segurança1Quando é falado em segurança da informação, logo vêm em mente instituições financeiras empresas virtuais, pois esses segmentos empresariais são alvos de ladrões cibernéticos, pois caso haja algum acontecimento nestas instituições o impacto será grande. Isso é a pura verdade, porém esses acontecimentos poderão ocorrer também em empresas menores, pode acontecer na sua empresa, por isso é necessária algum processo de segurança da informação.

Um dos maiores bens que uma empresa tem é as informações. Há alguns anos atrás, a informação mais delicada, sensível, critica da empresa poderia ficar guardada perfeitamente numa gaveta de alguma mesa. Hoje em dia independente do estagio de tecnologia da empresa, a proteção da informação é uma das maiores dores de cabeça que os empresários, executivos têm.

A seguir relacionareamos alguns aspectos se segurança da informação que são uteis para os executivos, proteger a informação:

  • Não é um assunto somente de tecnologia. Os computadores processam e armazenam a maioria das informações estratégicas da empresa. Pensar que somente ter um antivírus atualizado é suficiente é um erro grotesco. De acordo com o tamanho de sua empresa deve haver uma melhor proteção tecnológica.
  • É uma decisão estratégica. Proteger a informação é uma decisão empresarial, pois a sua finalidade é proteger o negocio da empresa. Se acontecer algum em que a organização tenha prejuízo ou impeça a sua continuidade será os acionistas que perderão o seu dinheiro investido.
  • Exige caráter profissional das pessoas. É regra básica tratar do assunto de forma profissional com as pessoas. Deve haver procedimentos, regulamentos, políticas e essas valem para TODOS da organização.
  • A informação é para quem precisa APENAS. A regra é somente o usuário que precisa da informação para o desempenho de suas atividades que deve ter o acesso a ela. Se alguém não precisa não deve ter acesso a ela.
  • Não é um Milagre. A proteção da informação exige dedicação de recursos financeiros e de tempo. Em questão financeira, toda a empresa tem condições de ter uma proteção adequada. Se o dinheiro for usado como desculpa, alguma coisa está errada. Até uma pequena mercearia tem condições de proteger adequadamente a informação.
  • Devem considerar todos os colaboradores. Em uma organização tem funcionários, prestadores de serviço, terceiros, consultores e trabalhadores temporários. A regra que citei acima deve valer para esses também, alias os parceiros da sua empresa deve ter o mesmo nível de comprometimento que os seus funcionários.
  • Deve ter o conceito de Gestor da Informação. De acordo com a história o setor de TI era responsável pela autorização e liberação da informação para o funcionário, colaborador. Ainda hoje continua sendo, mas tem que existir uma área proprietária daquela informação. O setor de TI ou da Tecnologia é apenas um custodiante da informação em outras palavras uma prestadora de serviço. O correto é, por exemplo, a autorização do acesso às informações financeiras é a diretoria financeira, pois ela é proprietária da informação.

Semelhante como a “ETICA é um começo sem fim” a segurança da informação é um processo que não termina nunca. Ela existe para permitir que a empresa, para que o negocio da organização aconteça de forma sustentável no que diz respeito aos recursos da informação.

Para concluir esse artigo a segurança da informação é algo que deve ser decidido estrategicamente. É uma decisão que os donos das empresas devem fazer.

Senhor Empresário, proteja a informação do seu negócio!

Fico à disposição de vocês!

Walter Antônio Bunn Júnior

Auditor Líder ISO 9001

E-mail: bunn_walterjr@globo.com

Categorias: 5-Gestão da Segurança da Informação, Implementação de Controles da Segurança da Informação, Nossas Alianças Estratégicas, Políticas de Segurança da Informação, Posts de Walter Antônio Bunn Júnior

pr_1363_x180Como já se tornou uma rotina em nosso WeBlog (vide os posts de 2008 e 2009), estamos informando que a ISO publicou a pesquisa anual, sobre certificações ISO, mais especificadamente a “The ISO Survey of Certifications 2009”. A pesquisa revela o que já foi publicado no ano anterior (2009), ou seja, um forte aumento no uso das normas de segurança alimentar e segurança da informação.

