Contraespionagem Industrial e Empresarial

Contraespionagem Industrial
e Empresarial
Brasília-DF.
Elaboração
Luiz Henrique Horta Hargreaves
Produção
Equipe Técnica de Avaliação, Revisão Linguística e Editoração

Sumário
APRESENTAÇÃO.................................................................................................................................. 4
ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 5
INTRODUÇÃO.................................................................................................................................... 7
UNIDADE ÚNICA
ESPIONAGEM E CONTRAESPIONAGEM................................................................................................... 9
CAPÍTULO 1
O QUE É ESPIONAGEM E COMO ELA É REALIZADA NAS INDÚSTRIAS E EMPRESAS....................... 9
CAPÍTULO 2
LEGISLAÇÃO APLICADA À ESPIONAGEM INDUSTRIAL NO BRASIL............................................... 16
CAPÍTULO 3
DESENVOLVIMENTO DE PROGRAMA DE CONTRAESPIONAGEM INDUSTRIAL.............................. 27
CAPÍTULO 4
SEGURANÇA ORGÂNICA NA CONTRAESPIONAGEM................................................................ 36
PARA (NÃO) FINALIZAR...................................................................................................................... 48
REFERÊNCIAS................................................................................................................................... 50
Apresentação
Caro aluno
A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se

entendem necessários para o desenvolvimento do estudo com segurança e qualidade.
Caracteriza-se pela atualidade, dinâmica e pertinência de seu conteúdo, bem como pela
interatividade e modernidade de sua estrutura formal, adequadas à metodologia da
Educação a Distância – EaD.
Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade dos

conhecimentos a serem oferecidos, possibilitando-lhe ampliar conceitos específicos da
área e atuar de forma competente e conscienciosa, como convém ao profissional que
busca a formação continuada para vencer os desafios que a evolução científico-tecnológica
impõe ao mundo contemporâneo.
Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo

a facilitar sua caminhada na trajetória a ser percorrida tanto na vida pessoal quanto na
profissional. Utilize-a como instrumento para seu sucesso na carreira.
Conselho Editorial
4
Organização do Caderno
de Estudos e Pesquisa
Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em

capítulos, de forma didática, objetiva e coerente. Eles serão abordados por meio de textos
básicos, com questões para reflexão, entre outros recursos editoriais que visam a tornar
sua leitura mais agradável. Ao final, serão indicadas, também, fontes de consulta, para
aprofundar os estudos com leituras e pesquisas complementares.
A seguir, uma breve descrição dos ícones utilizados na organização dos Cadernos de
Estudos e Pesquisa.
Provocação
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor
conteudista.
Para refletir
Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa e reflita
sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio. É importante
que ele verifique seus conhecimentos, suas experiências e seus sentimentos. As
reflexões são o ponto de partida para a construção de suas conclusões.
Sugestão de estudo complementar
Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

discussões em fóruns ou encontros presenciais quando for o caso.
Praticando
Sugestão de atividades, no decorrer das leituras, com o objetivo didático de fortalecer

o processo de aprendizagem do aluno.
5
Atenção
Chamadas para alertar detalhes/tópicos importantes que contribuam para a

síntese/conclusão do assunto abordado.
Saiba mais
Informações complementares para elucidar a construção das sínteses/conclusões

sobre o assunto abordado.
Sintetizando
Trecho que busca resumir informações relevantes do conteúdo, facilitando o

entendimento pelo aluno sobre trechos mais complexos.
Exercício de fixação
Atividades que buscam reforçar a assimilação e fixação dos períodos que o autor/
conteudista achar mais relevante em relação a aprendizagem de seu módulo (não
há registro de menção).
Avaliação Final
Questionário com 10 questões objetivas, baseadas nos objetivos do curso,

que visam verificar a aprendizagem do curso (há registro de menção). É a única
atividade do curso que vale nota, ou seja, é a atividade que o aluno fará para saber
se pode ou não receber a certificação.
Para (não) finalizar
Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem

ou estimula ponderações complementares sobre o módulo estudado.
6
Introdução
O estudo da contraespionagem no ambiente corporativo é fundamental para quem
atua na segurança organizacional, assim como para os gestores que possuem bens e
informações a serem protegidos.
No mundo atual, não apenas competidores possuem interesse em informações

dos concorrentes. Em alguns casos, os dados e bens a serem protegidos podem ser
considerados como de segurança nacional. A vantagem competitiva tem motivado
empresas a investir em programas de contrainteligência, notadamente com foco
na contraespionagem.
Há diversos casos registrados, ao longo da história, de espionagens bem sucedidas,

com graves repercussões para quem foi espionado. O que era tema de interesse
exclusivamente militar, há muitos anos, vem sendo aplicado ao meio civil e, mais
recentemente, no espaço cibernético, na chamada ciberespionagem.
Dessa forma, o estudo desta disciplina, que tem no Caderno de Estudos e Pesquisa tão
somente um material para apoio de estudo, certamente é de grande importância para
gestores de segurança e de corporações.
Um bom estudo a todos!
Objetivos
»» Conhecer os conceitos adotados em contraespionagem industrial e
empresarial.
»» Contextualizar a importância do tema Segurança Privada e Empresarial.
»» Conhecer conceitos e instrumentos para proteção de documentos

sensíveis nas organizações.
7
ESPIONAGEM E UNIDADE
CONTRAESPIONAGEM ÚNICA
CAPÍTULO 1
O que é espionagem e como ela é
realizada nas indústrias e empresas
“O uso da espionagem é um tema delicado, muito delicado! Não existe lugar em

que a espionagem não possa ser empregada.”
Sun Tzu, (544-496 A.C)
Figura 1. Sun Tzu
Fonte: Infoescola
A espionagem é uma das áreas mais antigas da humanidade. Nos primeiros livros do
Antigo Testamento, já encontramos referência a essa atividade – no livro de Número 13,
Moisés envia por ordem dívida doze espiões para uma missão de reconhecimento.
A ordem de missão para os seus espiões foi dada por Moisés, da seguinte forma:
Enviou-os, pois, Moisés a espiar a terra de Canaã; e disse-lhes: subi por

aqui para o lado do sul, e subi à montanha:
E vede que terra é, e o povo que nela habita; se é forte ou fraco; se pouco
ou muito.
E como é a terra em que habita, se boa ou má; e quais são as cidades em

que eles habitam; se em arraiais, ou em fortalezas.
9
UNIDADE ÚNICA │ ESPIONAGEM E CONTRAESPIONAGEM
Também como é a terra, se fértil ou estéril; se nela há árvores, ou não; e

esforçai-vos, e tomai do fruto da terra. E eram aqueles dias os dias das
primícias das uvas.
Números 13:17-20
Um dos livros mais antigos sobre estratégia é a “Arte da Guerra”, de Sun Tzu, traduzido
para vários idiomas, incorporado ao mundo dos negócios e adotado por diversos
generais e estrategistas ao longo da história. O livro foi escrito no século IV a.C. e possui
treze capítulos, com uma longa parte destinada à espionagem. A leitura desse livro é
muito interessante e bastante recomendada. Há várias edições e não indico uma em
particular. A capa do livro seguinte é tão somente uma referência e não necessariamente
indicação desta edição e/ou editora.
Figura 2. SunTzu - A Arte da Guerra.
Se tivéssemos que, em uma única frase, definir a espionagem, poderíamos dizer que
se trata do acesso não autorizado a uma informação protegida. Dessa forma, podemos
deduzir que a contraespionagem é o conjunto de medidas destinadas a proteger
determinada informação da ação de espiões, mas, além disso, das medidas voltadas
para a detecção, identificação, neutralização e exploração de atividades de espionagem
(pró-atividade).
O presidente americano Ronald Reagan, em 1985, ao se referir à espionagem assim se

manifestou: “A espionagem não é um jogo, mas, sim, uma batalha que nós devemos
vencer se quisermos proteger nossa liberdade e nosso modo de vida”.
Já vimos que a espionagem pode ocorrer em qualquer ramo ou área profissional, o que
inclui a militar, política e comercial. Quando uma atividade de espionagem é detectada,
tão importante quanto identificar e neutralizar a ação inimiga é saber como e por que
conseguiram o acesso não autorizado.
Na espionagem industrial, o que o espião pode obter de relevante? Os segredos da

empresa espionada, informações sigilosas, que podem ser usadas por um concorrente
10
ESPIONAGEM E CONTRAESPIONAGEM │ UNIDADE ÚNICA
ou por um país inimigo. Os dados podem ser copiados, roubados ou gravados nas mais
diferentes mídias. Países que estão em guerra recorrem, com frequência, à iniciativa
privada para os chamados esforços de guerra, o que significa a produção e a prestação
de serviços para ajudar o país no conflito armado. Durante a II Guerra Mundial, por
exemplo, o nylon deixou de ser usado na fabricação de meias e roupas civis para poder
ser empregado na fabricação de paraquedas.
Informações referentes aos setores de infraestrutura de um país são bastante relevantes e

podem interessar a outros, como petróleo, energia, luz, gás. Mas será que essas empresas
(algumas estatais e outras não) possuem e realizam ações de contraespionagem?
E aquelas que prestam serviço para o governo, que são contratadas pelo governo para
atuar no transporte de documentos sigilosos, na imigração, na aviação, entre muitos
outros?
O conceito de espionagem do FBI é :
(1) Qualquer tipo de atividade (manobra) tendo por alvo a aquisição de

informações sigilosas (trade secret) com vistas a beneficiar governos
estrangeiros, instrumentalização estrangeira ou agentes estrangeiros.
O conceito de trade secret, por sua vez, é bastante amplo e abrange praticamente
todo tipo de informação governamental ou empresarial que necessita ser protegida de
alguma forma contra o acesso não autorizado.
Embora o conceito citado esteja voltado para ações estrangeiras, é possível que a
espionagem ocorra por ação de outras empresas? Sim. É o mesmo que inteligência
competitiva? Não.
Enquanto a espionagem industrial busca a obtenção de informações protegidas,

utilizando-se de meios ilegais para obtê-las, a inteligência competitiva deve atuar de
forma legal e ética.
Nem todos países, contudo, possuem legislação similar; muitas ações que podem ser
consideradas legais em determinado país podem não ser em outro; daí a importância
do direito internacional para empresas que atuam em diferentes partes do mundo.
Para que uma fraude ou um crime ocorra, admite-se que há condições para que isso
aconteça. Exemplificando, o fraudador pode ser considerado fraudador incidental
(cometeu a fraude mas não é contumaz) ou o que é chamado “predador” (criminoso
que pratica e repete suas fraudes).
O mesmo pode ser dito a respeito da espionagem. Pode ser obra de um funcionário que,
em grave desequilíbrio financeiro (motivo), se aproveitou de sua condição para realizar
o acesso não autorizado (oportunidade) e furtou segredos comerciais de sua empresa,
11
acreditando que os donos eram muito ricos e que ele também merecia um pouco do
dinheiro, já que ganhava mal (racionalização). Para isso, aprendeu em um curso de
computação (habilidade) e acabou realizando o crime quando percebeu que poderia ser
demitido (“gatilho”). Nesse exemplo, estão mostradas as chamadas cinco condições
que contribuem ou que permitem entender por que a espionagem industrial ocorre. Eu
disse entender, não concordar, ok?
Assim, as cinco condições são: motivo, oportunidade, racionalização, habilidade e

“gatilho”.
O motivo é o que leva alguém a pensar em cometer uma atividade ilegal. Pode ser um
ato de desespero por estar precisando de dinheiro em decorrência de dívidas com
criminosos, pode ser um ato de vingança, por questões políticas ou religiosas, entre
outras. Geralmente, o maior motivador é o dinheiro e não necessariamente porque a
pessoa está desesperada (esse pode ser o “gatilho”).
A oportunidade é a condição em que um indivíduo se aproveita da situação privilegiada

em que se encontra, por alguma razão, e comete o crime. Daí o velho ditado de que a
“oportunidade faz o ladrão”. O funcionário decide que precisa de dinheiro e irá obtê-lo
furtando dados confidenciais de sua empresa. Mas, como ele faria isso? Percebeu, então,
que, com a senha de sua colega de trabalho (inadvertidamente anotada em uma folha
de papel na estação de trabalho dela), ele poderia ter acesso privilegiado a documentos
sigilosos e, sem que ela perceba, copia a senha.
A racionalização é uma tentativa de justificar o ato. Ele não se considera um criminoso.

