Gestão de segurança da informação: é certo monitorar e-mail corporativo?

Esse ainda é um dilema de muitas empresas no Brasil: deve-se confiar no bom senso da equipe em relação ao uso do e-mail corporativo ou investir no monitoramento da rede?

A resposta é clara: sim, você deve sempre proteger sua empresa e priorizar soluções que previnam os ataques cibernéticos. E para isso, considerar o uso de sistemas de monitoramento da rede, incluindo os e-mails corporativos, é um passo importante –embora, nem sempre praticado por muitas organizações no Brasil.

De acordo com dados do Global Information Security Survey (GISS)¹, 63% dos executivos brasileiros entrevistados (de um universo de 1755 profissionais) afirmaram que suas empresas não dispõem de programas para prevenção de ameaças; outros 43% apontaram a inexistência de programas de identificação de vulnerabilidades, e 45% disseram não dispor de programas de detecção de brechas.

Como os cibercriminosos disseminam ameaças

O cenário preocupa. Afinal, quando o funcionário usa o e-mail corporativo para uma finalidade pessoal, seja ela fazer uma compra pela internet ou acessar um site de conteúdo suspeito, ele está colocando em risco informações sensíveis da empresa. Com o BYOD (Bring Your Own Devices), o desafio se torna ainda maior, já que é preciso pensar em como proteger os dados corporativos acessados por meio dos dispositivos móveis pessoais.

Qual a melhor maneira de proceder nessas situações?

O uso inadequado do e-mail corporativo pode ser uma importante porta de entrada para os ciberataques ou para fuga de informações estratégicas e confidenciais da empresa. Diante disso, o melhor a fazer é monitorar o acesso à rede da empresa. E essa é uma prática legal perante à lei.  O empregador tem o total direito de fiscalizar o e-mail corporativo, mesmo que este seja acessado diretamente do dispositivo móvel do funcionário.

Esse monitoramento não caracteriza violação da privacidade ou da intimidade do colaborador. Porém, o funcionário deve ser informado sobre essa prática de monitoria. Importante reforçar que ele não precisa consentir, mas deve ser avisado por escrito antes.

O ideal é que esse procedimento faça parte da política de segurança da informação da empresa, que também classifique as informações e conscientize os funcionários de como usar os recursos da empresa de forma condizente com as relações de trabalho. Embora, muitas organizações tenham essa política, algumas acabam deixando de segui-la no dia a dia, o que aumenta as possibilidades de brechas na segurança.

Outra forma de potencializar o monitoramento é analisando o perfil de cada usuário. Quando uma pessoa começa a trabalhar em uma empresa, ela faz um acordo para ser remunerada por um determinado valor em troca de disponibilizar em média oito horas do seu dia. Com isso, caso ela passe mais tempo do que o usual navegando em sites que não estejam relacionados com a sua atividade-fim (e que possam ser uma ameaça para a segurança), a empresa pode adverti-la ou até mesmo demiti-la por justa causa, dependente da situação.  

Porém, um ponto importante a considerar é que a estratégia de segurança da informação nas empresas deve ser pensada com cautela, pois ela não pode atrapalhar a produtividade da equipe. O desafio está em encontrar um equilíbrio entre aplicar regras de segurança, de forma que não engesse a operação e não intimide o colaborador.

Dessa forma, a melhor maneira de potencializar a segurança digital da sua empresa ainda é investir no tripé: educação, monitoramento e prevenção.

protecao-dados-conscientizacao