Home > Gestão

Big Brother corporativo

Como monitorar seus funcionários e garantir a segurança da companhia sem tornar-se um invasor de privacidade

Thomas Wailgum

22/06/2007 às 15h49

privacidade_int.jpg
Foto:

Arthur Riel defende-se dizendo que está apenas fazendo seu trabalho. Quando foi contratado pela Morgan Stanley em 2000, ele liderou uma modificação no sistema de arquivo de mensagens eletrônicas que custou ao banco 52 bilhões de dólares. Nessa época, a instituição estava envolvida numa investigação que apontava irregularidades nos negócios e ele passava a ter acesso ao meio de comunicação mais vulnerável, onde facilmente poderiam ser encontradas provas legais. O caso terminou num julgamento de repercussões internacionais em 2005, tendo como resultado uma indenização de 1,57 bilhões de dólares ao investidor Ronald Perelman. Em março deste ano, a Morgan Stanley ganhou uma apelação na corte da Flórida e o caso continua.
Recebendo 500 mil dólares por ano, Riel foi contratado para garantir que nunca mais algo parecido aconteceria à instituição. Para tanto, ele tinha o que chamava de “carta branca para invadir e-mails”. Lendo as mensagens trocadas por funcionários do banco no ano de 2003, ele detectou vários desvios éticos, conflitos de interesses e também piadinhas sexuais de executivos que, teoricamente, deveriam ser os mais interessados em seguir o código de conduta interno.
Com base na leitura dos e-mails dos executivos, principalmente do CTO (chief technology officer), Guy Chiarello, Riel denunciou que as mensagens mostravam abusos da área de TI. Junto a pedidos de produtos tecnológicos, havia solicitações de entradas para jogos de baseball do New York Yankees contra o Boston Red Sox e outros eventos esportivos, além de esquemas altamente suspeitos que envolviam também o departamento de publicidade. “Havia um esquema ilegal no departamento de TI”, afirmou.
A troca de e-mails que continha piadinhas sexuais – e envolvia diretamente sua chefe, Moira Kilcoyne – aumentou a convicção de Riel de que havia algo errado na alta hierarquia do grupo. Acreditando estar simplesmente fazendo o seu trabalho, ele pediu permissão para encaminhar anonimamente os e-mails mais graves para Stephen Crawford, então CFO (chief financial officer), em 15 de janeiro de 2004, por outra caixa de correio que não a do trabalho. Imediatamente, seus superiores passaram a atacá-lo vigorosamente.
Primeiro, a empresa afirmou, via porta-voz, que nunca deu a Riel autorização para monitorar, ler ou disseminar e-mails de outros funcionários. Segundo, negou a existência de tais mensagens. Terceiro, finalizada a investigação interna, a companhia manteve a versão de que nenhum funcionário identificado como Riel tinha autorização para tomar medidas disciplinares como monitorar os outros funcionários. Em 18 de agosto de 2005, 13 meses depois de iniciar seu trabalho, Riel foi demitido por má-conduta.
Riel moveu um processo de 10 milhões de dólares contra o banco, pela infração à lei Sarbanes-Oxley, e outro, de mesmo valor, pela difamação que sofreu. Em junho de 2006, o Ministério do Trabalho desmentiu a relevância das informações prestadas e afirmou que não havia motivos para acreditar que o Morgan Stanley tinha violado qualquer artigo da SOX. Ainda afirmava que o banco havia demitido outros funcionários anteriormente pelas mesmas razões.

++++

Em fevereiro de 2007, um juiz federal negou sete das oito provas que Riel anexou ao processo. Para o Morgan Stanley, a justiça confirmava, assim, a falta de valor legal ou factual de qualquer prova apresentada.
Atualmente, com o distanciamento temporal de todo o caso, Riel diz que aprendeu uma lição fundamental a todo CIO: “TI está fadada a ter problemas desse tipo, por ser o departamento que decide quem pode ter acesso a que”. Para ele, não há política capaz de evitar tal desgaste.

