Nathalia Alonso - Professora da EPN
Proteger
informações confidenciais e restritas é um requisito de negócio. Se informações
relacionadas aos negócios de uma organização, de clientes, financeiros e outros
dados vazarem e forem indevidamente utilizadas por criminosos ou concorrentes o
risco de condenações e até mesmo de atingirem a reputação da organização e
pessoas é significativo
Os códigos de
ética são diretrizes do conselho de administração relativos a gestão como um
todo do negócio, por sua vez os códigos de condutas são específicos e a sua
violação pode ocasionar sérias consequências de ordem trabalhista, cível,
criminal, contemplando questões financeiras, regulatórias e penais.
Tanto organizações
quanto seus colaboradores podem ser objeto de investigação e condenações
baseadas não só em normas jurídicas, mas com base no CÓDIGO DE CONDUTA que cada
colaborador assinou e em relação à qual é responsável pelas informações com que
ele trabalha.
Por isso, a
importância de proteger as informações de acordo com padrões definidos no
CÓDIGO DE CONDUTA e demais controles internos de gestão de riscos adotados pela
organização.
A política de
Segurança da Informação, deve ser
cuidadosamente observada e rigorosamente seguida,
na dúvida o melhor é não fazer, levando a questão aos superiores responsáveis
pelo compliance da organização.
Sempre com foco no fator humano não em simples implantação
de mecanismos na forma de conjunto de “check lists”, de forma que o código de
conduta não pode estar desconectado do dia-a-dia da organização.
O ambiente e as pessoas devem voluntariamente tomar decisões
no melhor interesse de longo prazo da companhia e cumprir as regras (Silveira,p.
87).
Explicar como a exposição estimuladas por redes sociais e o
constante compartilhamento de informações
por meios digitais pode expor empresas e colaboradores ao risco de ter
informações sigilosas propagadas indevidamente.
Monitoração de Conteúdo – geralmente os e-mails enviados
para endereços fora da rede da organização são monitorados eletronicamente para
detectar quando dados sensíveis estão sendo enviados sem criptografia ou
indevidamente, violando assim as políticas e padrões do CÓDIGO DE CONDUTA E
DEMAIS CONTROLES INTERNOS na forma de controle “ex ante” - prévio.
A monitoração em relação as redes sociais também é possível,
na forma de “ex post” - controle posterior, pois as informações ficam públicas
e acessíveis.
Assim o ideal é
Não enviar e-mail que inclua documentos relacionados ao seu
trabalho (tais como planilhas, rascunhos ou mesmo imagens e fotografias de
celulares) para sua casa / endereço de e-mail pessoal;
Não postar em redes sociais documentos relacionados ao seu
trabalho, inclusive detalhes de encontros, imagens e fotografias de celulares
Não enviar informações confidenciais ou restritas sem a
devida criptografia, certificando-se antes de enviá-las se podem ou devem ser
enviadas para determinadas pessoas;
Algumas organizações adotam procedimentos interno com
classificação das informações em diversos níveis, entre eles nível confidencial
ou superior, com determinação específica de onde podem ser armazenadas,
mediante determinadas criptografias previamente estabelecidas e difundidas.
Violação de segredo é um dos motivos que podem levar a
demissão por justa causa
Como se proteger dessas situações – código de ética
Procedimentos para não circular sem querer informações que
não poderiam ser divulgadas
A idéia é de como lidar com isso.
Determinadas empresas adotam o sistema de “Mesa Limpa” onde
além de proteger todas as informações que são armazenadas e transmitidas
digitalmente, também prescrevem no código de condutas sistemas de proteção das
informações em papel e mídia física.
São exemplos:
• Não
deixar notes, smartphones e demais dispositivos sobre a mesa desacompanhados;
• Armazenar
documentos impressos e/ ou dispositivos de armazenamento de mídia portáteis
(pendrive) que contenham informações confidenciais ou restritas em uma gaveta
ou armário fechado;
• Recolher
documentos impressos de copiadoras ou aparelhos de fax;
• O
descarte de informações sensíveis deve ser
realizado usando a máquina trituradora ou outro dispositivo ou processo
que torne os documentos inutilizáveis.
COM RELAÇÃO A Incidentes de Segurança da Informação (ou
SIRT), ou seja, de uma violação de Segurança da Informação (ocorrida ou
suspeita) de um ou mais ativos de informação da organização tais como
• Perda
ou divulgação indevida de dados, tais como o roubo de dados de clientes.
• Manuseio
indevido de documentos confidenciais ou restritos deixados em impressoras ou
aparelhos de fax ou descartados de maneira inapropriada.
• Divulgação, compartilhamento ou guarda inapropriada da
senha.
• Mudanças
de configurações de segurança ou código-fonte em sistemas da organização, sem a
devida aprovação.
• Perda
ou roubo de um laptop, PC ou outro equipamento da organização.
• Qualquer
tipo de ação que vise burlar as políticas ou processos da organização e seu
código de conduta, inclusive suspeita de que os dados da organização,
especialmente de dados confidenciais de clientes, foram de alguma forma
comprometidos, você deve relatar o incidente ao departamento competente de
compliance ou de segurança da informação BISO (Business Information Security
Officer) conforme a estrutura organizacional.