Processo disciplinar na violação da Segurança da Informação.

Por: Max Gorissen

Um tema que gera polêmica em muitas empresas é o de como proceder com a pessoa responsável, quando existe uma violação da segurança da informação.

Como acredito que ninguém goste de sancionar uma outra pessoa (bom…tem alguns que gostam, mas esse não é o assunto do artigo), é importante realizar uma verificação prévia para confirmar de que a violação realmente ocorreu.

Ainda, antes de “crucificar” o indivíduo, é importante identificar se o funcionário(a) sabe que está cometendo uma violação e acompanhar para medir a frequência em que a violação ocorre.

Verificar se este “sabe” é bastante óbvio, contudo, muitas vezes, se esquece de informar, treinar ou estabelecer o desempenho desejado e esperado das pessoas. Não sendo este o caso, devemos acompanhar e medir a frequência para estabelecer se o mesmo se repete, o que constitui, caso este sabe que está cometendo uma violação, um ato de má fé.

Além disso, o acompanhamento irá fornecer informações e evidências para o caso de, após um incidente de segurança da informação, ser necessário entrar com uma ação legal (civil ou criminal) contra uma pessoa ou organização.

Apenas para ilustrar, sem entrar no detalhe, as evidências de violação devem abranger:

  • a admissibilidade da evidência, ou seja, se a evidência pode ser ou não utilizada na corte e;
  • a importância da evidência, que está relacionada à qualidade e inteireza da evidência.

Voltando para o processo disciplinar, uma vez confirmado a violação e decidido proceder com a sanção, é importante que este assegure um tratamento justo e correto aos funcionários que são suspeitos de cometer tais violações.

Para isso, o processo disciplinar deve dar uma resposta de forma gradual, que leve em consideração fatores como a natureza e a gravidade da violação e o seu impacto no negócio.

Devesse observar também, se este não é o primeiro delito, se o infrator foi ou não adequadamente treinado, as legislações relevantes, os contratos do negócio e outros fatores conforme requerido.

Em casos sérios de má conduta, é importante que o processo permita, por um certo período, a remoção das responsabilidades, dos direitos de acesso e privilégios.

Ainda, dependendo da situação, devesse solicitar à pessoa que saia imediatamente, de preferência escoltada, das dependências da organização.

A divulgação do processo disciplinar, guardados os devidos direitos do indivíduo, deve ser usada como forma de dissuasão, para evitar que outros funcionários, fornecedores e terceiros também violem as políticas de segurança da informação.

Atente sempre aos direitos do indivíduo.

 


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s