sexta-feira, 10 de dezembro de 2010

Privacidade ?

Uma decisão muito importante foi anunciada no meio do ano e não comentei por aqui, por grande descuido mesmo.

A Suprema Corte de New Jersey enfim estabeleceu regras para determinar o direito à privacidade nos emails pessoais. Esse assunto já é bastante controverso em relação aos emails corporativos. Pelo que bem entendi das explicações dos colegas advogados, esse tema é polêmico porque o direito à privacidade bate de frente com o direito à propriedade. Ou seja, o funcionário teria direito à privacidade em relação aos seus emails, mas ao mesmo tempo a empresa tem direito de monitorar o email, visto que é usado no trabalho.

Essa questão rodou muito até aparecerem as primeiras decisões do nosso Supremo, favorecendo às organizações. Alguns cuidados foram estabelecidos, e dentre eles o claro aviso ao colaborador de que o email corporativo é monitorado e deve ser usado para fins de trabalho.

Ainda assim, a questão continua delicada quando envolve o famoso webmail pessoal, que todo mundo tem. A empresa pode monitorar o seu webmail particular ??

De acordo com a Suprema Corte de New Jersey, não. Se o email não é fornecido pelo seu empregador e é protegido por senha, então não pode ser monitorado porque, segundo essa decisão, há expectativa de privacidade.

Se faz sentido por um lado, por outro isso pode aumentar os casos de vazamento de informações através do webmail. Como estão as decisões sobre esse ponto em particular, aqui no Brasil ? Você acredita que a implantação de soluções DLP iriam ferir essa decisão ? Como você acha que as corporações devem lidar com esse ponto ? Comente !

Até o próximo post !

7 comentários:

welrbraga disse...

Minha opinião como administrador da rede em um pequeno órgão governamental é que o webmail institucional deve sim ser auditado a qualquer momento que seja necessário e justificável - e isso fica claro em nossa política de segurança que diga-se de passagem precisa ser atualizada.

E-mails pessoais não são de nossa responsabilidade então não tenho que me meter e/ou ficar bisbilhotando. Claro que se houver problemas de vazamento de informação eu vou jogar o problema para as instâncias acima de mim até que por intermédio do poder judiciário o webmail do usuário possa ser auditado.

Felizmente esse caso nunca aconteceu, e se acontecer ainda que o juiz determine que o carinha entregue a sua senha, ele dificilmente o fará sem antes apagar as provas do crime o que levaria o caso para outro momento que seria de obrigar o provedor a restaurar o backup das mensagens.

No fim a história vivaria um verdadeiro conto para filmes de ficção e pode não valer a pena ir a diante.

Se sua empresa trabalha com dados que devem ser mantidos em sigilo, o melhor a fazer é tratar isso a nível de políticas de segurança.

Comece impedindo o acesso a webmails particulares, páginas de transferências de arquivos, comunicadores, smartphone, pendrive, mp3, mp4 etc etc.

Pra resumir, desligue os cabinhos azuis e ampute as mãos dos seus usuários (mas ainda assim haverá vazamento mesmo que seja boca a boca).

Giancarlo disse...

Olá Tony e pessoal.

Interessante esse post e também o comentário do Welrbraga.

Apenas para comentar sobre isso, recentemente participei como perito judicial em um processo que envolvia a restauração de um backup de emails de um grande provedor do país e, para minha surpresa (embora já estivesse esperando por isso), recebi a seguinte resposta deste provedor:

"Nossos backups de email são mantidos por, no máximo, 3 meses".

Não estou questionando a viabilidade de se manter estes backups por mais tempo, até porque entendo que esta é uma questão bastante complicada.

Entretanto, o tempo de 3 meses para a justiça brasileira é praticamente minúsculo para solicitar estes backups aos provedores.

Eis, então, mais um bom motivo para se proibir o uso de webmails pessoais e monitorar emails corporativos.

t+

Tony Rodrigues disse...

Mas, Werlbraga e Giancarlo, by the book, toda contramedida a um risco precisa ser justificada em termos de custo benefício e uma análise adequada. Vcs não acham que desligar o acesso, proibindo o webmail, pode ser a ação mais fácil, porém é a mais restritiva e que gera uma grande insatisfação ? Não acham que isso estaria na mesma linha que mandar terminar com o uso do telefone celular dentro da empresa ?
Não haveria um meio termo que protegesse as informações no nível que uma organização requer ?

Bom bate papo, esse !!

Abraços,

Tony

Giancarlo disse...

Olá Tony.

Realmente este assunto é sempre interessante.

Prometo que um dia farei um curso de psicologia voltada ao bloqueio de internet nas empresas. :)

É incrível como todo funcionário passa por um período de crise de abstinência após ter alguns acessos WEB bloqueados e, segundo minha experiência, após um determinado tempo, este funcionário passa a ser uma pessoa desintoxicada. :)

Brincadeiras à parte, vejo a segurança da informação como um "empilhamento de dificuldades", ou seja, se realmente quisermos falar de "SEGURANÇA DE INFORMAÇÃO", deveremos controlar, bloquear, monitorar ou até mesmo liberar e aceitar os riscos envolvidos.

Concordo com os juízes que estão sendo favoráveis às empresas em seus julgamentos com questões relacionadas à emails, internet, etc.

Ora, o funcionário está em horário comercial, sendo pago para isso e usando recursos e lidando com informações valiosas da empresa.

Então, por que a empresa não pode utilizar de recursos como bloqueios e monitoramentos?

Ainda, acredito que toda empresa deveria utilizar a regra sagrada da segurança: "DESATIVAR AQUILO QUE NÃO É NECESSÁRIO".

Não é isso que fazemos (ou deveríamos fazer) na segurança de servidores, firewalls, etc?

Também defendo a desativação de portas USB e até, em determinados casos, o uso de celulares e outros recursos. Basta ver o prejuízo que algumas indústrias tiveram quando concorrentes conseguiram fotografar várias etapas das suas linhas de montagem através de celulares.

Enfim, claro que isso é polêmico mas damos muito pouco valor à informação.

Li certa vez a seguinte frase que ainda farei um quadro com ela:

"POR NATUREZAS PRÓPRIAS, A INFORMAÇÃO QUER SER LIVRE E O CÓDIGO QUER ESTAR ERRADO".

t+

Tony Rodrigues disse...

Opa, Giancarlo.

Eu concordo em alguns pontos, mas um dos pontos fundamentais é a questão do bloqueio indiscriminado e por primeira opção. Acredito na InfoSec alinhada ao negócio, e satisfação das pessoas no trabalho é fator fundamental para bom desempenho. Trancar pessoas e deixá-las inacessíveis é algo tão limitador que precisaria de um nível de confidencialidade altíssimo no que estivessem trabalhando. O problema é que a maioria que trabalha em InfoSec hoje busca esse bloqueio como primeira opção e, muitas vezes, sem nenhuma justificativa boa para isso.

Basta pensar que não há controle ou DLP que retire informações da cabeça das pessoas. Se elas quiserem, poderão vazar quaisquer informações assim que saírem do escritório super seguro ... Bastará comentar com alguém e o dano estará feito.

Acredito que a conscientização traz melhores resultados nesse aspecto na grande maioria das corporações.

[]ao !

Medina disse...

"A empresa pode monitorar o seu webmail particular ??"

Até pode, mediante autorização por escrito do proprietário da caixa. Do contrário, não, pois seria o mesmo que violar correspondências.

Uma vez que a empresa cede acesso até o servidor de webmail pessoal, pode ela, se o usuário não assinar a autorização, bloquear o acesso deste. E isto não seria uma coação, mas uma norma de segurança da empresa.

Como o objetivo de uma senha, teoricamente, é proteger um acesso, eu creio que a decisão correta por parte de uma empresa seja bloquear o acesso para servidores webmail externos.

Seria prudente o usuário poder optar ou não por um endereço comporativo, assinando um termo para permitir auditorias semanais ou mensais.

Medina disse...
Este comentário foi removido pelo autor.