Questões legais do BYOD: a regra tem que estar clara.

Por Patrícia Peck

Mais uma vez a questão é o Bring Your Own Device, a querida sigla BYOD. Mas o caso aqui não é a taxa de adoção no mundo ou o número de empresas brasileiras que já acordaram para este fenômeno oriundo da consumerização. Como vocês bem sabem, sua empresa pode não ter estruturado um programa para absorção de dispositivos pessoais para uso corporativo, mas seus colaboradores já estão fazendo isso.

Entre os direcionamentos mais básicos está o “não proíba a consumerização, estruture um plano estratégico para benefício mútuo”. Por mais simples que seja a mensagem, o cenário não é tão simplista assim, pois várias implicações legais podem traumatizar uma empresa que se propõe a implementar um programa de BYOD.

De acordo com Patricia Peck Pinheiro, advogada especialista em Direito Digital e sócia-fundadora da empresa que leva seu nome, o maior problema das companhias que se propõem a liberar esse tipo de relação profissional/pessoal é a falta de clareza na confecção do contrato de trabalho. “Além de não ser claro, há ainda um texto repleto de problemas linguísticos. Não se pode cobrar o uso racional, por exemplo, pois o inverso é irracional… Tem que saber fazer para não sofrer com ações legais”, explica Patricia.

“Estamos atrasados para gestão e governança da consumerização, pois as pessoas estão fazendo o BYOD sem segurança. Se não houver regras claras, e o caso for parar no judicial, o funcionário ganha a causa”, ressalta. Vamos parar com os avisos e broncas, pois temos que focar em alguns passos importantes para colocar no papel:

Privacidade – posso fazer monitoramento e inspeção do equipamento particular? “São duas situações diferentes, pois monitorar é o básico, mas inspeção é mexer no aparelho do funcionário. Esses dois pontos devem estar muito bem definidos. Nas Olimpíadas de Londres, por exemplo, os guardas contavam com um dispositivo que, ao ser inserido no smartphone ou tablet pela entrada de carregamento, conseguia ler e identificar conteúdo impróprio ou não autorizado”, observa Patricia. “A política de BYOD deve sim solicitar investigação do dispositivo. Sem papel, a prova é eletrônica.”

Conteúdo – de quem é a responsabilidade se o equipamento particular tiver conteúdo ilícito? “Estamos fazendo um comodato, relação proprietário e beneficiário. A empresa é responsável por gerir e assegurar que suas informações estão a salvo. Mas o aparelho é do funcionário, e o que ele acessa além do que é estipulado em contrato é responsabilidade dele”, explica;

Questão trabalhista – o acesso 24×7, sendo o dispositivo particular, pode configurar sobreaviso e hora extra? “A empresa tem que saber diferenciar CLT, cargo de confiança e quem é terceirizado, e quais dessas peças podem usufruir do BYOD. Obviamente, quem é nomeado de confiança em contrato, a justiça já entende que a pessoa está, como se diz em TI, altamente disponível. O CLT tem horas de trabalho para cumprir semanalmente, então a gestão tem que estabelecer horas de acesso às informações”, comenta Patricia. Novamente, o ponto principal é como o programa de BYOD estará especificado em contrato;

Segurança – de quem é a responsabilidade pela segurança do dispositivo? Como parte da gestão do dispositivo, a empresa deve assegurar o ambiente por onde sua informação vai transitar, assim como num notebook. “Mas é uma conversa entre empregador e empregado, pois isso não significa que o usuário pode acessar o que quiser por contar com um antivírus ou software de proteção, criptografia, e essa visão complementa o lado do conteúdo”, esclarece a advogada;

Danos – como delimitar a responsabilidade por danos causados como perda, extravio, deterioração do dispositivo?Ponto crítico da discussão. Porém, se o dispositivo é do colaborador, ele é o responsável pela perda, extravio ou danos ao aparelho e suas funcionalidades. O papel da empresa é tornar o acesso acordado em contrato disponível e, em caso de perda, ter o poder de apagar todo o conteúdo do device.

