Autora: Patricia Peck Pinheiro
Conforme cresce o uso de mobilidade e de redes sociais, volta à tona a questão do monitoramento. Principalmente devido ao crescimento também dos incidentes de vazamento de informação, cada vez mais recorrentes. Atualmente não basta monitorar os ambientes e equipamentos internos, a grande questão agora é monitorar os ambientes e equipamentos externos.
Sendo assim, o desafio dos gestores responsáveis por contratar ou realizar monitoramento corporativo tem sido o de delimitar claramente: o que monitorar, como e qual o limite (perímetro físico e temporal). A melhor prática não é monitorar pessoas, e sim monitorar informações. Isso contribui inclusive para evitar riscos de questionamento de invasão de privacidade, pois está sendo “vigiada” a informação e não a pessoa. Em todo plano estratégico de Segurança da Informação isso deve ficar muito claro.
Com o foco nos dados, então, pode-se implementar soluções que envolvam uso de DLP (Data Loss Prevention), softwares que fazem varredura em equipamentos espetados na rede (de terceiros), em equipamentos que venham a acessar a VPN (quando conecta é feita a verificação do fluxo de informação para fora e para dentro e se o equipamento tem vírus, por exemplo), bem como também as próprias redes sociais.
A mobilidade passou a exigir também este acompanhamento maior, ainda mais com disseminação barata de smartphones (em geral os profissionais possuem o próprio mesmo que a empresa não os forneça e estão portando e acessando dados que necessitam ser protegidos). Mas também temos visto o crescimento de informações confidenciais em dispositivos de eReaders e ultimamente no iPad. Se aprendemos a ter pasta segura e senha no notebook, depois no celular, imagina então no iPad!
Na questão das redes sociais é essencial que a empresa realize um monitoramento permanente, até pela necessidade de saber quais informações estão lá (e não que pessoas estão lá). O foco nas pessoas tem a ver com conscientização de usuários, com educação no hábito da segurança, e não com vigiar as mesmas. O que deve ser monitorado são os dados, onde quer que eles estejam e independente de quem os acesse.
Também tem sido importante aplicar uma metodologia de segregação de funções, dedicando recursos específicos, mais bem treinados, quando o monitoramento dos dados envolve as informações geradas na alta-direção. Com toda certeza não é um colaborador comum, muitas vezes iniciante ou até terceirizado que deveria monitorar o e-mail do presidente, por exemplo. Assim como a equipe de segurança responsável pela proteção de alto-escalão é uma equipe especial, treinada para tanto, o mesmo deve ocorrer com o time de segurança da informação que protege os dados mais sensíveis, confidencias e restritos da empresa ou instituição, principalmente se ela for aberta em bolsa ou estiver relacionada com segurança nacional.
Finalmente, continua fundamental o aviso prévio de ambiente monitorado, não apenas em documentos, como em um NDA (Termo de Confidencialidade) ou cláusula de segurança da informação inserida em contratos de trabalho e prestação de serviços, como Políticas, Normas, Procedimentos e principalmente no meio de uso da tecnologia. Precisa inserir as vacinas legais nas interfaces gráficas, ou seja, quando acessar de qualquer dispositivo ou qualquer lugar, quem quer que seja, lerá o aviso de “ambiente monitorado” e então está feita a blindagem legal e assim há segurança jurídica da segurança da informação.
*Dra. Patricia Peck Pinheiro é advogada especialista em Direito Digital, sócia fundadora da Patricia Peck Pinheiro Advogados.