Está agindo daquela forma, talvez porque a empresa fatura muito alto e ele acredita
que é explorado. Seria, então, uma forma de obter um pagamento por outros meios.
Quando estamos diante de um fraudador do tipo predador, a racionalização deixa de
ser um fator importante e, basicamente, o mais relevante passa a ser a oportunidade.
Vemos, então, que alguém que tenha encontrado o motivo, a oportunidade e a

racionalização precisa saber como proceder. É quando surge, então, a condição do
conhecimento das habilidades. No exemplo anterior, o funcionário obteve a senha da
colega; no entanto, não sabe o que fazer com ela. Resolve, então, adquirir habilidades
para entender como agir, o que buscar e de que forma obter os dados que procura.
Muitas vezes, quando nos referimos a dados confidenciais de uma empresa, as pessoas
logo pensam no segredo do xarope de uma fabricante internacional de refrigerantes.
Sim, esse é um segredo importante para ser protegido; mas há uma série de documentos
também importantes que precisam estar protegidos, mas que as pessoas que os
deveriam proteger não se dão contam disso. Exemplo? Uma empresa pretende realizar
um investimento em determinado local, que precisa ser mantido em sigilo para não
12
promover especulação imobiliária na região e não chamar a atenção do concorrente. O

documento é, então, preparado, contendo detalhes, e leva um carimbo de confidencial.
O acesso é restrito, mas durante uma reunião em que o assunto será debatido, há
necessidade de se fazer mais duas cópias. Pede-se, então, à secretária que providencie
as cópias e ela as entrega a um office-boy ou estagiário para copiá-las. E se a secretária
ou o estagiário for alguém com motivação e racionalização? A oportunidade está clara
e não há necessidade de muita habilidade para se fotografar páginas que podem ser
rapidamente enviadas pela internet. A propósito, essa impressora ou copiadora nas
quais serão realizadas as cópias está conectada à internet? Todo equipamento eletrônico
conectado à internet possui um endereço (IP), que pode ser acessado de forma não
autorizada. Mais à frente, trataremos da proteção e das medidas de contraespionagem.
O outro fator é, então, o chamado “gatilho”. A pessoa tem a motivação, a oportunidade,

a racionalização e a habilidade, mas ainda não teve aquele fator que funcionasse como
a “coragem” para fazer e, então, ele descobre que será demitido em poucos dias e
resolve agir.
Percebam que esse é um processo e que a maior ameaça para uma empresa geralmente
vem de dentro da organização, por meio de funcionários e ex-funcionários.
Há, ainda, a espionagem praticada por governos estrangeiros. De uma forma geral,
o alvo da espionagem por parte de outros governos é contra alvos governamentais,
mas também empresariais e industriais. Em 03 de novembro de 2011, o Escritório
Nacional de Contrainteligência dos Estados Unidos, em relatório apresentado ao
Congresso Americano, apresentou a China como sendo o mais ativo e persistente
agente de espionagem contra as companhias privadas americanas, seguida da Rússia
(TAYLOR, 2010).
Empresas concorrentes também podem ter interesse na obtenção de informações

secretas e utilizarem a espionagem industrial para esse fim. A maioria, contudo, não
age dessa forma, pois além de ser uma atividade antiética é ilegal.
De acordo com o FBI, o prejuízo anual decorrente da espionagem industrial é de cerca

de US$ 13 bilhões.
Ainda de acordo com o FBI, em 2012, cinco indivíduos e cinco companhias foram
formalmente acusados de espionagem industrial e furto de segredos comerciais com
vistas a beneficiar empresas controladas pelo governo chinês. O caso envolveu a obtenção
de informações confidenciais sobre uma substância química (TiO2) fabricada pela
empresa Dupont, com sede em Delaware. Entre os acusados, havia dois funcionários
da empresa que se declararam culpados.
13
O FBI apresenta os seguintes sinais que poderiam indicar que funcionários estariam
engajados em atividades de espionagem industrial e que, portanto, merecem a atenção
e a devida verificação, caso a caso:
»» Trabalham muitas horas extras, sem autorização.
»» Sem a devida autorização, pegam informações da empresa em discos

rígidos externos, pen drives ou outras formas de mídia ou as copiam.
»» Imprimem cópias de documentos, sem necessidade, especialmente se

considerados confidenciais.
»» Não seguem políticas da empresa relacionadas à proibição de instalação de

softwares, de trazer hardwares não autorizados, acesso a sites restritos,
condução de buscas não autorizadas, bem como download de materiais
confidenciais.
»» Realizam frequentes viagens de curta duração ao exterior, sem qualquer

explicação.
»» Realizam contatos suspeitos com funcionários de empresas concorrentes,

com sócios de negócios, bem como com indivíduos não autorizados.
»» Compram materiais e bens não permitidos.
»» São pessoas sob pressão por crises na vida ou desapontamentos com a

carreira.
»» Ficam preocupados sobre serem investigados, deixando armadilhas para

detectar buscas em sua casa ou ficam procurando aparelhos de escuta ou
câmeras.
Fonte: <http://www.fbi.gov/news/stories/2012/may/insider_051112/insider_051112>
Os filmes, mesmo os que não são documentários, quando referentes ao tema em

estudo, são muito interessantes por uma série de razões:
»» Apresentam diferentes áreas e aspectos do que está sendo estudado;
»» Quando baseado em fatos reais permite o aprofundamento do estudo

que pode ser complementado pela leitura posterior da bibliografia e
dos fatos reais;
»» Permite comparar a realidade com a ficção.
Naturalmente que os filmes não devem ser assistidos como documentários e

tampouco como vídeos de instrução.
14
Os seguintes filmes abordam a questão da espionagem industrial/corporativa:
O Santo – 1997
Dirigido por: Phillip Noyce
Com: Val Kilmer, Elisabeth Shue, Alun Armstrong
Sinopse: Um conhecido ladrão e mestre em disfarces é

contratado por um magnata russo para que obtenha
a fórmula secreta de uma fusão a frio e, para tanto,
receberá grande quantia de dinheiro.
Duplicidade – 2009
Com Julia Roberts e Clive Owen.
Sinopse: Ex-agentes de serviços de inteligência

governamentais ingressam na área de contrainteligência
corporativa de empresas rivais e, ao mesmo tempo,
vivem um romance e possuem planos mais ambiciosos.
15
CAPÍTULO 2
Legislação aplicada à espionagem
industrial no Brasil
“Se é um milagre, algum tipo de evidência dirá. Mas se for um fato, a prova é
necessária.”
Mark Twain.
Como a espionagem é tratada à luz da

legislação brasileira?
A Lei no 7170, de 14 de dezembro de 1983, conhecida como Lei de Segurança Nacional,
ainda está em vigor e trata do crime de espionagem, assim estabelecendo:
Art.13 – Comunicar, entregar ou permitir a comunicação ou a entrega, a

governo ou grupo estrangeiro, ou a organização ou grupo de existência
ilegal, de dados, documentos ou cópias de documentos, planos,
códigos, cifras ou assuntos que, no interesse do Estado brasileiro, são
classificados como sigilosos.
Pena: reclusão, de 3 a 15 anos.
Parágrafo único – Incorre na mesma pena quem,:
I – com o objetivo de realizar os atos previstos neste artigo, mantém

serviço de espionagem ou dele participa;
II – com o mesmo objetivo, realiza atividade aerofotográfica ou de

sensoreamento remoto, em qualquer parte do território nacional;
III – oculta ou presta auxílio a espião, sabendo-o tal, para subtraí-lo à

ação da autoridade pública;
IV – obtém ou revela, para fim de espionagem, desenhos, projetos,

fotografias, notícias ou informações a respeito de técnicas, de
tecnologias, de componentes, de equipamentos, de instalações ou de
sistemas de processamento automatizado de dados, em uso ou em
desenvolvimento no País, que, reputados essenciais para a sua defesa,
segurança ou economia, devem permanecer em segredo.
16
Art. 14 – Facilitar, culposamente, a prática de qualquer dos crimes

previstos nos arts. 12 e 13 e seus parágrafos.
Pena: detenção, de 1 a 5 anos.”
A lei trata, no caput do artigo, da espionagem praticada por governos e organizações

estrangeiras. À época, a internet não existia e tampouco a tecnologia digital. Com
relação à punição, é relativamente branda se considerarmos que a revelação de segredos
relativos à Segurança Nacional é punida com o máximo de 15 anos de prisão, o que
dificilmente ocorreria em se tratando de réu primário, sem antecedentes criminais. As
consequências, no entanto, da revelação de segredos dessa monta pode ser imensurável.
Para efeito de comparação, nos Estados Unidos, a espionagem contra o país pode ser
punida com a prisão perpétua ou pena de morte, conforme previsto no código penal
(18 U.S. Code § 794).
No Reino Unido, a pena máxima de prisão para o crime de espionagem é de 14 anos.

