Professional Documents
Culture Documents
Internet Corporativa
Contedo
1. Editorial 2. Introduo 3. Quais os riscos que a Internet e suas facilidades trazem para as empresas? 3.1 Browsers (Navegadores) 3.2 E-mail 3.3 Comunicao Instantnea (Instant Messenging) 3.4 Redes de Relacionamento 3.5 Redes P2P (Peer-to-Peer) 4. O que as empresas podem fazer para minimizar estes riscos? 4.1 Browsers (Navegadores) 4.2 E-mail 4.3 Comunicao Instantnea (Instant Messenging) 4.4 Redes de Relacionamento 4.5 Redes P2P (Peer-to-Peer) 5. Aspectos jurdicos relacionados ao uso da Internet e suas facilidades 5.1 E-mail pode ser comparado a outras formas de correspondncia? 5.2 E-mail corporativo propriedade das empresas? 5.3 E-mail pessoal pode ser utilizado atravs dos recursos tecnolgicos disponibilizados pelas empresas? 5.4 O uso da Internet e de suas facilidades pode ser monitorado pelas empresas? 5.5 Qual a forma correta de fazer o monitoramento? 5.6 As empresas podem ser responsabilizadas pelo uso indevido ou inadequado da Internet e de suas facilidades por seus empregados? 5.7 O empregado pode ser demitido por justa causa pelo uso indevido ou inadequado da Internet e de suas facilidades? 6. Poltica de uso da Internet e de suas facilidades 7. Concluso 8. Referncias
1. Editorial
Uso Indiscriminado da Internet na Mira das Empresas O uso indiscriminado da Internet tem tirado o sono dos gestores de TI de diversas organizaes. Por conseqncia, somam-se perdas em produtividade e segurana trazidas pelo acesso Internet sem monitoramento no ambiente corporativo. Segundo pesquisa da Websense, 24% do expediente semanal de trabalhadores brasileiros perdido com navegao de fins pessoais na web. J de acordo com levantamento da Pennsula, consultoria britnica de direito trabalhista, o tempo mdio gasto com a visitao de webpages no relacionadas a objetivos empresariais de trs horas dirias por colaborador. Conhecendo esses dados, qualquer gestor comea a se perguntar: o que fazer para evitar tal desperdcio? Alm de reduzir o tempo de produo dos colaboradores e contribuir para o aumento de risco segurana dos sistemas da empresa, o livre acesso Internet gera outros prejuzos. Por exemplo, os downloads de contedos pessoais causam gasto desnecessrio de banda. Muitas vezes as companhias investem em expanses do link de acesso que nem seriam necessrias se houvesse uma poltica de conteno de uso da web. Sistemas ativos de troca de mensagens de texto interrompem sistematicamente a concentrao dos colaboradores. As ferramentas de controle de acesso no so privilgio de grandes organizaes, podendo ser customizadas para o mercado de pequenas e mdias empresas que, alis, o nicho em que mais se prolifera a navegao ociosa, de acordo com a pesquisa da Websense. Por outro lado, e to importantes quanto, esto os riscos com o desvio de informaes confidenciais e estratgicas das empresas. A fuga indevida de informaes pode comprometer a imagem e, eventualmente, causar prejuzo judicial s organizaes. A SUCESU-SC identificou essa preocupao e mobilizou um grupo de especialistas das reas de segurana da informao, direito e recursos humanos e, com a participao de empresrios usurios das tecnologias da informao e comunicao, formulou este documento com o objetivo de orientar as empresas e possibilitar que, a partir das informaes fornecidas, possam criar boas prticas para poder usufruir, ao mximo, dos benefcios do uso das novas tecnologias.
2. Introduo
O crescente uso da Internet e de suas facilidades pelas empresas uma constante, prtica essa que traz benefcios para o desempenho de suas atividades dirias, onde se destacam o acesso imediato informao e rapidez na comunicao. Como facilidades podem ser relacionadas as diversas formas de se utilizar a Internet, com destaque para a navegao e o e-mail. Todavia, a utilizao indevida ou inadequada da Internet e de suas facilidades pode se transformar em uma grande dor de cabea para as empresas. As empresas que tm acesso corporativo Internet, certamente, j se depararam com situaes de risco caracterizadas pela falta de limites nos percursos da web. Verificar mensagens deixadas por amigos em redes de relacionamento, manter conversas atravs do uso de ferramentas de comunicao instantnea, trocar mensagens atravs de e-mail pessoal, fazer download de arquivos MP3 so aes que no devem fazer parte do manual de boa conduta do meio corporativo. O uso da Internet e de suas facilidades para esses fins pode gerar impacto negativo significativo sobre os negcios, variando desde a perda da produtividade perda da reputao do negcio, com reflexo direto sobre os clientes e os resultados financeiros. Adicionalmente, a utilizao indevida ou inadequada da Internet e de suas facilidades poder trazer srios problemas jurdicos para as empresas.