Os principais destaques desta última pesquisa é que a ISO 9001, referência mundial para a gestão da qualidade, superou um milhão de certificação, e que as certificações ISO 22000:2005 para sistemas de gestão de segurança alimentar em conjunto com a norma ISO / IEC 27001:2005 para sistemas de informação de gestão de segurança dispararam, confirmando os resultados do ano anterior (2009).

Já no inicio desta pesquisa, informa sobre o aumento de 8% em certificações ISO 9001, em comparação com o aumento de 3% em 2008, confirmando a importância da ISO 9001 nas cadeias de abastecimento globais e como o modelo de referência no qual as demais normas de sistema de gestão posteriores foram desenvolvidas.

As cadeias de abastecimento seguros de alimentos estão se tornando uma prioridade global. As certificações ISO 22000:2005 atingiram pelo menos 13.881 certificados em 127 países e economias – um aumento de 69%.

Leia mais clicando aqui »

Categorias: 3-Gestão pela Qualidade, 5-Gestão da Segurança da Informação, Buscando clientes, ISO 13485, ISO 22000, ISO 27001, ISO 9001, Posts de Hélio Rocha

Capturar

Continuando um post anterior, recebemos, pelo newsletter da ISO, o comunicado de um lançamento de uma pesquisa “The ISO Survey of Certifications 2008”. A pesquisa revela um forte aumento no uso das normas de segurança alimentar e segurança da informação.

As certificações ISO 22000:2005, no apresenta os requisitos para os sistemas de gestão para segurança alimentar, dispararam mais de 96% ao longo do ano de 2008. Ao mesmo tempo, a certificação ISO / IEC 27001:2005, que apresenta os requisitos para os sistemas de segurança da informação, aumentou mais de 20%.

Apesar da crise financeira que começou em 2007 e se espalhou para a maioria dos países e setores da economia em 2008, a pesquisa revela a atividade de certificação em torno de uma ou mais das normas ISO de gestão do sistema em 176 países (175 países em 2007). No texto introdutório desta pesquisa, revela “de que o uso destas normas ISO se tornaram ferramentas essenciais da economia do mundo, mesmo em tempo de crise. Também é possível que as organizações utilizem os sistemas de gestão para apoiar os seus objetivos ainda mais durante uma crise.”

As principais conclusões são as seguintes:

ISO 9001:2008 (gestão da qualidade)

A pesquisa de 2008 considerou a junção da ISO 9001:2000 e ISO 9001:2008, porque a nova edição não inclui quaisquer novas exigências em relação à edição anterior que substitui.

A ISO 9001, que apresenta os requisitos para os sistemas de gestão da qualidade, está agora firmemente estabelecida como a aplicação a nível mundial para a prestação de garantias sobre a capacidade de satisfazer os requisitos de qualidade e aumentar a satisfação dos clientes em relações fornecedor-cliente.

Até o final de dezembro de 2008, pelo menos 982.832 certificados ISO 9001 (2000 e 2008) foram emitidos em 176 países. Esta quantidade de certificados representa um aumento de 31.346 (+3%) em relação a 2007, quando o total foi de 951,486 em 175 países. Empresas do segmento de serviços têm aumentado a sua quota de certificações, com a contabilidade dos prestadores de serviços por 40% de todos os certificados ISO 9001, em comparação com 32% em 2007.

ISO 14001:2004 (gestão ambiental)

ISO 14001:2004, que apresenta os requisitos para os sistemas de gestão ambiental, confirma a sua relevância global para as organizações que pretendem operar de forma ambientalmente sustentável.

Até o final de dezembro de 2008, pelo menos 188.815 certificados ISO 14001:2004 foram emitidos em 155 países. O total de 2008 representa um aumento de 34.243 (+22%) em relação a 2007, quando o total foi de 154.572 em 148 países. Empresas do segmento de serviços representaram 34% das certidões, comparado a 29% em 2007.

ISO / TS 16949:2002 (gestão da qualidade para fornecedores automotivos)

ISO / TS 16949:2002 apresenta os requisitos para a aplicação da norma ISO 9001:2000 pelos fornecedores do setor automotivo. Até o final de dezembro de 2008, pelo menos 39.320 certificados ISO / TS 16949:2002 foram emitidos em 81 países. O total de 2008 representa um aumento de 4 122 (+12%) em relação a 2007, quando o total foi de 35.198 certificados em 81 países.

