Falha de Segurança: Invasão de Privacidade versus Vazamento de Informações



Documentos relacionados
Código de prática para a gestão da segurança da informação

PROJETO RUMOS DA INDÚSTRIA PAULISTA

ABNT NBR ISO/IEC 27002:2005

UNIP UNIVERSIDADE PAULISTA

SOCIEDADE VIRTUAL: UMA NOVA REALIDADE PARA A RESPONSABILIDADE CIVIL

SISTEMAS INTEGRADOS DE GESTÃO PAS 99:2006. Especificação de requisitos comuns de sistemas de gestão como estrutura para a integração

Gerenciamento de Problemas

Gestão da Qualidade Políticas. Elementos chaves da Qualidade 19/04/2009

CHECK - LIST - ISO 9001:2000

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

1. Quem somos nós? A AGI Soluções nasceu em Belo Horizonte (BH), com a simples missão de entregar serviços de TI de forma rápida e com alta qualidade.

O papel da Auditoria quanto a Segurança da Informação da organização

Distribuidor de Mobilidade GUIA OUTSOURCING

Universidade Paulista

Monitoramento de corporativo

Segurança na Rede UFBA

Governança Corporativa

Código de Ética. SPL Consultoria e Informática Ltda.

POLÍTICA DE PRIVACIDADE DA DIXCURSOS (ANEXO AOS TERMOS E CONDIÇÕES GERAIS DE USO DO SITE E CONTRATAÇÃO DOS SERVIÇOS)

Curso Plano de Continuidade de Negócios

Pós-Graduação em Gerenciamento de Projetos práticas do PMI

10 DICAS DE TECNOLOGIA PARA AUMENTAR SUA PRODUTIVIDADE NO TRABALHO

UNIVERSIDADE FEDERAL DE PELOTAS

Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes

SISTEMA DE GESTÃO AMBIENTAL ABNT NBR ISO 14001

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

Apresentação. Vitae Tec Tecnologia a Serviço da Vida!

REGULAMENTO INTERNO PARA UTILIZAÇÃO DO LABORATÓRIO DE INFORMÁTICA DO PPGEQ

Qualider Consultoria e Treinamento Instrutor: José Roberto

ISO 9001:2008. Alterações e Adições da nova versão

Banco de Interpretação ISO 9001:2008. Gestão de recursos seção 6

Segurança Internet. Fernando Albuquerque. (061)

Laboratórios de Informática Regulamento

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

ECONTEXTO. Auditoria Ambiental e de Regularidade

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE

Aumente sua velocidade e flexibilidade com a implantação da nuvem gerenciada de software da SAP

MUDANÇAS NA ISO 9001: A VERSÃO 2015

SÉRIE ISO SÉRIE ISO 14000

Transcrição:

Falha de Segurança: Invasão de Privacidade versus Vazamento de Informações Emerson Gonçalves Pós-Graduação em Gestão da Segurança da Informação em Redes de Computadores Senai Florianópolis, SC - Brasil emerson@integradotec.com.br Resumo. A presente resenha crítica destaca aspectos jurídicos proferidos em uma decisão da 1ª Turma do TST, confrontada com características de política de segurança das normas NBR ISO/IEC 17799 e NBR ISO/IEC 27001. Revela aspectos a serem considerados no julgamento do uso do computador de forma incorreta pelo colaborador durante suas atividades na empresa, não obstante poder caracterizar invasão de privacidade, apresenta o risco de vazamento das informações da organização. Abstract. To present it specifies critic it detaches juridical aspects uttered in a decision of the 1ª Group of TST, confronted with characteristics of politics of safety of the norms NBR ISO/IEC 17799 and NBR ISO/IEC 27001. He reveals aspects they be considered her in the judgement of the use of the computer in an incorrect way for the collaborator during your activities in the company, in spite of could characterize invasion of privacy, it presents the risk of leak of the information of the organization. Introdução Nos dias de hoje, com o avanço tecnológico, empresários, funcionários, advogados, especialistas em Segurança da Informação, todos, de uma forma ou de outra, estão envolvidos em uma sociedade digital, que não é apenas uma evolução tecnológica da era pós-industrial, mas sim, a transformação da riqueza física, baseada na terra e nos bens de produção, em ativos intangíveis. É muito comum a utilização de aparelhos eletrônicos no ambiente de trabalho, dentre eles, o computador, que, se não é indispensável, é muito importante para o desenvolvimento de boa parte das atividades dos empregados em grandes, médias e pequenas empresas. Este trabalho, tendo em vista a progressiva evolução tecnológica que estamos vivenciando, especialmente no âmbito da Internet, e a respectiva inclusão da informática nas relações humanas, inicia com uma sentença de mérito proferida pela Primeira Turma do Tribunal Superior do Trabalho, instância máxima da justiça trabalhista. Esta decisão, que aborda valores essenciais para se viver em sociedade, tais como proporcionalidade, razoabilidade, bom-senso, ética, profissionalismo e, sobretudo, privacidade. Diante de garantias como sigilo e inviolabilidade, relacionadas aos aspectos trabalhistas, a presente resenha traz paralelamente um tema que talvez tenha sido muito pouco evidenciado, ou nem mesmo tratado com o devido respeito, quando o Egrégio