existente em outro site ou contedo de e-mail; isso evita possveis redirecionamentos para sites fraudulentos ou mesmo a induo instalao de cdigos maliciosos que viabilizem o furto de informaes pessoais.
3.2 E-mail
um servio que permite a comunicao (envia e recebe mensagens) no simultnea (assncrona) entre pessoas. Este servio apresenta duas caractersticas, podendo ser um servio corporativo ou um servio pessoal. Entre os programas necessrios para a sua realizao esto o Microsoft Outlook, Outlook Express, Netscape e Eudora. Quais os riscos do e-mail? Grande parte dos problemas de segurana est relacionada a mensagens de email, atravs de seus textos e anexos. Com contedos que podem variar desde tcnicas de Engenharia Social 1 , boatos ou informaes quase verdadeiras, essas mensagens podem contribuir para a propagao de pragas virtuais ou fazer com que usurios desavisados caiam em armadilhas. O que fazer para prevenir os riscos do e-mail? Manter sempre a verso mais atualizada do programa de e-mail; Ter um bom software antivrus, sempre atualizado; Se possvel, instalar outras ferramentas de segurana a acesso indevido e cdigos maliciosos (firewall, spyware, spam, trojan horses, etc...) e mant-las sempre atualizadas; Estabelecer que o e-mail corporativo destina-se exclusivamente a enviar e receber mensagem de interesse da empresa; No permitir ou estabelecer critrios para o uso de e-mail pessoal atravs dos equipamentos da empresa; Desabilitar as opes que permitam abrir ou executar automaticamente arquivos os programas anexos a mensagens; No permitir a abertura ou execuo manual de arquivos, anexos a mensagens, que contenham extenses exe, scr, zip, rar, dll, com, bat, gz, tgz, pif e chm; Desabilitar as opes de execuo de JavaScript e de programas Java; Desabilitar, se possvel, o modo de visualizao de e-mails no formato HTML impossibilitando a navegao atravs do programa de e-mail; Definir que mensagens com contedo desconhecido devem ser deletadas; Divulgar entre os empregados que poder ser feito o monitoramento do uso de e-mail atravs dos equipamentos da empresa;
Engenharia Social a denominao utilizada para descrever um mtodo de ataque onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana de outrem, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes.
Divulgar entre os empregados as punies a que estaro sujeitos caso no sigam os critrios estabelecidos para uso do e-mail na empresa;
Adicione somente pessoas conhecidas; Mantenha poucas informaes sobre o perfil, evite informar dados financeiros (contas e senhas), dados cadastrais (nome, CPF, CNPJ) e dados que permitam a localizao (endereos, telefone, locais que freqenta); No participe de comunidades ou mesmo tpicos de discusso relacionados a temas no ticos (pornografia, drogas, segregao, violncia); Estabelecer, atravs de regras internas, a sua forma de uso e responsabilidades com relao a pessoas autorizadas, horrios, equipamentos especficos para esse fim, etc.
Assegurar que arquivos obtidos ou distribudos so livres, ou seja, no violam as leis de direitos autorais; Estabelecer, atravs de regras internas, a sua forma de uso e responsabilidades com relao a pessoas autorizadas, horrios, equipamentos especficos para esse fim, etc.
4.1
Browsers (Navegadores)
A navegao na Internet nas empresas deve atender, em primeiro lugar, as necessidades do negcio. As empresas podem definir, atravs de ferramentas de controle, quais os sites liberados para acesso. O acesso a outros sites pode ser autorizado desde que sejam obedecidas as regras estabelecidas e, previamente, seja comunicada a possibilidade de monitoramento. Adicionalmente, a empresa pode definir equipamentos e locais para que os colaboradores possam fazer acesso a sites divergentes do negcio da empresa.
4.2
No caso do e-mail existem dois aspectos a serem observados, o corporativo e o pessoal. O contedo do e-mail corporativo, enviado ou recebido por empregados, atravs de uma conta @nomedaempresa.com.br de propriedade da empresa podendo o seu contedo ser monitorado desde que as regras sejam previamente conhecidas. A permisso de acesso a contas de e-mail pessoal de empregados uma prerrogativa das empresas. O contedo do e-mail pessoal do empregado acessado por webmail, sem passar pelo servidor da empresa, necessita de autorizao judicial para que se possa ter acesso ao seu contedo. Na hiptese do empregado baixar o seu e-mail pessoal via servidor da empresa, que um ambiente sujeito a monitoramento, desde que as regras e procedimentos sejam previamente conhecidas, a empresa no estar cometendo uma infrao se vier a monitorar o e-mail, mas no poder acessar o contedo da mensagem a no ser que tenha uma autorizao judicial.
9
A Empresa pode definir equipamentos e locais, assim como horrios especiais, para que os colaboradores possam ter acesso a seus e-mails pessoais.
4.3
Por ser uma ferramenta similar ao e-mail, as empresas podem definir a sua utilizao de forma corporativa. Se assim o fizerem podero utilizar as mesmas regras e procedimentos estabelecidos para o e-mail. A utilizao dessa ferramenta de forma pessoal por empregados tambm poder estar sujeita aos critrios adotados para o e-mail pessoal.
4.4
Redes de Relacionamento
Por se tratar de uma ferramenta de uso exclusivamente pessoal, as empresas podero optar pela proibio do acesso atravs dos recursos tecnolgicos disponibilizados para os empregados. O acesso a sites com essas caractersticas pode ser bloqueado atravs da mesma ferramenta de controle utilizada para restrio navegao.
4.5
A utilizao das redes P2P para distribuio de arquivos da forma usual, o que ilegal, deve ser proibida pelas empresas.
10
5.3 E-mail pessoal pode ser utilizado atravs dos recursos tecnolgicos disponibilizados pela empresa?
Caso a empresa determine que os empregados possam fazer uso do e-mail pessoal atravs das facilidades e infra-estrutura disponibilizadas pela empresa, dever tornar de conhecimento dos empregados as regras que regem esta permisso bem como as sanses pelo no cumprimento.
5.4 O uso da Internet e de suas facilidades pode ser monitorado pela empresa?
No h nenhuma legislao especfica sobre o assunto. Todavia o Art. 2o da CLT concede empresa o poder de direo das atividades desempenhadas por seus empregados, o que significa que a empresa pode fiscaliz-los, repreend-los e estabelecer normas e procedimentos que regulem o funcionamento do negcio. Desde que existam regras pr-estabelecidas, seja do conhecimento prvio dos empregados e no seja realizado de forma indiscriminada e sistemtica j que os empregados tm direitos que podero ser invocados legitimamente, o monitoramento pode ser realizado. Esse conhecimento prvio pode ocorrer de vrias formas, ou seja, constar da poltica ou regulamento da empresa, estar vinculada ou fazer parte do contrato de trabalho, ser objeto de conveno coletiva ou ser obtido atravs de palestras com lista de presena. Independentemente da escolha da forma de divulgao das regras o importante dissemin-las por toda a empresa.
11
5.6 A empresa pode ser responsabilizada pelo uso indevido ou inadequado da Internet e de suas facilidades por seus empregados?
A empresa responsvel pelos atos praticados por seus empregados, atravs da utilizao dos recursos tecnolgicos disponibilizados, que venham a prejudicar terceiros. O Artigo 932 do Cdigo Civil estabelece que: So tambm responsveis pela reparao civil: (...) III - o empregador ou comitente, por seus empregados, serviais e prepostos, no exerccio do trabalho que lhes competir, ou em razo dele; (...) Smula 341 do Tribunal Superior do Trabalho presumida a culpa do patro ou comitente pelo ato culposo do empregado ou preposto.
5.7 O empregado pode ser demitido por justa causa pelo uso indevido ou inadequado da Internet e de suas facilidades?
Constituem justa causa para resciso do contrato de trabalho (CLT Art. 482): a) ato de improbidade; b) incontinncia de conduta ou mau procedimento; c) negociao habitual por conta prpria ou alheia sem permisso do empregador, e quando construir ato de concorrncia empresa para a qual trabalha o empregado, ou for prejudicial ao servio; (...) e) desdia no desempenho das respectivas funes; (...) g) violao de segredo da empresa; h) ato de indisciplina ou de insubordinao; (...) j) ato lesivo da honra ou da boa fama praticado no servio contra qualquer pessoa, ou ofensas fsicas, nas mesmas condies, salvo em caso de legtima defesa, prpria ou de outrem; k) ato lesivo de honra e boa fama ou ofensas fsicas praticada contra o empregador e superiores hierrquicos, salvo em caso de legtima defesa, prpria ou de outrem; (...). O entendimento atual da Justia do Trabalho: EMENTA: JUSTA CAUSA. E-MAIL. PROVA PRODUZIDA POR MEIO ILCITO. NO-OCORRNCIA. Quando o empregado comete um ato de improbidade ou mesmo um delito utilizando-se do e-mail da empresa esta, em regra, responde
12
solidariamente pelo ato praticado por aquele. Sob este prisma, podemos ento constatar o quo grave e delicada esta questo, que demanda a apreciao jurdica dos profissionais do Direito. Enquadrando tal situao Consolidao das Leis do Trabalho, verifica-se que tal conduta absolutamente imprpria, podendo configurar justa causa para a resciso contratual, dependendo do caso e da gravidade do ato praticado. Considerando que os equipamentos de informtica so disponibilizados pelas empresas aos seus funcionrios com a finalidade nica de atender s suas atividades laborativas, o controle do e-mail apresenta-se como a forma mais eficaz, no somente de proteo ao sigilo profissional, como de evitar o mau uso do sistema internet que atenta contra a moral e os bons costumes, podendo causar empresa prejuzos de larga monta. (Tribunal Superior do Trabalho - RO 0504/2002)
13
Referencie a existncia da poltica nos contratos de trabalho ou atravs de comunicado individualizado aos empregados; Obtenha o conhecimento da poltica pelos empregados por escrito; Revise e atualize, periodicamente, a poltica da empresa.
15
7. Concluso
O contedo deste documento no pretende estabelecer quais aes devem ser adotadas pelas empresas. Visa, sim, propiciar um melhor entendimento das implicaes que a utilizao indevida ou inadequada da Internet e de suas facilidades podem trazer para as organizaes. (...e para o empregado, no acontece nada?????) A inexistncia de uma legislao adequada relacionada ao assunto e a crescente evoluo tecnolgica traz a necessidade de que as empresas busquem mecanismos de proteo para os seus ativos. Muitas desses mecanismos, em um primeiro momento, podem parecer desagradveis aos olhos dos empregados. Mas necessrio que haja o entendimento de que essas aes tm a finalidade de prevenir riscos, e estabelecer regras de conduta na utilizao dos recursos tecnolgicos disponibilizados para a execuo das atividades relacionadas ao negcio, evitando, assim, desgastes desnecessrios entre empresa e empregados.
16
8. Referncias
CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana do Brasil www.cert.br CAIS Centro de Atendimento a Incidentes de Segurana www.rpn.br/cais ABES Associao Brasileira das Empresas de Software www.abes.org.br Internet Storm Center www.isc.sans.org The Top 20 Most Critical Internet Security Vulnerabilities www.sans.org/top20/ Virus Total www.virustotal.com Advanced Utilities, Technical Information and Source Code www.systernals.com
17
Internet Corporativa
Riscos, Controles e Legislao
Presidente da SUCESU Santa Catarina Heitor Blum S. Thiago
Coordenador GI Normas e Prticas para o Uso da Internet e E-mail nas Organizaes Joo Luiz Bielinski Giamattey
Colaboradores Dborah Din dos Santos - CECREDI Deoni Luiz Segalin - Epagri Elmir Hoffmann - Aporte Heitor Blum S.Thiago - SUCESU-SC Jos Roberto Heller - HBTEC Maria Ignz Keske WK Sistemas Srgio Jos Tomio - Proway Werner Keske - WK Sistemas
Av. Rio Branco, 404 Ed. Planel Towers -Torre 2 - Sala 105 88015-201 Florianpolis Santa Catarina Tel: 48 3222-1344 Fax: 48 3222-1024 E-mail: sucesu@sc.sucesu.org.br Home Page: www.sc.sucesu.org.br
18