Segurança da informação evolui para lógica e legal, dizem CIOs

A segurança da informação nas empresas atingiu um momento na qual é dividida em duas frentes: lógica, tratando da estratégia e proteção a ameaças virtuais; e jurídica, aquelas relacionadas à exposição legal da companhia. Foi a esta conclusão que CIOs participantes do Intercâmbio de Ideias sobre ?Dilemas da Segurança? chegaram nesta sexta-feira (19/08), durante o IT Forum+ 2011.

O gerente executivo de tecnologia da informação da concessionária de distribuição de gás do Rio Grande do Sul Sulgás, Erlen Santos, ficou à frente da apresentação aos cerca de 20 presentes, iniciando o debate com o tema consumerização da TI. Na avaliação dele, junto a redes sociais e computação em nuvem, os itens compõem o tripé das principais ameaças à saúde tecnológica da companhia.

?De tudo o que aprendemos sobre segurança nos últimos 15 anos, não tenho vergonha nenhuma de afirmar que, metade, já joguei fora?, afirmou Santos. Ele apontou o BYO, movimento nos Estados Unidos que, em tradução literal, significa: traga seu próprio equipamento. A ideia é estimular a consumerização, mostrando os ganhos de produtividade que o costume traz.

A consumerização tem a ver com cosumismo. E assim como tal, as modas são substituídas depois de um tempo. Quem incentiva o processo de adotar tecnologias pessoais no ambiente corporativo são aqueles que fabricam produtos que querem que sejam consumidos. E como nós [o departamento de tecnologia] ficamos nisso? Ficamos vendidos, à mercê e à sorte?, continuou

Wanessa Costa, CIO do Grupo Unigel, levantou a questão sobre a TI aliada ao departamento jurídico. ?Não existe mais como não regularizar as nossas regras e ter o respaldo de RH. Tem que assinar um termo e aproxima o jurídico de nossos contratos. Até um tempo atrás não falávamos de segurança ? agora, falamos de segurança alinhado à área jurídica?, pontuou.

A consumerização traz exposições legais. Caso o usuário utilize os equipamentos fora do horário de trabalho, pode alegar que está fazendo hora extra não remunerada, podendo, posteriormente, entrar com ações trabalhistas na Justiça. Com formação jurídica, Waldir Batista de Oliveira, CIO da Berneck, afirmou que a assinatura de um termo de responsabilidade é essencial para garantir proteção legal. ?Se você não fizer isso e registrar no sindicato da categoria, poderá deixar uma brecha legal?, aconselhou.

?Usuários acham que só um anti-vírus resolve o problema?, disse Santos. Conectados à rede, dispositivos ? sejam eles smartphones, notebooks, tablets, etc ? expõem toda a companhia. E a indústria fornecedora não identificou ainda todas as janelas por eles abertas, fazendo, invariavelmente, com que haja falhas e invasões.

Douglas Pereira, da Borlem, citou sua experiência na questão. Segundo ele, na companhia, quando qualquer máquina entra em situação de perigo ? seja por haver conexão com algum dispositivo ou site contaminado ? ele automaticamente é inativado e a TI entra em contato com o usuário para orientação e reparação. ?Saímos de sete mil ocorrências de vírus por mês para 40?, comemorou.

Foi uma mudança, portanto, cultural.

Política ou cultura?

Proibir ou não a consumeirização? E quando falamos disso, chegamos ao limite de impedir o uso de pendrives, por exemplo, e acesso ao e-mail pessoal na hora do almoço.

Evandro Stein, da Unimed Belém, acredita que tudo depende de uma política clara e transparente. ?O nível de proteção da empresa depende da necessidade de segurança dela. Você pode proibir, legalmente o uso de celular na empresa. Isso porque você paga para que aquele funcionário esteja à sua disposição por oito horas, e o celular pessoal é um entrave?, disse.

A estratégia não foi defendida, foi dada como exemplo. Com base na premissa, Stein disse que a TI não pode cobrar do usuário um comportamento ao qual ele não foi ensinado a seguir. Desta forma, as decisões, em sua avaliação, devem ser levadas a um comitê para discussão. Caso a diretoria opte por não seguir as recomendações da TI, ela deve acatar a decisão, sempre informando quais os riscos que isso envolve. E para se resguardar, é importante que termos de responsabilidade sejam assinados.