Redes sociais: uma área livre com regras rígidas

Vivemos na era do “Like” – as redes sociais nos acompanham na resolução de uma variedade de problemas: aqui aprendemos, trabalhamos, relaxamos, fazemos compras. Por sua vez, os especialistas em gerenciamento de tempo não se cansam de nos lembrar, como as redes sociais podem ser prejudiciais à nossa produtividade, como sem perceber, gastamos horas por dia com elas. Além da baixa eficiência, o uso incorreto das redes sociais traz riscos e pode comprometer a reputação, arruinar carreiras e causar perdas financeiras.

Não menos problemas as redes sociais podem trazer aos negócios: vazamentos de informações, publicações impensadas de funcionários em redes sociais, e como consequência – danos à imagem da organização. Os limites entre as contas pessoal e profissional estão se estreitando cada vez mais, o que, infelizmente, é pouco compreendido pelos funcionários.

Outra história levada à justiça foi a demissão de um funcionário da Apple por causa de uma declaração negativa sobre a empresa no Facebook. A justiça trabalhista britânica reconheceu que a demissão era legal, uma vez que as regras corporativas da Apple prescreviam a proibição estrita de declarações desse tipo tanto sobre a própria empresa quanto sobre seus produtos. Além disso, o tribunal apontou que mesmo publicações ocultas nas páginas pessoais de funcionários poderiam ser compartilhadas por amigos virtuais e prejudicar a imagem da empresa.

As ameaças das redes sociais

Mas de que forma as redes sociais podem ser perigosas para os usuários e empresas? Acompanhe os apontamentos: 

Publicação de informações confidenciais e fotos em redes sociais: Tais incidentes geralmente chegam até a mídia. Os usuários postam voluntariamente fotos de seus passaportes e cartões de embarque nas redes sociais, contando sobre suas viagens. De acordo com o especialista SI, Brian Krebs, o código de barras ou código QR da passagem – é uma fonte de informação se houver acesso à Internet. As empresas também estão na zona de risco devido à imprudência de seus funcionários. Assim, com um dos clientes da SearchInform, ocorreu a seguinte história: Dois funcionários foram trabalhar no final de semana. Na segunda-feira, um especialista do serviço de segurança descobriu uma foto de uma instalação secreta no Facebook. Os funcionários visitaram o local, Tiraram fotos nas instalações e as postaram nas redes sociais. As fotos foram rapidamente apagadas. Em caso de ampla divulgação, o cliente provavelmente suspenderia o contrato e a empresa perderia mais de US$ 4 milhões.

Fraudes, técnicas de engenharia social, ataques de phishing: Por enquanto, em geral, estamos falando sobre o roubo de dados de pessoas físicas, a retirada de fundos de suas contas, e sobre a invasão das contas de seus amigos e parentes. Mas, muitas vezes, os dados coletados são usados para um ataque subsequente à empresa empregadora. Divulgando informações sobre o local de trabalho e seus colegas, os funcionários ajudam os fraudadores a reunir um dossiê profissional. De acordo com especialistas do Anti-Phishing Working Group (APWG), empresas com cerca de 10.000 funcionários gastam US$ 3,7 milhões por ano para eliminar os efeitos de ataques de phishing. 

Prática comum: um funcionário recebe um e-mail de seu supervisor, pedindo para que envie imediatamente informações confidenciais através de sua rede social ou mensageiro instantâneo. O mesmo se encontra em uma viagem de negócios ou de férias. O funcionário envia os dados e depois fica sob monitoramento do serviço de segurança – uma vez que na empresa, existe a proibição direta sobre o envio de informações via mensageiros instantâneos.

Para entender a situação, os especialistas SI devem ter à sua disposição ferramentas especiais – DLP, Sistemas SIEM, etc. Com uma análise retrospectiva dos eventos, o sistema DLP irá resolver a situação facilmente. O programa mostrará com que finalidade o funcionário enviou dados. E embora isso não o torne inocente, ao menos mostrará que ele não agiu com más intenções.

Erros ao enviar mensagens: Na área de trabalho, muitas vezes temos várias janelas abertas, por isso não é surpreendente quando enviamos algo por engano para um endereço errado: mensagens, documentos, capturas de imagens. Isso é sempre desagradável, mas às vezes acarreta em consequências mais sérias. Por exemplo, muitas vezes dessa forma, várias pessoas tomam conhecimento sobre os salários de seus colegas ou os dados pessoais de clientes acabam sendo divulgados através de um envio em massa.

Para evitar tais acidentes, também existem ferramentas especiais – mecanismos de bloqueio. Os documentos sigilosos são marcados com inscrições especiais e seu envio para fontes externas é bloqueado. Ao enviar um documento desse tipo, o e-mail é colocado em quarentena e sem a verificação do serviço de segurança, o e-mail não será enviado.

Declarações inadequadas na rede: Aparentemente a maioria das pessoas deveria estar acostumada com o fato de que mesmo uma conta pessoal não é tão pessoal a ponto de expressarem absolutamente qualquer pensamento publicamente, mas sérios incidentes continuam acontecendo.

As pessoas acreditam que sua conta pessoal é um espaço privado onde compartilham sua opinião principalmente com os amigos. Diante disso, o que as empresas podem fazer é regular as ações de seus funcionários na rede, a fim de evitar danos à sua imagem e proteger os funcionários de publicações impensadas. Uma opção é a criação de “Regras de uso de mídias sociais” (Social Media Policies), como as utilizadas pelas gigantes Hewlett-Packard, Best Buy, Adidas e Los Angeles Times. No entanto, o cumprimento de quaisquer regras deve ser verificado, por isso, os especialistas SI devem possuir ferramentas modernas de análise dos fluxos de informações e notificação de incidentes.

Vazamento de dados de organizações: Aqui estamos falando sobre ações deliberadas de funcionários, a saber – sobre “desvios” de informação confidencial. Visto que as redes sociais são também um canal de transmissão de dados comum, assim como o e-mail. Vamos relembrar o caso com o ex-funcionário do Conselho de Segurança Nacional dos EUA, Jofi Joseph, que administrava uma conta do Twitter com o nome de usuário @NatSecWonk, onde criticou duramente as decisões de seus chefes e divulgou informações sigilosas. Durante um ano e meio, Jofi Joseph conseguiu publicar cerca de 2.000 mensagens, após as quais ele foi incriminado pelo serviço de segurança do Departamento de Estado dos EUA.