No entanto, podem ser somadas diferentes acusações, assim como as condenações, não
havendo previsão para liberação antecipada, nem um número máximo de anos em que
alguém pode ficar preso, como ocorre no Brasil, onde ninguém pode ficar mais do que
30 anos preso. Na década de 1950, por exemplo, George Blake, que havia espionado
para os soviéticos, foi condenado a três penas consecutivas de 14 anos cada, resultando
em 42 anos de reclusão.
O Código Penal Militar (Decreto-Lei no 1001/1969) trata a espionagem como crime, nos
seguintes artigos:
»» Art. 143 – consecução de notícia, informação ou documento para fim de

espionagem.
»» Art. 145 – turbação de objeto ou documento.
»» Art. 146 – penetração com o fim de espionagem.
»» Art. 147 – desenho ou levantamento de plano ou planta de local militar

ou de engenho de guerra.
»» Art. 325, parágrafo único – violação ou divulgação indevida de

correspondência ou comunicação.
»» Art. 359 – informação ou auxílio ao inimigo.
»» Art. 362 – traição imprópria.
»» Art. 366 – espionagem.
»» Art. 367 – penetração de estrangeiro.
17
A Lei Federal no 9.504/1997, por sua vez, conhecida como Lei das Eleições, estabelece
que:
Art. 72. Constituem crimes, puníveis com reclusão de cinco a dez anos:
I – obter acesso a sistema de tratamento automático de dados usado pelo

serviço eleitoral, a fim de alterar a apuração ou a contagem de votos;
II – desenvolver ou introduzir comando, instrução, ou programa de

computador capaz de destruir, apagar, eliminar, alterar, gravar ou
transmitir dado, instrução ou programa ou provocar qualquer outro
resultado diverso do esperado em sistema de tratamento automático de
dados usados pelo serviço eleitoral;
III – causar, propositadamente, dano físico ao equipamento usado na

votação ou na totalização de votos ou a suas partes.
Assim, podemos entender que o acesso não autorizado ao sistema eleitoral pode ser
considerado espionagem? Certamente que sim.
O Brasil não possui uma legislação específica para espionagem industrial, ao contrário
do que ocorre em muitos outros países. Assim, são utilizados artigos de leis, muitas
vezes criadas para outras finalidades, no intuito de se obter o melhor enquadramento
legal possível.
É o caso, por exemplo, da Lei no 9279, de 14 de maio de 1996, que trata de propriedade
industrial. É lá que encontramos, sob o título de “Crimes de Concorrência Desleal”, os
artigos a serem utilizados para ação legal por espionagem industrial, que não é tratada
no Código Penal. Assim:
Art. 195. Comete crime de concorrência desleal quem:
[...]
IX – dá ou promete dinheiro ou outra utilidade a empregado de

concorrente, para que o empregado, faltando ao dever do emprego, lhe
proporcione vantagem;
X – recebe dinheiro ou outra utilidade, ou aceita promessa de paga

ou recompensa, para, faltando ao dever de empregado, proporcionar
vantagem a concorrente do empregador;
XI – divulga, explora ou utiliza-se, sem autorização, de conhecimentos,

informações ou dados confidenciais, utilizáveis na indústria, comércio
ou prestação de serviços, excluídos aqueles que sejam de conhecimento
18
público ou que sejam evidentes para um técnico no assunto, a que teve

acesso mediante relação contratual ou empregatícia, mesmo após o
término do contrato;
XII – divulga, explora ou utiliza-se, sem autorização, de conhecimentos

ou informações a que se refere o inciso anterior, obtidos por meios
ilícitos ou a que teve acesso mediante fraude; ou
[...]
Pena – detenção, de 3 (três) meses a 1 (um) ano, ou multa.
§ 1o Inclui-se nas hipóteses a que se referem os incisos XI e XII o

empregador, sócio ou administrador da empresa que incorrer nas
tipificações estabelecidas nos mencionados dispositivos.”
§ 2o O disposto no inciso XIV não se aplica quanto à divulgação, por

órgão governamental competente para autorizar a comercialização de
produto, quando necessário para proteger o público.
Em outras palavras, quem pratica a espionagem industrial no Brasil está sujeito a uma
pena de 3 meses a 1 ano de detenção, ou multa, o que acaba servindo como um estímulo
para a prática de um crime grave que causa enormes prejuízos para a indústria. Para
fins de comparação, nos Estados Unidos, que possui lei de Espionagem Industrial (18
U.S. Code § 1831), a multa pode ser de até US$ 5 milhões e até 16 anos de prisão.
Em 2010, o ex-engenheiro da Boeing, Dongfan Chung, foi sentenciado a 16 anos de

prisão por espionagem industrial, por ter se apoderado de segredos relativos ao
programa do US Space Shuttle e do foguete Delta IV, que foram repassados para a China.
Durante cerca de 30 anos, ele atuou como espião para os chineses, entregando milhares
de documentos confidenciais. À época da sentença, Chung tinha 74 anos de idade e a
condenação equivale praticamente à prisão perpétua para ele. Esse foi o primeiro caso
de julgamento por espionagem industrial desde a vigência da lei naquele país.
A Lei no 12.737, de 2012, por sua vez, estabeleceu os chamados crimes de delitos
informáticos e assim dispôs:
“Art. 154-A. Invadir dispositivo informático alheio, conectado ou não

à rede de computadores, mediante violação indevida de mecanismo
de segurança e com o fim de obter, adulterar ou destruir dados ou
informações sem autorização expressa ou tácita do titular do dispositivo
ou instalar vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
19
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende

ou difunde dispositivo ou programa de computador com o intuito de
permitir a prática da conduta definida no caput.
§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta

prejuízo econômico.
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações

eletrônicas privadas, segredos comerciais ou industriais, informações
sigilosas, assim definidas em lei, ou o controle remoto não autorizado
do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta

não constitui crime mais grave.
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver

divulgação, comercialização ou transmissão a terceiro, a qualquer título,
dos dados ou informações obtidos.
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado

contra:
I – Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de

Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito
Federal ou de Câmara Municipal; ou
IV – dirigente máximo da administração direta e indireta federal,

estadual, municipal ou do Distrito Federal.
Art. 154-B Nos crimes definidos no art. 154-A, somente se procede

mediante representação, salvo se o crime é cometido contra a
administração pública direta ou indireta de qualquer dos Poderes da
União, Estados, Distrito Federal ou Municípios ou contra empresas
concessionárias de serviços públicos.”
Pela leitura da lei anterior, podemos perceber que, se a espionagem ocorre por meio
da violação ou invasão de computadores ou rede informatizada, a pena pode chegar a
até 2 anos de prisão, podendo aumentar até a metade se o alvo da espionagem for uma
autoridade, o que inclui o Presidente da República.
O país possui leis confusas e constantemente conflitantes.
20
Vejam o que diz o art. 313-A do Código Penal:
“Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção

de dados falsos, alterar ou excluir indevidamente dados corretos nos
sistemas informatizados ou bancos de dados da Administração Pública
com o fim de obter vantagem indevida para si ou para outrem ou para
causar dano: (Incluído pela Lei no 9.983, de 2000))
Pena - reclusão, de 2 (dois) a 12 (doze) anos, e multa. (Incluído pela Lei

no 9.983, de 2000).”
Da forma como está redigida, é condição para a prática desse crime:
1. ser funcionário público;
2. estar autorizado para inserção ou modificação de dados no sistema;
3. inserir, facilitar a inserção, alteração ou exclusão indevida, de

dados corretos nos sistemas informatizados ou bancos de dados da
Administração Pública;
4. ter como objetivo a vantagem indevida para si ou para outrem ou para

causar dano.
A pena é maior do que espionar as autoridades brasileiras, como vimos. Vejamos, agora,
o seguinte exemplo: Uma funcionária pública, autorizada, insere dados incorretos ou
modifica dados corretos no cadastro de pacientes de um hospital. Tais fatos se deram
por erro da digitadora, ou por ter recebido uma ordem de seu superior para assim agir.
O resultado é que várias pessoas foram prejudicadas. Assim, as condições citadas foram
atendidas e ela pode ser condenada a até 12 anos de prisão. Como ela irá provar que não
foi de propósito? O crime não admite a culpa, mas tão somente o dolo.
Não há como imputar qualquer responsabilidade ou comprovar o dolo (ou seja,

a intenção) de alguém acusado de cometimento de crime de informática sem que o
computador e o sistema tenham sido periciados.
Em vários casos, até mesmo funcionários públicos, não autorizados, têm sido
condenados, tão somente com base em indícios, quando há que se ter provas.
Toda informação precisa atender aos critérios de confidencialidade, integridade e

disponibilidade (available) no que é conhecido como a tríade CIA, formada a partir
das primeiras letras dessas três condições. Na investigação de crimes de informática
(cybercrimes), é fundamental que se verifique os critérios de autenticidade e de não
repudiação. Ou seja, quem investiga, precisa antes de tudo ter a certeza de que um crime
21
foi cometido. Depois, saber de que forma houve comprometimento da confidencialidade

e da integridade das informações. A seguir, precisa determinar quem teve acesso ao
sistema, quando e o que foi feito por aquele usuário.
Por essa razão, a autenticidade lida com quatro perguntas básicas:
1. Quem você é? Como você pode comprovar quem, de fato, você é? A

biometria é uma dessas formas. Assim, as impressões digitais, a leitura
da íris, o reconhecimento de voz, entre outros, podem permitir a
identificação do usuário.
2. O que você tem? O crachá é uma resposta a essa pergunta. Sobretudo,

quando estamos nos referindo ao crachá proximity, que, ao ser
aproximado de um terminal, pode solicitar a inserção de um pin (4
dígitos, por exemplo) e/ou traz diversas informações sobre o funcionário.
3. O que você sabe? Se você é um funcionário autorizado, deve conhecer a

senha de acesso ou pin exigido para entrar no sistema.
4. Onde você está? Se você está “logado” no seu computador, espera-se que
você seja o usuário autorizado.
Essas medidas ajudam a entender um conceito que veremos mais tarde, que diz respeito
à necessidade da segurança, em qualquer sistema, ser realizada por meio de camadas
(layers). Quanto mais camadas de segurança são adicionadas mais seguro é o sistema.
Assim, se para acessar um terminal é necessária a identificação biométrica, bem como a
utilização de cartão proximity, que exige a inserção de pin ou senha, esse sistema estará
muito mais protegido.
O grave, no entanto, é que, em muitos casos, no Brasil, tem havido condenações judiciais,
em que, sem que tenha havido perícia no sistema ou nos computadores, as pessoas são
consideradas culpadas em razão de terem sido beneficiadas. Explico. Em uma empresa,
por exemplo, pode acontecer que, e não se sabe por que (erro de sistema ou inserção de
dados de forma equivocada ou intencional), quatro servidores do mesmo setor sejam
beneficiados com a inclusão de valores que não estavam corretos ou eram indevidos.
Tribunais têm condenado tais pessoas pelo crime de inserção de dados falsos, partindo
do pressuposto de que, se foram elas as beneficiárias, então a inserção só pode ter sido
efetuada por elas e de forma intencional. Vejam o absurdo! Há, nesses casos, a inversão
do ônus da prova (ninguém pode ser considerado culpado sem provas), pois caberia ao
Ministério Público provar, o que não seria difícil, após a perícia nos computadores ou
no sistema, quem fez a devida inserção. Qual senha foi utilizada quando o sistema foi
“logado” e quais alterações foram realizadas. É assim que é feito no “primeiro mundo”.
22
Estamos falando de penas que podem chegar a 12 anos de prisão. Mais absurdo ainda é
se lembrarmos que o código de processo penal, no art.158, exige, sob pena de anulação
do processo, o exame de corpo de delito, ainda que indireto. O exame do corpo de delito
na informática corresponde à perícia do computador suspeito ou do sistema. O livre
convencimento dos juízes na avaliação das provas não permite a eles que deixem de
examiná-las. Condenar alguém em crime de informática tão somente baseado em quem
foi beneficiado, sem periciar o computador e o sistema, não tem o menor cabimento,
mas tem acontecido e com frequência no país. Ainda que uma só pessoa tenha sido
beneficiada, não tenho como afirmar que foi ela quem fez a inserção de dados falsos,
sem a devida perícia que comprove a autenticidade. E o que é a não repudiação?
É quando um documento foi assinado eletronicamente, a partir de encriptação pública
(não assimétrica), pois significa que a mensagem ou informação enviada veio de fato
daquele emissário.
Mais grave ainda é quando analisamos o art. 313-B do Código Penal, que assim dispõe:
“Modificação ou alteração não autorizada de sistema de informações

(Incluído pela Lei no 9.983, de 2000)
Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações

ou programa de informática sem autorização ou solicitação de
autoridade competente: (Incluído pela Lei no 9.983, de 2000)
Pena - detenção, de 3 (três) meses a 2 (dois) anos, e multa. (Incluído

pela Lei no 9.983, de 2000)
Parágrafo único. As penas são aumentadas de um terço até a metade se

da modificação ou alteração resulta dano para a Administração Pública
ou para o administrado.(Incluído pela Lei no 9.983, de 2000)”
Ou seja, se alguém, ao invés de inserir um dado falso, resolver modificar todo o sistema,
de tal forma a ser beneficiado com tal alteração, ficará preso por, no máximo, 2 anos,
apesar de ser um crime muito mais grave que o disposto no art. 313-A.
Por que estamos tratando dessas questões sobre crimes relacionados à informática e
da forma ilógica como decisões judiciais são tratadas no país ao abordarmos o tema da
espionagem industrial?
Por uma questão bastante simples. É fundamental que fique claro o conceito de que a
segurança, o que inclui as medidas de contraespionagem, precisam ser realizadas por
meio de camadas, como já vimos. Sabemos, também, que uma das maiores ameaças vem
justamente de dentro das empresas. Assim, se são utilizados dois ou três mecanismos
de autenticação para acesso ao sistema fica muito mais fácil, posteriormente, proceder
23
à identificação de quem está agindo de forma suspeita ou indevida. Da mesma forma,

importante que não haja um julgamento precipitado ou mal realizado tão somente
baseado em indícios. Pessoas serem beneficiadas podem representar indício, mas
apenas com a perícia e o devido exame de corpo de delito pode-se ter a comprovação do
crime. No campo da contraespionagem, não tire conclusões rápidas e nem precipitadas
e tampouco faça condenações com base em pré-julgamentos pois se trata de tema
muito sério. A precipitação pode levar a duas situações, nesses casos. A injustiça é a
primeira delas e pessoas inocentes podem ser falsamente acusadas e, mais tarde, ao
comprovarem inocência, entrarem com ação judicial por danos morais e materiais.
A segunda questão é que a precipitação pode fazer com que espiões percebam seu
movimento e desapareçam com as evidências.
Quando, no entanto, há elementos fortes que direcionam para um determinado

funcionário, aquele computador deve ser isolado (não ligar e nem desligar) até a chegada
do perito que irá examinar a máquina. A verificação do sistema também deve ser feita.
Falaremos de outras medidas mais à frente.
Se, no entanto, você é o chefe de alguém em uma empresa e suspeita que ele está
furtando informações ou agindo contra a organização, você pode entrar no computador
dele? Você pode acessar os e-mails dele? Nos Estados Unidos, essa é uma questão que
está bem sedimentada. Nenhum órgão policial ou público pode realizar buscas sem um
devido mandado judicial, pois, do contrário, iria “passar” por cima da quarta emenda
constitucional. No entanto, isso não se aplica às empresas que podem livremente ter
acesso a todos os seus computadores e mensagens do e-mail corporativo ou que tenham
sido acessadas por intermédio do sistema da empresa. Há algumas organizações que
possuem políticas próprias para os funcionários que queiram trazer seus próprios
equipamentos. Essas políticas são conhecidas por BYD (bring your device) ou BOD
(bring own device), significando “traga seu próprio equipamento”. Para muitos casos,
isso significa que câmeras não são permitidas e que determinadas funções não podem
ser acessadas, além de a empresa ter o direito de realizar buscas em seus equipamentos
para evitar vazamentos de informações. Quanto maior o grau de sensibilidade da
informação, mais rigorosas devem ser as políticas de segurança.
Há, inclusive, naquele país, empresas que fornecem seus aparelhos de telefonia móvel
(celular, smartphone) para seus funcionários para que sejam utilizados inclusive fora do
expediente. Esses aparelhos, contudo, possuem GPS e, em muitas situações, a empresa
pode acessar tal dado, pois o equipamento é deles. Da mesma forma, quando o funcionário
é desligado o aparelho pode ser totalmente apagado, inclusive de forma remota.
Como é a legislação no Brasil, nesse aspecto? É um pouco diferente e mais restritiva.

Com relação ao e-mail corporativo, o Tribunal Superior do Trabalho já firmou
24
jurisprudência no sentido de que o e-mail corporativo pertence à empresa e, portanto,

pode ser livremente checado pela instituição sem que seja configurada a invasão de
privacidade. Privacidade implica algo que seja privativo e o e-mail corporativo, como o
próprio nome já indica, não pertence ao funcionário.
Em um julgamento, em 2012, o TST afirmou que há limites a serem observados pelas

empresas no controle dos e-mails corporativos. Em um caso julgado pelo TRT da 5a
Região, um funcionário de uma empresa teria tido o seu armário na empresa aberto e
o notebook da empresa, que lá estava, apreendido e vasculhado. O funcionário ganhou
a ação, tendo o TST entendido que houve invasão de privacidade, mesmo sendo o
computador corporativo e o armário ser da empresa. Segundo o TST, para que a
empresa possa acessar os e-mails corporativos os funcionários devem ser previamente
informados dessa possibilidade. O sigilo das correspondências também foi reafirmado
como inviolável (EXAME, 2012).
Com relação a exigir que o funcionário use crachás e siga a política de segurança da
empresa, a condição é tão somente que esteja regulamentada pelo funcionário, que
deve dar o devido conhecimento da exigência e deve cumprir tal obrigação, que visa,
antes de tudo, a segurança e pode também ser utilizado também para fins de registro
de frequência, por exemplo.
Nenhuma empresa, no entanto, é obrigada a permitir o acesso de sua rede de internet

por equipamentos que não sejam da corporação. As empresas podem proibir o uso
de celulares em suas dependências? Também pode, assim como o de equipamentos
particulares de informática. Tudo depende do contrato estabelecido entre a empresa e
o empregado, por ocasião da contratação, nos termos do art. 444 da CLT:
“Art. 444 – As relações contratuais de trabalho podem ser objeto de livre

estipulação das partes interessadas em tudo quanto não contravenha às
disposições de proteção ao trabalho, aos contratos coletivos que lhes
sejam aplicáveis e às decisões das autoridades competentes.”
Com relação ao sigilo profissional e divulgação de informações confidenciais, a punição

é ainda mais absurda. De acordo com o Código Penal, é crime:
“Art. 153 – Divulgar alguém, sem justa causa, conteúdo de documento

particular ou de correspondência confidencial, de que é destinatário ou
detentor, e cuja divulgação possa produzir dano a outrem:
Pena – detenção, de um a seis meses, ou multa, de trezentos mil réis a

dois contos de réis.
Parágrafo único – Somente se procede mediante representação.”
25
Uma das mais importantes formas de se evitar um crime é por meio da aplicação de
leis severas. A certeza de que o criminoso não ficará impune. Pelo enunciado anterior,
contudo, um funcionário de uma empresa, ao revelar informações de documentos
confidenciais, estaria sujeito tão somente a uma pena de seis meses de detenção.
O artigo seguinte, trata da violação de segredo profissional:
“Art. 154 – Revelar alguém, sem justa causa, segredo de que tem ciência
em razão de função, ministério, ofício ou profissão, e cuja revelação
possa produzir dano a outrem:
Pena – detenção, de três meses a um ano, ou multa de um conto a dez

contos de réis.
Parágrafo único – Somente se procede mediante representação.”
Mais uma vez, a legislação se torna falha. Imaginem que a violação do sigilo profissional
pode resultar em uma pena máxima de um ano de detenção e que, em se tratando de réu
primário, não resulta em prisão, propriamente dita. Agora imaginem o risco que uma
grande empresa corre se for contar apenas com o “rigor” da lei. Daí porque é fundamental
que haja um excelente programa de prevenção, como veremos mais à frente.
Resta claro que o país necessita, urgentemente, de uma legislação clara e adequada
para o combate à espionagem industrial, uma vez que os instrumentos atuais são
extremamente frágeis e acabam por estimular a prática.
26
CAPÍTULO 3
Desenvolvimento de Programa de
Contraespionagem Industrial
“Existem certas pistas na cena do crime, as quais...por sua própria natureza, não
permitem a elas mesmas... serem coletadas ou examinadas. Como coletar amor,
raiva, ódio, medo?”
(James Reese)
Antes de tratarmos do desenvolvimento de um programa de contraespionagem industrial,

precisamos discutir alguns conceitos.
A contraespionagem é uma medida de contrainteligência. Mas o que é a contrainteligência?
De uma forma bem simples, podemos dizer que é o conjunto de medidas visando a
proteção de informação que deve estar a salvo do acesso não autorizado, bem como o
monitoramento, identificação, neutralização e exploração das ações de inteligência
inimiga. Parecido com a definição de contraespionagem discutida anteriormente? Com
certeza. Como já dissemos, a contraespionagem é uma das medidas de contrainteligência.
Podemos didaticamente dividir a contrainteligência em Segurança Orgânica e em

medidas Pró-ativas.
Assim, a segurança orgânica possui os seguintes componentes a serem protegidos:
»» pessoal;
»» áreas e instalações;
»» informática;
»» comunicações;
»» documentos.
Pessoal
Trata-se da proteção dos dados dos funcionários, clientes e stakeholders de uma forma
geral, que estejam sob proteção da empresa, contra o acesso não autorizado. Imaginem
que os dados pessoais de funcionários podem conter endereço, telefone, estado civil,
CPF e uma série de informações que poderiam os colocar em risco de chantagem,
27
extorsão, sequestro, assalto, bem como para a engenharia social que explicaremos mais
à frente. Em alguns casos, informações referentes a questões financeiras e até mesmo
dados de conta bancária e cartão de crédito podem estar armazenadas e devem ser
protegidas. Além disso, há necessidade da proteção física das pessoas, especialmente
aquelas lotadas ou exercendo funções consideradas sensíveis como dirigentes de
organizações financeiras, executivos. Para cada tipo de função a ser executada, deve
existir um plano de segurança correspondente, adequado e proporcional ao risco. Faria
muito sentido a segurança aproximada com utilização de profissionais especializados
em proteção de autoridades para um alto executivo de uma multinacional, que poderia
incluir, por exemplo, o uso de carros blindados, entre outras medidas. Tal medida, no
entanto, não seria necessária e nem possível de ser realizada para todos funcionários
da empresa. No entanto, deve haver outras também voltadas para protegê-los, como o
uso de iluminação adequada. Os funcionários devem ser devidamente treinados para
identificar contatos e pessoas suspeitas.
Áreas e Instalações
Trata-se da proteção física e de segurança cibernética da empresa ou indústria,
compreendendo além do local onde se encontra a área principal da organização,
como também residências oficiais onde moram seus executivos. Como medida de
contrainteligência, o acesso deve ser restrito a pessoas autorizadas, com a solicitação
de crachás (proximity de preferência), sistema de monitoramento por câmeras, muros
e cercas ao redor, proteção das centrais de energia, gás, ar condicionado, água, bem
como cabeamento de informática, entre outras.
Informática
É a proteção voltada para essa área, mediante políticas que exijam a utilização de
senhas, softwares voltados para a prevenção de códigos maliciosos e malwarers, bem
como que limitam o uso indiscriminado de equipamentos e contas privadas por meio da
rede da empresa e, ainda, a possibilidade de monitoramento dos e-mails corporativos,
por exemplo. Como é realizada a troca de mensagens? São criptografadas? É realizado
backup? De que forma? A empresa dispõe de plano de recuperação para desastres
(Disaster Recovery)?
Comunicação
Aqui, o foco é a proteção não apenas do sistema de comunicações contra “grampos”,
por exemplo, mas também a garantia de que o sistema está funcionando e sendo
28
operacionalizado de forma segura e adequada. Quais são os telefones utilizados pelos

