Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Módulo 1 - Conceito
Propriedades
-1-
Disponibilidade – Propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo
proprietário da informação. Em todas as fases da evolução corporativa, é fato que as
transações de toda a cadeia de produção – passando pelos fornecedores, fabricantes,
distribuidores e consumidores – sempre tiveram a informação como uma base
fundamental de relacionamento e coexistência.
O fato é que hoje, quer seja como princípio para troca de mercadorias, segredos
estratégicos, regras de mercado, dados operacionais, quer seja simplesmente
resultado de pesquisas, a informação, aliada à crescente complexidade do mercado,
à forte concorrência e à velocidade imposta pela modernização das relações
corporativas, elevou seu posto na pirâmide estratégica, tornando-se fator vital para
seu sucesso ou fracasso.
Proteção da informação
A Segurança deixou de ser submetida aos domínios da TI, para se tornar uma nova
área que responde ao vice-presidente ou ao gestor de operações, ganhando
orçamento próprio, salas específicas e, claro, prazos e demandas a serem atendidas.
Um dos maiores dilemas da Segurança da Informação está relacionado com a
proteção dos ativos e a compreensão da amplitude desse conceito dentro da
empresa. A idéia de ativo corporativo envolve também uma questão de difícil
medição: a marca da companhia e a percepção que ela desperta no mercado. Um
grande escândalo, uma falha latente ou uma brecha negligenciada podem sepultar
uma companhia para sempre, ainda que ela tenha tido muito sucesso até então.
Outra questão relacionada com a Segurança da Informação, que também causa
preocupação, é que se trata de um investimento sem fim. Pois à medida que ela vai
se fortalecendo, os ataques cada vez mais vão se sofisticando também.
-2-
Um caminho sem volta
Não há como voltar atrás. Qualquer companhia, desde a pequena empresa com dois
ou três PCs, até uma complexa organização com atuação em diversos países, sabe
que em maior ou menor grau a tecnologia é essencial para seu negócio. E é
justamente por ser vital, que esse bem não palpável traz consigo uma necessidade
básica: segurança.
O desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI
estejam se esforçando para mudar essa realidade, a segurança da informação é
reativa. Isso significa que, tradicionalmente, primeiro verifica-se a existência de um
problema, como vírus, fraude, invasão, para depois encontrar sua solução, vacina,
investigação, correção de vulnerabilidade.
Para muitos, esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação
ao patamar mais crítico da empresa, tornando-a peça principal do jogo. Em seguida,
vê-se que esse dado, pela forma e processo com que é disponibilizado, corre o risco
de ser corrompido, alterado ou roubado por um garoto de 16 anos, que resolveu
testar programas hackers disponibilizados na própria Internet ou, em casos piores,
usurpado por funcionários e passado para a concorrência ou ainda simplesmente
causando danos financeiros à empresa.
Nem só de software
Outro fenômeno que tem sido observado é a concentração dos serviços de segurança
pelo grupo dos dez maiores integradores mundiais. Isso reflete a necessidade
prioritária das grandes corporações e governos de moverem-se em direção a
fornecedores sólidos, que possam atender as demandas com flexibilidade,
inteligência e rapidez, elevando a importância dos fatores de ética profissional,
confiabilidade e independência, posicionando-se para o gestor como o “security
advisor corporativo”.
-3-
É preciso que as ações corporativas sejam direcionadas por um Plano Diretor de
Segurança, de forma que possam estar à frente de determinadas situações de
emergência e risco, uma postura mais pró-ativa que reativa. Esse plano será
responsável por verificar se a corporação está destinando verba suficiente para
manter o nível de segurança alinhado com as expectativas de negócios. Também
apontará se as vulnerabilidades são de fato corrigidas ou se há uma falsa sensação
de segurança. É muito comum haver grande disparidade entre o cenário que se
pensa ter e aquilo que realmente ele é.
De forma mais ampla, esse plano deve considerar questões estratégicas, táticas e
operacionais de negócios, atrelando-as a três tipos básicos de risco: humano,
tecnológico e físico. Ao longo desse curso será abordada cada uma dessas variáveis,
desde os tipos mais tradicionais de vírus que se disseminam pela rede, até as portas
mais vulneráveis da empresa, passando pelo monitoramento de sua rede, seus
profissionais, soluções de TI, gestão e políticas de segurança.
-4-
Módulo 2 - Tecnologias
Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar
atrelada a um amplo Programa de Segurança da Informação, que se constitui de
pelo menos três fases principais:
Infra-estrutura
-5-
Algumas dessas aplicações são:
O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa
sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças,
invasões e ataques é confiar cegamente em uma estrutura que não seja capaz de
impedir o surgimento de problemas.
Por isso, os especialistas não confiam apenas em uma solução baseada em software.
Quando se fala em tecnologia, é necessário considerar três pilares do mesmo
tamanho, apoiados uns nos outros para suportar um peso muito maior.
-6-
Esses três pilares são as tecnologias, os processos e as pessoas. Não adianta
fortalecer um deles, sem que todos os três não estejam equilibrados.
Recursos de proteção
A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma
estrutura de Segurança da Informação, com política e normas definidas, sem
soluções moderníssimas que cuidem da enormidade de pragas que infestam os
computadores e a Internet hoje em dia.
-7-
Outro ponto do tripé são os processos, que exigem revisão constante. O grande
combate realizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é
equilibrar a flexibilidade dos processos de forma que eles não tornem a companhia
frágil, mas que, por outro lado, não endureça demais a produtividade, em busca do
maior nível possível de segurança.
A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito
para chegar à conclusão de que as pessoas são pedras fundamentais dentro do
ambiente corporativo, sobretudo em Segurança da Informação.
Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não,
do inimigo interno. As pessoas estão em toda a parte da empresa e enxergam como
ponto fundamental apenas a proteção da máquina. Os cuidados básicos com as
atitudes das pessoas, muitas vezes são esquecidos ou ignorados. Encontrar senhas
escritas e coladas no monitor, bem como a troca de informações sigilosas em
ambientes sem confidencialidade, como táxi e reuniões informais são situações muito
comuns. Assim, contar com a colaboração das pessoas é simplesmente fundamental
numa atividade crítica para a empresa e que não tem final em vista. Mas o ponto
principal da preocupação com as pessoas é que os fraudadores irão à busca delas
para perpetrar seus crimes.
Uma exigência cada vez mais importante para o CSO é ser também um gestor de
pessoas, uma vez que elas podem causar muitos estragos e provocar sérios
prejuízos. Mas ao se analisar o contexto de formação dos gerentes de segurança,
talvez seja esse o ponto mais fraco. Investimento em formação profissional nesse
sentido é uma iniciativa muito válida, assim como intercâmbio de informações entre
áreas como Recursos Humanos e Marketing para aumentar o alcance e a eficácia das
recomendações. O fato de envolver um dilema cultural também é outro complicador.
Segurança da Informação representa um desafio de inédita magnitude para os
profissionais do setor e, também, para a companhia como um todo.
-8-
Módulo 3 - Gestor da Segurança da Informação
Responsabilidades
-9-
Qualificações
Para atender aos requisitos de segurança lógica e física de redes globais cada vez
mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário
apresenta ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques
terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade
tecnológica crescem também e aumentam as atribuições e as habilidades
necessárias para exercer a função de CSO. Hoje, um CSO tem de entender de
segurança, conhecer bem os negócios e participar de todas as ações estratégicas da
empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de
negócios. As qualificações que costumam ser exigidas para o cargo de CSOs são:
Formação
- 10 -
O estudo Global Information Security Workforce Study (GISWS) destaca que a
responsabilidade pela segurança da informação cresceu na hierarquia da gestão e
acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos
entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela
segurança da informação e 73% afirmaram que esta tendência se manterá.
Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus
ativos digitais. E para isso, é preciso contar com profissionais competentes para lidar
com soluções de segurança complexas, requisitos regulatórios e avanços
tecnológicos das ameaças, bem como vulnerabilidades onerosas. Dessa forma, o
CSO deve proceder a gestão de riscos e está mais integrado às funções de negócio.
Profissionais de segurança precisam aprimorar suas habilidades técnicas e de
negócio para que possam exercer a função.
- 11 -
Dicas para se tornar um CSO
4) Manter conversas com executivos para que eles possam conhecê-lo e aprender a
confiar em você. Essas conversas devem ser sucintas, porém expressivas, contendo
termos de negócio e não vocabulário “geek” ou acrônimos. Determine como você
pode agregar valor às suas metas e demonstre por que você deve ser consultado ou
incluído em uma reunião.
- 12 -
Módulo 4 - Vulnerabilidades
Outro fator determinante nessa equação está vinculado à evolução rápida e contínua
das tecnologias. Em pouco tempo, até mesmo os computadores domésticos ganham
recursos em potência e em capacidade de armazenamento. Ao mesmo tempo em
que essa evolução proporciona inúmeros benefícios, também se encarrega de gerar
novos riscos e ameaças virtuais. Esse cenário, que estará presente em breve em
muitas residências, sinaliza o que virá no ambiente corporativo.
Mas as questões de segurança atreladas à gestão de pessoal são apenas parte dos
desafios que as empresas precisam enfrentar na atualidade. Antes desses, e não
menos críticas, estão as vulnerabilidades tecnológicas, renovadas a cada instante.
- 13 -
Senhas fracas
Muitas empresas afirmam realizar backups diários de suas transações, mas sequer
fazem manutenção para verificar se o trabalho realmente está sendo feito. É preciso
manter backups atualizados e métodos de recuperação dos dados previamente
testados. Muitas vezes, uma atualização diária é pouco diante das necessidades da
empresa, caso venha a sofrer algum dano. Também é recomendável tratar da
proteção física desses sistemas, que por vezes ficam relegados à manutenção
precária. Já é comum, depois dos tristes fatos ocorridos em 11 de setembro de 2001,
sites de backup onde os dados são replicados e, em caso de uma catástrofe, os
sistemas são utilizados para a continuidade dos negócios.
Portas abertas
Brechas de instalações
- 14 -
Embora esse posicionamento seja conveniente para o usuário, ele acaba abrindo
espaço para vulnerabilidades, já que não mantém, nem corrige componentes de
software não usados.
Logs são responsáveis por prover detalhes sobre o que está acontecendo na rede,
quais sistemas estão sendo atacados e os que foram de fato invadidos. Caso a
empresa venha a sofrer um ataque, será o sistema de registro de logs o responsável
por dar as pistas básicas para identificar a ocorrência, saber como ocorreu e o que é
preciso para resolvê-la. É recomendável realizar backup de logs periodicamente.
- 15 -
Dez ameaças de 2007
- 17 -
Módulo 5 - Mobilidade
Nova realidade
- 18 -
O desenvolvimento da tecnologia também aumenta o escopo do problema. Com
discos de maior capacidade de armazenamento, o usuário acaba sendo encorajado a
salvar seus dados localmente, o que representa problemas de segurança. A
disseminação de USB Drives, bem como gravadores de CDs e DVDs, abrem espaço
para a utilização pessoal do dispositivo, retendo informações que não deveriam estar
ali. Outro ponto preocupante diz respeito à transferência de informações do notebook
para esses aparelhos, já que, caso não exista uma política clara e estruturada, é
difícil controlar quais arquivos foram copiados em outras mídias.
Além disso, o aspecto físico da solução também precisa ser levado em conta. Pelo
seu valor, os aparelhos portáteis atraem enorme atenção e são roubados
constantemente. Em São Paulo, por exemplo, existem quadrilhas especializadas em
roubos de laptops, procurando suas vítimas em locais estratégicos como aeroportos
ou de concentração de grandes empresas.
Outro fator que causa bastante preocupação está, graças à miniaturização dos
aparelhos, na possibilidade de perda desses dispositivos. Mais do que o preço do
aparelho, o dado armazenado também tem valor. Muitas vezes, incalculável. Como
lidar com todas essas questões?
Oportunidade de negócios
Com isso, é possível garantir que todos os níveis de proteção estabelecidos pela
companhia sejam passados para as plataformas móveis. Assim, é eliminado o
problema de um worm ou vírus no notebook, por exemplo, infectar toda a rede
corporativa sem que o usuário tenha conhecimento. Isso, no entanto, é apenas o
primeiro nível de proteção no contexto das plataformas móveis.
De olho no notebook
Ainda que alguns especialistas afirmem que a consolidação já é uma realidade para
aparelhos de menor porte, o mercado ainda se mostra incipiente. Mas um dado
precisa ser levado em consideração: enquanto o primeiro worm de rede levou cerca
de 20 anos para ser desenvolvido, a praga eletrônica que infestou os celulares não
demorou mais do que oito meses.
- 20 -
Antes do surgimento da mobilidade, todos os investimentos estavam focados no
perímetro de rede das empresas. Hoje, a situação se modificou sensivelmente. A
estrutura de combate construída para proteger a companhia do ambiente externo,
empilhando soluções de antivírus, firewall, IDS e IPS, além dos appliances de rede
que trazem funcionalidades de segurança não é suficiente. Friamente, a mobilidade
trouxe um novo conceito de perímetro de rede e, com ele, gerou paralelamente
inúmeras brechas de segurança.
Não é ilusório imaginar que, como toda grande revolução com ganhos fantásticos, a
mobilidade está também pagando um alto preço. Reestruturar todo o ambiente
corporativo, ganhar muito em produtividade e disponibilidade, fechando negócios em
tempo real de qualquer lugar do mundo, gerou conseqüências. E elas serão bem
mais sérias do que vírus que invadem a rede ou worms que se reproduzem para toda
a lista de contatos.
A comunicação de dados por redes sem fio ainda é objeto de estudo de organizações
especializadas em soluções de segurança da informação. A facilidade de se trafegar
bits por ondas de rádio, sem necessidade de conexão a qualquer tipo de rede de
cabos, tem atraído cada vez mais usuários em todas as partes do mundo. Mas o fato
é que, em termos práticos, esse meio de comunicação ainda não está totalmente
protegido de invasões e fraudes, realidade que está diretamente relacionada ao
desenvolvimento dos padrões de comunicação das redes sem fio. Grandes são as
expectativas junto de um mercado que ainda se encontra em seu estado inicial. No
Brasil, as pesquisas apontam que a adoção de redes sem fio está em processo
acelerado.
Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser até mais
barata do que uma estrutura com cabeamento, uma vez que dispensa a aquisição de
diversos equipamentos e serviços. Mas, existe também a mobilidade que oferece
uma conectividade praticamente ininterrupta para o usuário. Várias empresas
instalaram hot spots (conexões sem fio em lugares públicos) nos principais pontos de
acesso no Brasil, tais como aeroportos, bares e livrarias, o que abre muitas
possibilidades de comunicação de funcionários com suas empresas e acesso à
Internet. Tecnologias com o WiMax aumentam a área de cobertura das redes sem fio
e prometem ser o próximo grande boom nas corporações e na vida das pessoas.
- 21 -
Módulo 6 - Terceirização
A terceirização é uma forte tendência em todos os setores de TI, e não poderia ser
diferente, quando falamos em Segurança da Informação. Trata-se de um assunto
recorrente, isso porque a Segurança da Informação não é especialidade da indústria
de manufatura, como também não faz parte dos negócios do setor automobilístico,
de empresas alimentícias ou do varejo. No entanto, para que possam manter o core
business de suas operações, essas corporações devem garantir a manutenção das
condições ideais de segurança, que cada vez mais se torna fator crítico em todas as
suas transações.
Por isso, podemos nos preparar para ver as ações de proteção sendo executadas fora
da corporação. No caso da segurança, a diferença é que a viabilidade do processo
depende do tamanho das organizações. Grandes empresas têm pouca probabilidade
em passar a segurança para o esquema outsourcing. Já as pequenas e médias
empresas mostram-se mais abertas a essa opção, como podemos observar nas
estruturas de ‘software as a service’, que vêm crescendo no mercado, tornando-se
mais maduras.
Previsão
A previsão da consultoria é que o setor cresça em média 16% até 2010, sendo que a
fatia de serviços tende a aumentar o seu percentual no bolo. Segundo dados da Frost
& Sullivan, o mercado latino-americano de serviços gerenciados de segurança deve
superar o total de US$ 272 milhões em 2011. De acordo com a consultoria, o Brasil
continuará a concentrar 40% desse mercado.
- 22 -
Em seguida vem o México, com 23%.
Para atender à demanda crescente, a F-Secure promete anunciar uma parceria para
expandir seus negócios na América Latina. A empresa atua no Brasil em parceria
com o provedor IG para entrega de serviços como antivírus, firewall e proteção
contra malwares, phishing e spam. Os usuários corporativos ou domésticos podem
optar por pacotes que variam de acordo com suas necessidades, com custos que vão
de R$ 6,90 a R$ 19,90 mensais por máquina protegida.
O mercado brasileiro ainda passa por uma fase de maturação, mas em se tratando
de segurança, nunca existe certeza absoluta do que está por vir. O que é bom e
seguro hoje, passa a ser vulnerável amanhã. Assim, é muito importante que todos
tenham um bom parceiro para cuidar do assunto; alguém especializado, que estará
sempre atualizado. E esta é a função, e a principal vantagem, das empresas que
oferecem a segurança como serviço.
Valor estratégico
O que se nota é que, conforme a segurança ganha espaço entre outras prioridades
das organizações, ela passa a ter valor estratégico, isto é, participa das decisões de
mercado, integração com a cadeia de valor, formas de oferta de produtos e serviços
etc. Assim, é natural que, em um mesmo grau de complexidade que as transações
eletrônicas, a Segurança da Informação demande diversas aplicações e camadas
tanto no que se refere à infra-estrutura tecnológica (hardware e software), quanto
na prestação de serviços e recursos humanos. Frente ao desafio, a terceirização tem
sido um dos caminhos procurados pelas organizações.
- 23 -
Como na maioria dos casos, essa tanto pode ser uma ótima como uma péssima
opção. O que definirá cada experiência depende de uma série de processos
preestabelecidos.
Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporações
terceirizaram toda sua infra-estrutura de segurança, desde pessoal até backup de
transações, filtragem etc., e estão plenamente satisfeitas com isso. Em outros casos,
a empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por
exemplo, os serviços de contingência, com duplicação de operações por meio de um
datacenter.
Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos
especialistas orienta, ao decidir partir para um processo de outsourcing é não tirar a
“inteligência” de dentro de casa. Ou seja, deve ser terceirizado apenas o que é
operacional, pois é o que gera investimentos pesados em infra-estrutura, hardware,
licenças de software etc.
O que terceirizar
- 24 -
Essa responsabilidade tem de estar esboçada em detalhes no contrato de SLA. Um
programa que garanta 100% de atividade ao longo de um ano levanta suspeita.
Basta verificar o volume de incidentes de segurança que ocorrem diariamente com
empresas altamente protegidas, como as do setor financeiro.
Em tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão
simples e imediato como se imagina. Portanto, o ideal é que a empresa tenha
conhecimento sobre seus próprios custos e infra-estrutura, algo que muitas vezes
não está organizado ou quantificado.
- 25 -
Módulo 7 - Presente e futuro
Fraudes
A fraude implementada por meio de recursos de Tecnologia da Informação cresce
gradativamente e exige a melhoria de controles internos e de processos de
monitoramento. Mesmo com a rápida e constante evolução da tecnologia, é difícil
afirmar que vulnerabilidades e falhas deixarão de existir nos sistemas e nas redes de
computadores. Isso não quer dizer que as fraudes em TI não possam ser evitadas
ou, pelo menos, que seus riscos não possam ser minimizados em níveis aceitáveis
pelas organizações. Para atingir esse objetivo, é necessário um esforço integrado de
investimento, em mecanismos de segurança tecnológica e em processos
operacionais.
Phishing
Vírus e variações
- 26 -
A segunda causa de contaminação é por sistema operacional desatualizado, sem a
aplicação de corretivos que bloqueiam chamadas maliciosas nas portas do micro.
Ainda existem alguns tipos de vírus que permanecem ocultos, mas entram em
execução em horas especificas.
Spyware
Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hábito
dos usuários para avaliar seus costumes e vender esses dados pela Internet. Elas
costumam produzir inúmeras variantes de seus programas-espiões, aperfeiçoando-os
e dificultando sua completa remoção.
Por outro lado, muitos vírus transportam spywares, que visam roubar certos dados
confidenciais dos usuários. Roubam logins bancários, montam e enviam logs das
atividades do usuário, roubam determinados arquivos ou outros documentos
pessoais. Os spywares costumavam vir legalmente embutidos em algum programa
que fosse shareware ou freeware. Sua remoção era por vezes, feita quando da
compra do software ou de uma versão mais completa e paga.
Trojans
Trojan Horse ou Cavalo de Tróia é um programa que age como a lenda do cavalo de
Tróia: entra no computador e libera uma porta para um possível invasor. O conceito
nasceu de simples programas que se faziam passar por esquemas de autenticação,
em que o utilizador era obrigado a inserir as senhas, pensando que as operações
eram legítimas. Entretanto, o conceito evoluiu para programas mais completos. Os
trojans atuais são disfarçados de programas legítimos, embora, diferentemente de
vírus ou de worms, não criem réplicas de si. São instalados diretamente no
computador. De fato, alguns trojan são programados para se autodestruir com um
comando do cliente ou depois de um determinado tempo. Os trojans ficaram
famosos na Internet pela sua facilidade de uso, fazendo qualquer pessoa possuir o
controle de um outro computador apenas com o envio de um arquivo. Os trojans
atuais são divididos em duas partes: o servidor e o cliente. Normalmente, o servidor
está oculto em algum outro arquivo e, no momento que esse arquivo é executado, o
servidor se instala e se oculta no computador da vítima; a partir desse momento, o
computador pode ser acessado pelo cliente, que enviará informações para o servidor
executar certas operações no computador da vítima.
- 27 -
Worms
Segurança 3.0
4) Se não puder realizar todas as mudanças imediatamente, definir o que deve ser
feito primeiro, e começar a agir imediatamente.
5) Segurança deve ser ‘uma jornada’, portanto, é preciso que se tenha um destino
pelo caminho.
- 28 -
Atualmente nenhuma corporação sobrevive sem equipamentos móveis e
comunicadores instantâneos, considerados vulneráveis. É primordial que a
companhias se adaptem a essa nova realidade, protegendo eficientemente suas
redes das ameaças que podem ser trazidas por esses dispositivos.
Assim como houve a evolução da chamada Segurança 1.0, que restringia ações de
usuários, para o padrão 2.0, que mostrava ameaças não apenas no mainframe e
passava a contar com a Internet e seus perigos, agora monitorar o perfil dos
profissionais e as aplicações de TI também se tornou imprescindível.
Entretanto, é preciso avaliar com o que podemos produzir uma economia saudável.
De acordo com ele, o modelo de código aberto em uma corporação preparada para o
‘momento 3.0’, por exemplo, seria extinto. Essa estrutura sempre trará benefícios
imediatos, mas é preciso que CIOs e CSOs tenham em mente seus objetivos e
prioridades em longo prazo.
- 29 -
Módulo 8 - Limites do monitoramento
O funcionário que dispõe de um PC com conexão à Internet (raros são os que não
possuem, hoje em dia) pode navegar por uma infinidade de sites, realizar transações
bancárias e de comércio eletrônico. E também trabalhar. Cabe à consciência de cada
decidir sobre a melhor maneira de equilibrar seu tempo entre tão empolgantes
atividades e o seu próprio trabalho. Ou não. Muitas companhias estão aderindo às
empresas de monitoramento, para identificar os mares por onde navegam seus
funcionários, quando estão no escritório.
Em segundo lugar, e não menos críticas, estão as vulnerabilidades que esse acesso
aleatório ocasiona, as ameaças constantes que circulam pela web e que, a qualquer
momento, podem comprometer operações primordiais para o funcionamento da
companhia.
Uso indiscriminado
- 30 -
De acordo com a pesquisa, 59% das empresas declararam que possuem métodos
para reforçar a existência de regras e políticas internas. Os meios mais utilizados
para isso são: disciplina (50%), revisões de desempenho (25%), remoção de
privilégios (18%) e ações legais (4%).
Privacidade
Regras claras
- 31 -
Uma vez estabelecido esse processo, é preciso elaborar um termo de aceitação,
colhendo a assinatura de cada profissional da companhia.
Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil máquinas com
acesso à Internet, a principal função da política de segurança foi o controle de
acessos e a formatação da Internet como ferramenta corporativa. A definição de
regras de uso da rede começou com a estruturação de um comitê de segurança da
informação, formado por representantes de várias áreas da companhia. O comitê
também elaborou um documento no qual estão definidos os critérios para a
utilização de e-mails e listados os tipos de sites que não devem ser acessados pelos
funcionários. Os downloads de aplicativos foram totalmente restringidos.
O fato é que, cada vez mais, a monitoria do profissional não é uma escolha, mas
uma obrigação do gerenciamento de risco. A empresa deve declarar claramente que
de fato monitora, listando o que é rastreado, descrevendo o que procura e
detalhando as conseqüências de violações. Controles de segurança sugeridos por
normas de segurança podem ser um caminho mais viável para suportar parâmetros
de auditoria e conformidade para toda a companhia.
Práticas
• As razões para realizar a monitoria têm que estar claras entre empresa e
funcionário. O fato de uma empresa admitir abertamente que faz monitoria,
reforçado por ações reativas quando são descobertas infrações, fará os funcionários
entenderem que e-mail não é uma forma de comunicação privada. É provável que
passem a se policiar.
- 32 -
• Definir claramente as expectativas da empresa e informar os funcionários sobre a
monitoria.
Quanto mais uma empresa depende de redes de computadores, maiores devem ser
as preocupações com segurança. E isso significa preocupar-se com a integridade de
dados, com o tempo de manutenção devido a problemas de segurança, e com muitos
outros aspectos.
- 33 -