Cada vez mais o trabalho de Segurança da Informação exige um preparo adequado do ambiente do ponto de vista de blindagem legal de modo a evitar riscos no uso das próprias medidas de proteção da empresa. É preciso aplicar maior segurança jurídica ao processo, tendo em vista que vivemos um cenário mais complexo, com aumento no uso de mobilidade, quer seja por acesso remoto de equipes ou mesmo crescimento das estações de trabalho do tipo notebook e smartphones, associado a um perfil de colaborador 2.0, que conhece mais de tecnologia, que testa os limites e os controles estabelecidos pela empresa.

Isso quer dizer que não basta ter uma norma de autenticação de usuários, é preciso estabelecer um projeto de Identidade Digital, que alinhe perfis e privilégios a alçadas e poderes, que não apenas solicite uma senha segura, mas amarre isso a alguns hardwares e softwares, com controle de padrão de conduta, até mesmo definindo em que estações aquele usuário está autorizado a se logar, e não apenas em que pastas na rede. Em muitos casos, havendo um cargo crítico ou de segregação de funções, já é uma medida de maior proteção e controle de autoria o uso de uma assinatura digital ou biométrica. O processo tem que ser pensado considerando a necessidade jurídica de prova de autoria.

Temos visto que cada empresa está em um nível de maturidade distinto, assim como de conformidade legal da segurança da informação. Muitas começaram a escrever que fazem monitoramento em suas políticas, mas ainda não em suas interfaces de sistemas. Há outras que ainda não possuem uma norma de resposta a incidentes, ou um procedimento mais claro e padronizado sobre desligamento de funcionário, no tocante a permitir ou não que o mesmo retire conteúdos particulares dos equipamentos corporativos? E se for o contrário? Autorizamos uso de notebook pessoal e ficam os dados da empresa lá dentro?

Neste momento, é essencial para aumentar o nível de gestão da segurança da informação alinhada com o aspecto jurídico, a criação de um Código de Ética da TI, pois trata dos usuários com maior conhecimento técnico, bem como o preparo do terreno previamente para coleta adequada das provas. Quantos casos na hora do incidente não se consegue ter as provas por falta de planejamento, isso quando a medida técnica de contenção não elimina a prova.

Temos feito revisões de Políticas de Segurança da Informação (PSI) e normas (NSI) devido ao uso de uma redação que juridicamente gera riscos. Termos como “abre mão da privacidade”, “uso moderado”, “uso racional”, estas expressões geram risco jurídico devido a sua subjetividade, o objetivo do documento é tornar a informação objetiva e indiscutível na justiça.

Além disso, é essencial ter um documento específico para os terceirizados, se possível redigido como se fosse um Código de Conduta do Terceiro, com todas as questões relevantes, e com um modelo de termo de ciência a ser assinado pela equipe que participar dos trabalhos junto ao Fornecedor.

É preciso fazer um diagnóstico do nível de segurança jurídica atual dos processos de segurança da informação da empresa, avaliando alguns indicadores, conforme abaixo, sob pena de em um momento de incidente o que se achava que iria proteger a empresa acabar gerando um risco ainda maior, inclusive para os executivos envolvidos ou responsáveis pela gestão de SI:
Quadro Resumo de Indicadores para Blindagem Legal:
--------------------------------------------------------------------------------
 
- Aviso legal de monitoramento e de inspeção de equipamentos
- Determinação do conceito de Identidade Digital
- Definição de processo de transporte seguro de dados em dispositivos móveis
- Definição sobre regras relacionadas a Segregação de funções (especialmente entre TI e SI, quem monitora?)
- Definição clara do processo de coleta e guarda de evidências e provas eletrônicas
- Preparo do ambiente para uso de computação forense
-Definição do Processo de resposta a incidentes
- Definição clara de atribuições do Comitê de Segurança da Informação
--------------------------------------------------------------------------------
 
 
Lista das Condutas Inadequadas mais comuns no ambiente de trabalho:

--------------------------------------------------------------------------------
Deixar a máquina ligada e logada e se ausentar da estação de trabalho. Deve-se fazer bloqueio de tela e se o período for longo, desligar;          

--------------------------------------------------------------------------------
Usar o acesso de internet da empresa para navegar em sites que não têm relação com trabalho e ainda geram riscos de segurança;

--------------------------------------------------------------------------------
Passar a senha da rede, do email e de sistemas para outra pessoa, ou fazer uso da senha de outro. Isso em cargo de segregação de funções é incidente gravíssimo. A senha é a Identidade Digital;

--------------------------------------------------------------------------------
Portar dados confidenciais sem aplicação de procedimento de segurança. Deve-se fazer uso de criptografia ou biometria para proteção de dados quando se usa pendrive, smartphone, notebook);

--------------------------------------------------------------------------------
Deixar documentos com informações confidenciais da empresa soltas, em cima da mesa, no lixo sem ter picotado, abandonado na impressora, no fax; 

--------------------------------------------------------------------------------
Salvar fotos/imagens/documentos pessoais no HD do computador ou na rede da empresa;

--------------------------------------------------------------------------------
Utilizar email corporativo @empresa.com.br, para fins que não sejam de trabalho. Deve haver bom senso, mas o ideal é separar particular de profissional e evitar situações que gerem exposição (ex: no mesmo email que aprova um contrato comenta que está se divorciando, ou fazer comentários que podem ser interpretados como assédio sexual ou moral, do tipo “que linda que você está, quando vai sair comigo”;

--------------------------------------------------------------------------------
Instalar softwares piratas ou não autorizados em computador ou notebook da empresa, bem como baixar músicas, filmes, arquivos de origem duvidosa;

--------------------------------------------------------------------------------
Criar comunidades no Orkut com o nome da empresa sem autorização prévia ou participar das mesmas sem cuidado com as informações que são passadas neste ambiente que é público e coletivo;

--------------------------------------------------------------------------------
Enviar email para a pessoa errada (não conferir destinatário antes do envio);

--------------------------------------------------------------------------------
Não atualizar o antivirus ou deixar de passar antivirus antes de abrir arquivos anexos, ou que estejam em mídia móvel (tipo CD, Pen Drive).
Usar webmail (ex: gmail) para comunicação da empresa - risco técnico, jurídico e institucional (pois não é um ambiente adequado e seguro para trafegar as informações corporativas, além de ficar fora do back-up).

--------------------------------------------------------------------------------