Segurança: o mundo virtual gera ameaças reais

Testamos a tolerância descrita no rótulo e vocês podem exigir mais deles do que pensam. Não se preocupem”. Assim, em apenas alguns caracteres, o profissional assumiu a responsabilidade sobre o produto em nome da organização para a qual trabalha.

“As empresas falam em web 2.0 e estão sendo atropeladas por profissionais 3.0, os quais estão no Orkut, usam sistemas de mensagens instantâneas, têm blogs e participam de fóruns de discussão”, destaca Patricia Peck, que complementa: “E fica muito difícil para a companhia controlar como esse funcionário lida com os recursos da organização.”

Nesse novo cenário, atitude mais inteligente de um CIO é trabalhar em colaboração com os advogados da empresa para estabelecer e gerenciar políticas de privacidade dos funcionários. “Quando instalar uma nova tecnologia, por exemplo, a área de TI precisa adaptar as regras existentes”, orienta Alan Brill, diretor da Kroll Ontrack, que atua na área de computação forense e segurança. “Mesmo que seja apenas para acrescentar as palavras ‘mensagem de texto e instantânea’ ao parágrafo do contrato que prevê o uso adequado do e-mail”, acrescenta o especialista.

Na mesma linha, Patricia lembra que os códigos de conduta dos funcionários e colaboradores das empresas – onde estão descritas as regras de postura em relação ao manuseio de informações e de recursos da organização – servem para blindar as empresas em um possível processo na justiça. “Pois se não existir um documento assinado pelo funcionário mostrando que ele estava ciente de uma postura indevida, quem vai responder por qualquer problema que ele tenha ao utilizar recursos ou o nome da empresa é o empregador”, define a advogada. Ela alerta, no entanto, que as orientações precisam estar muito claras no contrato, caso contrário, o juiz tende a não aceitá-la como defesa.

Ainda de acordo com a especialista, boa parte das corporações ainda não colocou questões como o uso dos blogs e das redes sociais nesse código de conduta dos funcionários. No entanto, ela afirma que isso representa um alto risco, já que os profissionais tendem a acreditar que na web existe uma liberdade de expressão e, assim, acabam divulgando detalhes, inclusive das empresas em que trabalham.

Como exemplo, Patricia cita o recente caso de um funcionário de uma companhia brasileira de call center que divulgou no Orkut informações sobre cada um dos clientes para os quais trabalhava dentro da empresa. “E ele, provavelmente, não agiu por má fé e, sim, por puro desconhecimento”, cita a especialista, ao lembrar que a prestadora de serviços teve de responder judicialmente pelo vazamento de dados confidenciais.

Uso controlado

O medo de protagonizar casos em que o uso indevido de novas tecnologias chega até os tribunais tem levado alguns CIOs a estabelecer políticas restritivas em relação ao acesso a redes sociais e sistemas de mensagens instantâneas de texto.

Na Owens Corning, fabricante de material de construção sediada nos Estados Unidos, o departamento de tecnologia só aprovou o uso de mensagens instantâneas em 2008. David Johns, CIO da empresa, conta que estava à espera de controles e ferramentas de arquivamento melhores para busca por palavra-chave.

A implementação, conta o executivo, começou por um pequeno pilioto, no qual a companhia quis ter certeza se conseguiria controlar suficientemente bem o uso das mensagens instantâneas de texto. E Johns afirma que os resultados já foram suficientes para que a empresa amplie o acesso a esse tipo de recurso para todos os seus funcionários, nos próximos meses.

O CIO, contudo, mostra-se cauteloso, já que conviveu com provas eletrônicas por 14 anos na Owens Corning, enquanto a companhia enfrentava pelo menos 2.141 processos contra o uso de amianto e que resultaram no pedido de concordata em 2000 – a qual só foi encerrada em 2006.

Na visão de Jonhs, uma das melhores práticas que um CIO deve adotar é proteger a companhia com políticas e tecnologias, muito antes de ser intimado a fornecer dados para um processo judicial. Nesse sentido, ele conta que criou mecanismos para evitar que os funcionários removam dados de seus computadores, caixas de correio eletrônico ou de sites. “Os desafios legais que enfrentamos no passado são uma das razões de estarmos agindo desse modo. É mais simples para gerenciar”, considera o executivo.

O desafio prático

Localizar e obter os dados necessários não representa uma tarefa tão simples quanto costumava ser há bem pouco tempo. Algumas das técnicas familiares para encontrar um e-mail antigo não se aplicam a outras tecnologias.