um ambiente cada vez mais hostil alimentado pela motivação financeira e ataques cibernéticos direcionados. Para o pesquisador a expectativa é de que 40% das organizações serão alvos de cyber crimes motivados por questões financeiras. Ainda conforme o pesquisador:

Ataques cibernéticos não são novidade, mas o que está mudando é a motivação por trás dele. Eles já não são mais executados por hackers por passatempo ou cyber vandalismo, mas por profissionais com uma visão direcionada para uma pessoa, empresa ou indústria. [...] Por exemplo, nós temos visto recentemente várias empresas privadas contratar detetives para espionar seus concorrentes. Os detetives privados usam cavalos de tróia para instalar spywares nos computadores alvos de

seus concorrentes para ganhar informação confidencial como clientes e próximos lances.

Pesquisas apontam para o envolvimento de funcionários e ex-funcionários em grande parte de perdas financeiras por incidentes de segurança, roubo de informações e fraudes corporativas (GORDON et al, 2006; PRICEWATERHOUSECOOPERS, 2006; MÓDULO SECURITY, 2003; MÓDULO SECURITY, 2006).

A pesquisa realizada pela consultoria de segurança da informação Modulo Security no cenário brasileiro apontou em 2003 que as organizações consideravam funcionários insatisfeitos o 2º maior risco de segurança para empresa sendo identificado por 53% dos respondentes, perdendo apenas para as ameaças de vírus de computador, identificado por 66% dos respondentes. A pesquisa ainda apontou como ameaça mais crítica aos negócios da empresa o vazamento de informações (MÓDULO SECURITY, 2003, p. 9).

No ano de 2007 foi divulgada nova pesquisa brasileira pela Modulo Security na qual foi apresentada que a maior parte dos incidentes de segurança foi ocasionada por funcionários (24%), superando a ocorrência de incidentes por hackers identificado por 20% dos respondentes (MÓDULO SECURITY, 2007, p. 6).

Já no cenário internacional, a pesquisa realizada nos Estados Unidos em 2006 pelo FBI (Federal Bureau of Investigation) e pelo CSI (Computer Security Institute) apontou que 32% das organizações pesquisadas não atribuem perdas financeiras ligadas a crimes cibernéticos a seus funcionários, 29% das empresas atribuem menos de 20% de perdas por parte de seus funcionários e 39% de empresas pesquisadas acreditam que seus funcionários sejam responsáveis por mais de 20% das perdas financeiras relacionadas a crimes cibernéticos. A pesquisa sumariza afirmando que um número significante de respondentes acredita que funcionários ainda representam uma parte substancial das perdas (GORDON et al, 2006, p. 12).

Por meio da 3ª Pesquisa sobre Crimes Econômicos realizado pela empresa Pricewaterhouscoopers em conjunto com a universidade alemã Martin-Luther-University em 34 países incluindo o Brasil, constatou que das empresas no Brasil vítimas de fraude, 56% confirmaram que o fraudador pertencia a seus quadros funcionais. Conforme a pesquisa o resultado não surpreende visto que o fraudador dentro da organização tem um profundo entendimento do negócio e dos controles, inclusive as forças e fraquezas dos sistemas de prevenção à fraude (PRICEWATERHOUSECOOPERS, 2006, p. 17).

Conforme dados da pesquisa realizada pela Pricewaterhouscoopers a amostragem brasileira está alinhada à amostra mundial, sendo destacado os seguintes dados relativos ao perfil dos fraudadores (PRICEWATERHOUSECOOPERS, 2006, p. 17).

• 80% dos fraudadores brasileiros têm curso superior;

• 68% pertencem à alta gerência e à média gerências das empresas;

• 82% são do sexo masculino;

• Concentração de indivíduos com idade entre 31 e 40 anos (61%).

A pesquisa ainda apresenta que a fraude ocorre quando existe a convergência das seguintes condições (PRICEWATERHOUSECOOPERS, 2006, p. 18):

• O indivíduo deve ter um incentivo (ou pressão) para cometer a fraude;

• O indivíduo deve identificar uma oportunidade para cometer a fraude;

• O indivíduo deve ser capaz de racionalizar o motivo para cometer a fraude, no mínimo para si mesmo.

E complementa que as maiores incidências para essas condições foram (PRICEWATERHOUSECOOPERS, 2006, p. 19):

• A facilidade de sentir-se seduzido, como uma forma de estímulo ou pressão;

• A falta de compromisso com valores ou princípios de conduta, como forma de justificar o ato.

O PERSEREC (U.S. Departament of Defense´s Personal Security Research Center) e o CERT (CERT Coordination Center at Carnegie Mellon Universiy´s Software Engineering Insitute) iniciaram em 2001 parceria para investigação conjunta de ameaças cibernéticas internas no serviço militar e agenciais de defesa norte americana, o foco foi identificar características do ambiente circundante dos eventos cibernéticos internos avaliados para procedimento criminal pelo serviço de investigações do DoD - U.S. Departament of Defense (BAND, 2006, p. 3).

Foi então que o PERSEREC e o CERT publicaram em 2006 o relatório Comparing Insider IT Sabotage and Espionage: A Model-Based Analysis que tem por objetivo analisar os fatores psicológico, técnico, organizacional, contextual que podem contribuir para pelo menos dois tipos de quebra de confiança interna na organização: sabotagem interna contra sistemas de tecnologia da informação críticos e espionagem. Sendo considerado como sabotagem aos sistemas de TI a atividade maliciosa na qual a meta primária do interno seja sabotar algum aspecto de uma organização ou dirigir dano específico para um ou vários indivíduos.

O estudo investiga casos reais de espionagem internas ocorridos entre os anos de 1975- 2004 a partir de informações de domínio público (fontes abertas) e informações de casos confidenciais de sabotagem (ocultando os nomes dos sabotadores) para encontrar similaridades e diferenças envolvendo os dois domínios com o intuito de isolar os fatores principais ou condições que conduzem à traição de confiança organizacional. A equipe desenvolveu um modelo descritivo utilizando a metodologia de sistemas dinâmicos que representa o alto nível comum entre os dois domínios baseados nos modelos individuais de cada domínio (BAND, 2006, p. xiii).

Os esforços do PERSEREC e do CERT encontraram paralelos entre as duas categorias de traição de confiança. Os fatores observados entre os sabotadores e espiões internos incluem (BAND, 2006, p. xiii):

• A contribuição de predisposições pessoais e eventos estressantes para o risco de um interno cometer um ato malicioso;

• A exibição de comportamentos e ações técnicas de preocupação que precedem ou que acontecem durante um ataque;

• O fracasso das organizações para descobrir ou responder a violações de regras;

• Controles de acesso físicos e eletrônicos da organização insuficientes.

Os resultados obtidos a partir da comparação do modelo de comportamento de sabotagem e do modelo de espionagem surpreenderam os pesquisadores por apresentar um grande paralelismo e por ser possível criar um modelo único que represente os dois fenômenos possuindo elementos comuns nos dois modelos. Deve-se levar em conta que os modelos foram deliberadamente desenvolvidos por grupos de trabalho diferentes, dessa forma, não existindo interação na geração inicial dos modelos evitando o negligenciado de fatores observados (BAND, 2006, p. 13).

A seguir serão apresentadas as principais conclusões observadas a partir da análise do modelo comum entre os fenômenos de espionagem e sabotagem (BAND, 2006, p. 14 a 37).

• A maioria dos sabotadores e espiões teve predisposições pessoais comuns que contribuiu para o risco de cometer atos maliciosos.

• Na maioria dos casos, eventos estressantes, incluindo sanções organizacionais, contribuem para a probabilidade sabotagem e espionagem internas.

• Comportamento de preocupação era freqüentemente observável antes e durante a sabotagem ou espionagem.

• Ações técnicas de muitos internos poderiam ter alertado a organização para atos maliciosos sendo planejados ou em curso.

• Em muitos casos, as organizações ignoram ou falham em detectar as violações de regras.

• Falta de controles de acesso físicos e eletrônicos facilitaram a sabotagem e a espionagem.