Limites do monitoramento

Televisão, shopping center, entretenimento, bate-papo, variedades, paquera, museus, negócios, cartas, etc., etc., etc. Essas são apenas algumas das diversas aplicações que, a partir de um simples PC com conexão à Internet, uma empresa oferece ao seu funcionário. Não é por acaso que a indústria desenvolvedora de soluções de monitoramento cresce rapidamente em todo o mundo.

Basicamente, as corporações se vêem frente a duas ameaças centrais. Primeiro, a queda drástica de produtividade de seus funcionários, além do uso indiscriminado dos recursos da companhia e de sua infra-estrutura. Cálculos feitos junto de usuários nos Estados Unidos apontam que cada pessoa gasta, em média, quase duas horas por dia checando e-mails, o que representa um quarto do expediente normal. O período inclui o envio e/ou recebimento de mensagens pessoais, fato reconhecido por 90% dos usuários.

Em segundo lugar, e não menos críticas, estão as vulnerabilidades que esse acesso aleatório ocasiona, as ameaças constantes que circulam pela Web e que, a qualquer momento, podem comprometer operações primordiais para o funcionamento da companhia.

Situações como essas estão levando ao controle rígido de diversas aplicações de acesso on-line, entre essas a filtragem de sites e de conteúdos da Internet, e restrições daquela que hoje é a principal ferramenta do meio digital: o correio eletrônico.

Recentes pesquisas no mercado norte-americano mostram que mais de 70% dos empregadores monitoram o uso do e-mail por parte de seus funcionários. Muitos casos de demissão ocorrem em função da má utilização da ferramenta. Muitas sentenças foram dadas em favor dos empregadores, mesmo no uso do Hotmail, Yahoo ou mesmo voice-mail.

Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo descompasso entre a preocupação das corporações com o uso indiscriminado do correio eletrônico e as ações efetivas que tomam para combater a prática. Os resultados apontaram que 75% de todos os profissionais pesquisados reconhecem que suas empresas produzem políticas de utilização de e-mail, mas menos da metade (48%) treina seus funcionários sobre o assunto.

De acordo com a pesquisa, 59% das empresas declararam que possuem métodos para reforçar a existência de regras e políticas internas. Os meios mais utilizados para isso são: disciplina (50%), revisões de desempenho (25%), remoção de privilégios (18%) e ações legais (4%).

Não bastasse o controle interno, as corporações precisam desenvolver armas para barrar aquele que se tornou seu maior inimigo: as mensagens indesejadas, ou spams. Segundo a AMA, 92% dos profissionais recebem algum material desse tipo. Desses, 45% afirmam que as mensagens não-autorizadas representam mais de 10% de seu volume diário de e-mails, percentual que ultrapassa 50% para 7% dos ouvidos pela pesquisa.

Privacidade

No Brasil, grandes organizações demitiram funcionários que costumavam acessar conteúdos pornográficos ou sem qualquer relação com o negócio da empresa. Mas a polêmica ainda é recente. Tanto que, em uma análise mais minuciosa dos fatos e das leis de privacidade, constata-se que a própria legislação brasileira é uma das opositoras às práticas de monitoração.

Aprovado em junho de 2006 pela Comissão de Educação, o Projeto de Lei 76/2000 do Senado é o mais completo texto legislativo produzido no País para regular a repressão a crimes de informática. O PLS 76, relatado pelo senador Eduardo Azeredo, com assessoria de José Henrique Santos Portugal, incorpora atualizações e contribuições de outros projetos de lei menos abrangentes e altera o Código de Processo Penal, o Código Penal Militar e a Lei de Interceptação de Comunicações Telefônicas.

Dentre todos os dispositivos inclusos no texto, o mais polêmico é a determinação de que todo aquele que prover acesso à Internet terá de arquivar informações do usuário como o nome completo, data de nascimento e endereço residencial, além dos dados de endereço eletrônico, identificador de acesso, senha ou similar, data, hora de início e término, e referência GMT da conexão. A medida tem sido alvo de críticas enérgicas entre aqueles que prezam pela privacidade e o anonimato na rede, sob a alegação de que dados de cunho pessoal não devem ficar em bancos de dados, expostos a uma possível devassa judicial, além do possível extravio para fins escusos.

Discussões à parte, o que se orienta é que as empresas estabeleçam regras claras de acesso e usabilidade, esclarecendo que disponibiliza seus recursos para que sejam utilizados como ferramenta de trabalho. Essas normas devem fazer parte de uma Política de Segurança da Informação.. Uma vez estabelecido esse processo, é preciso elaborar um termo de aceitação, colhendo a assinatura de cada profissional da companhia.

Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil máquinas com acesso à Internet, a principal função da política de segurança foi o controle de acessos e a formatação da Internet como ferramenta corporativa. A definição de regras de uso da rede começou com a estruturação de um comitê de segurança da informação, formado por representantes de várias áreas da companhia. O comitê também elaborou um documento no qual estão definidos os critérios para a utilização de e-mails e listados os tipos de sites que não devem ser acessados pelos funcionários. Os downloads de aplicativos foram totalmente restringidos.

Já na Payot, o controle de e-mails e de acesso à Internet gerou economias em gastos com manutenção de rede e tempo de funcionários parados. A fabricante de cosméticos calcula que obteve ganhos de 50% na produtividade de seus funcionários e seu consumo de banda reduziu em 20%.

Também deve ser de responsabilidade da organização garantir que esse monitoramento se configure com respeito aos funcionários e em sigilo, restringindo a divulgação dessas informações e não configurando qualquer tipo de perseguição ao profissional.

O fato é que, cada vez mais, a monitoria do profissional não é uma escolha, mas uma obrigação do gerenciamento de risco. A empresa deve declarar claramente que de fato monitora, listando o que é rastreado, descrevendo o que procura e detalhando as conseqüências de violações. Controles de segurança sugeridos por normas de segurança podem ser um caminho mais viável para suportar parâmetros de auditoria e conformidade para toda a companhia.

Práticas

Algumas ações básicas podem dar maior segurança e tranqüilidade à corporação e ao funcionário, no que se refere à monitoria do ambiente de trabalho. São elas:

• Antes de qualquer ação, é viável que a companhia consulte um especialista em lei digital para saber se existem bases judiciais que afetem seus planos de monitoria.

• As razões para realizar a monitoria têm que estar claras entre empresa e funcionário. O fato de uma empresa admitir abertamente que faz monitoria, reforçado por ações reativas quando são descobertas infrações, fará os funcionários entenderem que e-mail não é uma forma de comunicação privada. É provável que passem a se policiar.

• Caracterizar a monitoria como algo de proteção mútua, dando segurança e respaldo à corporação e ao profissional.

• Definir claramente as expectativas da empresa e informar os funcionários sobre a monitoria.

• Estabelecer a política; educar a força de trabalho; e empregar a política de maneira consistente.

• Combinar ferramentas de varredura de conteúdo e regras por escrito.

• Punir quando for necessário. De outra forma, ninguém respeitará as regras da companhia.

Conclusão

Quanto mais uma empresa depende de redes de computadores, maiores devem ser as preocupações com segurança. E isso significa preocupar-se com a integridade de dados, com o tempo de manutenção devido a problemas de segurança, e com muitos outros aspectos.

O número de incidentes de segurança está em pleno crescimento, não apenas porque as redes de computadores são vulneráveis, mas também porque quanto mais poderosos tornam-se os aparatos de segurança – leia-se firewalls, software, etc –, maior se torna o interesse de hackers em invadir.

Falhas em políticas de segurança expõem não apenas informações e dados de uma empresa, mas também causam danos sérios à imagem da companhia. E é o zelo pela imagem que, muitas vezes, impulsiona a implantação de uma política de segurança, com a utilização de firewalls, mecanismos de autenticação, algoritmos de encriptação, e outras medidas de prevenção. Mas será que apenas investindo em tecnologia a empresa estará 100% segura?

Um dos maiores riscos é a empresa acreditar que basta comprar equipamentos e softwares e estará segura para sempre. Produtos de segurança direcionados à prevenção são bons, mas são apenas uma parte do conceito geral. Não é o bastante ter os melhores produtos de segurança. É preciso instalá-los, usá-los, e mantê-los atualizados (instalando novas versões, aplicando patches de correção, etc) para, então, interpretar suas informações e responder efetivamente aos alertas registrados por eles.

No contexto atual, mais do que nunca, segurança é vital para o sucesso de um negócio.

Fontes consultadas:

Marco Oswaldo da Costa Freitas, consultor de segurança Embratel

Edson Fontes, CSO da Gtech

CSO Magazine

American Management Association

Bibliografia recomendada:

1984 - George Orwell - Cia editora Nacional