Além de tudo estar devidamente em contrato, Patricia indica que seja criado um manual corporativo de uso dos dispositivos, que também deve conter informações sobre como se comportar em redes sociais. “A empresa deve se preocupar com o vazamento da informação, mas também com a má postura dos funcionários em redes sociais, pois é a imagem e valores da companhia em jogo”, acrescenta. “Campanhas de conscientização são absolutamente necessárias, principalmente para estagiários das gerações Y e Z.”

A advogada afirma que hoje a mensagem jurídica é preventiva, visando criar um ambiente seguro e confortável para que a empresa disponibilize informações ao empregado. Dessa forma, a área de TI, RH e jurídica devem estar alinhadas na criação do programa de “traga seu próprio dispositivo”.

Fonte: IT Web

A política do bloqueia tudo funciona?

Por Denny Roger

 

A ideia de escrever este artigo nasceu de uma conversa com a minha esposa, durante as últimas férias de verão, onde nossos filhos aproveitaram parte do tempo livre para uma visita ao nosso escritório. O tema “segurança da informação” surgiu quando a minha esposa fez uma observação curiosa a respeito do conteúdo que o meu filho de apenas 8 anos estava tentando acessar na internet: pornografia.

“Vamos bloquear tudo nos computadores para que ele não tenha acesso a este tipo de conteúdo”, disse a minha esposa. Na hora lembrei dos executivos que levam quase tudo na emoção. Por exemplo, a organização identifica que um colaborador, funcionário ou prestador de serviços, está burlando a política de segurança da informação ou as normas internas. 

Vamos imaginar que este colaborador realiza acessos, constantemente, a sites não relacionados aos negócios da empresa – fotos das musas do carnaval, receitas de culinária, sites de relacionamento etc. O executivo resolve aplicar uma medida disciplinar para que todos na organização saibam que este tipo de comportamento não será tolerado. Porém, o executivo esqueceu que antes de tudo isso é necessário a implantação de campanhas de conscientização sobre segurança da informação e o código de conduta.

Expliquei para a minha esposa que essa estratégia do “bloqueia tudo” não funciona. “Pelas condições atuais, onde as crianças acessam com mais facilidade qualquer tipo de conteúdo na internet, como você pretende resolver este problema?”, perguntava ela. Fazendo uma analogia, expliquei que não adianta colocar um controle sem um processo definido. Traduzindo para uma linguagem mais simples:

Campanha de conscientização

A primeira etapa era explicar para o nosso filho que é proibido acessar conteúdo pornográfico antes dos 18 anos (tenho certeza que você está rindo agora mas é exatamente isso que está descrito nos sites com conteúdo adulto).

A segunda etapa era comprar um livro sobre educação sexual, com uma abordagem / linguagem adequada para a idade da criança. Algumas crianças conversam sobre pornografia com seus colegas na escola, inclusive utilizam dispositivos móveis (iPhones, Nintendo DS etc) para levar este tipo de conteúdo para a escola e compartilhar com os amigos.

A terceira etapa é explicar as medidas disciplinares (ficar de castigo, sem televisão etc) caso o “acesso indevido” venha a ocorrer novamente.

Repare que até o momento os desafios são os mesmos no ambiente corporativo.

Monitorando os filhos (ou os colaboradores)

Após esclarecermos todas as dúvidas, finalizamos a campanha de conscientização. Os processos foram definidos, as regras, estabelecidas, os recursos,  disponibilizados (computador com acesso a internet) e o monitoramento, tornado ativo.

Nos primeiros dias, após a campanha de conscientização, fui investigar os logs de páginas acessadas pelo meu filho. Nesse momento, encontrei evidências de tentativas de acesso a conteúdo pornográfico através de sites de pesquisa. O que pude perceber é que o nosso filho ainda não sabe como chegar aos sites pornôs. Mas está bem próximo de conseguir o acesso a este tipo de conteúdo.

É curioso observar como todo o cenário da nossa casa é parecido com o que acontece nas organizações, justamente aquelas que mais colocam controles tecnológicos para restringir o acesso à internet. A campanha de conscientização foi realizada, porém, tudo indica que não estão levando a sério as diretrizes ou a linguagem utilizada para transmitir a informação não é de fácil entendimento.

Vamos bloquear tudo!

