Como monitorar seus funcionários e garantir a segurança da companhia sem tornar-se um invasor de privacidade
por Thomas Wailgum
Quando foi contratado pela Morgan Stanley em 2000, Arthur Riel liderou uma modificação no sistema de arquivo de mensagens eletrônicas.
Nessa época, a instituição estava envolvida numa investigação que apontava irregularidades nos negócios e ele passava a ter acesso ao meio de comunicação mais vulnerável, onde facilmente poderiam ser encontradas provas legais. O caso terminou num julgamento de repercussões internacionais em 2005, tendo como resultado uma indenização de 1,57 bilhões de dólares ao investidor Ronald Perelman. Em março deste ano, a Morgan Stanley ganhou uma apelação na corte da Flórida e o caso continua.
Recebendo 500 mil dólares por ano, Riel foi contratado para garantir que nunca mais algo parecido aconteceria à instituição. Para tanto, ele tinha o que chamava de “carta branca para invadir e-mails”. Lendo as mensagens trocadas por funcionários do banco no ano de 2003, ele detectou vários desvios éticos, conflitos de interesses e também piadinhas sexuais de executivos que, teoricamente, deveriam ser os mais interessados em seguir o código de conduta interno.
Com base na leitura dos e-mails dos executivos, principalmente do CTO (chief technology officer), Guy Chiarello, Riel denunciou que as mensagens mostravam abusos da área de TI. Junto a pedidos de produtos tecnológicos, havia solicitações de entradas para jogos de baseball do New York Yankees contra o Boston Red Sox e outros eventos esportivos, além de esquemas altamente suspeitos que envolviam também o departamento de publicidade. “Havia um esquema ilegal no departamento de TI”, afirmou.
A troca de e-mails que continha piadinhas sexuais – e envolvia diretamente sua chefe, Moira Kilcoyne – aumentou a convicção de Riel de que havia algo errado na alta hierarquia do grupo. Acreditando estar simplesmente fazendo o seu trabalho, ele pediu permissão para encaminhar anonimamente os e-mails mais graves para Stephen Crawford, então CFO (chief financial officer), em 15 de janeiro de 2004, por outra caixa de correio que não a do trabalho. Imediatamente, seus superiores passaram a atacá-lo vigorosamente.
Primeiro, a empresa afirmou, via porta-voz, que nunca deu a Riel autorização para monitorar, ler ou disseminar e-mails de outros funcionários. Segundo, negou a existência de tais mensagens. Terceiro, finalizada a investigação interna, a companhia manteve a versão de que nenhum funcionário identificado como Riel tinha autorização para tomar medidas disciplinares como monitorar os outros funcionários. Em 18 de agosto de 2005, 13 meses depois de iniciar seu trabalho, Riel foi demitido por má-conduta.
Riel moveu um processo de 10 milhões de dólares contra o banco, pela infração à lei Sarbanes-Oxley, e outro, de mesmo valor, pela difamação que sofreu. Em junho de 2006, o Ministério do Trabalho desmentiu a relevância das informações prestadas e afirmou que não havia motivos para acreditar que o Morgan Stanley tinha violado qualquer artigo da SOX. Ainda afirmava que o banco havia demitido outros funcionários anteriormente pelas mesmas razões.
Em fevereiro de 2007, um juiz federal negou sete das oito provas que Riel anexou ao processo. Para o Morgan Stanley, a justiça confirmava, assim, a falta de valor legal ou factual de qualquer prova apresentada.
Atualmente, com o distanciamento temporal de todo o caso, Riel diz que aprendeu uma lição fundamental a todo CIO: “TI está fadada a ter problemas desse tipo, por ser o departamento que decide quem pode ter acesso a que”. Para ele, não há política capaz de evitar tal desgaste.
Com o poder, vem a responsabilidade
Como o acesso aos sistemas e às aplicações cresce proporcionalmente ao negócio, aumentam também as chances de erro. O que você faria se, sob a sua administração, um funcionário deixasse a rede disponível a qualquer um exatamente na hora em que um vendedor digita os números do cartão de crédito de um cliente? Ou se alguém quisesse sabotar o CEO lendo seus e-mails? Os departamentos de TI precisam de checagem e relatórios de segurança feitos com certa constância, além de uma busca interminável pelo casamento perfeito entre acessibilidade e responsabilidade.Um estudo de dezembro de 2006, feito pelo grupo de resposta a incidentes de segurança americano (CERT), demonstrou que os sabotadores fazem uso principalmente das facilidades de acesso eletrônico e das falhas de controle para agir. A situação é ainda mais crítica agora, já que TI, em muitas empresas, ficou responsável também por ações que antes cabiam aos departamentos jurídico e de recursos humanos.
Tom Sanzone, CIO do Credit Suisse, diz que sua equipe se entende “como mão e luva” com RH, jurídico, responsáveis por compliance e auditores. “Manter esse entendimento é fundamental”, avalia.
Mas surge a dúvida: como confiar em quem fiscaliza, se estas pessoas também são passíveis de erros? Mais: se não se confiar nelas, então, em quem? “Se a área de TI faz alguma coisa que não poderia, então os demais funcionários vão pensar ‘vou achar uma maneira de burlar o monitoramento porque nós não podemos confiar nessas pessoas’”, afirma David Zweig, professor de comportamento organizacional da Universidade de Toronto. “É um ciclo de crescente desconfiança, o que, infelizmente, pode gerar ainda mais necessidade de monitoramento”.
Na Network Services Company (NSC), o CIO, Paul Roche, determinou como e quando o departamento de TI pode acessar dados dos demais funcionários e, juntamente com o RH e a área jurídica, desenvolveu uma política para lidar com as suspeitas de infrações. Por exemplo, TI não vasculha o computador de ninguém sem autorização do RH. “Os trabalhadores confiam porque sabem como vamos agir”, diz.
No entanto, toda determinação de um CIO – não importa o quanto sólida seja a sua política ou quais sejam os seus relacionamentos dentro da empresa – será colocada à prova quando um de seus subordinados cruzar a linha e quebrar a confiança entre os usuários e o departamento de TI. “Se você dá autoridade a alguém, esta pessoa pode, sim, fazer mau uso dela”, pondera o analista sênior de segurança do Forrester Research, Khalid Kark.
Desde o início da era da internet, o pessoal de TI tem consciência de que a web é uma caixa de Pandora, repleta de ferramentas que qualquer um pode usar, bastando ter um PC, uma conexão e uma mente desonesta. Regulamentações, como as leis Sarbanes-Oxley, HIPAA (de portabilidade e responsabilidade sobre seguros de saúde), Gramm-Leach-Bliley (de modernização do sistema financeiro), e também o novo padrão de segurança dos cartões de crédito têm chamado a atenção dos executivos ao perigo que a tecnologia pode representar, mesmo sabendo que precisam dela. “Gerentes têm tornado-se bem mais conscientes de que o risco de TI é o mesmo risco do negócio”, afirma Richard Hunter, vice-presidente e especialista em segurança e privacidade do Gartner.Conseqüentemente, mesmo companhias com regulamentações muito claras têm valorizado a conformidade com as leis e as políticas de gerenciamento. Para trabalhadores de qualquer lugar, a mensagem é (ou deveria ser) clara: “Não há privacidade onde há vida corporativa”, diz Hunter. Só que para garantir sua própria segurança, a corporação tem que apostar no sentimento de bem-estar e privacidade dos usuários.
Isto tem gerado uma regra mais autoritária para os departamentos de TI, já que passaram a ditar o que os funcionários podem ou não fazer com as tecnologias disponíveis. Uma lista tem circulado na internet, descrevendo os tipos de sites que não podem ser visitados durante o expediente: os que contêm pornografia, jogos ou que incitem a discriminação, a violência e as atividades ilegais. Roche diz que visitar estes sites, além de perigoso para o PC (que fica exposto a vírus), vai ao encontro da política de direito de violação de privacidade do RH da NSC, ou seja, dá carta branca para que o computador seja vasculhado.
Fonte: http://cio.uol.com.br/gestao/2007/06/22/idgnoticia.2007-06-22.1868967532
0 comentários:
Postar um comentário