Segurança jurídica e segurança da informação
Patricia Peck Pinheiro*
No início, a empresa é que tinha o papel de ensinar o funcionário a usar a ferramenta de e-mail ou mesmo navegar ou fazer uma pesquisa na internet. Atualmente, as empresas têm contratado profissionais que já vêm da universidade com uma cultura tecnológica maior, muitas vezes sabendo mais de tecnologia do que seus próprios chefes, e a este novo perfil tem se chamado colaborador 2.0, tecnicamente mais adaptado. No entanto, o que poderia ser uma vantagem pode se transformar em um risco, já que este novo profissional nem sempre conhece os limites, ou seja, qual o uso ético, seguro e legal da tecnologia. E há muitos casos de novas equipes, mesmo aprendizes, que tentam acessar pastas na rede que não possuem permissão, instalar em seus computadores softwares piratas ou gratuitos (que não foram homologados), baixar músicas e filmes usando a internet da empresa, e até mesmo os que acessam o Orkut passando pelo bloqueio do próprio firewall.
Isto quer dizer que para a empresa estar, de fato, com segurança jurídica no uso de tecnologia da informação, não basta ter uma norma de autenticação de usuários. É preciso estabelecer um projeto de identidade digital que alinhe perfis e privilégios a alçadas e poderes, que não apenas solicite uma senha segura, mas amarre isto a alguns hardwares e softwares, com controle de padrão de conduta, até mesmo definindo em que estações aquele usuário está autorizado a se logar, e não apenas em que pastas na rede. Em muitos casos, havendo um cargo crítico ou de segregação de funções, já é uma medida de maior proteção e controle de autoria o uso de uma assinatura digital ou biométrica. O processo tem que ser pensado considerando a necessidade jurídica de prova de autoria. Logo, as áreas de tecnologia, recursos humanos e jurídica precisam estar alinhadas.
Temos visto que cada empresa está em um nível de maturidade distinto, assim como de conformidade legal da segurança da informação. Muitas começaram a escrever que fazem monitoramento em suas políticas, mas ainda não em suas interfaces de sistemas. Há outras que ainda não possuem uma norma de resposta a incidentes, ou um procedimento mais claro e padronizado sobre desligamento de funcionários no tocante a permitir ou não que este retire conteúdos particulares dos equipamentos corporativos. E se for o contrário? Autorizamos uso de notebook pessoal e ficam os dados da empresa lá dentro?
Neste momento, é essencial, para aumentar o nível de gestão da segurança da informação alinhada com o aspecto jurídico, a criação de um código de ética da tecnologia da informação, pois trata dos usuários com maior conhecimento técnico, bem como prepara o terreno previamente para a coleta adequada das provas. Há casos em que na hora do incidente não se consegue obter as provas por falta de planejamento, e isto quando a medida técnica de contenção não elimina a prova.
Temos feito revisões de políticas de segurança da informação (PSI) e normas (NSI) devido ao uso de uma redação que juridicamente gera riscos. Termos como "abre mão da privacidade", "uso moderado" e "uso racional" geram riscos jurídicos devido à sua subjetividade - enquanto o objetivo do documento é tornar a informação objetiva e indiscutível na Justiça. Além disto, é essencial ter um documento específico para os terceirizados, se possível redigido como se fosse um código de conduta do terceiro, com todas as questões relevantes e com um modelo de termo de ciência a ser assinado pela equipe que participar dos trabalhos junto ao fornecedor.
As condutas inadequadas mais comuns no ambiente de trabalho envolvem, na maioria dos casos, falta de informação, falta de conhecimento dos riscos e conseqüências, falta de orientação adequada por parte da empresa e dos gestores e excesso de ingenuidade ou negligência. Os incidentes vão desde o usuário deixar o computador ligado com sua senha nele e se ausentar da estação de trabalhos sem bloqueá-la, passar a senha da rede ou do e-mail para outro colega ou saber a senha de um chefe ou subordinado, deixar documentos confidenciais soltos em cima da mesa ou esquecidos na impressora, portar dados sigilosos em dispositivos móveis como "pen-drive" e notebook sem usar qualquer recurso de criptografia e utilizar o e-mail corporativo ou navegar em sites na internet para fins que não são de trabalho, entre outros.
É preciso fazer um diagnóstico do nível de segurança jurídica atual dos processos de segurança da informação da empresa, avaliando como ela está, de fato, deixando a regra clara, orientando e preparando o terreno adequadamente para conseguir coletar as provas, sob pena de, em um momento de incidente, o que se achava que iria proteger a empresa acabe gerando um risco ainda maior, inclusive para os executivos envolvidos ou responsáveis pela gestão de segurança da informação.
_______________
*Advogada especialista em Direito Digital, sócia do escritório Patricia Peck Pinheiro Advogados
_______________