executivos? Qual é o grau de segurança? Qualquer telefone e/ou smartphone pode ser
utilizado na empresa?
Documentação
Que documentos precisam ser protegidos? Como? Qual a melhor forma? Quais são
as ameaças? Há cópias seguras? Estão protegidos contra incêndios e desastres de um
modo geral?
Há uma série de perguntas e outras considerações a serem feitas para cada um dos
tópicos citados e servem apenas de exemplos.
As medidas chamadas Pró-ativas, por sua vez, compreendem:
»» contraespionagem;
»» contraterrorismo;
»» contrassabotagem;
»» contrapropaganda.
Para que um programa de contraespionagem possa ser desenvolvido, é fundamental

que haja uma classificação de risco para a corporação.
Vamos, no entanto, definir alguns conceitos antes de tudo.
Toda organização possui pontos fracos e pontos fortes. Essa é uma premissa básica da
chamada Matrix SWOT, muito usada no Planejamento Estratégico. Os pontos fracos
ou fraquezas de uma organização correspondem ao conjunto de falhas, deficiências,
problemas e lacunas capazes de levar a uma vulnerabilidade.
O que é ameaça? É todo e qualquer evento capaz de provocar danos a uma organização
vulnerável. Não existe ameaça sem vulnerabilidade. Um copo de água é uma ameaça
para uma folha de papel comum? Sim, pois esse tipo de papel sofrerá danos em contato
com a água, ou seja, é vulnerável a essa ameaça. Esse mesmo copo de água oferece danos
em contato com um material impermeável? Não. Logo, esse material não é vulnerável à
água e, portanto, nesse exemplo, o copo de água não é uma ameaça.
Existe uma estorinha antiga que diz que uma minhoca mais velha dava dicas de
sobrevivência para a mais novinha e dizia: Não se preocupe com os animais como tigres
e leões, pois eles não fazem nada conosco, mas muito cuidado com as galinhas, pois elas
29
são um grande perigo para nós. Percebam. Tudo depende do ponto de vista de quem é
vulnerável a quê.
É importante nos lembrarmos, portanto, que, obrigatoriamente, uma ameaça deve

estar relacionada a uma fraqueza que criou tal vulnerabilidade. Muitas vezes, vemos
empresas apresentando fraquezas e relacionando ameaças que não possuem relação
alguma com aqueles pontos fracos. Resultado? A empresa não saberá reduzir as
vulnerabilidades existentes.
E os pontos fortes? São todos aqueles que se destacam na organização e são capazes de se
apresentarem como uma vantagem competitiva e, por essa razão, devem ser associados
a oportunidades. Mais uma vez, contudo, devemos nos recordar de que apenas aquelas
oportunidades oriundas ou que podem ser relacionadas aos pontos fortes é que podem
receber tal denominação. Assim, temos que as ameaças e as oportunidades fazem parte
do chamado ambiente externo, enquanto que as fraquezas e forças, do ambiente interno.
Fica estranho, por essa definição, que as corporações se refiram a “ameaças internas”
para se aludirem a problemas que deveriam ser entendidos como vulnerabilidades e
fraquezas, mas não ameaças. Sabem por quê? Porque as ameaças e as oportunidades, ao
fazerem parte do ambiente externo, são fatores não controláveis, ao contrário daquelas
existentes no ambiente interno.
Assim, por essa análise, temos que o risco pode ser calculado como sendo o resultado
da ameaça versus vulnerabilidade. Ou seja, quanto maior a vulnerabilidade e a ameaça
tanto maior o risco e vice-versa. Essa é uma avaliação qualitativa, contudo. Como fazer
uma avaliação quantitativa? Há diversas formas. Um exemplo fácil de ser feito é o da
identificação da severidade da ameaça pela probabilidade de ocorrência.
Vamos elencar o vazamento de informações sigilosas como nossa primeira ameaça.

Uma vez que não existe empresa que seja 100% protegida contra essa possibilidade,
estamos, então, diante de uma ameaça. Se houver, de fato, um vazamento desse tipo de
informação, qual seria a gravidade para sua corporação? Se as informações sensíveis não
estão compartimentalizadas e podem ser facilmente percebidas, entendidas e podem
ser utilizadas por quem as tem, poderíamos dizer que é muito grave. Ou seja, nota 5,
em que essa é a maior nota e 1, a menor (não existe risco zero, ok?). Por outro lado, se
as informações estão sob criptografia forte e compartimentalizadas, ou seja, uma parte
foi vazada, mas seria quase impossível que seja decifrada, então, podemos diminuir
para 3 ou 2, o grau de ameaça. E qual a probabilidade de que isso ocorra? Vamos dizer
que nessa empresa fictícia, mesmo com os cuidados tomados pela segurança, há uma
vulnerabilidade importante, que é a falta de conhecimento dos antecedentes de todos
funcionários; então, diríamos que a probabilidade é moderada (3). Teríamos assim, ao
multiplicarmos esses fatores, um grau de risco equivalente ao número 15.
30
Um comentário. Acabamos de elencar a falta de conhecimento dos antecedentes

dos funcionários como um fator de risco. Do que estamos falando? Um dos fatores
e elementos mais importantes nas empresas é saber quem são os seus funcionários.
Cada vez mais, em países como os Estados Unidos tem sido extremamente importante
o chamado background screening. Isso significa que o candidato a trabalhar em uma
empresa possui seus antecedentes devidamente checados, com algumas limitações
(não é permitido, por exemplo, a verificação de dados de crédito para a maioria das
contratações privadas). Não estamos falando apenas de antecedentes criminais, mas
de diferentes análises. Você está contratando um funcionário oriundo do mesmo país
onde está o seu maior concorrente. Vale a pena saber quem é ele? Onde trabalhou e
para quem? Você está contratando alguém que será o responsável pela creche dos filhos
de seus funcionários. Parece ser uma pessoa boa e bem capacitada. Muda alguma coisa
se você descobrir que ela já cumpriu vários anos de prisão por pedofilia? Nos Estados
Unidos, por exemplo, apenas as pessoas que foram devidamente checadas e possuem o
chamado clearance de segurança podem ter acesso a documentos sigilosos e sempre de
acordo com o grau de confidencialidade para o qual foram aprovadas. Assim, podemos
ter funcionários com clearance de segurança para documentos confidenciais, secretos
ou ultrassecretos. Alguns desses funcionários podem, por exemplo, ter que trabalhar
em projetos do governo que possuam o mais alto nível de segurança.
O mesmo pode ser dito para as contratações feitas pelo governo americano, canadense,
inglês, entre outros. Apenas os que foram devidamente checados podem ter acesso a
essas informações.
Isso não ocorre no Brasil. Qualquer servidor público, após ser empossado, pode ter
acesso a documentos sigilosos sem que tenha sido devidamente checado. Pior ainda
quando estamos falando de estagiários que são livremente admitidos sem qualquer tipo
de verificação de antecedentes.
Vamos voltar à nossa avaliação de ameaças. A segunda ameaça a ser listada poderia ser
a entrada não autorizada de pessoas nas dependências da organização. Vamos entender
que seria uma situação potencialmente grave, mas não tanto, pois a empresa fictícia
que estamos analisando possui informações guardadas de tal forma que, mesmo que
alguém entrasse no edifício, teria grande dificuldade de se aproximar do cofre. Assim,
colocamos uma nota 4. Qual a probabilidade? Nessa empresa fictícia, entendemos que é
muita baixo esse tipo de situação uma vez que o prédio é muito vigiado, possui diversos
mecanismos de proteção física e o acesso se dá por meio de crachás do tipo proximity.
A nota fica sendo, então, 2.
Uma terceira ameaça seria a espionagem por meio do ciberespaço, ou seja, um ataque
cibernético. Nesse aspecto, poderia ser uma situação muito grave, pois há muitas
31
informações que estão no meio virtual. A gravidade seria então 5. E o risco? Você
se dá conta, como profissional de segurança dessa empresa, que não há medidas de
contrainteligência adequadas e que a chance de que possa ocorrer é muito alta? A nota,
então, fica sendo, 4.
Uma outra ameaça seria a chamada Engenharia Social. Esse termo, muito utilizado por
um hacker americano chamado Kevin Mitnik, que hoje é consultor de segurança, tem
sido bastante estudado dado seu risco de ocorrência.
Para saber mais, leia os seguintes livros de Kevin Mitnik:
A Engenharia Social é a obtenção de dados não autorizados; é a utilização de técnicas

em que uma pessoa se passa por outra que teria acesso autorizado. Mitnik afirmou que
na maior parte das invasões que ele realizou e dos dados que obteve não cometeu furto
algum, mas, simplesmente, solicitou e foi dado a ele sem questionamento. Imaginem,
por exemplo, alguém que se passe por um funcionário da informática e por meio de
uma ligação telefônica solicite a um empregado da empresa dados referentes à conexão
e acesso ao sistema. O funcionário, acreditando que esteja falando com alguém da
informática, acaba fornecendo informações que não poderiam ser do conhecimento
de outros. A gravidade, portanto, poderia ser alta para a sua empresa e a nota é 5.
No entanto, você tem um programa muito forte de conscientização dos funcionários
para os riscos da engenharia social e sua empresa não permite que os setores mais
estratégicos recebam chamadas oriundas de telefones externos. A probabilidade, então,
fica sendo 3.
Com base nas informações anteriormente simuladas, criamos o quadro a seguir.
Total
Severidade Probabilidade de
Ameaça (multiplicação da severidade
(gravidade) ocorrência
pela probabilidade)
Vazamento de informações sigilosas 05 03 15
Entrada de pessoas estranhas nos prédios 04 02 08
Espionagem cibernética 05 04 20
Engenharia social 05 03 15
32
Assim, temos que o maior risco para essa empresa ( e, portanto, deve ser priorizado) é o
ataque (espionagem) cibernético. Não que as outras ameaças não devam ser consideradas
(devem), mas apenas permite que você possa priorizar as ações. Há, ainda, a possibilidade
de se acrescentar uma terceira coluna no quadro anterior, em que conste o prejuízo
financeiro diante da ocorrência da ameaça listada. Por exemplo, para as empresas que
estavam no World Trade Center, em 2001, e não possuíam filiais, o ataque representou o
fim da empresa. Outras tiveram prejuízos que não puderam ser compensados.
Mas essa avaliação não é subjetiva? Sim. No entanto, se realizada por profissionais
capacitados conduzem a um grau de confiabilidade alto, sobretudo se houver a participação
de profissionais de diferentes áreas, mas com bom conhecimento da empresa.
O passo seguinte é diminuir a vulnerabilidade. É um grande erro querer atuar na

diminuição da ameaça (ambiente não controlável), deixando de atuar na vulnerabilidade.
Como investir recursos para que criminosos desistam de cometer um crime? O que você
acha? Mudando a ideia deles ou diminuindo as vulnerabilidades do local onde eles
pretendem atacar? Já ouviram falar daqueles ladrões de carro que dizem que procuram
seus alvos, com base em suas vulnerabilidades? Janelas abertas, portas abertas, compras
no banco de trás? Esses mesmos criminosos evitam os que diminuem as vulnerabilidades,
estacionando em locais iluminados, com alarmes, com vidros fechados e nenhum sinal de
objetos do interior que possam ser de interesse dos bandidos.
Já vimos neste Caderno de Estudos e Pesquisa, que a espionagem ocorre pela

