Home > Gestão

Ética em TI

Funcionários de TI enfrentam dilemas éticos por ter acesso privilegiado a informações confidenciais e conhecimento técnico para manipulá-las

ComputerWorld

08/11/2007 às 11h44

Foto:

O que Bryan encontrou no computador de um executivo seis anos atrás ainda está martelando na sua cabeça. Bryan ficou particularmente aborrecido porque o homem que ele flagrou usando um PC da empresa para ver fotos pornográficas de mulheres asiáticas e crianças acabou sendo promovido e transferido para a China, onde assumiu a direção de uma fábrica.

“Naquele dia, me arrependi de não ter levado o material ao FBI”, lamenta Bryan. Isso aconteceu quando Bryan, que não quer seu sobrenome divulgado, era diretor de TI da divisão norte-americana de uma multinacional alemã de 500 milhões de dólares.

As políticas de uso da internet, que Bryan ajudou a desenvolver com informação da gerência sênior, proibiam o uso de computadores da empresa para acessar web sites com conteúdo pornográfico ou adulto. Uma das responsabilidades de Bryan era monitorar a navegação dos funcionários na web com produtos da SurfControl e reportar violações à gerência.

Bryan sabia que o executivo, que estava um nível acima dele em outro departamento, era popular tanto na divisão norte-americana quando na matriz alemã. Quando as ferramentas da SurfControl, entretanto, detectaram dezenas de web sites pornográficos visitados através do computador do executivo, Bryan obedeceu às políticas estabelecidas.

“É para isso que elas existem. Eu não ia ter problemas por seguir as políticas”, raciocinou. Assim, Bryan procurou seu gerente com cópias dos registros na web.

Poder e responsabilidade
O caso de Bryan é um bom exemplo dos dilemas éticos que os funcionários de TI  enfrentam no trabalho. Estes funcionários têm acesso privilegiado à informação digital -- tanto pessoal quanto profissional -- em toda a empresa e conhecimento técnico para manipulá-la.

Isso lhes dá o poder e a responsabilidade de monitorar e denunciar funcionários que violam as regras da empresa. Os profissionais de TI também podem descobrir evidência de que um colega de trabalho está desviando fundos ou se sentirem tentados a bisbilhotar informação confidencial sobre salário ou e-mails pessoais. Mas existe pouca orientação sobre o que fazer nestas situações desagradáveis.

No caso do executivo que via pornografia, Bryan não teve problemas – tampouco o executivo, que deu “uma explicação bizarra”, aceita pela empresa, recorda Bryan. Ele pensou em procurar o FBI, mas a bolha da internet tinha acabado de estourar e estava difícil arranjar emprego. “Foi uma decisão difícil”, admite Bryan. “Mas eu tinha uma família para sustentar.”

Teoricamente, o comportamento ético é governado por leis, políticas corporativas, ética profissional e julgamento pessoal. Mas, como os profissionais de TI descobrem o tempo todo, encontrar o caminho na mata espinhosa pode ser um dos piores desafios de suas carreiras.

Talvez Bryan ficasse com a consciência aliviada se soubesse que fez exatamente o que a advogada trabalhista Linn Hynds, sócia principal da Honigman Miller Schwartz and Cohn, teria aconselhado neste caso. “Deixe a empresa lidar com o problema”, diz ela. “Informe sobre as violações à pessoa certa na empresa e mostre a prova. Depois, deixe nas mãos das pessoas encarregadas de decidir.”

++++

Preenchendo a lacuna 
Em condições ideais, as políticas corporativas começam onde a lei pára, governando a ética no trabalho para clarear áreas cinzas e remover da equação, o máximo possível, o julgamento pessoal.

“Se você não estabelece políticas e diretrizes, se você não faz com que os indivíduos as conheçam e entendam, não está em posição de responsabilizá-los”, explica John Reece, ex-CIO do Departamento da Receita Federal dos Estados Unidos e da Time Warner.

Com diretrizes éticas claras, os profissionais de TI não se comprometem emocionalmente ao descobrir que a pessoa que está descumprindo as políticas é um amigo, um reportado direto ou um supervisor, diz Reece, atualmente diretor da empresa de consultoria John C. Reece and Associates.

Estas políticas devem alertar todos os funcionários que os PCs pertencem à corporação e, portanto, qualquer informação contida neles é passível de investigação, segundo Art Crane, diretor da Capstone Services, empresa de consultoria em recursos humanos.

As políticas devem trazer instruções claras sobre o que fazer quando funcionários se deparam com uma violação às políticas, incluindo orientação para informá-la à cadeia de comando. Também deve haver um programa de delação que proteja os funcionários contra retaliação.