A ação de bloquear tudo, utilizando recursos tecnológicos, alivia temporariamente as preocupações de acesso a conteúdo impróprio, mas instiga o instinto hacker da pessoa. Ou seja, a pessoa irá fazer de tudo para burlar o controle implementando. E pode apostar que conseguirá quebrar a segurança tecnológica implementada. 

Principalmente as crianças, que já nascem quase que conectadas na internet e cada vez mais são autodidatas – perfil de hacker. Vale a pena lembrar que muitas crianças começam a ter aulas de informática a partir dos 2 anos. Imagine o conhecimento dessas crianças quando crescerem e estiverem trabalhando na sua empresa! Isso já está acontecendo.

Conclusão

A política do “bloqueia tudo”, utilizando um verdadeiro arsenal tecnológico, muitas vezes é ineficiente e o investimento não alinha a TI aos objetivos do negócio ou da nossa casa.

O esforço focado na mudança comportamental possibilita maior probabilidade de obtenção de sucesso na segurança da informação.

Os computadores não erram, quem erra são as pessoas. Não podemos esquecer que na maioria dos casos, o maior impacto financeiro em um demonstrativo de resultados, tanto na empresa como em casa, é a folha de pagamento. É claro que nossos filhos não recebem salário, porém, temos despesas com mensalidade escolar, uniforme, alimentação, calçados, viagens etc. O impacto financeiro que temos em casa é muito semelhante a folha de pagamento de uma empresa.

É importantíssimo as organizações investirem no exercício da negociação e de comunicação abordando temas relacionados à segurança da informação. As campanhas de conscientização são necessárias para que os colaboradores compreendam as diretrizes de segurança da informação, seus objetivos e as relações com o mercado. Comece a melhorar o nível de maturidade em segurança da informação estabelecendo uma linguagem comum sobre o assunto. Depois estabeleça os processos e, só depois disso, implemente os controles.

Os desafios que enfrentamos em casa com os nossos filhos são os mesmo que os executivos enfrentam com os seus colaboradores.

Pense nisso!

Fonte: IDGNow

Será que você é um alvo fácil para os hackers?

Por Sarah Jacobsson Purewal, PCWorld/EUA

Quando o repórter Mat Honan, do Wired News, teve sua vida digital invadida, em agosto , e posteriormente, praticamente eliminada, a perda significativa de dados que ele sofreu não foi a parte mais assustadora da experiência. Muito mais aterrorizante foi o método pelo qual os hackers tiveram acesso a suas contas digitais.

Usando façanhas inteligentes de engenharia social, eles se passaram por Honan e conseguiram extrair bits-chave de informações pessoais da Amazon e do suporte ao cliente da Apple. Com os dados críticos em mãos, bloquearam Honan de sua conta do Google, comandaram seu fluxo no Twitter, assumiram o controle de seu número de ID da Apple e limparam seus dispositivos pessoais.

Se um hacker quisesse arruinar sua vida, seja por roubo de identidade, ou por um simples esquema de limpeza dados como o de Honan, o quão difícil seria de conseguir alcançar esse objetivo? A resposta, provavelmente, é que seria muito mais fácil do que você pensa.

Você é um alvo fácil?

De acordo com pesquisa recente da Harris Interactiva,  encomendada pela Dashlane, empresa que gerencia senhas e dados pessoais, a maioria dos americanos com acesso à internet está preocupada que seus dados pessoais possam ser usados ​online sem o seu conhecimento. Aproximadamente 88% dos 2.208 adultos entrevistados disseram estar pelo menos "um pouco preocupado", e 29% afirmaram estar "extremamente preocupado". Além disso, três em cada cinco entrevistados estavam preocupados se eram vulneráveis ​​a serem invadidos.

John Harrison, gerente de grupo no Symantec Security and Response, diz que as pessoas devem realmente ficar preocupadas, porque estão compartilhando mais do que pensam. Como as redes sociais, registros públicos e brechas de segurança de alto perfil são tão comuns, que um monte de informações potencialmente confidenciais estão apenas flutuando ao redor da Internet.
"Cada pedaço de informação contribui para o quebra-cabeça", diz Harrison. "Nós não colocamos tudo para fora de uma vez, mas eventualmente tudo se encaixa. Por exemplo, você pode não colocar seu aniversário completo no Facebook, mas não é difícil para alguém descobrir em que ano você se formou no colegial e somar dois mais dois.”

