É Legal
Segurança da Informação – como se proteger na era da Mobilidade?
Publicado em 14/07/2008 às 09:00Na era do conhecimento, os dados são ativos intangíveis que precisam de gestão adequada do ciclo de vida – geração, armazenamento, manuseio, compartilhamento e descarte. Mas com o crescimento da conectividade e a integração de redes e pessoas, movida inclusive pela grande terceirização nas empresas, cada vez mais a questão da segurança da informação em mobilidade (VPN, pen-drive, smart phone, MP3, câmeras digitais e notebooks) se torna fundamental.
Para proteção de dados corporativos não há uma única solução milagrosa, se faz necessária a implementação de diversas medidas em conjunto, em três níveis: uso de tecnologias de controle; criação de normas e procedimentos; e conscientização das equipes, especialmente executivos, gestores e colaboradores de terceiros.
Não basta ter uma norma interna sobre o assunto, ou um documento de NDA (termo de confidencialidade). É necessário ter ferramentas de monitoramento, controle de acesso, bloqueio de porta USB; é preciso conscientização, vigilância e punição. No início, todos os usuários tinham os mesmos poderes e privilégios, mas agora, a melhor prática é que apenas usuários específicos devem ter acesso a dados confidenciais e recursos de mobilidade e portabilidade. E mesmo estes usuários privilegiados devem ser capacitados, conscientizados e monitorados. Afinal, do que adianta apenas o presidente ou vice-presidente poderem acessar um dado, se eles são dependentes, na verdade, apenas de uma senha – e a senha deste nível de executivo, em média, é do conhecimento de pelo menos duas outras pessoas (secretária e assessor direto).
Em termos legais, a norma de autenticação deve estar alinhada com alçadas e poderes, e precisa ter assinatura de Termo de Responsabilidade. A informação que circular em dispositivos portáteis deve ser protegida por criptografia ou biometria e, independente de tudo isso, a empresa tem de contar com monitoramento suficiente para identificar uma situação de incidente no momento mais inicial possível e minimizar riscos e impactos.
O uso de VPN para trabalho remoto ou suporte de TI deve ser concedido com cautela. Mesmo assim, é necessário que a interface exiba um aviso legal dando conta de que a informação é confidencial e de acesso exclusivo para pessoas autorizadas. Também deve ser registrado o número de IP e o log completo de data (dia, hora, minuto e segundo), usar senhas individuais (não genéricas com nome de fornecedor), bem como monitorar o tráfego de dados por esta porta, além de cortar a conexão quando há um certo período de inatividade. Cabe à empresa proteger seu patrimônio, que está em dados, já que estes estão circulando por aí.
Dra. Patricia Peck Pinheiro, advogada especialista em Direito Digital, sócia fundadora da PPP Advogados, autora do livro “Direito Digital” publicado pela Editora Saraiva. (www.pppadvogados.com.br)