Muitas políticas corporativas, porém, são mal definidas, não acompanham as novas tecnologias e não são adequadamente transmitidas ao departamento de TI.

Isso acontece, em parte, porque as políticas para a ética normalmente são definidas pelos advogados ou a equipe de conformidade regulatória de uma organização, ressalta Larry Ponemon, chairman do Ponemon Institute, empresa de pesquisa especializada em privacidade e proteção de dados. “Esse pessoal talvez não entenda a fundo ou respeite as complexidades geradas por problemas éticos relacionados a TI.”

++++

Problemas passados e futuros
As organizações que programam políticas com freqüência enfocam as áreas nas quais tiveram problemas no passado ou as questões que mais as preocupam. Quando Reece estava no Departamento da Receita Federal, por exemplo, a prioridade era proteger a confidencialidade dos dados do contribuinte.

No Departamento de Defesa dos Estados Unidos, as políticas, em geral, enfatizam as regras de procurement, observa Stephen Northcutt, presidente do SANS Technology Institute e autor de IT Ethics Handbook: Right and Wrong for IT Professionals (Syngress, 2004).

Para complicar as coisas, a organização que depende de profissionais altamente qualificados tende a ser mais indulgente. Quando Northcutt trabalhava em segurança de TI no Naval Surface Warfare Center, era um ambiente selecionado de Ph.D.s muito procurados. “Disseram-me com muita clareza que, se eu desagradasse os Ph.D.s e eles saíssem, a organização não precisaria mais de mim”, conta Northcutt.

Obviamente, isso não estava escrito em nenhum manual de políticas e Northcutt teve que ler nas entrelinhas. “Interpretei assim: se for pornografia infantil, informo. Se um matemático eminente quiser baixar algumas fotos de mulheres nuas, não me meto.”

Northcutt se deparou com dois casos de pornografia infantil e ambos levaram à instauração de processo. Quanto a outras fotos ofensivas, ele alertou seus superiores que poderia haver responsabilidade legal, citando uma decisão da Suprema Corte segundo a qual fotos similares em uma instalação militar indicavam uma atmosfera predominante de assédio sexual. Deu resultado. “Quando eles viram que havia implicações legais, mostraram-se mais dispostos a mudar a cultura e as políticas”, revela Northcutt.

Quando as políticas não são claras, as decisões éticas dependem do julgamento dos funcionários de TI, que varia de acordo com a pessoa e as circunstâncias específicas.

Gary, diretor de tecnologia de uma organização sem fins lucrativos, foi totalmente contra quando o CEO assistente quis usar uma mala direta que um novo funcionário tinha surrupiado do seu antigo empregador. Mas Gary -- que não quis divulgar seu sobrenome -- não impediu seu chefe de instalar software não licenciado em PCs por um curto período de tempo, embora se recusasse a fazê-lo pessoalmente.

“A questão é: até que ponto vai afetar as pessoas? Ainda teríamos 99,5% de softwares legais. Por mim, tudo bem.” Gary desinstalou-o assim que pôde — uma semana depois — com a aprovação do chefe.

++++

Northcutt argumenta que a profissão de TI deveria ter dois recursos que outras profissões, como advocacia e contabilidade, possuem há anos: um código de ética e padrões de práticas. Assim, quando as políticas de uma empresa são inexistentes ou obscuras, os profissionais de TI ainda podem contar com o código de ética e os padrões.

Teria sido útil para Tim, administrador de sistemas em uma empresa agrícola classificada entre as Fortune 500. Tim, que também não quis divulgar seu sobrenome, descobriu uma planilha com informação salarial não criptografada no PC de um gerente e copiou-a.

Ele não passou a informação adiante, nem a usou em benefício próprio. Foi um ato impulsivo, admite, decorrente de uma frustração com seu empregador. “Eu não peguei por alguma razão desprezível, mas apenas para provar que era capaz”, justifica.

A atitude de Tim aponta para uma tendência perturbadora: os profissionais de TI estão defendendo seu comportamento ético questionável. Este caminho pode levar a atividades criminais, de acordo com o investigador de fraudes Chuck Martell.

“Começamos a ver alguns casos há sete ou oito anos”, revela Martell, managing director de serviços investigativos da empresa de segurança Veritas Global. “Agora estamos investigando um volume tremendo.”

Não importa o lado em que se encontram, os profissionais de TI — pelo menos por enquanto — continuam a resolver os dilemas éticos por conta própria e brigar com sua consciência depois.

Tam Harbert-Computerworld, EUA

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail