A ameaça que já está dentro da empresa

Quando empresários pensam em segurança da informação, pensam em hackers, ransomware, ataques cibernéticos vindos de fora. Mas estatísticas do setor são consistentes: a maioria das perdas de informação confidencial em empresas brasileiras tem origem interna. Um funcionário que copia a carteira de clientes antes de ir para o concorrente. Um gerente que repassa estratégias de precificação para um fornecedor que é seu sócio oculto. Um diretor que vende segredos industriais para uma empresa estrangeira.

O insider threat é mais difícil de detectar justamente porque o perpetrador tem acesso legítimo. Ele não precisa invadir nenhum sistema. Ele já está dentro.

Os 3 perfis de ameaça interna

O oportunista

Não planejou o vazamento. Encontrou uma oportunidade e aproveitou. Está sendo recrutado por um concorrente e decide levar a carteira de clientes como "presente de boas-vindas". Ou foi demitido e, antes de devolver o notebook corporativo, copia tudo que pode como "seguro". Esse perfil representa a maioria dos casos e geralmente é o mais fácil de investigar, porque o perpetrador não toma precauções sofisticadas.

O insatisfeito

Age por ressentimento. Sente-se subvalorizado, passou para promoção, tem conflito com a gestão. Decide prejudicar a empresa vazando informações para concorrentes, para a imprensa ou para autoridades reguladoras. A motivação não é financeira — é emocional. Esse perfil é perigoso porque o vazamento pode ser contínuo e sistemático, e o perpetrador frequentemente justifica suas ações como "denúncia" ou "justiça".

O recrutado

Foi abordado deliberadamente por um concorrente, por uma empresa estrangeira ou por um intermediário. Recebe pagamento regular em troca de informações específicas: planos estratégicos, resultados financeiros antes da divulgação, segredos industriais, listas de clientes com condições comerciais. Esse é o perfil mais sofisticado e o mais difícil de detectar, porque o perpetrador sabe que está cometendo ilícito e toma precauções para cobrir seus rastros.

14 sinais de alerta que indicam ameaça interna

Nenhum desses sinais isoladamente prova vazamento de informações. Mas quando três ou mais aparecem simultaneamente no mesmo funcionário, a probabilidade de que algo está errado é alta o suficiente para justificar investigação:

  • Acesso a arquivos ou sistemas fora do escopo de suas funções
  • Downloads volumosos de documentos, especialmente próximo a férias ou demissão
  • Uso de pendrives, HDs externos ou serviços pessoais de nuvem no ambiente corporativo
  • Horários de acesso incomuns (madrugada, fins de semana) sem justificativa operacional
  • Resistência a auditorias ou a mudanças em controles de acesso
  • Relacionamento próximo com concorrentes que vai além do normal do setor
  • Padrão de vida incompatível com a remuneração
  • Viagens não justificadas, especialmente internacionais
  • Uso crescente de comunicação pessoal (celular próprio, e-mail pessoal) para assuntos de trabalho
  • Mudança abrupta de comportamento: isolamento, hostilidade, desinteresse
  • Pedido de acesso a informações de outras áreas sem motivo claro
  • Impressão de volumes atípicos de documentos
  • Conversa frequente sobre insatisfação com a empresa em redes sociais ou com colegas
  • Criação de cópias de segurança pessoais de documentos corporativos

Como conduzir a investigação sem alertar o suspeito

O maior erro que empresas cometem ao suspeitar de vazamento interno é confrontar o funcionário prematuramente. O segundo maior erro é envolver TI ou RH sem sigilo adequado. Em empresas de médio porte, onde todos se conhecem, qualquer movimentação fora do normal é percebida rapidamente.

Fase 1: Contenção silenciosa

Antes de qualquer investigação, é preciso garantir que o vazamento não está em curso neste momento. Isso pode significar restringir discretamente o acesso do suspeito a informações sensíveis — não removendo acesso (o que alertaria), mas reduzindo o escopo do que está disponível sem que a mudança seja perceptível. Alteração de permissões em sistemas, redistribuição de projetos, mudança de prioridades operacionais.

Fase 2: Análise forense digital

Se a empresa possui política clara de uso de equipamentos corporativos (e deveria ter), a análise dos dispositivos e logs é legítima. O que estamos buscando: padrões de acesso anômalo, transferência de arquivos para dispositivos externos, uso de serviços de compartilhamento não autorizados, e-mails para endereços pessoais contendo anexos corporativos, prints de tela ou fotografias de documentos.

Essa análise deve ser conduzida por especialistas externos, não pela equipe de TI da empresa. Primeiro, porque a equipe de TI pode estar comprometida. Segundo, porque a cadeia de custódia das evidências digitais precisa ser preservada para uso futuro em processo judicial ou trabalhista.

Fase 3: Inteligência humana

A análise digital mostra o que o suspeito fez nos sistemas corporativos. Mas não mostra com quem ele está se comunicando fora do ambiente digital da empresa, se está recebendo pagamentos por fora, ou se está sendo pressionado por terceiros. Para isso, a investigação precisa ir além dos logs.

Análise de fontes abertas pode revelar vínculos não declarados com concorrentes, participação societária em empresas que fornecem para ou competem com a empresa investigada, e padrão de vida incompatível. Dependendo do caso, operações de inteligência humana podem obter admissões ou confirmar o canal por onde as informações estão sendo transmitidas.

Fase 4: Ação coordenada

Quando a investigação confirma o vazamento e identifica o canal e o destinatário, a ação precisa ser coordenada entre jurídico, RH e, se necessário, autoridades policiais. A demissão por justa causa sozinha raramente resolve: o funcionário sai, mas as informações já saíram com ele. O objetivo é recuperar ou neutralizar as informações vazadas, responsabilizar o funcionário e, quando aplicável, processar o concorrente que se beneficiou do vazamento.

O enquadramento jurídico

O vazamento de informações confidenciais pode configurar diferentes ilícitos dependendo do contexto:

Concorrência desleal (Lei 9.279/96, art. 195): crime de ação penal privada quando o funcionário divulga, explora ou utiliza, sem autorização, informações confidenciais a que teve acesso em razão do emprego.

Violação de segredo profissional (art. 154 do CP): aplicável quando o funcionário tem dever legal de sigilo.

LGPD (Lei 13.709/18): se os dados vazados incluem dados pessoais de clientes, fornecedores ou outros funcionários, a empresa pode ser responsabilizada administrativamente, e o funcionário pode responder civilmente.

Responsabilidade civil: a empresa pode pleitear indenização por danos materiais (lucros cessantes, perda de contratos) e morais contra o funcionário e contra terceiros que se beneficiaram do vazamento.

Prevenção: o que toda empresa deveria ter

Nenhuma investigação compensa a prevenção eficaz. As medidas que reduzem drasticamente o risco de ameaça interna são surpreendentemente simples, mas a maioria das empresas brasileiras não as implementa:

  • Política de uso de equipamentos e sistemas assinada por todos os funcionários
  • Cláusula de confidencialidade e non-compete em contratos de trabalho (redigida por advogado trabalhista, não copiada da internet)
  • Controle de acesso por princípio de mínimo privilégio (cada funcionário acessa apenas o que precisa)
  • Monitoramento de DLP (Data Loss Prevention) em endpoints corporativos
  • Processo formal de offboarding que inclui revogação de todos os acessos em tempo real
  • Entrevista de desligamento conduzida por profissional treinado para identificar riscos