... processo, tendo em vista que vivemos um cenário mais complexo, com aumento no uso de mobilidade, quer seja por acesso remoto de equipes ou mesmo crescimento das estações de trabalho do tipo notebook e smartphones, associado a um perfil de colaborador 2.0, que conhece mais de tecnologia, que testa os limites e os controles estabelecidos pela empresa.
Isso quer dizer que não basta ter uma norma de autenticação de usuários, é preciso estabelecer um projeto de Identidade Digital, que alinhe perfis e privilégios a alçadas e poderes, que não apenas solicite uma senha segura, mas amarre isso a alguns hardwares e softwares, com controle de padrão de conduta, até mesmo definindo em que estações aquele usuário está autorizado a se logar, e não apenas em que pastas na rede. Em muitos casos, havendo um cargo crítico ou de segregação de funções, já é uma medida de maior proteção e controle de autoria o uso de uma assinatura digital ou biométrica. O processo tem que ser pensado considerando a necessidade jurídica de prova de autoria.
Temos visto que cada empresa está em um nível de maturidade distinto, assim como de conformidade legal da segurança da informação. Muitas começaram a escrever que fazem monitoramento em suas políticas, mas ainda não em suas interfaces de sistemas. Há outras que ainda não possuem uma norma de resposta a incidentes, ou um procedimento mais claro e padronizado sobre desligamento de funcionário, no tocante a permitir ou não que o mesmo retire conteúdos particulares dos equipamentos corporativos? E se for o contrário? Autorizamos uso de notebook pessoal e ficam os dados da empresa lá dentro?
Neste momento, é essencial para aumentar o nível de gestão da segurança da informação alinhada com o aspecto jurídico, a criação de um Código de Ética da TI, pois trata dos usuários com maior conhecimento técnico, bem como o preparo do terreno previamente para coleta adequada das provas. Quantos casos na hora do incidente não se consegue ter as provas por falta de planejamento, isso quando a medida técnica de contenção não elimina a prova.
Temos feito revisões de Políticas de Segurança da Informação (PSI) e normas (NSI) devido ao uso de uma redação que juridicamente gera riscos. Termos como “abre mão da privacidade”, “uso moderado”, “uso racional”, estas expressões geram risco jurídico devido a sua subjetividade, o objetivo do documento é tornar a informação objetiva e indiscutível na justiça.
Além disso, é essencial ter um documento específico para os terceirizados, se possível redigido como se fosse um Código de Conduta do Terceiro, com todas as questões relevantes, e com um modelo de termo de ciência a ser assinado pela equipe que participar dos trabalhos junto ao Fornecedor.
É preciso fazer um diagnóstico do nível de segurança jurídica atual dos processos de segurança da informação da empresa, avaliando alguns indicadores, conforme abaixo, sob pena de em um momento de incidente o que se achava que iria proteger a empresa acabar gerando um risco ainda maior, inclusive para os executivos envolvidos.
Por: Patricia Peck Pinheiro
especialista em Direito Digital, sócia da PPP Advogados, autora do Livro Direito Digital
Blog de Assuntos ligados a T.I e Segurança da Informação
No comments:
Post a Comment
Digite seu comentario