Proteja-se da forma mais fácil

Se você usa a Internet  de maneira significativa - envio de e-mails, upload de fotos, frequenta redes sociais, compra online - seu perfil provavelmente já está flutuando no éter. E mesmo que você não fique online tanto tempo assim, pedaços de seus dados pessoais podem estar disponíveis para visualização via registros públicos digitalizados. Uma pessoa interessada poderia facilmente descobrir se você tem uma hipoteca, por exemplo, ou se você recentemente se casou ou divorciou.

Você provavelmente sabe que uma senha de cinco caracteres típica, só com palavras, é fácil de quebrar, e talvez confie em algo muito menos penetrável. Mas provavelmente você não tem tempo ou memória suficiente para se lembrar sempre de uma mistura complicada de números e letras. Então, aqui estão algumas rápidas e fáceis dicas de segurança que irão reduzir drasticamente o seu nível de “hackeabilidade”.

Pesquise seu nome: Antes de começar a se preocupar, é uma boa ideia pesquisar por você mesmo para obter uma noção sobre quanta informação está disponível. Digite seu nome no Google, tanto com aspas como sem, e com palavras-chave relevantes, tais como seu endereço, número de telefone, endereços de e-mail, cargo, empresa e universidade.

Veja o que encontrar e tente olhar para a informação da maneira como um hacker o faria. Há dados suficientes lá para alguém juntar os pedaços e concluir sua vida? Se assim for, você precisa tomar medidas para melhorar sua segurança pessoal.

Use frases como senhas: Senhas são um problema de segurança complicado. As melhores, geradas por computador, são uma misturas de letras, números e caracteres especiais (tais como pontos de exclamação e pontos de interrogação). Infelizmente, as sequências de caracteres alfanuméricos resultantes são também extremamente difíceis para a maioria das pessoas se lembrar. Mas já que a maioria das senhas é hackeada por métodos de força bruta  - isto é, tendo um computador passando por todas as combinações possíveis de caracteres -, senhas mais longas são mais seguras, simplesmente porque demoram mais para serem descobertas.

Esteja atualizado: Uma das maneiras mais fáceis para impedir que intrusos comprometam seu computador é ter certeza de que você está sempre rodando a versão mais recente de todos os aplicativos, incluindo seu programa antivírus.

Priorize contas: Você pode não ser capaz de se lembrar de senhas complexas para cada conta que possui, e na há problema nisso. Segundo Doug McLean, diretor sênior de marketing de produto na McAfee's Global Threat Intelligence, a média online norte-americana tem mais de 100 contas, mas nem todas são importantes.

Em vez de criar senhas diferentes para cada conta, crie senhas únicas apenas para as contas importantes de email, transações bancárias online, redes sociais e outras que contenham informações confidenciais. Para aquelas relativamente triviais, como painéis de mensagens, não há problema em usar uma senha insegura.

Minta: Tenha cuidado com as informações que você dá para sites aleatórios. Claro, seu banco precisa saber o endereço de sua casa, mas um quadro de mensagens realmente precisa saber seu código postal ou seu aniversário? Se você não pode mudar de página porque o site quer que você dê muita informação, Harrison sugere que você tome uma atitude e faça sua escolha. Afinal, diz ele, quadros de mensagens são notoriamente “hackeáveis”, e eles realmente querem apenas  verificar se você tem mais de certa idade.

Proteja-se offline: De acordo com McLean, roubo de identidade offline é ainda muito mais comum do que o online. O motivo: endereços de e-mail têm senhas - enquanto caixas de correio, lixeiras e carteiras perdidas, não. Para proteger-se, ele sugere que você obtenha uma caixa de correio com cadeado (se você ainda não tiver uma), rasgue todas as contas e documentos importantes antes de jogá-los fora e nunca carregue seu cartão de Seguro Social com você.

Use um gerenciador de senhas: Apesar de gerenciadores requererem um pouco de configuração, eles valem a pena se você estiver preocupado com a integridade de suas senhas ou frases secretas.

Gerenciadores de senha como Dashlane, 1Password e LastPass não só armazenam todas as suas senhas em um programa criptografado - que você pode desbloquear com uma senha mestre- como também criam senhas seguras que nem mesmo você conhece, geradas por computador.

Mesmo um pouco de segurança percorre um longo caminho

McLean sugere que tomar precauções mínimas de segurança é como fugir de um urso: você não tem que ser mais rápido do que o animal, apenas precisa ser mais rápido do que seu amigo que também está sendo perseguido.

Hackers são espertos, mas também um pouco preguiçosos. Então, a menos que você seja um alvo de alto perfil, um hacker provavelmente irá desistir se as defesas de seus dados provarem ser muito difíceis de serem rompidas.

Em última análise, mesmo tomar medidas de segurança de pequeno porte - como a criação de uma senha de oito caracteres em vez de uma com apenas cinco -, pode proteger suas informações pessoais bem o suficiente para convencer os hackers a mudar de alvo.

Fonte: IDGNow

A Lei Trabalhista e a Mobilidade

Por Patrícia Peck Pinheiro

Quais os impactos da mobilidade nas relações de trabalho? Estamos trabalhando 24X7 sem desligar? Esta é uma questão delicada que deve ser enfrentada e iniciamos 2012 com esta discussão devido a alteração do art.. 6º. da Consolidação das Leis do Trabalho – CLT. O que as empresas podem fazer para minimizar os riscos?

O objetivo da alteração CLT foi o de equiparar o empregado que está presencialmente na empresa com o empregado que trabalha remoto, no modelo de “Home Office” ou teletrabalho. Ou seja, a nova Lei nº 12.551, de dezembro de 2011, apenas formalizou um entendimento que já havia no judiciário, de ser indiferente o local em que o funcionário está fisicamente para que ele tenha os mesmos direitos previstos na legislação trabalhista. 

No entanto, com a redação dada a seu parágrafo único, abriu-se margem para uma interpretação de que o recebimento da mensagem já configuraria colocar o funcionário em trabalho, impactando o entendimento sobre hora extra e sobreaviso, isto é, quando o funcionário exerce uma atividade laboral após o horário normal do seu turno ou expediente.

Isso é apenas uma interpretação retirada do texto de lei, mas que pode impactar muito o modelo de trabalho da Sociedade Digital, uma vez que o entendimento tende a ser mais favorável aos interesses do empregado. Isso se deve, porque a informação circula independentemente do horário, especialmente com o aumento da força de trabalho sendo geração Y, onde o próprio empregado já possui recursos de mobilidade e os utiliza, ainda que a empresa não os tenha fornecido.

Em depoimento à imprensa, o presidente do TST João Oreste Dalazen afirmou que “a meu juízo, é inafastável a revisão da súmula em face da superveniência da lei, a lei passou a dizer que o trabalho realizado a distancia é tempo de serviço“. Ele se refere à Súmula nº 428, de 24 de maio de 2011, pela qual o Tribunal assentou o entendimento de que “o uso de aparelho de intercomunicação, a exemplo de BIP, pager ou aparelho celular, pelo empregado, por si só, não caracteriza o regime de sobreaviso”. Afinal, não é pelo fato de ter acesso a informação, de meramente portar o recurso que significa que a pessoa foi solicitada a trabalhar.

Muito pelo contrário, as empresas têm sido obrigadas a bloquear o acesso do colaborador quando o mesmo sai de férias, pois as pessoas estão cada vez mais “conectadas e ligadas” o tempo todo e não querem esperar o dia seguinte ou o início do expediente para saber o que está acontecendo ou para tomar providências proativas de trabalho.

No cenário mais competitivo do mercado atual, sem fronteiras e de alcance global, a proatividade ocorre por liberalidade do próprio profissional que busca mostrar serviço mesmo que a empresa não tenha solicitado.