ISO 13485:2003 (gestão da qualidade para os dispositivos médicos)

ISO 13485:2003 apresenta os requisitos de gestão da qualidade para o setor dos dispositivos médicos para efeitos de regulação. Até o final de dezembro de 2008, pelo menos 13.234 certificados ISO 13485:2003 foram emitidos em 88 países. O total de 2008 representa um aumento de 249 (+2%) em relação a 2007, quando o total foi de 12 985 em 84 países e economias.

ISO / IEC 27001:2005 (gestão da segurança da informação)

A ISO / IEC 27001:2005 apresenta os requisitos para os sistemas de informação de gestão de segurança. No final de 2008, pelo menos 9.246 certificados ISO / IEC 27001:2005 foram emitidos em 82 países. O total de 2008 representa um aumento de 1 514 (+20%) em relação a 2007, quando o total era de 7 732 em 70 países.

Os prestadores de serviços representam, de longe, a maior parte dos certificados, 94% (acima de 90% em 2007).

ISO 22000:2005 (gestão da segurança alimentar)

A ISO 22000:2005 apresenta os requisitos para os sistemas de gestão da segurança alimentar. Embora a pesquisa de 2007 não forneceu informação detalhada sobre a certificações ISO 22000:2005, que deu um total bruto global. A pesquisa de 2008 permite uma comparação através de país por país para 2007 e 2008.

Até o final de dezembro de 2008, pelo menos 8.102 certificados ISO 22000:2005 foram emitidos em 112 países. O total de 2008 representa um aumento de 3 970 (+96%) em relação a 2007, quando o total foi de 4.132 em 93 países e economias.

Mais informações

ISO disponibiliza gratuitamente as principais conclusões desta pesquisa no site da ISO, através do seguinte link.

Mais informações, podem ser encontradas em “The ISO Survey of Certifications 2008”, que é um conjunto de brochura e CD, cujo valor é 50 francos suíços. Está disponível a partir do seguinte link

Segue o link com as informações originais.

Vale a pena analisar os dados, e tirar as suas próprias conclusões. Iremos aguardá-las, registrem aqui!

Categorias: 3-Gestão pela Qualidade, 5-Gestão da Segurança da Informação, Dica de Leitura, ISO 13485, ISO 22000, ISO 27001, ISO 9001, Posts de Hélio Rocha

CapturarLocalizei um vídeo no You Tube muito esclarecedor sobre a norma ISO 27001, na realidade é um vídeo introdutório, realizado pelo Prof. Msc. Marcelo Lau, Diretor Executivo da Data Security Serviços Em Segurança de Dados Em Informática Ltda.

Segue o link deste vídeo.

Categorias: 5-Gestão da Segurança da Informação, Dica de Filme, ISO 27001, Nossas Alianças Estratégicas, Posts de Carlos Wagner Firpo

Quebramos a lei do silêncio sobre brechas de dados para mostrar como agem os agressores – e como você pode impedí-los

Dando continuidade ao post anterior, segue as outras 2 últimas lições de Segurança da Informação:

4 – Confie, mas verifique

A quarta lição é simples, mas muitas vezes esquecida: revise sistemas terceirizados. Como mostra nosso exemplo de ponto de venda, segurança que combina diligência deve ser realizada por uma equipe interna ou por uma empresa de segurança de aplicativo terceirizada. Não se esqueça dos frutos mais baixos, mude as senhas padrão.

5 – Previna acidentes

Por fim, geralmente lidamos com empresas em que a equipe de TI destroi evidências, seja com ou sem intenção, ao reconstruir sistemas, apagar discos, limpar seções de banco de dados ou dar acesso aos sistemas comprometidos à terceiros. Isso tudo torna mais difícil encontrar o problema e pode destruir ou comprometer evidências que poderiam ser usadas em processos criminais.

Mantenha-se nos procedimentos básicos – nem que sejam tão básicos quanto “não fazer nada antes de checar o procedimento para resposta a incidentes”. Existem muitos materiais gratuítos, desde o guia NIST 800-61 até as orientações do guia “If Compromised” (”Se comprometido”) do Visa. Ambos os documentos pode ser encontrados facilmente em uma busca na web.

As brechas na segurança causam muitos problemas para as empresas e para os profissionais de TI envolvidos, mas o silêncio não é sempre a melhor opção. Remover o véu dos erros comuns ajuda as empresas a entender o que estão enfrentando.

Categorias: 5-Gestão da Segurança da Informação, Análise de Risco em TI, Classificação da Informação, Especificação de Segurança, ISO 27001, Implementação de Controles da Segurança da Informação, Nossas Alianças Estratégicas, Plano Diretor de Segurança, Políticas de Segurança da Informação, Posts de Carlos Wagner Firpo, Teste de Invasão

Quebramos a lei do silêncio sobre brechas de dados para mostrar como agem os agressores – e como você pode impedí-los

Dando continuidade ao post anterior, segue as outras 2 lições de Segurança da Informação:

2 – Complemente com controles secundários

Controles secundários como firewall interno, criptografia ou software de monitoramento de banco de dados podem ajudar as equipes de seguranças emitindo avisos ou impedir ataques quando os agressores contornarem os controles primários. 

Infelizmente, raramente vemos implementação eficaz de controles secundários. 

Por exemplo, existem empresas que distribuem uma linha complementar de firewalls dentro da rede para isolar melhor sistemas críticos, o que é uma prática que encorajamos, no entanto, é comum encontrar firewalls internos com configurações de política falha que simplesmente permitem tráfego total, ou com regras complicadas que ninguém entende por falta de documentação. Nós tivemos alguns casos em que o firewall interno teria impedido o ataque se tivesse sido configurado corretamente.

As empresas inteligentes irão identificar onde podem usar segmentação para isolar melhor sistemas ou dados confidencias e críticos, e criarão controles de sistemas secundário e terciário baseados na segmentação. É perguntando “O que nos prejudicaria mais caso fôssemos comprometidos?” Então, os fabricantes podem adicionar camadas de segurança ao redor de sistemas que armazenam designs de produtos e linhas de controle. Um serviço pode segmentar sistemas de controle. Um processador de pagamento ou comercial deve ser focado no sistema que processa pagamentos.

Mas não pare após implementar os controles secundários e esqueça-os. Tome cuidado com as políticas que facilitam operações gerais, mas neutralizam absolutamente os valores do controle para redução de riscos. Configure, documente e monitore esses controles. Dedique recursos para examinar os relatórios desses sistemas de controle com freqüência e observe mudanças ou atividades anormais. 

Se feito certo, esses controles complementares podem te salvar; se feito errado, prejudicam o ambiente enquanto oferecem uma falsa sensação de segurança. 

3 – Conheça seus limites 

A terceira lição é entender os limites do seu sistema de segurança. Nós temos antivírus, firewalls, sistemas de detecção de intrusos em redes e hosts, autenticação, ICP, VPNs, NAC, rastreador de vulnerabilidades, ferramentas de prevenção de perda de dados, informação de segurança, plataformas de gerenciamento de eventos – e mesmo assim, as brechas ainda resistem. 

Isso porque os controles não acompanham os progressos dos agressores. Nós trabalhamos em vários casos em que sistemas com antivírus completamente atualizados falharam e não detectaram cavalos-de-tróia ativos, key loggers e sniffers (farejadores). Muitos dos ciclos de desenvolvimento de assinatura de antivírus ainda funcionam com base em uma suposição antiga de que um pedaço de malware vai se espalhar e permitir que o desenvolvedor tome consciência dele e construa uma nova assinatura. Os agressores usam pacotes para esconder o malware dos antivírus. 

Rastreadores de vulnerabilidade também não estão em dia com as novas vulnerabilidades e não podem rastrear os aplicativos de forma eficaz. Detecção de intrusos e prevenção sofre do mesmo mal que os antivírus. 

O que a equipe de TI deve fazer? Para começar, identifique o nível de segurança de uma tecnologia – e só. Não espere que seu antivírus encontre malware comum. Use rastreadores de vulnerabilidade apenas como um teste secundário para garantir que seu sistema de gerenciamento está funcionando. Acredite que seu firewall irá bloquear scans automáticos, mas que um agressor habilidoso conseguirá ultrapassar a área protegida. 

Sistemas de detecção de intrusos e prevenção podem ser úteis às vezes, mas descobrimos que os dados de Netflow do roteador e os relatórios das permissões do firewall oferecem uma visão melhor do caminho percorrido pelos agressores e ajudam a medir a extensão da brecha. 

Do ponto de vista operacional, considere implementar tecnologia de gerenciamento de eventos para entender a atividade dos sistemas múltiplos ou, pelo menos, implemente gerenciador centralizado de relatórios para ajudar a pesquisar, revisar e armazenar relatórios. 

Considere também a habilidade e a motivação do seu adversário e quais controles podem ser necessários para detectar sua presença. Entender sua capacidade é extremamente importante. 

No próximo post, continuaremos apresentando as outras 2 lições aprendidas.

Categorias: 5-Gestão da Segurança da Informação, Análise de Risco em TI, Especificação de Segurança, Implementação de Controles da Segurança da Informação, Monitoramento de Infra-Estrutura, Nossas Alianças Estratégicas, Políticas de Segurança da Informação, Posts de Carlos Wagner Firpo, Teste de Invasão

correntesNo mundo corporativo, quanto menos se falar em brechas de segurança, melhor. Se temos uma revelação pública sobre dados roubados, saiba que outras dezenas de brechas nunca vêm à tona. 

Essa lei do silêncio ajuda a evitar parceiros e consumidores raivosos e evita problemas de relações públicas, mas torna mais difícil para a indústria como um todo aprender com esses erros e melhorar a segurança da informação e as práticas de gerenciamento de risco. É por isso que esse artigo traz observações diretas do mundo real das brechas de segurança nas quais realizamos investigações forenses, para ajudar as empresas a entender como essas brechas acontecem e o que se pode fazer sobre elas. 

A Neohapsis, empresa onde trabalhamos, investigou alguns dos maiores roubos de dados confidenciais. Após centenas de casos, podemos afirmar, sem sombra de dúvidas, que os ataques estão mais sofisticados do que nunca. Com agilidade, eles exploram controles de segurança falhos e práticas operacionais negligentes e, munidos com ferramentas comuns para gerenciamento de rede, adaptam malwares. Táticas e tecnologias de segurança da informação também progrediram, mas não no mesmo ritmo. 

A boa notícia é que existem métodos razoáveis e bem conhecidos para mitigar muitas das brechas que conhecemos; precisamos, apenas, implementar esses métodos de forma mais ampla. 

Começaremos descrevendo três brechas do mundo real. 

O Website de uma empresa geralmente serve como porta de entrada para os ataques. Em uma investigação que conduzimos em uma empresa de serviços financeiros, os agressores exploraram uma falha que encontraram em um aplicativo Web em um servidor Web. O servidor não continha nenhum dado crítico e, em si, não era importante para a empresa. O ataque também não foi muito sério; os agressores encontraram uma vulnerabilidade de injeção SQL e usaram uma função “xp_cmdshell” para ativar suas ferramentas e conseguir uma posição segura dentro do servidor. Como a empresa não considerava nem o servidor e nem o aplicativo como críticos, eles não eram monitorados como deveriam e o ataque passou despercebido. 

Os agressores usaram o servidor comprometido como base. Eles distribuíram ferramentas e scanners e passaram vários meses mapeando a rede, meticulosamente, sem serem detectados. 

Assim que encontraram o sistema que continha os dados que eles procuravam, simplesmente copiaram a informação, “ziparam” os arquivos e removeram do sistema. 

A empresa usava tecnologia padrão para antivírus e firewall, mas só soube do ataque ao usar os dados no mundo real; do contrário, talvez a empresa nunca descobrisse tal brecha. 

Em uma outra investigação que conduzimos, os agressores usaram a mesma estratégia, comprometendo um servidor e-commerce baseado em Web de uma loja virtual. No entanto, quando os agressores conseguiram chegar ao sistema de banco de dados com os registros de cartões de créditos, descobriram que o banco de dados era criptografado. Ponto para os mocinhos, certo? Infelizmente, as chaves para decodificação foram roubados do mesmo sistema e os agressores tinham em mãos, as chaves do reino, literalmente.  

Nós trabalhamos em vários casos em que os agressores ganharam acesso por meio de sistemas de ponto de venda. 

A equipe de suporte dos fornecedores de sistemas de ponto de venda usam aplicativos comuns de acesso remoto, como VNC, para ter acesso aos sistemas e resolver os problemas de suporte. Mas o fornecedor usa a mesma senha de acesso remoto com todos os clientes. Os agressores sabiam essa senha e simplesmente executaram um scan de grande volume em outros sistemas que tinham o mesmo perfil. O resto foi fácil. 

Tiramos 5 lições essenciais desses e de outros casos de intrusos do mundo real: é hora de levar a sério a segurança de aplicativos Web; adicionar camadas de controles de segurança; entender os limites da tecnologia de segurança; revisar sistemas terceirizados; e saber que uma má resposta a um incidente é pior do que nenhuma resposta. 

1 – Leve a segurança a sério

Aplicativos web geralmente são a porta preferida dos invasores. Nós ainda vemos equipes de TI que mantém sistemas remendados e firewalls distribuídos, mas ignoram aplicativos falhos que podem, facilmente, ser explorados. 

A melhor defesa de uma empresa é a integração da segurança no ciclo de vida de desenvolvimento de aplicativos. A criação de códigos com poucas falhas de segurança oferece um retorno maior do que se tentar reparar aplicativos em uso. 

É essencial usar uma tecnologia de rastreamento de aplicativos Web, como o AppScanner, da IBM, ou o WebInspect, da HP, seja para garantir qualidade ou revisar processos. As empresas que compram os aplicativos Web ao invés de criá-los em casa precisam revisar esses aplicativos ou exigir que os fornecedores executem avaliação de segurança verificada por terceiros.

Firewalls para aplicativos web servem como um controle de segurança secundário. Esses produtos são desenhados para captar ataques já conhecidos e identificar comportamentos suspeitos que podem indicar tentativas de invasão. 

Quebramos a lei do silêncio sobre brechas de dados para mostrar como agem os agressores – e como você pode impedí-los

No entanto, eles são apenas uma ajuda, porque não indicam a origem das práticas de desenvolvimento falhas e aplicativos vulneráveis. Um firewall de aplicativo web pode te ajudar a ganhar tempo, mas as empresas são irresponsáveis por não consertarem o que causa riscos.

No próximo post, continuaremos apresentando as outras 4 lições aprendidas.

Categorias: 5-Gestão da Segurança da Informação, Análise de Risco em TI, Especificação de Segurança, Implementação de Controles da Segurança da Informação, Monitoramento de Infra-Estrutura, Políticas de Segurança da Informação, Posts de Carlos Wagner Firpo, Teste de Invasão
1 Comentário 13/07/2009 | Por: Carlos Wagner Firpo
A cláusula de confidencialidade e o trabalho

 lote

Em minhas atividades de consultoria, principalmente em empresas de alta tecnologia e/ou inseridas em um mercado extremamente concorrido, quase sempre o cliente me solicita orientações sobre como manter a confidencialidade das informações junto aos profissionais que fazem parte de uma equipe de projeto. É lícito exigir / obrigar a manutenção de sigilo de informações? Posso incluir esta exigência no conteúdo do contrato de trabalho?

Pois bem, em minhas pesquisas pela internet, localizei um excelente artigo, elaborado pela equipe da Ribeiro de Oliveira Advogados (www.ribeirodeoliveira.com.br) no qual descreve de forma clara e objetiva este assunto. Segue abaixo o artigo na íntegra.

A cláusula de confidencialidade e o trabalho

No mundo globalizado e virtual em que vivemos está cada vez mais comum o empregador exigir que os empregados e até mesmo os prestadores de serviço firmem um termo de confidencialidade em razão da alta concorrência, pois ninguém mais está sozinho no mercado.

O termo, aos olhos do empregador, dá um certo conforto enquanto as relações de trabalho estão vigentes, tornando-se um pesadelo quando ocorre a rescisão contratual.

Isso porque a alta tecnologia e qualidade dos produtos e serviços têm que imperar no mercado, sob pena de se perder o lugar. Assim, a competitividade é algo que tem que estar latente o tempo todo, além de medidas contínuas e agressivas.

Em razão dessa competitividade, o termo de confidencialidade acaba se destacando nas relações de trabalho. Não que ele vá solucionar os conflitos que poderão advir, mas é uma arma a mais que o empregador terá se eventualmente escapar algo que não poderia vazar.

Referido termo, geralmente, vem revestido de tudo que o empregado deverá manter sigilo, desde o mais simples até o mais complexo ato, dentre os quais podemos destacar a confidencialidade de toda e qualquer informação técnica, industrial, comercial e administrativa, durante a vigência ou após a rescisão do contrato, sob pena de ser responsabilizado civil e criminalmente, sem prejuízo da aplicação das penalidades previstas na legislação trabalhista, especialmente a justa causa.

Nesse mesmo passo, são considerados “segredos de empresa”, dentre aqueles bens e direitos de propriedade do empregador, a atividade material e/ou intelectual do empregado, como o aperfeiçoamento técnico adquirido durante a vigência do contrato, seja através de prática, seja através de estudos.

Diante de tais restrições, passamos a pensar, será que de fato o empregador tem tanto poder assim, a ponto de ter poder até sobre a intelectualidade? Até que ponto tal cláusula restringe o poder de trabalho ou veda esse mesmo trabalho a outro empregador? São questões de relevância que devem ser analisadas separadamente.

A primeira delas, não poderia deixar de ser, é o texto constitucional que, em seu art. 5º, inciso XIII, dispõe que: “é livre o exercício de qualquer trabalho, ofício ou profissão, atendidas as qualificações profissionais que a lei estabelecer”.

O empregado está sujeito a ações penais e de órgãos reguladores; não é tão fácil violar o compromisso assumido 

Sendo livre o exercício de qualquer trabalho, salvo as qualificações impostas pelas leis que regem determinadas profissões, a cláusula de confidencialidade seria, a princípio, válida apenas enquanto durasse a relação contratual, já que a rescisão contratual rompe com todo tipo de relação que antes existia. Havendo o rompimento, nada impede que o trabalhador seja contratado por outro empregador para desenvolver, na maioria das vezes, função similar a anterior.

Na verdade, eventual revelação de algum dos itens considerados confidenciais teria muito mais característica de ética e moralidade do que as características restritivas do termo de confiabilidade anteriormente assinado, mesmo porque, se causar danos ao antigo empregador, além da tipificação de crime, poderia responder por danos morais e até materiais.

O crime se tipifica pela revelação de segredo, conforme disposto no artigo 154, do Código Penal: “Revelar a alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem“, tendo como pena de detenção, de três meses a um ano, ou multa. Bom observar que tal modalidade de crime somente se procede mediante representação, se não houver a queixa formal e expressa não adianta apenas elaborar o Boletim de Ocorrência.

Por sua vez, o dano, pode vir acompanhado da prática de ato ilícito, conforme dispõe o artigo 186, do Código Civil: “Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito” e artigo 187. “Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes“. Nos dois casos a obrigação de reparação do dano é obrigatória (artigo 927, do mesmo diploma).

Tal comportamento não é diferente para aqueles em que a própria profissão impõe o sigilo profissional, a exemplo dos médicos e advogados, sendo sua violação, também, tipificada como crime e ato ilícito.

Além dessas penalidades, existem os procedimentos impostos pelo órgão regulador da profissão envolvida (OAB, conselhos federais e regionais), podendo, em certos casos, até perder a capacidade profissional.

Como se percebe não é tão fácil violar os compromissos assumidos. Mas como fica o dispositivo constitucional sobre o trabalho ser livre? É livre, sim, enquanto não esbarrar no direito de outrem.

Dessa forma, entendemos que a cláusula de confidencialidade não restringe o emprego e a nova contratação, desde que respeitados o sigilo e os termos ajustados no antigo emprego, exatamente para não esbarrar no direito de outrem.

Categorias: 5-Gestão da Segurança da Informação, Classificação da Informação, Implementação de Controles da Segurança da Informação, Nossas Alianças Estratégicas, Políticas de Segurança da Informação, Posts de Carlos Wagner Firpo

806122_post_it

Comparado com a era anterior, a industrial no qual o acesso as informações era restrito a um pequeno grupo de privilegiados, atualmente na era da informação, existe um excesso de informações!

As informações estão cada dia mais dinâmicas, são acessíveis a todos, são distribuídas de forma maciça, caótica. O desafio consiste em selecionar o que realmente é importante para o aprendizado – a diferença é saber aprender.

