Outro estudo, este da empresa de segurança Proofpoint, aponta que 63% das companhias nos Estados Unidos querem monitorar os e-mails de seus empregados. Segundo o levantamento, 36,1% delas já monitoram e-mails atualmente. Outro dado revelado pela pesquisa é que 35% das companhias investigaram suspeitas de vazamento de informaçôes nos últimos 12 meses.

Se por um lado os números evidenciam a necessidade de preservar as informaçôes vitais para a empresa, por outro eles criam uma discussão dentro das organizaçôes. De quem é responsabilidade pelos processos ligados a essa gestão de dados? Na hora de definir, começo jogo de empurra.

Os especialistas, por sua vez, sâo enfáticos ao dizer que a responsabilidade nâo cabe apenas ao departamento de TI, mas também ás de recursos humanos, jurídica e de segurança da informaçâo, entre outras. A orientaçâo conscientizaçâo dos funcionários é primeiro passo, de acordo com a advogada Thaís Cordeiro, do escritório Trevisioli Advogados Associados. "É fundamental orientar os funcionários no sentido de que e-mail é meio de prova", explica Thaís.

"Todo funcionário admitido no Trevisioli assina um documento em que toma conhecimento de que os computadores da empresa são de uso corporativo e instrumento monitorado", conta Paulo Morita, responsável pela área de TI do escritório de advocacia. Segundo Morita, todos os e-mails que entram e saem da empresa são monitorados. "A leitura dos e-mails é aleatória. Feita em média uma vez ao dia por um funcionário ligado àrea de tecnologia", diz o executivo.

A questão da ética e invasão de privacidade é pagína virada para Opice Blum. Apesar das dicas, o advogado defende que o monitoramento pode ser feito independentemente de regulamentaçôes, uma vez que a empresa responde pelos atos tomados por seus funcionários, e corre o risco de responder por suas açôes.

Tarefas Multidisciplinar

Com regulamentaçâo ou sem ela, a operacionalizaçâo do gerenciamento do fluxo de informaçôes nas corporaçôes é uma tarefa multidisciplinar. De acordo com Gesteira, da PwC, o processo deve envolver as equipes de segurança tecnologia da informaçâo e os departamentos de recursos humanos e jurídico, entre outros.

"A formalizaçâo do processo, da infra-estrutura e da maneira como as exceçôes ou incidentes de segurança serâo tratados é imprescindível", destaca o especialista, que dá o alerta para as organizaçôes. "Nâo queira adotar medidas paliativas ou amadoras porque o prejuízo pode ser muito maior. A empresa precisa estar preparada para responder a qualquer incidente."

Opice Blum sugere que a atividade de monitoramento seja conduzida por um profissional do departamento jurídico, mas admite que é aconselhável que esse profissional detenha tambem conhecimentos de tecnologia da informaçâo. E se a regulamentaçâo deve ser atrelada ao contrato de trabalho do profissional, o RH entra em açâo.

O ideal é que não exista jogo de empurra. Para Alberto Evandro Fávera, CSO do banco Santander Banespa, nada mudou na relaçâo entre esses departamentos. "A relaçâo entre os departamentos é a mesma. A diferença é que hoje eles estâo municiados com ferramentas tecnologicas", explica. Para o executivo, o e-mail é uma ferramenta utilizada hoje para os mais diversos tipos de comunicaçâo. Desde chamar o colega lá de cima para tomar um café até mandar um contrato para o cliente. "Nâo controlar essa ferramenta é um risco muito grande", alerta.

De acordo com o CSO, o Santander adota uma política de monitoramento de e-mails de seus funcionários. Para ele, o primeiro passo é declarar formalmente aos funcionários como devem usar as ferramentas concedidas a eles pela empresa. A política deve considerar um padrão de comportamento baseado em um código de ética", diz.

Uma vez estabelecidas as normas, os desvios devem ser controlados. Fávero revela que o Santander conta com softwares poderosos de monitoraçâo. As soluçôes são bem calibradas e configuradas de forma a filtrar e-mails de conteúdo suspeito. Se há quem defenda que o uso dos computadores corporativos deva restringir-se para fins profissionais, Fávero diz que a privacidade dos funcionários é sim considerada pelo banco na hora de monitorar as mensagens eletrônicas. O CSO diz que o uso esporádico e responsável para fins pessoais é permitido. "Seria uma perda de produtividade impedir o uso do e-mail e do telefone para fins pessoais", afirma Fávero. "O alto padrão de governança corporativa no Santander visa o bem-estar dos bons", explica.

Fávero conta que os profissionais da instituiçâo trocam cerca de 2 milhões de e-mails por dia é "Uma quantidade insignificante dessas mensagens é filtrada pela ferramenta de segurança, conta, atribuindo o baixo número à boa configuraçâo do aplicativo. "Ler todos os e-mails é impossível e antiético. O profissional que monitora essas mensagens sequer sabe de quem ela é. Ele apenas a encaminha para uma área de inspeçâo, que avalia o seu conteúdo, explica.

Na Companhia Vale do Rio Doce (CVRD), a preocupaçâo com a segurança da informaçâo está diretamente relacionada ao modelo de governança da empresa, de acordo com Adriana Peixoto Ferreira, diretora do departamento de tecnologia da informação da CVRD. Ela revela que a companhia ataca diferentes alvos quando a questão é segurança da informaçâo. "De acordo com o modelo de governança da Vale, temos um plano de segurança que engloba desde a contingência dos dados da companhia até monitoramento do correio eletrônico e inibiçôes a açôes ilegais", afirma a diretora.

A CVRD estabelece políticas determinando aquilo que pode e o que não pode ser feito com os equipamentos da empresa. Segundo Adriana, "todos os funcionários da Vale assinam um termo assumindo que sabem o que é permitido fazer com as ferramentas da empresa".

Quem é dono de quem

Visando preservar os dados críticos para o seu negócio, a companhia ainda adota o conceito de donos da informaçâo. Cada um determina quem tem autorizaçâo para ver a sua informaçâo. Antes de dar o caminho para um determinado documento, é preciso consultar o dono da informaçâo.

"Há uma série de processos dando suporte a esta política", afirma Adriana. Ela explica que um help desk dispara o procedimento para dar acesso a determinadas informaçôes. De acordo com a diretora, desde os sistemas de transaçôes, até as informaçôes gravadas nos servidores passam por esse processo. A advogada Thaís do Trevisioli, conta que lá também as alteraçôes em documentos são controladas. "O acesso é controlado por senhas, bem como a inserçâo de dados nesses arquivos", diz.

Gesteira, da PwC, concorda com a eficácia do modelo. "Embora ainda seja uma prática que vá levar mais tempo para ser adotada em massa, definir o dono da informaçâo é importante", diz o gerente de segurança acrescentando que os documentos devem ser devidamente rotulados como "de uso público", "confidencial" ou "uso interno".

Ferramentas, políticas e metodologias à parte, o que prevalece nas organizaçôes atualmente é mesmo o bom senso. Tanto na hora de usar os equipamentos corporativos quanto na hora de investigar e monitorar o fluxo das informaçôes trocadas pelos funcionários.