Tribunal proferiu sua decisão; que é a proteção que deve existir em relação aos dados pertencentes à empresa. Reflete a segurança da informação que, segundo a ISO 17799, é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e, conseqüentemente, precisa ser protegido. Para isso, faz-se o estudo de Leis Pátrias, Doutrinas, Jurisprudências, Normas de Segurança, Revistas, Livros, Artigos Publicados, e produtos que relacionados, juntam forças, para garantir direitos, e obrigações, demonstrando o atual entendimento no Brasil e o que se tem feito em outros países. O foco de análise é a engenharia social, destacando lacunas que pessoas podem utilizar, abusando da confiança e da boa fé de outras, para fazer ataques e entrar nas instalações de uma corporação, com objetivos de destruir, frustrar e até mesmo roubar. Procura-se indicar alguns caminhos, seguindo princípios humanos, e buscar a conscientização sobre as sérias ameaças a que estão sujeitas as empresas. 1. Revisão Bibliográfica A Primeira Turma do Tribunal Superior do Trabalho 1 reconheceu o direito do empregador de obter provas para a dispensa por justa causa com o rastreamento do e- mail de trabalho do empregado. O procedimento foi adotado pelo HSBC Seguros Brasil S.A depois de tomar conhecimento da utilização, por um funcionário de Brasília, do correio eletrônico corporativo para envio de fotos de mulheres nuas aos colegas. Em julgamento de um tema inédito no TST, a Primeira Turma decidiu, por unanimidade, que não houve violação à intimidade e à privacidade do empregado e que a prova assim obtida é legal. O Direito Cibernético, se assim podemos chamá-lo, pois o termo informa o estudo das comunicações e o sistema de controle não só de pessoas, mas também de máquinas, tomou força no Brasil na década de 90 e nossa Constituição da República é do século passado, trazendo em seu texto a garantia de que ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei (Art. 5, II, CF), como também dizendo que não há crime sem lei anterior que o defina, nem pena sem prévia cominação legal (Art. 5, XXXIX, CF), como lembra Ferreira Duarte em artigo sobre monitoramento de e-mails 2, em que alerta sobre a lacuna quanto aos abusos decorrentes do tema em apreciação. Seguindo a forma das leis, na utilização de computadores por colaboradores nas empresas, é nitidamente relevante o direito de propriedade do empregador, também protegido sob a égide da CF, em seu Art. 5, XXII. Como também é proeminente seu poder de direção (Art. 2 da Consolidação das Leis Trabalhistas - CLT), pois é esse poder que protege sua responsabilidade por atos praticados pelo empregado, que segundo a própria lei lhe solidariza nos prejuízos causados conforme Arts. 932, III cumulado com o 933, ambos do nosso Código Civil. 1 PROC. Nº TST-RR-613/2000, disponível no site www.tst.gov.br, publicado no DJ - 10/06/2005 2 disponível em http://www.guiatrabalhista.com.br/tematicas/monitoramentodee-mails.htm, acessado em 20/10/2006

Outra regra contida na redação do Art. 482 da CLT 3 (Consolidação das Leis Trabalhistas) remete às práticas que levam a justa causa para rescisão do contrato pelo empregador. Decorre da alínea b, na qual pode se encaixar a incontinência de conduta de divulgar no site da empresa ou enviar aos outros funcionários fotos de natureza sexual; ou mau procedimento, enviar spams (mensagens não solicitadas), e h, a qual pode penalizar o ato de indisciplina do empregado ao utilizar o e-mail para fins pessoais, mesmo sabendo que existe no regulamento de empresa norma que o proíbe da prática ou de insubordinação no mesmo caso quando o chefe imediato ordena a desconexão do empregado da Internet. Silva 4 defende que é possível tolerar e controlar (através de programas de produtividade) o uso, de forma moderada, como para acesso de sites de bancos, para pagamentos de contas ou outras finalidades, não menos úteis, desde que eventuais, pois é na empresa/trabalho que o empregado passa a maior parte do seu dia útil, e, portanto, se o ambiente de trabalho não proporcionar certo conforto ao empregado, a tendência é que a produtividade também seja menor, pois quem trabalha mais satisfeito, também produz mais. Lobato de Paiva 5 traz interessante comparativo dos países que já se debruçaram sobre o tema, como os Estados Unidos da América conta com leis de proteção como: The Federal Wiretapping Act y Eletronic Communications Privacy Act de 1986 que proíbe a interceptação de comunicações eletrônicas, porém permite exceções como a data através do consentimento do afetado. Muitos Estados tem adotado leis similares a esta lei federal como o Estado de Maryland e o da Flórida, que requerem o consentimento de ambas as partes, antes que o empregador possa vigiar o correio eletrônico. Assim a jurisprudência americana tem resolvido na maioria dos casos a favor do monitoramento do correio eletrônico pelas empresas. Na Grã Bretanha a Regulation of Investigatory Powers Act 2.000, vigente desde 24 de outubro, permite o acesso do correio eletrônico do empregado utilizado de forma indevida (uso não autorizado) pelo empregador. No Japão, em agosto do ano 2000, entrou em vigência a lei de interceptação das comunicações, pela qual permite o acesso dos correios eletrônicos no curso da investigação de crimes sérios, como o assassinato, dentre outros. França, Bélgica, Espanha, Holanda, todos procuram não dar na grande maioria dos casos soluções as questões virtuais de forma radical, pois o segredo das comunicações não deve ser tratado e aplicado da mesma forma com o correio eletrônico na esfera trabalhista. Não podemos dizer que o trabalhador possa usar indiscriminadamente o e-mail para fins pessoais (salvo o que diz respeito à teoria do uso social do e-mail), porém tampouco o empresário pode proibir radicalmente seu uso. É preciso buscar um código de conduta, para que possamos aplicar uma política de segurança da informação, trazendo a favor da corporação o elo mais fraco desta corrente que por unanimidade, é o usuário. 3 Art 482. Constituem justa causa para rescisão do contrato de trabalho pelo empregador: (...); b) incontinência de conduta ou mau procedimento; (...);h) ato de indisciplina ou de insubordinação; 4 Silva, Leda Maria Messias. Monitoramento de e-mails e sites, a intimidade do empregado e o poder de controle do empregador do empregador abrangência e limitações. In: Revista LTr, v. 70, 01, jan 2006. 5 Lobato de Paiva, Mario Antônio. Interceptação do Correio Eletrônico

A ISO 17799 em suas primeiras páginas apresenta controles essenciais e importantíssimos que se fossem seguidos fortaleceriam este combate como a proteção de dados e a privacidade de informações pessoais, salvaguarda de registros organizacionais, direitos de propriedade intelectual entre outros 6. Para Kevin D. Mitnick 7, os usuários de computadores às vezes não tem a menor pista das ameaças e vulnerabilidades associadas à engenharia social que existem no mundo da tecnologia. Eles têm acesso às informações, mas não tem o conhecimento detalhado daquilo que pode ser uma ameaça à segurança. Um engenheiro social visa um empregado que tem pouca compreensão de como são valiosas as informações que ele pode dar e, assim, fornecê-las a um estranho. Tecnologia da Informação, técnicas de segurança, sistemas de gestão de segurança da informação (SGSI), são requisitos destacados pela Norma da ABNT NBR/IEC 27001, que procura personalizar a implementação de controles de segurança adequados para as necessidades individuais de organizações ou suas partes, utilizada também para avaliar a conformidade pelas partes interessadas internas e externas, adotando o modelo conhecido como PDCA (Plan-do-check-act), estando alinhada às Normas ABNT NBR ISSO 9001:2000 e ABNT NBR ISSO 14001:2004. 8 Um bom sistema de gestão de segurança da informação tem por objetivo prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as Leis e regulamentações relevantes. Gerenciar a segurança da informação dentro da organização, manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados, comunicados ou gerenciados por partes externas. Sua principal função está ligada à gestão de ativos, ou seja, alcançar e manter a proteção adequada dos ativos da organização, assegurando que a informação receba um nível adequado de proteção. Sendo assim, é necessário que os funcionários, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo com os seus papéis, reduzindo o risco de roubo, fraude, ou mau uso de recursos. Eles precisam estar conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, preparados para apoiar a política de segurança da informação da organização durante seus trabalhos normais, para reduzir o risco de erro humano. No item gerenciamento das operações e comunicações da Norma NBR/IEC 27001, o objetivo é garantir a operação segura e correta dos recursos de processamento da informação. Cita a proteção contra códigos maliciosos e códigos móveis, buscando estabelecer a integridade do software e da informação. Destaca também a gerenciamento de segurança de redes, buscando controle e segurança dos serviços de redes, com proteção das informações em redes e a proteção da infra-estrutura de suporte. 6 O impacto da implementação da norma NBR ISO/IEC 17799, disponível no site www.modulo.com.br, acessado em 20/10/2006. 7 Mitnick, Kevin D. e Simon, William L. A Arte de Enganar. São Paulo : Editora Makron Books/Pearson Education. 2003. 284 p. 8 Caubit, Rosângela. O que é a ISO 27001, afinal? disponível no site www.modulo.com.br, acessado em 20/10/2006.

Neste mesmo item da norma, é possível encontrar uma real preocupação em relação à troca de informações, tendo como objetivo manter a segurança na troca de informações e softwares internamente à organização e com qualquer entidade externas. O monitoramento também é destacado no gerenciamento das operações e comunicações, procurando detectar atividades não autorizadas de processamento da informação. No item controle de acesso está definido o gerenciamento de acesso do usuário, assegurando o acesso de usuário autorizado, buscando prevenir o acesso não autorizado a sistemas de informação, para em seguida definir as responsabilidades dos usuários, com o objetivo de evitar roubos ou comprometimento dos ativos da informação. Aquisição, desenvolvimento e manutenção de sistemas de informação é o item da NBR/IEC 27001 que tem por objetivo principal, garantir que segurança é parte integrante de sistemas de informação. Busca prevenir ocorrências de erros, perdas, modificações não autorizadas ou mau uso de informações em aplicações. Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas. Por fim, o item gestão de incidentes de segurança da informação, que tem por objetivo assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação, sejam comunicados, e permitam a tomada de ação corretiva em tempo hábil. Tudo isto por que o ponto principal é a gestão da continuidade do negócio. Não permitir a interrupção das atividades do negócio, e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil se for o caso. Encerra a Norma NBR/IEC 27001 falando sobre conformidade. Conformidade esta com os requisitos legais, enfatizando que ante a tudo que foi descrito, é preciso evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação. Para Perez Botija, citado por Ricardo José Engel 9, as pessoas que se ligam por vínculos laborais não se transformam em máquinas ou mercadorias, não se transformam em coisas, mas continuam dotadas de personalidade singular. Ainda que do ponto de vista sociológico o empregado se perca no anonimato da fábrica e do ponto de vista técnico seja uma entre tantas unidades de cálculo, reduzido a um algarismo; ainda que o setor de recursos humanos o reduza a um expediente, o ser que trabalha não pode perder sua qualidade de humano; o que significa dizer: haverá de ser tratado sempre com o devido respeito a sua dignidade. A resposta para isto segundo Ricardo José Engel 10, significa a busca do meio termo na investigação das relações entre meios e fins. O razoável e o justo, o adequado, o pensado satisfatoriamente, o conforme a razão. Não, contudo, a uma razão fundada na 9 Engel, Ricardo José. O Jus Variandi no Contrato Individual de Trabalho estudo teórico-crítico em face de princípios gerais de direito aplicáveis ao Direito do Trabalho. São Paulo : LTr, 2003, p. 39. 10 ibidem

