Números da PricewaterhouseCoopers (PwC), por exemplo, indicam que cerca de 30% das grandes empresas em todo o mundo já possuem algum processo de monitoramento do fluxo de informações implantado. "É um tema ao qual as empresas vêm dedicando atenção", afirma Antonio Gesteira, gerente-executivo de tecnologia e segurança da informação da PwC. O especialista diz que os 70% restantes buscam implantar ou aprimorar as ferramentas de segurança atualmente em operação. Ou seja, todas elas pensam no assunto.

Outro estudo, este da empresa de segurança Proofpoint, aponta que 63% das companhias nos Estados Unidos querem monitorar os e-mails de seus empregados. Segundo o levantamento, 36,1% delas já monitoram e-mails atualmente. Outro dado revelado pela pesquisa é que 35% das companhias investigaram suspeitas de vazamento de informações nos últimos 12 meses.

Se por um lado os números evidenciam a necessidade de preservar as informações vitais para a empresa, por outro eles criam uma discussão dentro das organizações. De quem é a responsabilidade pelos processos ligados a essa gestão de dados? Na hora de definir, começa o jogo de empurra.

Os especialistas, por sua vez, são enfáticos ao dizer que a responsabilidade não cabe apenas ao departamento de TI, mas também às áreas de recursos humanos, jurídica e de segurança da informação, entre outras. A orientação e conscientização dos funcionários é o primeiro passo, de acordo com a advogada Thaís Cordeiro, do escritório Trevisioli Advogados Associados. "É fundamental orientar os funcionários no sentido de que e-mail é meio de prova", explica Thaís.

"Todo funcionário admitido no Trevisioli assina um documento em que toma conhecimento de que os computadores da empresa são de uso corporativo e instrumento monitorado", conta Paulo Morita, responsável pela área de TI do escritório de advocacia. Segundo Morita, todos os e-mails que entram e saem da empresa são monitorados. "A leitura dos e-mails é aleatória. Feita em média uma vez ao dia por um funcionário ligado à área de tecnologia", diz o executivo.

A Fecomercio (Federação do Comércio do Estado de São Paulo) prepara uma cartilha sobre a questão do gerenciamento do fluxo de informações dentro das empresas para seus associados. O advogado Renato Opice Blum, presidente do conselho de comércio eletrônico da entidade, conta que as sugestões incluem que o monitoramento seja feito com base em um regulamento de segurança da informação, e este deve estar atrelado aos contratos de trabalho dos funcionários. "O regulamento deve determinar como esse controle será feito, quem cuidará dele, se haverá software automático por trás e se o conteúdo ficará arquivado", aconselha Opice Blum.

A questão da ética e invasão de privacidade é página virada para Opice Blum. Apesar das dicas, o advogado defende que o monitoramento pode ser feito independentemente de regulamentações, uma vez que a empresa responde pelos atos tomados por seus funcionários, e corre o risco de responder por suas ações.

Tarefa multidisciplinar

Com regulamentação ou sem ela, a operacionalização do gerenciamento do fluxo de informações nas corporações é uma tarefa multidisciplinar. De acordo com Gesteira, da PwC, o processo deve envolver as equipes de segurança e tecnologia da informação e os departamentos de recursos humanos e jurídico, entre outros.

"A formalização do processo, da infra-estrutura e da maneira como as exceções ou incidentes de segurança serão tratados é imprescindível", destaca o especialista, que dá o alerta para as organizações. "Não queira adotar medidas paliativas ou amadoras porque o prejuízo pode ser muito maior. A empresa precisa estar preparada para responder a qualquer incidente."

Opice Blum sugere que a atividade de monitoramento seja conduzida por um profissional do departamento jurídico, mas admite que é aconselhável que esse profissional detenha também conhecimentos de tecnologia da informação. E se a regulamentação deve ser atrelada ao contrato de trabalho do profissional, o RH entra em ação.