Com o poder, vem a responsabilidade
Como o acesso aos sistemas e às aplicações cresce proporcionalmente ao negócio, aumentam também as chances de erro. O que você faria se, sob a sua administração, um funcionário deixasse a rede disponível a qualquer um exatamente na hora em que um vendedor digita os números do cartão de crédito de um cliente? Ou se alguém quisesse sabotar o CEO lendo seus e-mails? Os departamentos de TI precisam de checagem e relatórios de segurança feitos com certa constância, além de uma busca interminável pelo casamento perfeito entre acessibilidade e responsabilidade.
Um estudo de dezembro de 2006, feito pelo grupo de resposta a incidentes de segurança americano (CERT), demonstrou que os sabotadores fazem uso principalmente das facilidades de acesso eletrônico e das falhas de controle para agir. A situação é ainda mais crítica agora, já que TI, em muitas empresas, ficou responsável também por ações que antes cabiam aos departamentos jurídico e de recursos humanos.
Tom Sanzone, CIO do Credit Suisse, diz que sua equipe se entende “como mão e luva” com RH, jurídico, responsáveis por compliance e auditores. “Manter esse entendimento é fundamental”, avalia.
Mas surge a dúvida: como confiar em quem fiscaliza, se estas pessoas também são passíveis de erros? Mais: se não se confiar nelas, então, em quem? “Se a área de TI faz alguma coisa que não poderia, então os demais funcionários vão pensar ‘vou achar uma maneira de burlar o monitoramento porque nós não podemos confiar nessas pessoas’”, afirma David Zweig, professor de comportamento organizacional da Universidade de Toronto. “É um ciclo de crescente desconfiança, o que, infelizmente, pode gerar ainda mais necessidade de monitoramento”.
Na Network Services Company (NSC), o CIO, Paul Roche, determinou como e quando o departamento de TI pode acessar dados dos demais funcionários e, juntamente com o RH e a área jurídica, desenvolveu uma política para lidar com as suspeitas de infrações. Por exemplo, TI não vasculha o computador de ninguém sem autorização do RH. “Os trabalhadores confiam porque sabem como vamos agir”, diz.
No entanto, toda determinação de um CIO – não importa o quanto sólida seja a sua política ou quais sejam os seus relacionamentos dentro da empresa – será colocada à prova quando um de seus subordinados cruzar a linha e quebrar a confiança entre os usuários e o departamento de TI. “Se você dá autoridade a alguém, esta pessoa pode, sim, fazer mau uso dela”, pondera o analista sênior de segurança do Forrester Research, Khalid Kark.

++++

Garotos maus e bem-feitores
Apesar da afirmação de Riel de que a Morgan Stanley não tinha uma política de controle de acessos a sistemas e contas de e-mail, o banco mantém a versão de que ele nunca foi autorizado a fazer o que fez. E o Morgan Stanley não foi o único a tratar publicamente da demissão de um funcionário de TI. A Wal-Mart demitiu, em março passado, o analista de sistemas Bruce Gabbard por monitorar e gravar conversas telefônicas entre a equipe de relações públicas e um repórter do New York Times. “Estas gravações não foram autorizadas e violaram a política operacional da empresa, que estabelece que isso só pode ocorrer com a aprovação por escrito do departamento jurídico”, disse a empresa em comunicado. A Wal-Mart também revelou que “Gabbard interceptou mensagens de texto e documentos, incluindo comunicados que não tinham nada a ver com possíveis irregularidades”. Depois de demitido, ele reafirmou, num artigo publicado em abril no Wall Street Journal, que suas atividades de espionagem foram solicitadas por superiores. Já a Wal-Mart proibiu o uso de gravadores: “Qualquer uso futuro destes equipamentos estará sob supervisão do departamento jurídico”.
Em fevereiro, o Departamento de Acidentes Industriais de Massachusetts desligou de seus quadros Francis Osborn, de TI, por ter acessado e recuperado números da seguridade social de outros trabalhadores. De acordo com os documentos apresentados à justiça, Osborn violou 1.200 arquivos e abriu contas no nome destas pessoas (inclusive solicitando e utilizando cartões de crédito) para onde transferiu milhares de dólares. Em comunicado, a empresa informa que o departamento está conduzindo uma revisão de todos os procedimentos de segurança. Osborn foi demitido, julgado e condenado por falsidade ideológica.
Há outros exemplos de incidentes menos criminosos, mas não menos difíceis para os CIOs. Em fevereiro de 2006, oficiais de New Hampshire anunciaram que tinham descoberto um software de quebra de senha (chamado Cain & Abel) implantado num servidor do estado. O Cain & Abel, possivelmente, permitiu o acesso dos hackers a cartões de crédito. Douglas Oliver, empregado de TI que, em um dos relatórios internos, se autodenominou o “líder dos hackers”, admitiu à imprensa ser o responsável pelo programa, alegando que estava apenas testando o sistema de segurança. Disse ainda que fez tudo com o consentimento do CIO, Richard Bauleys (que não quis se pronunciar a respeito). Oliver recebeu licença durante o período de investigação, que envolveu FBI e o departamento de justiça dos EUA. Em 4 de abril de 2006, o governo anunciou que o programa Cain & Abel nunca fora usado, na verdade. Oliver foi convidado a retornar ao emprego no dia 25 do mesmo mês.

