Funcionária burlou proibição e atualizou Orkut com ajuda de amiga, que recebeu pelo e-mail corporativo login e senha do site
“Bloquearam o meu acesso às redes sociais”
Diante de novas ameaças na internet e a baixa produtividade de alguns colaboradores, a diretoria de uma organização começou a agir. A ordem foi para bloquear todo e qualquer acesso as redes sociais. O caso aconteceu no ano passado.
O diretor de segurança da informação deixou claro para a equipe de consultores, da qual eu fazia parte, que não pretendia abrir exceções e que era necessário o monitoramento constante para identificarmos quais eram os colaboradores que tentariam burlar a nova regra.
Para tornar a situação mais complexa, o bloqueio às redes sociais foi feito sem a atualização da norma que trata da navegação da internet. Ou seja, os colaboradores não foram informados do bloqueio.
Guerra contra a política de segurança da informação
A medida foi recebida com surpresa e preocupação pelos colaboradores dessa organização. Nas primeiras duas horas foram registradas mais de 3.000 tentativas de acesso a redes sociais.
As ligações para o help desk tiveram um efeito explosivo. Foram 75 chamados referentes a dúvidas sobre a proibição de acesso as redes sociais.
Uma das funcionárias, infeliz com a nova medida, encontrou uma solução simples para burlar o bloqueio. Ela simplesmente forneceu o seu usuário e senha do Orkut para uma amiga que estava fora da empresa. A “ferramenta” utilizada para veicular a informação foi o e-mail corporativo.
A amiga acessava o Orkut, copiava todos os novos recados e colocava no e-mail. A funcionária recebia em seu e-mail corporativo a mensagem contendo todos os recados novos que estavam no Orkut. Usando o e-mail da empresa, ela respondia cada uma das mensagens. Depois a amiga acessava o Orkut para atualizar o perfil.
Bloqueio ao envio de fotos por e-mail
Outra medida adotada pela organização foi o bloqueio de fotos anexadas ao e-mail corporativo. A diretriz foi determinada após a organização descobrir que boa parte dos e-mails armazenados no backup, nas estações de trabalho e nos servidores era, na verdade, fotos de casamento, de festas de aniversário dos filhos, carnaval, férias, fotos pornográficas etc.
Em outros termos, a empresa estava gastando dinheiro para fazer backup das fotos pessoais dos colaboradores. E não podemos esquecer da parte jurídica! Questões de invasão de privacidade, difamação e uso indevido da imagem também foram discutidas para efetivar o bloqueio de fotos via e-mail.
Mas, voltando ao assunto das redes sociais, a funcionária abriu um novo arquivo do Word, colou algumas fotos dela no documento, salvou tudo e anexou ao e-mail.
A amiga dela recebeu o “arquivo do Word” com as novas fotos, acessou o Orkut e atualizou a página de fotos.
Ações de segurança só poderão ter resultado após mudança comportamental
Não funcionou
Na prática, a solução não funcionou porque alguns funcionários continuaram usando os recursos da empresa para acesso às informações das redes sociais. No caso descrito, o e-mail corporativo foi a ferramenta utilizada para desvalorizar a política e normas de segurança da informação.
Casos semelhantes ocorrem todos os dias nas empresas brasileiras. Muitas organizações têm iniciativas isoladas, ou seja, um diretor decide, sozinho, criar algum tipo de controle sem consultar outros executivos.
A grande maioria das organizações encontra resistência a mudanças por parte dos seus colaboradores. É nessa hora que um comitê interdepartamental pode fazer toda a diferença.
Campanhas de conscientização sobre segurança da informação também são fundamentais. E não deixe de fora as medidas disciplinares para punir os funcionários ou prestadores de serviço que promovem uma verdadeira guerra contra a segurança da informação.
Nenhum comentário:
Postar um comentário