O ideal é que não exista jogo de empurra. Para Alberto Evandro Fávera, CSO do banco Santander Banespa, nada mudou na relação entre esses departamentos. "A relação entre os departamentos é a mesma. A diferença é que hoje eles estão municiados com ferramentas tecnológicas", explica. Para o executivo, o e-mail é uma ferramenta utilizada hoje para os mais diversos tipos de comunicação. Desde chamar o colega lá de cima para tomar um café até mandar um contrato para o cliente. "Não controlar essa ferramenta é um risco muito grande", alerta.

De acordo com o CSO, o Santander adota uma política de monitoramento de e-mails de seus funcionários. Para ele, o primeiro passo é "declarar formalmente aos funcionários como devem usar as ferramentas concedidas a eles pela empresa. A política deve considerar um padrão de comportamento baseado em um código de ética", diz.

Uma vez estabelecidas as normas, os desvios devem ser controlados. Fávero revela que o Santander conta com softwares poderosos de monitoração. As soluções são bem calibradas e configuradas de forma a filtrar e-mails de conteúdo suspeito. Se há quem defenda que o uso dos computadores corporativos deva restringir-se para fins profissionais, Fávero diz que a privacidade dos funcionários é sim considerada pelo banco na hora de monitorar as mensagens eletrônicas. O CSO diz que o uso esporádico e responsável para fins pessoais é permitido. "Seria uma perda de produtividade impedir o uso do e-mail e do telefone para fins pessoais", afirma Fávero. "O alto padrão de governança corporativa no Santander visa o bem-estar dos bons", explica.

Fávero conta que os profissionais da instituição trocam cerca de 2 milhões de e-mails por dia útil. "Uma quantidade insignificante dessas mensagens é filtrada pela ferramenta de segurança", conta, atribuindo o baixo número à boa configuração do aplicativo. "Ler todos os e-mails é impossível e antiético. O profissional que monitora essas mensagens sequer sabe de quem ela é. Ele apenas a encaminha para uma área de inspeção, que avalia o seu conteúdo.", explica.

Na Companhia Vale do Rio Doce (CVRD), a preocupação com a segurança da informação está diretamente relacionada ao modelo de governança da empresa, de acordo com Adriana Peixoto Ferreira, diretora do departamento de tecnologia da informação da CVRD. Ela revela que a companhia ataca diferentes alvos quando a questão é a segurança da informação. "De acordo com o modelo de governança da Vale, temos um plano de segurança que engloba desde a contingência dos dados da companhia até o monitoramento do correio eletrônico e inibições a ações ilegais", afirma a diretora.

A CVRD estabelece políticas determinando aquilo que pode e o que não pode ser feito com os equipamentos da empresa. Segundo Adriana, "todos os funcionários da Vale assinam um termo assumindo que sabem o que é permitido fazer com as ferramentas da empresa".

Quem é o dono de quem

Visando preservar os dados críticos para o seu negócio, a companhia ainda adota o conceito de donos da informação. Cada um determina quem tem autorização para ver a sua informação. Antes de dar o caminho para um determinado documento, é preciso consultar o dono da informação.

"Há uma série de processos dando suporte a esta política", afirma Adriana. Ela explica que um help desk dispara o procedimento para dar acesso a determinadas informações. De acordo com a diretora, desde os sistemas de transações, até as informações gravadas nos servidores passam por esse processo. A advogada Thaís, do Trevisioli, conta que lá também as alterações em documentos são controladas. "O acesso é controlado por senhas, bem como a inserção de dados nesses arquivos", diz.

Gesteira, da PwC, concorda com a eficácia do modelo. "Embora ainda seja uma prática que vá levar mais tempo para ser adotada em massa, definir o dono da informação é importante", diz o gerente de segurança, acrescentando que os documentos devem ser devidamente rotulados como "de uso público", "confidencial" ou "uso interno".

Ferramentas, políticas e metodologias à parte, o que prevalece nas organizações atualmente é mesmo o bom senso. Tanto na hora de usar os equipamentos corporativos quanto na hora de investigar e monitorar o fluxo das informações trocadas pelos funcionários.

Matéria Fernanda K. Ângelo