++++

Um caso mais conhecido ocorreu na Sandia National Laboratories do Novo México. Depois de uma série de invasões nas redes dos laboratórios em 2004, Shawn Carpenter, um analista de segurança de rede, iniciou uma investigação por conta própria. Ele chegou a relacionar os ataques a um grupo de espionagem via internet formado por chineses e descobriu que alguns documentos do governo americano tinham sido roubados. Ao dividir as descobertas com a inteligência do exército e com o FBI, Carpenter foi demitido pela Sandia, sob a alegação de “uso impróprio de informação confidencial”. Porém, em fevereiro de 2007, um júri do Novo México deu ganho de causa (no valor de 4,3 milhões de dólares) a Carpenter – que foi promovido de funcionário-problema a herói nacional. A Sandia pretende recorrer. Mas a moral da história é: os CIOs precisam de atenção redobrada ao lidar com funcionários descontentes, desonestos ou conscientes de que estão dando o seu melhor sem reconhecimento. “Não é o hacker externo que deve ser mais temido”, diz John Halamka, CIO do CareGroup e da Faculdade de Medicina de Harvard. “São os funcionários internos, com acesso liberado aos sistemas, que podem causar os maiores danos”.

Os seis pecados
Desde o início da era da internet, o pessoal de TI tem consciência de que a web é uma caixa de Pandora, repleta de ferramentas que qualquer um pode usar, bastando ter um PC, uma conexão e uma mente desonesta. Regulamentações, como as leis Sarbanes-Oxley, HIPAA (de portabilidade e responsabilidade sobre seguros de saúde), Gramm-Leach-Bliley (de modernização do sistema financeiro), e também o novo padrão de segurança dos cartões de crédito têm chamado a atenção dos executivos ao perigo que a tecnologia pode representar, mesmo sabendo que precisam dela. “Gerentes têm tornado-se bem mais conscientes de que o risco de TI é o mesmo risco do negócio”, afirma Richard Hunter, vice-presidente e especialista em segurança e privacidade do Gartner.
Conseqüentemente, mesmo companhias com regulamentações muito claras têm valorizado a conformidade com as leis e as políticas de gerenciamento. Para trabalhadores de qualquer lugar, a mensagem é (ou deveria ser) clara: “Não há privacidade onde há vida corporativa”, diz Hunter. Só que para garantir sua própria segurança, a corporação tem que apostar no sentimento de bem-estar e privacidade dos usuários.
Isto tem gerado uma regra mais autoritária para os departamentos de TI, já que passaram a ditar o que os funcionários podem ou não fazer com as tecnologias disponíveis. Uma lista tem circulado na internet, descrevendo os tipos de sites que não podem ser visitados durante o expediente: os que contêm pornografia, jogos ou que incitem a discriminação, a violência e as atividades ilegais. Roche diz que visitar estes sites, além de perigoso para o PC (que fica exposto a vírus), vai ao encontro da política de direito de violação de privacidade do RH da NSC, ou seja, dá carta branca para que o computador seja vasculhado.