O que é aprender? Aprender é transformar sua maneira de SENTIR, PENSAR e AGIR; considerando que existe, pelo menos deveria existir uma seqüência lógica destes “três” elementos, ou seja, primeiro eu sinto, ou seja, percebo algo … logo em seguida em penso, ou seja, raciocino … e finalmente eu ajo, ou seja, eu tomo uma atitude!

Na categoria SENTIR estão nossas emoções e sentimentos. Uma pessoa pode ser ensinada a sentir inveja diante de outra que possua certa habilidade, característica ou um objetivo considerado de valor. Pode haver outra cultura, entretanto, que a posse dessa característica ou objeto não seja vista como invejável. Os modos de sentir podem mostrar-se inadequados e o indivíduo pode querer aprender outros modelos, mudando, portanto.

Na categoria PENSAR incluem-se suas idéias, visões de mundo, modelos (idealização sobre como as coisas são ou funcionam), conceitos, paradigmas. Por exemplo, você pode pensar algo sobre o consumidor: as pessoas nunca vão deixar de ir ao supermercado. Essa idéia pode revelar-se coerente ou não com a realidade. Nós adquirimos um conjunto de modos de pensar por meio dos relacionamentos familiares, sociais e da escola. Muitas vezes o mundo se transforma e não mudamos a maneira de vê-lo.

Na categoria AGIR estão nossos comportamentos, hábitos, condutas. Tudo isso tem relação com nossos pensamentos (PENSAR) e sentimentos (SENTIR)!

Além do excesso de informações, somam-se algumas “barreiras” ao aprendizado, tais como:

  • A resistência natural do indivíduo à mudança, que traz desconforto e medo;
  • O ambiente que segura qualquer tentativa de mudança – isto é, o medo de outros indivíduos que resistem à mudança e tentam enquadrar o mais ousado
  • A desinformação – o indivíduo não se expõe a novas informações e mantém modos limitados de sentir, pensar e agir por não ter confronto. Muitas vezes ele não descobre nem mesmo coisas que seriam boas para si mesmo
  • O ceticismo, que tem várias origens, até emocionais. Ele pode fazer que o mesmo indivíduo que está cercado pela tecnologia e se beneficia dela a cada minuto não acredite na ciência
  • O desinteresse, a falta de curiosidade, a desmotivação – que podem também ter várias origens.

O que podemos fazer para aproveitar ao máximo a “era da informação”?

Podemos:

  • Combater rigorosamente o comodismo e as respostas fáceis.
  • Em vez de ficar buscando loucamente informações dispersas, procure ler textos mais extensos (livros e bons artigos), que são fundamentais para a formação de conceitos que facilitarão e orientarão posteriormente a busca e assimilação das informações. Lembre-se de que não adianta ter muita informação se não soubermos utilizá-la.
  • Buscar sempre a informação, mesmo sem ter objetivos imediatos a atingir com ela.
  • Adquira a humildade dos sábios, que nunca acreditam que sabem tudo e sempre estão dispostos a ouvir mais e a dizer menos.
  • Valorizar as oportunidades de mudança: contatos, eventos, viagens, desafios.
  • Deixar a competitividade de lado, que ela não combina com uma atitude de busca do saber: em vez de tentar provar que você está certo ou que o outro está errado, entre numa linha de cooperação que todos aprenderão mais.
  • Deixar de lado os preconceitos – contra pessoas, correntes filosóficas ou religiosas, métodos, linhas de atuação.
Categorias: 5-Gestão da Segurança da Informação, Blogosfera, Momento de Reflexão, Políticas de Segurança da Informação, Posts de Hélio Rocha, Psicologia Organizacional

 

Dando continuidade aos nossos post nos quais estamos buscando criar uma consciência do uso correto da internet no ambiente de trabalho, localizamos um artigo muito bem elaborado pela Marjorie Avelar, no qual ela descreve através de exemplos, o grande desafio de conscientizar os colaboradores no que se refere o uso adequado da internet no ambiente de trabalho.

Clique neste link e acesse o seu conteúdo.

Categorias: 5-Gestão da Segurança da Informação, ISO 27001, Posts de Carlos Wagner Firpo

« Posts anteriores