Pela interpretação da Lei, três situações podem ocorrer quando um colaborador recebe uma mensagem relacionada a trabalho após o expediente ao acessar seu email, utilizar um smartphone ou dispositivo similar:

a) entender que essa hora de serviço à disposição da empresa deve ser paga como sobreaviso (o trabalhador receberia pelo período, à equivalência de um terço do salário);

b) considerar o período como hora normal de trabalho, podendo ser caracterizada a hora extra;

c) a empresa não pagar nada pelo serviço à disposição, analisando esta questão sob a ótica do tipo de recurso (celular, Pager, e-mail, telefone fixo, redes sociais, outros).

A nova Lei teve intenção de consolidar o trabalho remoto, mas acabou impactando, mesmo que não intencionalmente o “Mobile Office”, ou seja, o comportamento do trabalho na era da mobilidade, onde o profissional quer receber seus e-mails corporativos no smartphone e estar à par do que ocorre no âmbito profissional, mesmo que não tenha sido solicitado para tanto.

Como a Lei já entrou em vigor cabe às empresas elaborar e publicar uma norma de mobilidade, deixando claro que o mero acesso a informação ou aos recursos não configura hora extra e/ou sobreaviso, bem como rever a atribuição de acessos a sistemas corporativos de forma remota (gere logs de acesso fora de horário expediente, especialmente VPN e nuvem), conforme atribuição de cargo de confiança. Vale sim um planejamento técnico e jurídico para evitar que a TI gere um risco financeiro de aumento de 1/3 pelo menos do custo da folha.

Fonte: ITWEB

Dra. Patricia Peck Pinheiro, advogada especialista em Direito Digital, sócia do escritório Patricia Peck Pinheiro Advogados (www.pppadvogados.com.br – Twitter: @patriciapeckadv).

[Notícia] Cert.br lança cartilha com dicas de segurança para redes sociais

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), acaba de lançar um conjunto com dicas de segurança em redes sociais, integrada à Cartilha de Segurança para a Internet.

Assim como a Cartilha completa, o fascículo é ilustrado e também está disponível em formato PDF.  O material é acompanhado de slides licenciados sob Creative Commons e pode ser usado sem restrições na divulgação de boas práticas.

Em entrevista ao IDG!Now,  a analista de segurança do CERT.br, Miriam von Zuben, disse que nem sempre os usuários sabem do risco que correm nas redes sociais, apesar destes não serem novos em outras plataformas, como o e-mail. “O que diferencia os riscos das redes sociais dos demais são algumas características próprias que elas apresentam, como a rápida velocidade de propagação das informações e a grande quantidade de pessoas que elas conseguem atingir. É importante que os usuários estejam cientes dos riscos, entendam as diferenças e possam, assim, se prevenir de forma adequada”. 

Sobre os principais cuidados que os usuários precisam tomar na rede, Miriam foi assertiva: “Considerar que está em um local público, que tudo que é divulgado pode ser lido ou acessado por qualquer pessoa; pensar bem antes de divulgar algo, pois não há possibilidade de arrependimento; ser cuidadoso e seletivo ao aceitar contatos, autorizar aplicativos e fornecer a localização geográfica e desconfiar de mensagens recebidas, mesmo que tenham sido enviadas por conhecidos (elas podem ter sido enviadas de contas falsas ou invadidas)”.

Ela também fez questão de compartilhar algumas medidas preventivas que os usuários devem tomar ao utilizar um pc compartilhado ou até mesmo pessoal. São elas: utilizar e manter atualizados mecanismos de segurança, como antispam, antimalware e firewall pessoal e ser cuidadoso ao abrir arquivos e acessar links. Ao usar computadores de uso compartilhado, assegurar-se de sair (logout) da conta de usuário nos sites que tenham sido acessados; usar opções de navegar anonimamente; usar um antimalware online para verificar se o computador está infectado; evitar efetuar transações bancárias ou comerciais; não utilizar opções como "Lembre-se de mim" e "Continuar conectado" e não permitir que as senhas sejam memorizadas pelo navegador Web.

Para que a leitura da Cartilha possa ser feita em dispositivos móveis, está sendo lançada no formato ePub. O material está disponível em http://cartilha.cert.br/livro. Para conhecer o fascículo sobre redes sociais, basta entrar em http://cartilha.cert.br/fasciculos.

Fonte: IDG Now