lógica matemática, puramente formal, senão uma razão sedimentada na lógica do razoável, do humano, da vida humana. 2. Discussão das Idéias Seria ético o monitoramento de e-mails de empregados? Sob este prisma, como ficaria a cultura de segurança? Independentemente da questão ética, o caminho da segurança segue para a certificação em conformidade com as normas internacionais, buscando padronização de processos e documentação, auditorias periódicas, sistema de reporte estruturado e de reconhecimento de todos os colaboradores (ou usuários como prefere a ISO 17799 de 2005), indicadores de desempenho e planos de divulgação e conscientização. Destarte, não há legislação específica para a seara da Informática, tampouco para o monitoramento de e-mails no ambiente de trabalho. No entanto, devemos utilizar o bom-senso, o justo e a equidade. É necessário sopesar a tríade retro-dimensionada, os princípios constitucionais da propriedade e da privacidade (intimidade). A priori, o direito constitucional à privacidade, protegido principalmente nos incisos X e XII do Artigo 5 da Constituição Federal de 1988, trata da proteção ao sigilo de correspondência, relacionando-se com as respectivas formas da época, como à correspondência tradicional, de papel, de cola, selo e gerenciada até seu destinatário através da instituição do governo. No Brasil, o entendimento majoritário consiste em que o monitoramento do correio eletrônico será possível, não infringindo as garantias constitucionais, quando em primeiro plano, toda a estrutura que suporta o acesso e uso da Internet, vale dizer, hardware, software, rede, provedor, etc., forem fornecidos pela empresa; e em segundo, o empregado deve ser previamente comunicado que terá seu e-mail monitorado pela empresa, consubstanciando referida ciência em contrato de trabalho ou, na falta deste, em documento válido em separado. O empregador pode e deve especificar que em algumas situações, como nos intervalos para descanso, ou no acesso a sites de Bancos para pagamentos de contas etc., o empregado poderia fazê-lo desde que não ultrapasse certo tempo. É importante especificar em quais condições seria permitido o uso do equipamento, horários e o tempo de utilização, a fim de que posteriormente o empregado não venha alegar em ação trabalhista que ficava à disposição do empregador no intervalo reservado para descanso. Portanto, deve ficar bem claro que as páginas e o tempo de acesso estão sendo monitorados, bem como, os eventuais e-mails, rastreados, pois a ausência de tais cuidados pode expor o sigilo da empresa, além de colocar ao risco de contaminação, o equipamento, por vírus. Um firewall de última geração, configurado por especialistas e auditado por uma consultoria superconceituada, sistemas de IDS, ou melhor IPS, Antivírus atualizados com alertas centralizados, filtros de e-mail, ferramentas Anti-spam, podem até dificultar uma invasão tecnológica, porém jamais conseguirão evitar o ataque de um Engenheiro Social. As empresas pouco se preocupam com esta ameaça potencial, por isso é tão perigosa e representa tanto risco.

Não obstante a estes ataques, a má utilização dos e-mails pode acarretar outro tipo de prejuízo, normalmente pouco percebido pelos empregados, qual seja, a lentidão no tráfego de informações na rede, pois as mensagens pessoais com arquivos anexados deixam a rede mais lenta, obrigando as empresas a fazerem investimentos cada vez mais elevados, visando garantir a segurança dos seus equipamentos e das suas informações, contra a ação de hackers, arquivos executáveis com vírus, entre outras modalidades de invasão. Controle é justamente o ponto de conflito como visto acima. A todo o momento somos alvos de mais e mais controles. Quando falamos de segurança da informação, estamos indiretamente falando da implementação de controles que reduzam os riscos das empresas em tempo de manuseio, armazenamento, transporte e descarte de informações. O ponto crucial é a forma de controle que se aplicam nos processos, tecnologias e pessoas. Equilibrar lados em que se relacionam segurança, e consequentemente o controle, e de outro a inviolabilidade, buscando viabilizar a operação com substancial redução de riscos de fraudes, sabotagens, vazamento de informações, incêndio, invasões, etc., garantindo a privacidade dos envolvidos. O item seis (Segurança das pessoas) da NBR ISO IEC 17799 recomenda que sejam adotados procedimentos para reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalações. A norma recomenda que as responsabilidades de segurança sejam atribuídas já na fase de recrutamento, incluídas nos contratos e monitoradas durante a vigência de cada contrato de trabalho. O subitem 6.3.5 da norma, Processo disciplinar, complementa os processos referentes à Segurança das Pessoas, recomenda que sejam tomadas medidas para funcionários que tenham violado as políticas e procedimentos de segurança organizacional. A norma aborda, ainda, as questões relacionadas com a segurança organizacional, a classificação e o controle dos ativos da informação, a segurança física e do ambiente, o gerenciamento das operações e comunicações, o controle de acesso, o desenvolvimento e a manutenção de sistemas e a conformidade com os requisitos legais. Com a implantação da norma NBR ISO IEC 17799, obtém-se um elevado grau de proteção dos dados armazenados nos computadores, das informações transmitidas por meio de redes, das conversações telefônicas, das informações impressas ou escritas em papel, das informações enviadas por fax e dos dados armazenados em fitas, discos e microfilmes. Seguindo a linha de raciocínio da ISO, percebemos que seus primeiros controles utilizados para a Segurança da Informação consistem basicamente na política aplicada na segurança da informação, na definição de responsabilidades, educação e treinamento em segurança da informação, relatório dos incidentes de segurança e a gestão da continuidade do negócio. Formam um conjunto de controles, obedecendo inclusive uma ordem cronológica, que visa fortalecer o elo mais fraco (o usuário), buscando o comprometimento e o apoio visível da alta administração, divulgação eficiente da segurança para todos os funcionários, distribuição das diretrizes sobre as normas e política de segurança da informação para todos os funcionários e parceiros, como também proporcionar educação e treinamento adequados.

O objetivo do engenheiro social é ganhar a confiança de seu usuário, para que, com os acessos concedidos a ele, realizem tarefas que um atacante não conseguiria. Ele busca obter informações com seu usuário que só conseguiria se fizesse parte de sua empresa ou realizasse uma invasão, deste modo não seriam necessários muitos apetrechos tecnológicos, e o tempo gasto para alcançar um objetivo seria menor. Como podemos perceber, se pensarmos na figura consagrada da corrente para a Segurança da Informação, certamente o ponto mais fraco é o fator humano. As pessoas são imprevisíveis e passíveis de serem influenciadas, por este motivo somos responsáveis pela educação do usuário também. Este contraste entre onda regulatória, gestão de riscos, segurança da informação, princípios sociais humanos, direito e obrigações, exige criatividade, prudência e sistematização para que se possa usar a Internet de forma ética, legal e segura. A tecnologia está na mão do usuário, e para que se possa aplicar uma boa política de segurança da informação, é preciso investir na conscientização dos colaboradores da organização sobre este tema. Entendê-lo e respeitá-lo tanto na sua ignorância quanto na sua compreensão, para buscar seu apoio e participação no ponto onde se almeja chegar que é a cultura da segurança. A estruturação de uma política de segurança e monitoramento terá sempre que ser baseada em leis específicas que irão interagir e se tornarão recorrentes sob diversos prismas. Os profissionais de segurança da informação além de recursos tecnológicos, haverão de refletir sobre razoabilidade e muitos outros princípios que cercam as relações humanas, pois serão intermediadores entre executivos, funcionários e o departamento jurídico. Conclusão A presente resenha finaliza indicando que a melhor ferramenta de segurança é o usuário. Ela demonstra o quanto é importante transformá-lo em um agente de segurança. Sugere uma política de segurança da informação com uma boa definição de responsabilidades, juntamente com educação e treinamentos de segurança da informação aos seus colaboradores. Exige o comprometimento e o apoio visível da alta administração, por meio da divulgação eficiente da segurança para todos os funcionários, juntamente com a distribuição de diretrizes sobre as normas e política de segurança da informação para todos os colaboradores e parceiros. Demonstra que o ponto mais vulnerável, que certamente é o elo mais fraco para a segurança da informação, é o usuário de computador, pois é imprevisível e passível de ser influenciado. Reflete o que se tem pensado quando há falha no comportamento e no uso indevido do computador no trabalho pelo funcionário, em que, atualmente, se tem discutido apenas o lado da lei nas relações humanas, evidenciando direitos e obrigações, renunciando ao bem maior da empresa que são suas informações.

Por isso define que toda a energia desprendida pelos profissionais de segurança deve estar concentrada no quanto as pessoas irão trabalhar para preservar os ativos e para que o problema seja apenas administrativo, de modo preventivo, ao invés de jurídico. Ensina que os objetivos das normas NBR ISO/IEC 17799 e NBR ISO/IEC 27001, são implementar controles efetivos de segurança pelo treinamento dos empregados, bem como por políticas e procedimentos bem documentados, observando que as políticas de segurança, mesmo que sejam seguidas religiosamente por todos os empregados, não evitam todos os ataques da engenharia social, minimizando apenas a um nível de risco aceitável. 3. Referências Bibliográficas CASANAS, Alex Delgado Gonçalves e Machado Cesar de Souza. O impacto da implementação da norma NBR ISO/IEC 17799 Código de prática para a gestão da segurança da informação nas empresas. Disponível no site www.modulo.com..br, acessado em 20/10/2006. CAUBIT, Rosângela. O que é a ISO 27001, afinal?. Disponível no site www.modulo.com.br, acessado em 20/10/2006. ENGEL, Ricardo José. O Jus Variandi no Contrato Individual de Trabalho estudo teórico-crítico em face de princípios gerais de direito aplicáveis ao Direito do Trabalho. São Paulo : LTr, 2003, p. 39. FERREIRA DUARTE, Mário Archanjo. Monitoramento de E-mails de Funcionários. Disponível em http://www.guiatrabalhista.com.br/tematicas/monitoramentodeemails.htm, acessado em 20/10/2006 LOBATO DE PAIVA, Mario Antônio. Interceptação do Correio Eletrônico, disponível no site www.modulo.com.br, acessado em 20/10/2006. MACHADO, Souza de César. O Impacto da Implementação da Norma NBR ISO/IEC 17799. disponível no site: www.modulo.com.br, acessado em 20/10/2006. MITNICK, Kevin D. e SIMON, William L. A Arte de Enganar. São Paulo : Editora Makron Books/Pearson Education. 2003. 284 p. NBR ISO/IEC 17799. Tecnologia da Informação Código de Prática para a Gestão da Segurança da Informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2001. NBR ISO/IEC 27001. Tecnologia da Informação Técnicas de Segurança Sistema de Gestão de Segurança da Informação - Requisitos. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2001.

SILVA, Leda Maria Messias. Monitoramento de e-mails e sites, a intimidade do empregado e o poder de controle do empregador do empregador abrangência e limitações. In: Revista LTr, v. 70, 01, jan 2006. SYMANTEC ISO 17799: O Padrão de Segurança Global Emergente. Disponível no site www.modulo.com.br., acessado em 20/10/2006. TRIBUNAL SUPERIOR DO TRABALHO. PROC. Nº TST-RR-613/2000, disponível no site www.tst.gov.br, publicado no DJ - 10/06/2005

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback