Segurança da Informação e Smartphones
A ISO 27000 estabelece diretrizes e normas que permitam aos colaboradores em geral das organizações seguir padrões de comportamento, no tocante a Segurança da Informação, adequados às necessidades de negócio e de proteção legal da organização e do indivíduo, buscando nortear a definição de procedimentos específicos de Segurança da Informação, bem como a implementação de controles e processos para atendimento da mesma.
A norma busca preservar as informações da organização no que tange a confidencialidade, integridade e a disponibilidade, afinal toda informação produzida ou recebida pelos colaboradores, sejam internos ou externos, como resultado da atividade profissional contratada pela organização, pertence à referida empresa. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
A informação produzida ou recebida deverá ser utilizada com senso de responsabilidade e de modo ético e seguro, em benefício exclusivo dos negócios corporativos e todos os equipamentos de informática e comunicação, sistemas e informações deverão ser utilizados pelos colaboradores internos e externos para a realização das atividades exclusivamente profissionais.
Agora vem a parte mais interessante, pois a organização reserva-se o direito de monitorar e registrar todo o uso das informações, sistemas e serviços. Para tanto serão criados e implantados controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgar necessário para reduzir os riscos, como, por exemplo, nos computadores de mesa, notebooks, nos acessos a Internet, no correio eletrônico e nos sistemas comerciais e financeiros.
Mas agora surge a duvida, como posso monitorar um colaborador que se utiliza de “tablets” e “smartphones”? Pois todos os meus processos estão direcionados para os sistemas internos, até onde é perigoso ou devemos proibir a utilização? A questão de conformidade (compliance) permite que venhamos a questionar tamanha liberdade, e sem contar com as atividades homeoffice, posso trabalhar em casa e enviar informações pelo meu e-mail particular, ação esta impossível de realizar dentro da organização.
Devemos buscar um maior entendimento de como poderemos “estar” e “ser” compliance dentro de nosso negócio, pois a velocidade da informação e das mudanças tecnológicas supera nossas legislações todos os dias, e o profissional de Tecnologia da Informação (hardware e Software), Compliance (Normas e Riscos), Auditoria (Novos sistemas de monitoração) e Controladoria (lembrar do SPED e na NF-e), necessitam buscar maiores conhecimentos para aprimorar suas atividades profissionais e evidenciar que todos fazem parte da validação e da normatização, na busca pela segurança de nossas informações.
Marcos Assi é professor e coordenador do MBA Gestão de Riscos e Compliance da Trevisan Escola de Negócios, e autor do livro “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” (Saint Paul Editora). Consultor de Riscos Financeiros e Compliance da Daryus Consultoria.