Como empresa monitoram a força de trabalho?

A Forcepoint anunciou a publicação de um white paper em parceria com a empresa jurídica Hogan Lovells para um estudo aprofundado que explora os problemas potenciais para os programas globais de monitoramento da força de trabalho e identifica as implicações legais de dez atividades de monitoramento em 15 países. Gerenciando o risco da força de trabalho digital em um cenário global é um documento essencial para qualquer organização que esteja planejando e executando programas de proteção de dados onde um dos elementos seja o monitoramento da força de trabalho.

À medida em que as organizações globais revisam seus processos internos de gestão de dados para garantir a conformidade com novas e rigorosas regulamentações e orientações como a GDPR, a proteção dos dados pessoais dos clientes se torna uma prioridade crescente. Uma maneira de gerenciar a proteção de dados e se defender contra ameaças internas e externas é monitorar o uso dos recursos de informação.

O monitoramento da força de trabalho representa um desafio para as equipes jurídicas, departamentos de RH, equipes de TI e executivos, conforme eles procuram equilibrar a necessidade de proteção dos dados e da propriedade intelectual com a privacidade e os direitos legais dos seus funcionários. Para qualquer organização que atua internacionalmente, as diferentes leis dos países representam desafios adicionais, forçando as empresas ao desenvolvimento de múltiplas políticas, de acordo com a localização de sua força de trabalho.

“Conforme desenvolvemos nossos próprios programas de segurança centrados em pessoas, revisamos nossas avaliações de impacto de privacidade/proteção de dados (DPIA/PIA) e percebemos que precisávamos de orientação jurídica adicional”, disse Allan Alford, CISO da Forcepoint. “Sabíamos que nossos clientes também enfrentariam este desafio, por isso encomendamos este estudo para o escritório Hogan Lovells, especializado em privacidade e conformidade legal, que estamos disponibilizando publicamente agora.”

O estudo é considerado a primeira análise publicada no cenário jurídico internacional que aborda especificamente a implementação de programas focados nas ciberameaças da força de trabalho, resultando em um guia útil para aqueles que são responsáveis por rever e refinar seus programas de conformidade dentro de suas organizações. A equipe da Hogan Lovells, suportada por escritórios de advocacia locais, pesquisou e forneceu orientações em torno das três principais áreas do direito que regem os programas de ciberdefesa que envolvem o monitoramento de funcionários: leis de proteção e privacidade de dados; leis de sigilo das comunicações; e leis trabalhistas.

Com um conjunto de questões para as organizações refletirem sobre as respostas, juntamente com garantias de privacidade sugeridas, o estudo fornece um conjunto de etapas de melhores práticas para qualquer empresa seguir, bem como informações específicas sobre os requisitos de 15 diferentes países.

Mudanças no cenário de ameaças e regulamentações geram a necessidade de monitoramento da força de trabalho
“Inúmeros eventos recentes mostraram como os incidentes cibernéticos podem paralisar as operações, causar danos à reputação e expor as organizações a consequências regulatórias e litígios privados”, disse Harriet Pearson, parceira da Hogan Lovells. “Uma força de trabalho dentro da organização é uma fonte de risco neste contexto, independentemente deste risco surgir de forma maliciosa ou inadvertida. Para efetivamente detectar, prevenir e mitigar os efeitos dos incidentes cibernéticos, as organizações precisam se proteger de ameaças tanto internas como externas, e uma das formas de mitigar de forma efetiva esse risco é monitorar a interação do usuário com as informações e dados críticos.”

As ferramentas tradicionais não são capazes de fornecer informações contextuais sobre o risco humano, por isso a necessidade das organizações compreenderem os comportamentos em torno do fator humano no ciberespaço — a interseção de usuários, dados e redes – é cada vez maior.

Entendendo a diferença internacional

O monitoramento da força de trabalho varia em termos de complexidade nos 15 países examinados neste estudo, com a Hogan Lovells fornecendo um score geral aos esforços de conformidade legal de cada país. Em algumas jurisdições, as organizações têm ampla autoridade de monitorar a força de trabalho em torno do uso dos ativos de informação. Em outros, as organizações devem evitar o processamento das comunicações pessoais, analisando as comunicações e informações privadas somente quando existem suspeitas razoáveis de má conduta.

Muitos países exigem que programas de monitoramento da força de trabalho somente sejam implementados após a consulta e consentimento dos representantes da força de trabalho ou dos próprios funcionários individualmente.

Nos Estados Unidos, por exemplo, uma lei federal garante que as organizações sejam isentas de responsabilidade ao monitorarem seus sistemas de informação para fins de cibersegurança. Já na Finlândia, os empregadores geralmente são proibidos de acessar o conteúdo das comunicações enviadas ou recebidas pelos funcionários.

“Qualquer programa de monitoramento da força de trabalho deve ser proporcional, respeitoso e transparente – implantado para garantir a confiança contínua da força de trabalho”, comentou Alford. “É um ato de equilíbrio cuidadoso: funcionários e empregadores devem trabalhar lado a lado para protegerem uns aos outros. Todos nós queremos a melhor proteção para nós mesmos e para nossos dados e informações essenciais, mas monitorar quando, como e por que seus funcionários interagem com os vários tipos de dados corporativos tem claras e importantes implicações de privacidade.”