Uma das tarefas mais difíceis que atormentam um CIO no enfrentamento da gestão da tecnologia da informação nas empresas é a missão de estabelecer limites entre a informação que circula entre a esfera pessoal dos empregados e colaboradores e a profissional. Este problema vem se acentuando com a aceleração do uso das redes sociais que demandam um cuidado maior de monitoramento constante ante a possibilidade de incidentes que possam causar danos consideráveis para a reputação e o patrimônio das empresas.
Com a crescente utilização das mídias sociais pelas empresas, muitas se vêem diante de um problema: como estabelecer limites e monitorar conteúdos que trafegam na rede corporativa?
O que prevalece até então tem sido o bloqueio de sites tais como Twitter, Linkedin, YouTube, Facebook e Orkut. Porém esta medida por si só, não isenta a empresa de se preocupar em manter uma estratégia contínua de blindagem digital da sua marca, reputação e de todo o patrimônio digital, que poderão vazar por meio de pendrives, acessos remotos ou não autorizados, smartphones ou mesmo o emprego por métodos de burla dos filtros de conteúdo por parte de terceiros.
O que efetivamente pode gerar resultados minimizando o risco de incidentes é o somatório do emprego de ferramentas tecnológicas adequadas que possam monitorar o conteúdo e os acessos da rede, somado a uma estratégia da elaboração de uma política de segurança da informação que demanda revisão periódica, para fixar limites do uso da infraestrutura de TI, concomitante com um plano de conscientização dos envolvidos sobre os riscos em compartilhar dados corporativos e de caráter confidencial nas redes sociais.
Uma boa prática recomendada seria adotar uma semana anual de prevenção de incidentes de tecnologia da informação nas empresas, a exemplo do que já acontece com a semana de prevenção dos acidentes de trabalho, de modo a conscientizar, fomentar o debate sobre o tema, em busca de uma reflexão se as regras de utilização da infraestrutura de TI está em sintonia com os sistemas adotados.
O que diferencia as empresas em relação aos prováveis incidentes que serão gerados a partir das redes sociais será o poder de reação para reduzir o impacto do dano causado, isto demanda o monitoramento constante com as ferramentas adequadas, a conscientização dos empregados, a preservação das provas e a tomada das medidas jurídicas cabíveis de forma célere para evitar a disseminação de conteúdos ilícitos.
Alexandre, antes de tudo meus parabéns pelo artigo, muito bem colocado.
Uma técnica interessante a ser levada em consideração para a prevenção deste tipo de incidentes nas empresas seria focar nos perfis de profissionais que estariam mais aptos a cometerem este tipo de incidente, atualmente fala-se muito em Geração Y, de acordo com o Blog http://www.focoemgeracoes.com.br, a definição de Geração Y é:
“Também conhecida como Geração Millennials ou Geração da Internet, é um conceito de Sociologia que se refere, segundo alguns autores, aos nascidos após 1980. Segundo Eline Kullock, maior especialista em geração Y do Brasil, essa é uma geração que adora feedback, é multitarefa, sonha em conciliar lazer e trabalho e é muito ligada em tecnologia e novas mídias.Alteraram completamente as formas de comunicação tanto em casa, no trabalho quanto com os amigos.”
Portanto creio que parte do sucesso para evitar este tipo de incidente seria entrar em sinergia com aqueles que são os mais tendenciosos a cometerem os incidentes, e de que modo podemos fazer isso ?
* Se uma empresa está preocupada com os seus dados “vazados” na internet ela já sabe quais são as informações vitais para a imagem do seu negócio, portanto sabem o que pode ou não sair, então é importante levantar as informações consideradas prejudiciais ao negócio e então trabalhar em cima delas, afinal não podemos gastar esforços em coisas que de repente não são relevantes, análise de mídia social sai caro, por isso vamos trabalhar no que interessa.
* – Como citado acima os principais responsáveis por tais incidentes são aqueles que compõe a Geração Y, afinal são eles que fazem parte de uma comunidade que troca informações e experiência online, o que nos leva a uma pergunta ” Como podemos controlar esse pessoal sem reprimi-los ?”
Meus amigos, creio que estes são dois passos importantes, porém não suficientes para controlarmos estes incidentes, medidas devem ser tomadas de acordo com o perfil da empresa e de seus colaboradores, portanto antes de um programa de prevenção procure conhecer a sua empresa, comportamento organizacional e depois desenhe uma solução.
Abraço
Alexandre
Vivi a realidade que vc descreve pelo menos em duas situações. Uma corporação transnacional e um provedor nacional de alta tecnologia com usuários de porte.
Suas observações são altamente pertinentes. O assunto merece ser continuado e aprofundado.
Parabéns
Ivan
Prezado Alexandre e demais,
concordo com todas as colocações, técnicas, ferramentas, procedimentos, mas não podemos esquecer que todo esse processo deve se extender também para além dos limites “físicos” digitais das corporações, hoje a grande maioria de pessoas possui seu Desktop, Notebook, tablet ou Smartphone pessoal e que sempre estarão relacionados a empresa que trabalham, comentários tipo “A Empresa onde trabalho é desorganizada, não respeita consumidores, clientes e próprios funcionários” ocorrem fora do controle da TI corporativa, Empresas estão criando funções de monitoramente das redes sociais e essa atividade deve ser mais ou menos estratégica dependendo das corporações, e o Gestor de TI tem de estar “antenado” para isso também.
Abraço a Todos
Clóvis
Prezado Luis Ricardo,
Gostei muito de ler seus comentários, principalmente devido a abordagem da necessidade de nos preocuparmos com o perfil das pessoas envolvidas no processo de segurança de Ti nas empresas.
Se não conhecermos a nós mesmos, não existirá regra sistêmica ou normativa que solucione a gestão dos incidentes de TI.
Outro ponto que achei importante no seu comentário foi quanto a necessidade prévia de classificar as informações devido a relevância de proteção. Em algumas empresas que são submetidas a Lei Sarbanes Oaxley, existe um procedimento obrigatório de classificar todo contéudo que circula no meio digital, o que facilita empreender este monitoramento.
Tal medida poderia ser seguida pelas empresas para facilitar distingui “o joio do trigo” quanto aos dados a serem monitorados.
Clovis,
Concordo com o seu posicionamento de que na maioria das vezes os CIOS ainda não perceberam a necessidade imediata de promover medidas para monitorar (ou restringir) o uso de dispositivos móveis com armazenamento (ou não), bem como o conteúdo que circula nas redes sociais.
Esta é uma vulnerabilidade que não pode ser esquecida.
Abraço,
Alexandre Atheniense
Caro Dr. Alexandre
Volto a postar comentário aqui, pois não resisto a reiterar minha admiração por seu pai, que conheci pessoalmente através do Ministro Rezek e, agora, por você, que está preenchendo uma brecha enorme em nosso sistema jurídico.
Augusto da TI Especialistas me “desafiou” a postar o Desafio Cyber RV, para criar “on line” uma rede social de aprendizado, auto-desenvolvimento e regulação da área.
Como já lhe informei, trata-se de projeto inédito, apoiado ou elogiado por Zé Alencar, Anastasia, Michel Levy (MS) Gatto (Fiat BS) Bilac e Portugal. Infelizmente indeferido por questões burocráticas e em recurso no TRF-RJ.
Acesse os links abaixo e veja a surpreendente e contínua adesão que vimos recebendo do país e até do exterior:
https://www.tiespecialistas.com.br/2011/05/desafio-cyber-rv-on-line-voce-topa/
http://www.linkedin.com/groupAnswers?viewQuestionAndAnswers=&discussionID=52215604&gid=960897&commentID=38555146&trk=view_disc
Caso vc possa nos dar alguma orientação, com certeza, toda a rede vai lhe ficar agradecida.
E aumentar a admiração por vc, que já é grande.
Obrigado.