++++

Novas tecnologias também têm tornado mais fácil o trabalho para se identificar quem são e onde estão os infratores. De acordo com uma pesquisa de monitoramento eletrônico da American Management Association, feita em 2005, 76% das 526 companhias pesquisadas disseram que possuem alguma forma de monitoramento eletrônico. No jornal da Universidade de Toronto, foi publicado um levantamento que demonstra que mais de 40 milhões de empregados americanos são alvo de algum tipo de controle eletrônico, como contagem de caracteres, escutas em ligações telefônicas, rastreamento de e-mail e até câmeras de vídeo. Um outro estudo, este da Harris Interactive, revela que a maioria dos trabalhadores, mesmo sabendo do monitoramento, continuam usando a internet para assuntos que não o trabalho (mais da metade dos entrevistados afirmaram que usam o e-mail corporativo tanto para assuntos da empresa quanto para questões pessoais).
Em conversas com CIOs, Kark, da Forrester, descobriu que grande parte das companhias não querem parecer más monitorando tudo, apesar de considerarem esta a opção mais segura. Nestas empresas, foi criada uma cultura de privacidade amigável, com alto grau de cumplicidade entre gerência e subordinados.
De acordo com a pesquisa da Universidade de Toronto, o monitoramento viola o limite psicológico básico necessário entre empregadores e empregados, que exige um mínimo de privacidade, autonomia e respeito. Uma vez ultrapassada esta linha, é provável que haja implicações negativas, como insatisfação e estresse. Além disso, é delicado para uma companhia que precisa da colaboração de todos os funcionários fazê-los acreditar que todos estarão sujeitos às mesmas regras, inclusive a área de TI. “Deve ser comunicado para todos dentro da organização que o departamento de tecnologia não terá carta branca”, alerta o estudo. Como TI fica à frente do monitoramento, monopolizando acessos e know-how, CIOs e analistas concordam que, geralmente, é rude a relação com o resto da empresa em época de vigília.

Como monitorar quem monitora
Em algumas organizações, o analista da Forrester detectou que muitos funcionários de TI tinham acesso aos sistemas sem necessidade. Em uma empresa, por exemplo, 32 pessoas (incluindo o CIO) tinham acesso a áreas sensíveis quando, na realidade, apenas três precisavam disto no dia-a-dia. Tal vulnerabilidade, constatou, é bastante típica nas organizações.
Como é improvável que alguém só com acesso ao PC possa danificar seriamente os sistemas da empresa, suspeita-se que as grandes sabotagens partam dos quadros superiores de TI, que foi exatamente o que constatou a pesquisa do CERT americano. Em 49 incidentes avaliados, 86% dos sabotadores tinham posições técnicas em TI e 90% destes tiveram acesso privilegiado à administração dos sistemas desde o dia em que foram contratados. “Eu temo os cargos de confiança”, diz Sanzone, do Credit Suisse. “Numa empresa grande, você tem muitas pessoas com acesso a informações delicadas porque faz parte do seu trabalho. Possivelmente, os riscos de sabotagens são maiores entre estas pessoas”.
Mas, retirar parte deste poder e do livre acesso dos funcionários de TI também pode ser um processo delicado. De acordo com o estudo, 92% de todas as invasões ocorreram após eventos negativos dentro da empresa, como disputa com o chefe, demissão ou transferência. “Quem tem acesso privilegiado se diverte na posição do ‘posso fazer o que quiser’”, avalia Kark. “Se você impõe controle a quem nunca foi controlado, haverá uma resistência natural”.
Roche, da NSC, conta que sofreu algo do gênero quando instituiu uma nova política sobre como a equipe de TI poderia monitorar os computadores dos funcionários. Antes de cada acesso, cada monitoramento e cada relatório, o funcionário tinha que se identificar através de uma senha – caso houvesse abusos, facilmente poderiam levantar o responsável pela invasão de privacidade. Porém, o tempo gasto para implantar a cultura, ou seja, fazer todos compreenderem e concordarem foi maior do que o esperado.
Kark afirma que há três coisas que os CIOs precisam fazer antes de adotar políticas como esta. Primeiro, deixar claro quais as responsabilidades de cada um no processo, seja em casos que digam respeito ao RH, à segurança física da empresa ou a compliance. Segundo, é preciso tomar uma decisão sobre como os funcionários responderão por cada incidente ou investigação, com análises detalhadas dos diferentes tipos de cenários e processos. Por último, os CIOs e suas equipes devem simular e testar os processos, para saber como agir diante de uma sabotagem.
Ironicamente, foi um subordinado de Riel que assumiu seu cargo no Morgan Stanley e comandou as investigações contra ele. Apesar da insistência do banco em dizer que seus processos alcançaram êxito, não dá para negar que algo saiu errado. Claro, as coisas podem ir mal em qualquer lugar, mas aceitar que o inevitável acontece e ter planos para lidar com ele é a chave para ter mais segurança e diminuir a ansiedade dos CIOs. “Nós fazemos tudo o que podemos para sempre seguir estas recomendações”, diz Sanzone. E completa: “Mas, claro, eu continuo tendo medo”.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail