Este é o típico assunto que nos faz figurar prontamente em uma posição – já imaginou os prós e contras na visão da empresa e do seu funcionário? George Orwell, em seu best-seller “1984” predizia uma sociedade fantasticamente vigiada – protagonista de uma espécie de “Big Brother”.

Imaginemos você como diretor de uma empresa de tecnologia, que está investindo um capital considerável no desenvolvimento de uma nova solução para a telefonia celular. Pouco antes do lançamento do produto um dos desenvolvedores entrega sua carta de demissão. Passado algum tempo, você descobre que seu ex-funcionário foi empregado pela concorrência. Será que a confidencialidade de suas informações foi comprometida?

É claro que há diversos meios de se transmitir informações, são muitas as alternativas para um funcionário verdadeiramente mal intencionado. Para conter estas ameaças existem diversos controles tecnológicos e administrativos, que devem ser coordenados por uma Política de Segurança da Informação. De qualquer forma, a redução da produtividade e a deterioração da imagem da empresa são riscos evidentes quando ocorre o uso inapropriado de recursos de monitoração. Por outro lado, podemos considerar a própria legislação brasileira como principal opositor às práticas de monitoração. O projeto de Crimes de Informática, que tramita no Congresso Nacional não trata de crimes por uso indevido de sistemas tecnológicos, trata apenas de crime de invasão, intenção deliberada de transmitir vírus, ou dano dos dados.

O anteprojeto da AMCHAM/SP insere no art. 151 do Código Penal Brasileiro (Devassar indevidamente o conteúdo de correspondência fechada, dirigida a outrem), uma cláusula que trata da inviolabilidade da correspondência, o § 5º, prescrevendo:

§ 5º - Para todos os fins deste artigo, o correio eletrônico equipara-se à correspondência fechada.

Equiparando-se o e-mail à correspondência fechada, o mesmo se tornará inviolável, ou seja, em nenhuma hipótese poderá ser aberto pelo empregador. Para ilustrar o cenário acima citado, tomemos como exemplo um caso registrado em uma grande instituição financeira no Brasil. Um funcionário foi demitido em função da transmissão de uma mensagem pornográfica. No entanto, o juiz da ação decidiu que não haveria razão para demiti-lo por justa causa, já que a monitoração não é permitida legalmente.

Todos podem ter direito de acessar a interminável quantidade de informações disponibilizadas pela Internet, desde que as regras sejam claras e pré-estabelecidas, entendendo que a empresa disponibiliza recursos para seus funcionários com a finalidade de que estes sejam utilizados em sintonia com os interesses da companhia e não em atividades paralelas ou necessidades particulares. Tratam-se as exceções, como, por exemplo, o uso da Internet como instrumento educativo e em casos de real necessidade, como o uso de Internet Banking.

Como solução a estas questões envolvendo o monitoramento do uso de web, devemos estabelecer que todas as permissões, e as exceções devem ser claramente estabelecidas em uma Política de Segurança da Informação, suportada por um termo de aceitação das condições de trabalho assinado por todos os funcionários, garantindo o reconhecimento às normas vigentes, e fornecendo amparo legal à organização contra possíveis processos realizados por funcionários demitidos devido ao não cumprimento destas regras.

Tendo em vista que o funcionário deve fazer uso estritamente profissional dos equipamentos fornecidos pela corporação, a restrição de uso é cabível, sendo que este controle se tornou necessidade primordial para a contenção de prejuízos. Por outro lado, cabe à empresa garantir que o monitoramento se configure com respeito aos funcionários e em sigilo, restringindo ao máximo a divulgação destas informações e não configurando qualquer tipo de perseguição ao funcionário. A monitoração por amostragem das atividades rotineiras dos funcionários deve ser contínua e fazer parte da gestão da segurança da informação.

Verificar a suspeita da ocorrência de vazamento de informação configura uma atividade de investigação. Lembre-se que ninguém poderá ser condenado por enviar informações confidenciais se: (1) não houver uma definição clara do que é informação confidencial; (2) não houver uma regra formal e reconhecida pelo funcionário de que estas informações consideradas confidenciais não podem ser enviadas; e (3) não for evidenciado que a organização possui controles que objetivam evitar a ocorrência destes eventos.

Na ocorrência de eventos de risco à organização, em decisões que possam comprometer a estratégia do negócio, deve haver o envolvimento da Alta Administração na homologação do plano de tratamento do risco. Seguindo estas premissas, estou certo de que cada vez haverão menos investidas quanto à privacidade do funcionário, e de que ficará extremamente difícil burlar as regras estabelecidas na política tecnológica e administrativa da sua organização.




Texto de Paulo Barbosa, CISSP, ISSMP
Consultor de segurança da informação (Brasil).