Segurança da informação precisa estar atrelada as questões jurídicas

Quantos casos você conhece de funcionários que vazaram dados confidenciais em redes sociais ou que baixaram conteúdos maliciosos que prejudicaram o ambiente de tecnologia da empresa? Isso só para citar algumas situações que, cada vez mais, estão presentes nas rotinas das corporações. A elaboração de uma política de segurança da informação (SI) tendo como base questões jurídicas tornou-se algo extremamente necessário e muitas empresas já se deram conta disso. O assunto, que ganha cada vez mais importância, esteve no centro do 1.2.1 Network nesta terça-feira (07/06), encontro organizado pela IT Mídia S/A e que reuniu cerca de 20 gestores de TI de companhias de médio porte.

Liderado pela advogada e especialista em direito digital Patrícia Peck Pinheiro, que comanda escritório que leva seu nome, o debate trouxe para a mesa questões como regras comportamentais em redes sociais, revisão contratual e que cláusulas incluir para se resguardar na contratação de serviços em nuvem e, claro, a criação de uma política de segurança da informação atrelada aos aspectos jurídicos e o uso de campanhas de conscientização dos usuários, dois dos tópicos mais importantes quando se aborda os desafios da SI nas empresas.

No caso das redes sociais, para Patrícia, o ponto não é mais discutir a liberação ou não do acesso, mas, sim, treinar seu funcionário para que ele tenha uma boa conduta nesses ambientes. Mesmo porque, se você não liberar, ele terá acesso de outras formas, mesmo pelo celular. O mesmo vale quando se discute a mobilidade e uso dos mais diversos dispositivos. ?É melhor que a pessoa tenha acesso à informação de forma monitorada que carregar para todo o lugar?, frisa, lembrando que, ao não possuir uma política, o funcionário pode levar dados cruciais em um pen-drive e perdê-lo.

Uma das principais lições deixadas pela especialista aos CIOs é: a regra precisa ser clara. Além disso, os funcionários precisam ser avisados e terem meios de acessar a política para eventuais dúvidas. Outro ponto é elaborar as regras junto com o jurídico da empresa, para que não fique um manual técnico como possuem muitas empresas.

?Hoje, os gestores de TI estão tendo que repensar a infraestrutura para ter provas legais. O judiciário aceita o digital como prova, mas precisa o original, e isso está no log. Talvez, o servidor de log precisa de uma regra jurídica?, comenta a especialista. Ela percebe que, cada vez mais, os CIOs buscam assessoria jurídica, seja para elaboração de política de segurança ou código de conduta em redes sociais ou mesmo para análise de contrato, sobretudo, os de terceirização. ?Se você lê um contrato direto, acaba não vendo buracos no documento.?

Muita coisa tem mudado nessa era digital e a Justiça brasileira, a partir do momento em que passa a acatar diversas possibilidades como prova, começa a apoiar ou aconselhar práticas até então não vistas com bons olhos. O monitoramento de e-mail corporativo é um exemplo. Patrícia explica que, até 2000, não se permitir monitorar porque tinha a vida íntima da pessoa. Em 2010, entretanto, o judiciário passou a entender que era preciso fazer a monitoria, pois a empresa responde pela má conduta do funcionário no uso indevido deste meio. ?O funcionário é usuário e, para isso, tem regras de conduta.

Se deixar prerrogativa prévia de que ambiente é monitorado, pode monitorar (até o) telefone, por isso, se fala na URA do PABX que ambiente é monitorado. É até para evitar que a pessoa faça excesso de exposição de vida íntima.?