Quebramos a lei do silêncio sobre brechas de dados para mostrar como agem os agressores – e como você pode impedí-los

Dando continuidade ao post anterior, segue as outras 2 últimas lições de Segurança da Informação:

4 – Confie, mas verifique

A quarta lição é simples, mas muitas vezes esquecida: revise sistemas terceirizados. Como mostra nosso exemplo de ponto de venda, segurança que combina diligência deve ser realizada por uma equipe interna ou por uma empresa de segurança de aplicativo terceirizada. Não se esqueça dos frutos mais baixos, mude as senhas padrão.

5 – Previna acidentes

Por fim, geralmente lidamos com empresas em que a equipe de TI destroi evidências, seja com ou sem intenção, ao reconstruir sistemas, apagar discos, limpar seções de banco de dados ou dar acesso aos sistemas comprometidos à terceiros. Isso tudo torna mais difícil encontrar o problema e pode destruir ou comprometer evidências que poderiam ser usadas em processos criminais.

Mantenha-se nos procedimentos básicos – nem que sejam tão básicos quanto “não fazer nada antes de checar o procedimento para resposta a incidentes”. Existem muitos materiais gratuítos, desde o guia NIST 800-61 até as orientações do guia “If Compromised” (”Se comprometido”) do Visa. Ambos os documentos pode ser encontrados facilmente em uma busca na web.

As brechas na segurança causam muitos problemas para as empresas e para os profissionais de TI envolvidos, mas o silêncio não é sempre a melhor opção. Remover o véu dos erros comuns ajuda as empresas a entender o que estão enfrentando.

Categorias: 5-Gestão da Segurança da Informação, Análise de Risco em TI, Classificação da Informação, Especificação de Segurança, ISO 27001, Implementação de Controles da Segurança da Informação, Nossas Alianças Estratégicas, Plano Diretor de Segurança, Políticas de Segurança da Informação, Posts de Carlos Wagner Firpo, Teste de Invasão
1 Comentário 13/07/2009 | Por: Carlos Wagner Firpo
A cláusula de confidencialidade e o trabalho

 lote

Em minhas atividades de consultoria, principalmente em empresas de alta tecnologia e/ou inseridas em um mercado extremamente concorrido, quase sempre o cliente me solicita orientações sobre como manter a confidencialidade das informações junto aos profissionais que fazem parte de uma equipe de projeto. É lícito exigir / obrigar a manutenção de sigilo de informações? Posso incluir esta exigência no conteúdo do contrato de trabalho?

Pois bem, em minhas pesquisas pela internet, localizei um excelente artigo, elaborado pela equipe da Ribeiro de Oliveira Advogados (www.ribeirodeoliveira.com.br) no qual descreve de forma clara e objetiva este assunto. Segue abaixo o artigo na íntegra.

A cláusula de confidencialidade e o trabalho

No mundo globalizado e virtual em que vivemos está cada vez mais comum o empregador exigir que os empregados e até mesmo os prestadores de serviço firmem um termo de confidencialidade em razão da alta concorrência, pois ninguém mais está sozinho no mercado.

O termo, aos olhos do empregador, dá um certo conforto enquanto as relações de trabalho estão vigentes, tornando-se um pesadelo quando ocorre a rescisão contratual.

Isso porque a alta tecnologia e qualidade dos produtos e serviços têm que imperar no mercado, sob pena de se perder o lugar. Assim, a competitividade é algo que tem que estar latente o tempo todo, além de medidas contínuas e agressivas.

Em razão dessa competitividade, o termo de confidencialidade acaba se destacando nas relações de trabalho. Não que ele vá solucionar os conflitos que poderão advir, mas é uma arma a mais que o empregador terá se eventualmente escapar algo que não poderia vazar.

Referido termo, geralmente, vem revestido de tudo que o empregado deverá manter sigilo, desde o mais simples até o mais complexo ato, dentre os quais podemos destacar a confidencialidade de toda e qualquer informação técnica, industrial, comercial e administrativa, durante a vigência ou após a rescisão do contrato, sob pena de ser responsabilizado civil e criminalmente, sem prejuízo da aplicação das penalidades previstas na legislação trabalhista, especialmente a justa causa.

Nesse mesmo passo, são considerados “segredos de empresa”, dentre aqueles bens e direitos de propriedade do empregador, a atividade material e/ou intelectual do empregado, como o aperfeiçoamento técnico adquirido durante a vigência do contrato, seja através de prática, seja através de estudos.

Diante de tais restrições, passamos a pensar, será que de fato o empregador tem tanto poder assim, a ponto de ter poder até sobre a intelectualidade? Até que ponto tal cláusula restringe o poder de trabalho ou veda esse mesmo trabalho a outro empregador? São questões de relevância que devem ser analisadas separadamente.

A primeira delas, não poderia deixar de ser, é o texto constitucional que, em seu art. 5º, inciso XIII, dispõe que: “é livre o exercício de qualquer trabalho, ofício ou profissão, atendidas as qualificações profissionais que a lei estabelecer”.

O empregado está sujeito a ações penais e de órgãos reguladores; não é tão fácil violar o compromisso assumido 

Sendo livre o exercício de qualquer trabalho, salvo as qualificações impostas pelas leis que regem determinadas profissões, a cláusula de confidencialidade seria, a princípio, válida apenas enquanto durasse a relação contratual, já que a rescisão contratual rompe com todo tipo de relação que antes existia. Havendo o rompimento, nada impede que o trabalhador seja contratado por outro empregador para desenvolver, na maioria das vezes, função similar a anterior.

Na verdade, eventual revelação de algum dos itens considerados confidenciais teria muito mais característica de ética e moralidade do que as características restritivas do termo de confiabilidade anteriormente assinado, mesmo porque, se causar danos ao antigo empregador, além da tipificação de crime, poderia responder por danos morais e até materiais.

O crime se tipifica pela revelação de segredo, conforme disposto no artigo 154, do Código Penal: “Revelar a alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem“, tendo como pena de detenção, de três meses a um ano, ou multa. Bom observar que tal modalidade de crime somente se procede mediante representação, se não houver a queixa formal e expressa não adianta apenas elaborar o Boletim de Ocorrência.

Por sua vez, o dano, pode vir acompanhado da prática de ato ilícito, conforme dispõe o artigo 186, do Código Civil: “Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito” e artigo 187. “Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes“. Nos dois casos a obrigação de reparação do dano é obrigatória (artigo 927, do mesmo diploma).

Tal comportamento não é diferente para aqueles em que a própria profissão impõe o sigilo profissional, a exemplo dos médicos e advogados, sendo sua violação, também, tipificada como crime e ato ilícito.

Além dessas penalidades, existem os procedimentos impostos pelo órgão regulador da profissão envolvida (OAB, conselhos federais e regionais), podendo, em certos casos, até perder a capacidade profissional.

Como se percebe não é tão fácil violar os compromissos assumidos. Mas como fica o dispositivo constitucional sobre o trabalho ser livre? É livre, sim, enquanto não esbarrar no direito de outrem.

Dessa forma, entendemos que a cláusula de confidencialidade não restringe o emprego e a nova contratação, desde que respeitados o sigilo e os termos ajustados no antigo emprego, exatamente para não esbarrar no direito de outrem.

Categorias: 5-Gestão da Segurança da Informação, Classificação da Informação, Implementação de Controles da Segurança da Informação, Nossas Alianças Estratégicas, Políticas de Segurança da Informação, Posts de Carlos Wagner Firpo