conjunção de cinco fatores (motivo, oportunidade, racionalização, habilidades e o
“gatilho”). A neutralização de um ou mais desses fatores, em conjunto com a mitigação
das vulnerabilidades à mercê das ameaças listadas, é fundamental para o plano de
contraespionagem.
Segundo Benny (2014), os espiões são descobertos pelas seguintes razões:
1. Porque foram identificados pela inteligência.
2. Porque foram denunciados.
3. Porque cometeram erros.
4. Em razão de um efetivo plano de contraespionagem.
O plano de contraespionagem deve reunir profissionais de diferentes áreas e,

obrigatoriamente, deve ter representantes das áreas a serem protegidas pela segurança
orgânica. Ou seja, deve ter profissionais dos Recursos Humanos, da Informática, da
Segurança, das Comunicações, de Áreas e Instalações e da Documentação, além da
diretoria-geral ou órgão semelhante que seja o responsável pela operacionalização geral
33
da empresa. Em algumas pode ser que seja o Vice-presidente de uma área específica e
pode ser também que o CEO ou Presidente queira ter um representante nessa comissão
encarregada de elaboração desse plano. A ideia de envolver outros departamentos visa
obter colaboração de um número grande de empregados, criar conscientização e, ao
mesmo tempo, identificar vulnerabilidades. Quem melhor para saber os pontos críticos
do que quem lida com eles diariamente? Esse mesmo grupo pode, ainda, escrever o
plano de desastres da empresa, entre outros.
O plano deve ser escrito. Não deve ser complicado e nem ter termos de difícil
compreensão. Deve ser revisto anualmente e de preferência publicado em espiral, de tal
forma que, em atualizações futuras, uma ou mais páginas possam ser removidas sem
a necessidade de outra publicação. Deve estar salvo em mídia eletrônica (devidamente
protegida) e com backup.
Os serviços de inteligência governamental devem ser os responsáveis pela

contraespionagem, realizada por governos estrangeiros, bem como por grupos
terroristas, espiões, e por medidas ativas de contraespionagem, que requerem meios
tecnológicos e legais para que possam ser realizados.
As organizações mais complexas e grandes corporações, com freqüência, empregam

unidades de inteligência competitiva, visando, por meio do uso de fontes abertas e de
forma ética, a obtenção de vantagem estratégica no mercado. O grande problema é que
muitas empresas empregam tão somente profissionais de marketing para esse fim. Ou
seja, o objetivo e formação desses profissionais é a vantagem competitiva, mas não a
contrainteligência, e é onde pode haver problemas.
Toda corporação, seja pequena ou grande, deve dispor de política de contrainteligência.

As menores, provavelmente, não terão unidades ou equipes especialmente destinadas
para esse fim, mas todas que puderem devem ter. Em especial, todas empresas que
possuem atividades de inteligência competitiva devem implementar a contrainteligência
como um elemento fundamental na proteção de pessoas, informações e bens que devem
estar protegidos.
Em algumas empresas, a contrainteligência está sob a responsabilidade da segurança,

enquanto que, em outras, atua em conjunto com a inteligência corporativa.
Como já dissemos, não é de se esperar que as corporações estejam empenhadas e

engajadas em atividades pró-ativas de contraespionagem, pois essa é uma atividade
que, muitas vezes, irá requerer respaldo legal para a “quebra de sigilo” de quem está
tentando obter as informações protegidas e, portanto, deve estar a cargo dos órgãos
de segurança pública. Isso não significa, contudo, que as empresas não devam realizar
34
periodicamente buscas por equipamentos clandestinos de escuta e imagem em suas

dependências, bem como sinais de que possa estar sendo, de alguma forma, espionada.
Importante, no entanto, que a aquisição de quaisquer equipamentos para essa finalidade,
bem como as medidas a serem adotadas, estejam em consonância com as leis do país.
Contudo, é fundamental que as empresas empreguem medidas de segurança orgânica,

com vistas a identificar os riscos, realizar a mitigação e atuar de forma preventiva com
vistas a minimizar a possibilidade de serem espionados.
35
CAPÍTULO 4
Segurança Orgânica na
Contraespionagem
“Nenhum ser humano é capaz de manter um segredo. Se a boca se cala, falam as

pontas dos dedos. A traição emana dele por todos os poros.”
Sigmund Freud
Discutimos no capítulo anterior os conceitos de segurança orgânica e de medidas pró-

ativas.
Como apresentado, é fundamental que as organizações conduzam, sistematicamente,

medidas de segurança orgânica, com vistas à contraespionagem, da seguinte forma:
»» Elaboração de mapa de risco, com inventário das ameaças e

vulnerabilidades, bem como meios e formas de mitigação;
»» Elaboração de Plano de Desastres. Esse é um plano a ser desenvolvido

com o objetivo de responder a situações críticas capazes de provocar
danos irreversíveis à corporação, o que pode vir por meio de desastres
naturais ou provocados pelo homem. Deve conter medidas a serem
adotadas na pré-crise, em resposta à crise, bem como na recuperação da
crise (recovery);
»» Elaboração de Plano de Contraespionagem, como explicado;
»» Todos os planos devem ser aprovados pelo CEO ou Presidente e terem o

apoio para aplicação;
»» Designação de uma unidade de Contrainteligência, sempre que possível;
Pessoal:
»» Estabelecer critérios para contratação de pessoal que, na forma da lei,

possam incluir medidas para verificação de antecedentes de quem está
sendo contratado. Não se trata de discriminação, mas de evitar problemas
futuros. A política para esse fim, utilizada em outros países ocidentais,
é a da chamada adjudicação (adjudication). Por meio desse conceito,
uma equipe é responsável pelo levantamento das informações sobre o
candidato. Quanto mais importante e sensível for o acesso às informações
sigilosas que esse candidato terá, se for aprovado, mais detalhado deve
36
ser o processo. Como disse, sempre na forma da lei e de forma alguma

utilizando-se de qualquer subterfúgio para obtenção ilegal de dados,
conforme as leis do país. Há informações, por exemplo, que podem ser
obtidas em outros países e que, no Brasil, seriam ilegais. Assim, muito
cuidado. Uma vez obtidas as informações, sem que haja qualquer tipo
de análise ou emissão de parecer, as informações são enviadas para os
chamados adjudicadores, que são funcionários da empresa, geralmente
com grande experiência, e que devem incluir também alguém da
segurança, que irá analisar se existe ou não razão para que a contratação
não seja realizada. O Tribunal Superior do Trabalho já se manifestou
no sentido de que a contratação pode não ser realizada dependendo das
circunstâncias, quando há antecedentes criminais que guardam relação
com a atividade. Exemplo disso seria a contratação de profissional que
já tenha sido condenado por assalto, furto ou roubo para instalação de
equipamentos nas residências de clientes. No entanto, não faria sentido
deixar de contratar alguém para atuar na área de Tecnologia porque, no
passado, foi condenado por ter praticado um crime de menor potencial
ofensivo ou que não guarde relação com a atividade que será exercida.
Na dúvida quanto à legalidade das ações e medidas a serem tomadas, o
jurídico da empresa deve ser previamente contatado;
»» As pessoas, ao serem contratadas, devem ter ciência dos Planos elaborados,

bem como do Manual da Empresa, que deve trazer todas informações
sobre horário de expediente, registro de frequência, uniformes, política de
segurança da informação, entre outros. Devem estar cientes da obrigação
de guardar sigilo profissional;
»» Tão logo o funcionário tenha sido contratado, deve ser confeccionado o

crachá de identificação, que deverá ser utilizado em todos momentos em
que estiver nas dependências da empresa. De preferência, o crachá deve
ser do tipo proximity;
Figura 3. Proximity card.
Fonte: <http://masterprintersevergreen.com/>
37
»» Estabelecer diferentes formas de identificação e autenticação; se apenas

o crachá está disponível, adicionar também a biometria.
Figura 4. Uso de biometria junto com crachá.
Fonte: <http://www.securityinfowatch.com/article/10457232/integrating-smart-cards-with-biometrics>
Muitos locais no Brasil já adotam esse sistema. Na Câmara dos Deputados,

por exemplo, para registro de sessões extraordinárias, é exigido que o
servidor coloque a digital após ter sido identificado pelo crachá do tipo
proximity. Em muitos parques de diversões nos Estados Unidos, o
visitante deve usar o ingresso que funciona como cartão proximity ao
mesmo tempo em que coloca sua digital.
»» estabelecer política de não divulgação de dados pessoais a pessoas não

autorizadas expressamente pelo titular, o que inclui registros médicos
nas empresas que guardem esse tipo de documento;
»» manter os dados dos servidores atualizados;
»» estabelecer política clara, com relação ao horário de entrada, de saída

e acesso (e permanência) em horário fora do expediente, bem como as
portarias a serem utilizadas nesses casos;
»» Realizar campanha de conscientização para os riscos e medidas a serem

adotadas com vistas à prevenção de engenharia social na empresa;
»» congressos, simpósios, feiras são excelentes locais para atualização e

contatos, como também para a ação de espiões corporativos. Tenha sempre
isso em mente. Nem tudo que parece é. Cuidado com os relacionamentos
muito fáceis e as amizades surgidas nesses locais, sobretudo se você é um
palestrante ou alguém em cargo ou função executiva em sua empresa;
38
»» adotar a política de “viu alguma coisa suspeita...fale”. Essa é uma medida

importante para prevenção de fraudes, espionagem, terrorismo e
sabotagem.
Informática:
»» estabelecer, de forma clara, a política de informação da empresa;
»» informar os funcionários que os e-mails corporativos são para uso exclusivo

da empresa e que poderão, sempre que necessário, ser visualizados pelos
empregadores, na forma da lei;
»» estabelecer os critérios e condições para uso de e-mails particulares em

computadores da empresa, instalação de softwares, uso compartilhado
da rede, uso de equipamentos particulares, uso de equipamentos com
câmeras. Algumas empresas podem restringir o uso de celulares, bem
como de outros equipamentos;
»» estabelecer condições para acesso ao Centro de Informática;
»» deixar claro quais são as páginas com acesso restrito na utilização na

internet, ou mesmo com conteúdo proibido;
»» não permitir a cópia não autorizada, em qualquer meio, de informações

da empresa para serem levadas para outros locais;
»» adotar contramedidas de proteção da rede, incluindo firewalls, antivírus,

instalação de paths, entre outros;
»» conscientização dos funcionários quanto aos riscos do uso da rede e dos

computadores, incluindo informações sobre como escolher senhas, a
periodicidade com que têm que ser trocadas, entre outras informações.
As senhas não devem ser números sequenciais e nem palavras que
possam ser encontradas em dicionários. Uma forma prática de construir
uma senha segura é criando uma frase e utilizando-se as iniciais dessa
frase. Por exemplo, a frase poderia ser: Escolhi esta senha para usá-
la no meu trabalho diariamente no ano de 2015. As iniciais seriam
EESPUNMTDNAD2015. Faça, então, a alternância de letras maiúsculas
e minúsculas e você poderá ter: EeSpUnMtDnAd2015. Para torná-la
ainda mais forte, basta acrescentar dois pontos ao final ou no início.
Assim ficará :EeSpUnMtnAd2015:. Essa, com certeza, é uma senha forte,
que não usa suas informações pessoais, como data de nascimento, nome
dos filhos, entre outras. Só não usem a senha do exemplo porque já está
“queimada”, ok?
39
»» apenas funcionários autorizados podem utilizar os computadores da

empresa. Visitantes que solicitem utilizar o seu computador pessoal não
devem ser autorizados. Para situações especiais, que realmente possa
ser necessária a utilização de computador por visitantes, deve existir um
equipamento especialmente destinado a essa finalidade e o acesso deve
ser monitorado.
»» computadores podem ter os microfones e câmeras manuseados por

crackers, que podem ter invadido o seu sistema sem o seu conhecimento.
»» pendrives que foram recebidos como brindes de outras empresas

e fornecedores não devem ser utilizados, sobretudo em ambiente
corporativo. Você não sabe se aquele dispositivo possui malwares
instalados.
»» máquinas de fax, impressoras sem fio, bem como monitores de vídeo que
controlam a segurança da casa a distância, monitores de bebês. Tudo isso
pode ser invadido e os dados obtidos por criminosos com objetivos os
mais variados.
»» muitas pessoas participam de redes sociais e utilizam aplicativos que

informam onde elas estão. Isso pode ser um grande risco pois, além de
comprometimento da segurança pessoal, informam que não estão em
casa e nem no escritório. Da mesma forma, os perfis em redes sociais não
devem incluir endereços, telefones e nem informações sobre viagens a
serem realizadas.
»» nunca deixe o seu notebook sem supervisão direta, sobretudo em feiras,

simpósios, hotéis, restaurantes.
»» não acesse informações sensíveis a partir de redes públicas.
»» não deixe o bluetooth permanentemente ligado.
Áreas e Instalações:
»» Levantamento de todas áreas e instalações a serem protegidas;
»» Realizar proteção física por meio do conceito de camadas (muros, cercas,

cercas-vivas, portões, portas etc.). Esteja seguro de que os métodos
empregados sejam aceitos legalmente. Em alguns países, por exemplo, o
uso de cerca elétrica por particulares é proibido;
40
Figura 5. Cerca com ferros voltados para a área externa.
Fonte: <http://www.ifsecglobal.com/physical-security/>
Figura 6. Cerca com arame farpado e inclinação para a rua.
Fonte: <www.luz-eletrica.com.br>
»» Instale circuito de TV com possibilidade de gravação para as áreas mais

sensíveis;
Figura 7. CFTV – Sistema de monitoramento por câmeras.
Fonte: <www.telealarm.com.br>
41
As câmeras devem ser colocadas no maior número possível de locais que

sejam considerados como de risco. Não podem ser instaladas em banheiros,
mas podem ser colocadas na saída, de tal forma a perceber pessoas que
possam ter utilizado o banheiro para trocar de roupas ou colocar disfarce.
O ideal são as câmeras chamadas de movimento, que podem, de fato,
acompanhar o movimento como as que estão dentro de redomas escuras e
impedem que o suspeito perceba quando a câmera se move.
Figura 8. Câmera em redoma escura.
Fonte: <http://classic.www.axis.com/products/video/accessories/images/product_list/ph_5502-361.jpg>
»» a iluminação deve ser a melhor possível, de tal forma a proteger toda a

área e perímetro externo;
»» se há locais ao redor cobertos por vegetação, que facilite a incursão ou

o esconderijo de bandidos, verifique quem são os donos do terreno com
vistas a mantê-lo permanentemente limpo;
»» instale cercas e muros com arame farpado voltado para a rua;
»» todos acessos devem ser controlados e visitas devem ser acompanhadas

e guiadas com todos participantes devidamente identificados. Fotos de
equipamentos de segurança são altamente suspeitas, assim como de
pessoas fazendo perguntas específicas sobre aspectos de segurança;
»» áreas sensíveis não devem ser identificadas, nem objeto de visitação ou

acesso por pessoas não autorizadas;
»» alarmes de detecção de intrusão devem ser instalados;
»» qualquer pessoa ao entrar em área sensível deveria ser submetida a algum

tipo de screening, de preferência eletrônico ou sem contato físico, assim
como ao sair. Tal medida evitaria que pessoas saíssem com mídia digital
contendo informações sigilosas, por exemplo. Essa é uma prática bastante
utilizada em muitos países, sobretudo na área governamental, a exemplo
do que é feito nos aeroportos. A revista pode ser realizada de forma não
invasiva com detector de metais e esteira de raio x para as bolsas ou revista
simples das bolsas. Os equipamentos são caros e tudo vai depender do
42
grau de necessidade da empresa na proteção de seus bens. No Brasil, o

Tribunal do Trabalho já se pronunciou no sentido de que a revista de
bolsas pode ser feita, com limitações, mas que a revista íntima, em regra,
não deveria ser permitida. O importante é não expor o funcionário perante
os demais, preservar o pudor de todos, não realizar práticas que possam
ser vexatórias ou humilhantes e nem discriminatórias. Se é para revistar,
todos devem ser submetidos à mesma prática. Uma grande corporação
pode adotar, por exemplo, que apenas para acesso às salas de reuniões ou
onde estejam os documentos sigilosos as pessoas devem ser submetidas a
detectores de metal e entrarem sem celular e sem bolsas.
<http://www.conjur.com.br/2011-abr-18/decisoes-tst-mostram-limites-
revistas-feitas-funcionarios>
<http://www.conjur.com.br/2010-mai-18/clt-permite-revista-funcionarios-
expor-empregado>
»» Em reuniões sigilosas não devem ser permitidas as entradas de celulares,

computadores pessoais ou outros equipamentos. Naturalmente que pode
haver exceções, mas, quanto mais exceções maior o risco de vazamento
de informações. Uma alternativa é o uso de bloqueador portátil de sinais
de telecomunicação celular durante tais reuniões. No entanto, o uso de
bloqueadores deve atender estritamente a legislação vigente e pode ser
necessária a autorização da ANATEL ou de outro órgão para esse fim.
Portanto, a consultoria jurídica da empresa deve emitir parecer antes de
qualquer aquisição nesse sentido. Antes e depois das reuniões, o local deve
ser vistoriado para verificar a existência de escutas. Essa é uma medida-
padrão e cada empresa deve verificar o quanto mais próximo pode chegar
dessa referência e quanto de fato as informações ali discutidas valem o
investimento a ser realizado em sua proteção. Aliás, esse é um conceito
importante. Nenhuma forma de proteção pode custar mais do que o bem
a ser protegido.
»» Áreas sensíveis e com frequência esquecidas incluem o quadro de energia,

as centrais de telecomunicações, o registro geral de água, a central de ar
condicionado. Todas grandes empresas devem ter geradores.
»» O principal conceito aqui é o da segurança por camadas.
»» Uma das ações comuns de espionagem é o que em inglês é chamado de

“dumpster diving” que, literalmente, significa mergulhar nos contêineres
de lixo. Trata-se de uma técnica de vasculhar o lixo de pessoas e de
43
empresas em busca de informações que foram jogadas fora. Documentos

sigilosos jamais devem ser descartados em latas de lixo e devem receber
o tratamento adequado de descarte conforme a política da companhia,
como a incineração e a fragmentação.
Figura 9. Dumpster diving.
Fonte: <http://imgkid.com/dumpster-diving.shtml>
»» Qualquer empresa e funcionários que se apresentem para realizar entregas

ou reparos em sua organização devem ter as credenciais devidamente
conferidas e os profissionais identificados. Se eles possuem crachás de
identificação da empresa faça uma cópia, bem como realize a identificação
formal deles, como deve ser feita com qualquer visitante, e faça uma cópia
da ordem de serviço. Cheque, antes que entrem, se de fato o serviço foi
solicitado e autorizado. Alguém da empresa deve acompanhá-los durante
todo o tempo e o acesso deve ser restrito ao local onde irão trabalhar.
Qualquer peça ou equipamento da empresa que tenha que ser retirado
para reparo deve ser devidamente registrado e a segurança comunicada.
Deve ser providenciada autorização do departamento responsável pelo
equipamento para que ele possa ser retirado.
Comunicações:
»» Essa é uma área extremamente crítica. Como é a política da empresa

com relação ao uso de telefones celulares? Alguém tem direito de receber
celulares da empresa? O uso é liberado dentro das dependências da
empresa? Como já vimos, o uso de celulares em reuniões confidenciais
deve ser restrito. Pessoas portando celulares em locais que possuem
documentos sigilosos podem tirar fotografias bem como registrar
conversas e filmar sem serem percebidos, o que reforça a necessidade de
controle sobre tais equipamentos. Os funcionários devem ser igualmente
informados dos riscos de conversarem sobre temas sensíveis e sobre a
empresa, por meio do telefone, que pode estar “grampeado”. Telefones
44
fixos devem ser periodicamente verificados quanto à possibilidade de

estarem clandestinamente “grampeados”. Importante lembrarmos que
a escuta telefônica somente é permitida na forma da lei e sempre sob
autorização judicial. Nenhum empregador tem o direito de interceptar
conversas telefônicas de seus subordinados.
Figura 10. Grampo telefônico.
Fonte: <http://londrina.odiario.com/parana/noticia/393479/deputados-instalam-a-cpi-dos-grampos-no-legislativo/>
Estudo de Casos
Vários casos de espionagem industrial têm sido relatados em todo o mundo. A
seguir, há uma relação de alguns casos. Pesquise sobre cada um deles e verifique:
1. O que aconteceu.
2. Porque pode ter acontecido.
3. Quem foram os atores envolvidos (empresas, pessoas etc.).
4. Quais foram as consequências para a empresa.
5. Quais foram as consequências para quem praticou a espionagem.
6. O que poderia ser feito para evitar casos semelhantes no futuro.
Essa não é uma atividade avaliativa e você não precisa postá-la, mas é muito
importante que seja realizada para que haja um aprofundamento no assunto
com base em casos reais.
»» Em 2008, foi relatado o sumiço de notebooks e discos rígidos e,

apesar de ter sido apresentado como um caso de furto, a suspeita
de espionagem industrial sempre esteve presente. No mesmo ano,
o presidente da Associação dos Engenheiros da Petrobras (AEPET)
declarou que, em outro episódio, diversos computadores com
45
informações importantes da empresa teriam sido furtados das casas

de engenheiros e de outros profissionais.
Leia: <http://noticias.uol.com.br/ultnot/2008/02/14/ult23u1166.jhtm>
<http://www1.folha.uol.com.br/mercado/2008/02/372925-
seguranca-de-dados-da-petrobras-e-falho-diz-presidente-da-aepet.
shtml?mobile>
»» Em 2011, a fabricante francesa de automóveis Renault reconheceu

publicamente a demissão de três diretores em um caso de espionagem
industrial, uma vez que tais funcionários teriam revelado informações
sigilosas no exterior.
Leia: <http://economia.estadao.com.br/noticias/geral,renault-demite-
diretores-suspeitos-de-espionagem-industrial-imp-,663145>
<http://exame.abril.com.br/negocios/noticias/espionagem-na-
renault-era-grave-e-ameacava-ativos-estrategicos>
»» Em 2010, a empresa MGA (fabricante da boneca Bratz) acusou a

empresa Mattel (fabricante da Barbie) de espionagem industrial,
afirmando que a concorrente teria se infiltrado na organização para
fotografar projetos em desenvolvimento.
Leia mais: <http://g1.globo.com/mundo/noticia/2010/08/bratz-x-barbie-

mga-acusa-mattel-de-espionagem.html>
<http://g1.globo.com/mundo/noticia/2010/08/bratz-x-barbie-mga-
acusa-mattel-de-espionagem.html?id=2010/08/bratz-x-barbie-mga-
acusa-mattel-de-espionagem.html&type=noticia&section=mundo&h
ash=2>
»» Em 1993, um alto funcionário da GM (chefe de operações de montagem)

teria deixado a empresa com mais outros executivos para trabalhar
na Volkswagen, que foi acusada de ter recebido documentos sigilosos
referentes a projetos da GM. Em troca da retirada das acusações, a
empresa alemã concordou em pagar indenização milionária à empresa
americana.
Leia mais: <http://www1.folha.uol.com.br/fsp/1996/11/30/dinheiro/

