Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

29/05/2008 - Valor Econômico Escrever Comentário Enviar Notícia por e-mail Feed RSS

Segurança jurídica e segurança da informação

Por: Patricia Peck Pinheiro


Cada vez mais o trabalho de segurança da informação exige um preparo adequado do ambiente do ponto de vista de blindagem legal, de modo a evitar riscos no uso das próprias medidas de proteção da empresa. É preciso aplicar maior segurança jurídica ao processo, tendo em vista que vivemos um cenário mais complexo, com aumento no uso da mobilidade, quer seja pelo acesso remoto de equipes ou mesmo pelo crescimento das estações de trabalho do tipo notebook e smartphones, associado a um perfil de "colaborador 2.0", que conhece mais de tecnologia, que testa os limites e os controles estabelecidos pela empresa. No início, a empresa é que tinha o papel de ensinar o funcionário a usar a ferramenta de e-mail ou mesmo navegar ou fazer uma pesquisa na internet. Atualmente, as empresas têm contratado profissionais que já vêm da universidade com uma cultura tecnológica maior, muitas vezes sabendo mais de tecnologia do que seus próprios chefes, e a este novo perfil tem se chamado colaborador 2.0, tecnicamente mais adaptado. No entanto, o que poderia ser uma vantagem pode se transformar em um risco, já que este novo profissional nem sempre conhece os limites, ou seja, qual o uso ético, seguro e legal da tecnologia. E há muitos casos de novas equipes, mesmo aprendizes, que tentam acessar pastas na rede que não possuem permissão, instalar em seus computadores softwares piratas ou gratuitos (que não foram homologados), baixar músicas e filmes usando a internet da empresa, e até mesmo os que acessam o Orkut passando pelo bloqueio do próprio firewall. Isto quer dizer que para a empresa estar, de fato, com segurança jurídica no uso de tecnologia da informação, não basta ter uma norma de autenticação de usuários. É preciso estabelecer um projeto de identidade digital que alinhe perfis e privilégios a alçadas e poderes, que não apenas solicite uma senha segura, mas amarre isto a alguns hardwares e softwares, com controle de padrão de conduta, até mesmo definindo em que estações aquele usuário está autorizado a se logar, e não apenas em que pastas na rede. Em muitos casos, havendo um cargo crítico ou de segregação de funções, já é uma medida de maior proteção e controle de autoria o uso de uma assinatura digital ou biométrica. O processo tem que ser pensado considerando a necessidade jurídica de prova de autoria. Logo, as áreas de tecnologia, recursos humanos e jurídica precisam estar alinhadas. Temos visto que cada empresa está em um nível de maturidade distinto, assim como de conformidade legal da segurança da informação. Muitas começaram a escrever que fazem monitoramento em suas políticas, mas ainda não em suas interfaces de sistemas. Há outras que ainda não possuem uma norma de resposta a incidentes, ou um procedimento mais claro e padronizado sobre desligamento de funcionários no tocante a permitir ou não que este retire conteúdos particulares dos equipamentos corporativos. E se for o contrário? Autorizamos uso de notebook pessoal e ficam os dados da empresa lá dentro? É preciso fazer um diagnóstico do nível atual de segurança jurídica dos processos de segurança da informação da empresa Neste momento, é essencial, para aumentar o nível de gestão da segurança da informação alinhada com o aspecto jurídico, a criação de um código de ética da tecnologia da informação, pois trata dos usuários com maior conhecimento técnico, bem como prepara o terreno previamente para a coleta adequada das provas. Há casos em que na hora do incidente não se consegue obter as provas por falta de planejamento, e isto quando a medida técnica de contenção não elimina a prova. Temos feito revisões de políticas de segurança da informação (PSI) e normas (NSI) devido ao uso de uma redação que juridicamente gera riscos. Termos como "abre mão da privacidade", "uso moderado" e "uso racional" geram riscos jurídicos devido à sua subjetividade - enquanto o objetivo do documento é tornar a informação objetiva e indiscutível na Justiça. Além disto, é essencial ter um documento específico para os terceirizados, se possível redigido como se fosse um código de conduta do terceiro, com todas as questões relevantes e com um modelo de termo de ciência a ser assinado pela equipe que participar dos trabalhos junto ao fornecedor. As condutas inadequadas mais comuns no ambiente de trabalho envolvem, na maioria dos casos, falta de informação, falta de conhecimento dos riscos e conseqüências, falta de orientação adequada por parte da empresa e dos gestores e excesso de ingenuidade ou negligência. Os incidentes vão desde o usuário deixar o computador ligado com sua senha nele e se ausentar da estação de trabalhos sem bloqueá-la, passar a senha da rede ou do e-mail para outro colega ou saber a senha de um chefe ou subordinado, deixar documentos confidenciais soltos em cima da mesa ou esquecidos na impressora, portar dados sigilosos em dispositivos móveis como "pen-drive" e notebook sem usar qualquer recurso de criptografia e utilizar o e-mail corporativo ou navegar em sites na internet para fins que não são de trabalho, entre outros. É preciso fazer um diagnóstico do nível de segurança jurídica atual dos processos de segurança da informação da empresa, avaliando como ela está, de fato, deixando a regra clara, orientando e preparando o terreno adequadamente para conseguir coletar as provas, sob pena de, em um momento de incidente, o que se achava que iria proteger a empresa acabe gerando um risco ainda maior, inclusive para os executivos envolvidos ou responsáveis pela gestão de segurança da informação.


Patricia Peck Pinheiro é advogada especialista em direito digital, sócia do escritório PPP Advogados e autora do livro "Direito Digital" pela Editora Saraiva.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 273 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal