Poucas horas após a implantação de um novo mecanismo de segurança da informação, funcionários buscam desesperadamente idéias para driblar o novo controle interno, desvalorizando as políticas e normas que devem ser seguida por todos.
Essa é a realidade na maioria das empresas. Mas vamos entender melhor os fatores que motivam essa guerra interna.
Fim do acesso
Diante de novas ameaças na internet e a baixa produtividade de alguns colaboradores, a diretoria de uma organização começou a agir. A ordem foi para bloquear todo e qualquer acesso as redes sociais. O caso aconteceu no ano passado.
O diretor de segurança da informação deixou claro para a equipe de consultores, da qual eu fazia parte, que não pretendia abrir exceções e que era necessário o monitoramento constante para identificarmos quais eram os colaboradores que tentariam burlar a nova regra.
Para tornar a situação mais complexa, o bloqueio às redes sociais foi feito sem a atualização da norma que trata da navegação da internet. Ou seja, os colaboradores não foram informados do bloqueio.
As primeiras reações
A medida foi recebida com surpresa e preocupação pelos colaboradores dessa organização. Nas primeiras duas horas foram registradas mais de 3.000 tentativas de acesso a redes sociais.
As ligações para o help desk tiveram um efeito explosivo. Foram 75 chamados referentes a dúvidas sobre a proibição de acesso as redes sociais.
Uma das funcionárias, infeliz com a nova medida, encontrou uma solução simples para burlar o bloqueio. Ela simplesmente forneceu o seu usuário e senha do Orkut para uma amiga que estava fora da empresa. A “ferramenta” utilizada para veicular a informação foi o e-mail corporativo.
A amiga acessava o Orkut, copiava todos os novos recados e colocava no e-mail. A funcionária recebia em seu e-mail corporativo a mensagem contendo todos os recados novos que estavam no Orkut. Usando o e-mail da empresa, ela respondia cada uma das mensagens. Depois a amiga acessava o Orkut para atualizar o perfil.
Outra medida adotada pela organização foi o bloqueio de fotos anexadas ao e-mail corporativo. A diretriz foi determinada após a organização descobrir que boa parte dos e-mails armazenados no backup, nas estações de trabalho e nos servidores era, na verdade, fotos de casamento, de festas de aniversário dos filhos, carnaval, férias, fotos pornográficas etc.
Em outros termos, a empresa estava gastando dinheiro para fazer backup das fotos pessoais dos colaboradores. E não podemos esquecer da parte jurídica! Questões de invasão de privacidade, difamação e uso indevido da imagem também foram discutidas para efetivar o bloqueio de fotos via e-mail.
Mas, voltando ao assunto das redes sociais, a funcionária abriu um novo arquivo do Word, colou algumas fotos dela no documento, salvou tudo e anexou ao e-mail.
A amiga dela recebeu o “arquivo do Word” com as novas fotos, acessou o Orkut e atualizou a página de fotos.
Ações de segurança só poderão ter resultado após mudança comportamental
Não funcionou
Na prática, a solução não funcionou porque alguns funcionários continuaram usando os recursos da empresa para acesso às informações das redes sociais. No caso descrito, o e-mail corporativo foi a ferramenta utilizada para desvalorizar a política e normas de segurança da informação.
Casos semelhantes ocorrem todos os dias nas empresas brasileiras. Muitas organizações têm iniciativas isoladas, ou seja, um diretor decide, sozinho, criar algum tipo de controle sem consultar outros executivos.
A grande maioria das organizações encontra resistência a mudanças por parte dos seus colaboradores. É nessa hora que um comitê interdepartamental pode fazer toda a diferença.
Campanhas de conscientização sobre segurança da informação também são fundamentais. E não deixe de fora as medidas disciplinares para punir os funcionários ou prestadores de serviço que promovem uma verdadeira guerra contra a segurança da informação.
Autor: Denny Roger
Sou favorável a proibiçãO, mas acho que as empresas costumam usar um radicalismo burro em certas circunstâncias e a polêmica das redes sociais é só uma delas. Nunca consideram o que ganham e o que perdem com cada nova "lei". Vejo isso todos os dias. Reuniões, trocas de gerentes e chefes, mais reuniões, contratam consultores, etc,mas nada resolve por que os funcionários se revoltam. Simplesmente porque são tratados como gado,e não como pessoa.
ResponderExcluir