19.html>
46
<http://extra.globo.com/noticias/economia/gm-volks-coca-cola-hp-
ja-foram-alvo-de-espionagem-463373.html>
Os links citados são apenas informativos e outras fontes podem e devem ser
consultadas para maior enriquecimento, assim como há muitos outros casos a
serem explorados.
É muito importante que vocês se mantenham atualizados sobre o tema. Uma forma
de fazer isso é se cadastrar no Google Notícias. Basta colocar o termo “espionagem
industrial” no campo de busca e cadastrar para que sempre que surja uma nova notícia
sobre esse tema vocês possam ser avisados.
Para quem consegue ler em outros idiomas, sugiro sempre que busquem a notícia no
idioma original. Além de não haver problemas de tradução, sempre há mais informações
disponíveis.
47
Para (não) Finalizar
Com base no que foi estudado neste Caderno de Estudos e Pesquisa, como você percebe
as seguintes questões em sua empresa (pública ou privada)? Não precisa postar; é
apenas uma reflexão.
Assim, com relação à empresa/organização em que você trabalha:
1. Existe um setor ou unidade voltado para inteligência e contrainteligência?
2. Você já assistiu alguma palestra ou curso realizado pela empresa voltado

para segurança da informação, espionagem e/ou engenharia social?
3. Você já conhecia esse termo “engenharia social”?
4. Você tem o hábito de escolher senhas fortes e modificá-las periodicamente?
5. Como é o acesso à sua empresa? Você precisa usar crachá? Existe uma
catraca de controle de entrada e saída? Há circuito interno de câmeras
(CFTV)? Há sistema de identificação biométrico?
6. Há uma política de segurança de informações? Você a conhece?
7. Existe uma conscientização coletiva quanto ao risco de espionagem?

Como isso se dá?
8. Há uma política de segurança para as comunicações? Você pode usar

livremente o celular em sua empresa? Pode tirar fotos?
9. Os funcionários passam por algum processo seletivo? E os estagiários?

Como é a política de documentos sigilosos?
Várias outras perguntas poderiam ser feitas. Se sua resposta para a maioria das questões
formuladas é “não”, então há um risco alto para sua empresa.
É muito importante que você guarde quatro conceitos básicos:
»» Não acreditar que pode ser vítima de espionagem não irá protegê-lo. Ao
contrário, irá aumentar o risco de ser atacado.
»» Quanto maior a sua vulnerabilidade maiores as chances de ser atingido

por ataques de espionagem.
48
PARA (NÃO) FINALIZAR
»» Quanto mais camadas você adicionar à sua segurança, maiores as chances

de você evitar um ataque.
»» Não existe risco zero.
49
Referências
AKHGAR, Babak e YATES, Simeon. Strategic Intelligence Management: National
Security Imperatives and Information and Communications Technologies. Butterworth-
Heinemann, 2013.
AKHGAR, Babak. Strategic Intelligence Management: National Security

Imperatives and Information and Communications Technologies. Butterworth-
Heinemann, 2013.
ANDRESS, Jason. Cyber Warfare: Techniques, Tactics and Tools for Security
Practitioners, Syngress, 2011.
BAKER, Thomas. Introductory Criminal Analysis: Crime Prevention and

Intervention Strategies. Prentice Hall, 2004.
BENNY, Daniel. Industrial Espionage. CRC, 2014.
BERNTSEN, Garden. Human Intelligence, Counterterrorism, and National

Leadership: A Practical Guide. Potomac Books Inc, 2008.
BUSSAB, Wilton. Estatística Básica. Ed Saraiva, 2013.
CARR, Jefrey. Inside Cyber Warfare: Mapping the Cyber Underworld. O’Reilly
Media, 2011.
CARVALHO, João.Investigação Pericial, Criminal e Criminologia. Editora

Bookseller, 2006.
CONDEIXA, Fábio. Espionagem no Direito brasileiro. Jus Navigandi, Teresina, ano

17, n. 3371, 23 set. 2012. Disponível em: <http://jus.com.br/artigos/22668>. Acesso
em: 4 fev. 2015.
COSTA FILHO, Paula. Medicina Legal e Criminalística. Vestcon, 2010.
DOREA, Luis.Criminalística. Editora Millenium, 2012.
ELEUTERIO,Pedro.Desvendando a Computação Forense. Editora Novatec, 2011.
ESPINDOLA,Albieri.Perícia Criminal e Cível. Editora Millenium, 2009.
EXAME. TST Afirma que há limites para fiscalizar o e-mail corporativo.

Disponível em: <http://exame.abril.com.br/negocios/noticias/tst-afirma-que-ha-
limites-para-fiscalizar-e-mail-corporativo>.
50
REFERÊNCIAS
GRAGIDO, Will. Cybercrime and Espionage: An Analysis of Subversive Multi-

Vector Threats. Syngress, 2011.
HILL, Bryan. Fundamentals Of Crime Mapping. Jones & Bartlett Learning, 2013.
HUFF, Darel et al. How to Lie with Statistics. W. W. Norton & Company. ANO
JOHNSON, Mark. Cyber Crime, Security and Digital Intelligence. Gower, 2013.
JOHNSON, William. Thwarting Enemies at Home and Abroad: How to Be a

Counterintelligence Officer. Georgetown University Press, 2009.
KOVACICH, Gerald. The Manager’s Handbook for Corporate Security:

Establishing and Managing a Successful Assets Protection Program. Butterworth-
Heinemann, 2003.
MAGALHÃES, Marcos. Noções de Probabilidade e Estatística. Ed EDUSP, 2007.
MILTON, Michael. Head First Data Analysis: A learner’s guide to big numbers,
statistics, and good decisions. O’Reilly Media, 2009.
MOE, Wendy. Social Media Intelligence. Cambridge University, 2014.
NASHERI, Hedie. Economic Espionage and Industrial Spying. Cambridge

University Press, 2004.
OSBORNE, Deborah. Introduction to Crime Analysis: Basic Resources for Criminal

Justice Practice. Routledge, 2013.
PAES, Vivian. Crimes, Procedimentos e Números. Ed. Garamond, 2013.
PRUNCKUN, Hank. Counterintelligence Theory and Practice. Rowman &

Littlefield Publishers, 2012.
REIS, Albany.Metodologia Científica em Perícia Criminal. Millenium Editora,

2011.
SANTOS, Rachel. Crime Analysis With Crime Mapping. SAGE Publications, Inc,
2012.
SHARP, Sheena. Competitive Intelligence Advantage: How to Minimize Risk,

Avoid Surprises, and Grow Your Business in a Changing World. Wiley, 2009.
STOU, Volter et al. Cyber Safety: An Introduction. Eleven International Publishing,

2012.
51
REFERÊNCIAS
WALKER, Jeffery. Statistics In Criminology And Criminal Justice: Analysis and

Interpretation. Jones & Bartlett Learning, 2012.
WARNER, Michael. The Rise and Fall of Intelligence: An International Security

History. Georgetown University Press, 2014.
WONG, Caroline. Security Metrics: A Beginner Guide.McGraw-Hill, 2011.
52

Contraespionagem Industrial e Empresarial

Enviado por

Direitos autorais:

Formatos disponíveis

Contraespionagem Industrial e Empresarial

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Contraespionagem Industrial e Empresarial

Enviado por

Direitos autorais:

Formatos disponíveis

Contraespionagem Industrial

Luiz Henrique Horta Hargreaves

Equipe Técnica de Avaliação, Revisão Linguística e Editoração

ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 5

PARA (NÃO) FINALIZAR...................................................................................................................... 48

A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se

Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade dos

Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo

Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em

Sugestão de estudo complementar

Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

Sugestão de atividades, no decorrer das leituras, com o objetivo didático de fortalecer

Chamadas para alertar detalhes/tópicos importantes que contribuam para a

Informações complementares para elucidar a construção das sínteses/conclusões

Trecho que busca resumir informações relevantes do conteúdo, facilitando o

Questionário com 10 questões objetivas, baseadas nos objetivos do curso,

Para (não) finalizar

Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem

No mundo atual, não apenas competidores possuem interesse em informações

Há diversos casos registrados, ao longo da história, de espionagens bem sucedidas,

Um bom estudo a todos!

»» Contextualizar a importância do tema Segurança Privada e Empresarial.

»» Conhecer conceitos e instrumentos para proteção de documentos

“O uso da espionagem é um tema delicado, muito delicado! Não existe lugar em

Sun Tzu, (544-496 A.C)

Figura 1. Sun Tzu

Enviou-os, pois, Moisés a espiar a terra de Canaã; e disse-lhes: subi por

E como é a terra em que habita, se boa ou má; e quais são as cidades em

Também como é a terra, se fértil ou estéril; se nela há árvores, ou não; e

Figura 2. SunTzu - A Arte da Guerra.

O presidente americano Ronald Reagan, em 1985, ao se referir à espionagem assim se

Na espionagem industrial, o que o espião pode obter de relevante? Os segredos da

Informações referentes aos setores de infraestrutura de um país são bastante relevantes e

O conceito de espionagem do FBI é :

(1) Qualquer tipo de atividade (manobra) tendo por alvo a aquisição de

Enquanto a espionagem industrial busca a obtenção de informações protegidas,

Assim, as cinco condições são: motivo, oportunidade, racionalização, habilidade e

A oportunidade é a condição em que um indivíduo se aproveita da situação privilegiada

A racionalização é uma tentativa de justificar o ato. Ele não se considera um criminoso.

Vemos, então, que alguém que tenha encontrado o motivo, a oportunidade e a

promover especulação imobiliária na região e não chamar a atenção do concorrente. O

O outro fator é, então, o chamado “gatilho”. A pessoa tem a motivação, a oportunidade,

Empresas concorrentes também podem ter interesse na obtenção de informações

De acordo com o FBI, o prejuízo anual decorrente da espionagem industrial é de cerca

»» Trabalham muitas horas extras, sem autorização.

»» Sem a devida autorização, pegam informações da empresa em discos

»» Imprimem cópias de documentos, sem necessidade, especialmente se

»» Não seguem políticas da empresa relacionadas à proibição de instalação de

»» Realizam frequentes viagens de curta duração ao exterior, sem qualquer

»» Realizam contatos suspeitos com funcionários de empresas concorrentes,

»» Compram materiais e bens não permitidos.

»» São pessoas sob pressão por crises na vida ou desapontamentos com a

»» Ficam preocupados sobre serem investigados, deixando armadilhas para

Os filmes, mesmo os que não são documentários, quando referentes ao tema em

»» Apresentam diferentes áreas e aspectos do que está sendo estudado;

»» Quando baseado em fatos reais permite o aprofundamento do estudo

»» Permite comparar a realidade com a ficção.

Naturalmente que os filmes não devem ser assistidos como documentários e

Os seguintes filmes abordam a questão da espionagem industrial/corporativa: