Estendemos o Black Friday! 🔥🔥🔥

Agora, termina em:

Dia
Horas
Minutos
Segundos

Ética e TI. Como lidar com este dilema?

Adriano Martins Antonio

Adriano Martins Antonio

em 15 de maio de 2020
Ética e TI. Como Lidar Com Este Dilema?

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Ética e TI. Como Lidar Com Este Dilema? Confira também, o lado do profissional

Certo dia, eu estive lendo um artigo sobre ética no site da BCS. Então, resolvi fazer uma adaptação sobre o tema, já que muito se fala sobre Ética, Proteção de Dados, Privacidade, etc.

Neste artigo, eu vou falar do dilema da ética, quando a TI fica exposta mais fácil a certas “brechas”. Ou seja, ocasiões claras de sondar dados da empresa.

Quando um Profissional de TI se Esbarra na Questão “Ética”

E eu começo com a seguinte questão: “O que a segurança da Informação, a conformidade e a boa e velha curiosidade têm em comum”?

Ademais, são forças que incitam a confusão contínua no campo da ética em TI.

Assim sendo, vamos deixar de lado a objeção sobre o que os especialistas em TI podem fazer e perguntar: o que eles devem fazer?

De fato, os especialistas em TI enfrentam uma quantidade imensa de decisões éticas.

Homem trabalhando em projeto de ti e colegas ao fundo discutindo sobre ética na profissão
A ética deve prevalecer em todas as profissões, da mesma forma que você deve seguir seus instintos

O ajuste explosivo entre usuários corporativos, aplicativos que eles usam e os dados que consomem, abrem uma ampla chance de servir e lesar a empresa.

Vou explicar o motivo!

Se um aplicativo de negócios, como um sistema de contabilidade, de cobrança ou de RH, falhar, a TI corre para resgatar os usuários. Ou seja, um dia normal de trabalho.

Esse afeto que são “superpoderosos”, também oferece aos profissionais de TI o ensejo de realizar ações mais perversas.

Veja o exemplo de um sistema de RH. Muitas vezes, os especialistas em TI gozam de privilégios administrativos sobre estes – além de outros sistemas vitais. Isso, para que se possa reaver em caso de uma falha.

Mas esses mesmos privilégios também lhes dão acesso para procurar detalhes de remuneração perto de qualquer pessoa na empresa.

Eles deveriam fazer isso? Provavelmente não. Eles fazem? Pode apostar que sim.

Em diversas pesquisas é relatado que a cada três administradores com acesso elevado, dois admitiram “bisbilhotar” dados que não precisavam para realizar seu trabalho. Incomum ou uma triste fato real?

Ética e TI – O que é “bisbilhotar”?

Uma maneira de ver a função de TI está através dos olhos comparativos do mundo real. Em outras palavras, como as atividades de TI seriam vistas se uma ação igual se ocorresse no ambiente físico?

No mundo físico, seu escritório, sua mesa e seu arquivo pertencem ao seu empregador. Assim sendo, entende-se que qualquer pessoa, desde o seu gerente até as pessoas amigáveis ​​das instalações, pode entrar por acaso em seu escritório e vasculhar sua mesa.

Com toda a certeza, esse tipo de busca seria mal vista por todos, desde os colaboradores até os líderes. E isso é algo que pode acontecer e todos nós somos sujeitos a passar por tal episódio.

No entanto, por algum motivo, sentimos que o computador é nossa posse e que os dados contidos nele também são nossos.

Na maioria das empresas, o seu computador é, na verdade, de domínio do seu empregador. Mas ainda sentimos que é de propriedade pessoal.

Então, quando um especialista em TI pesquisa aleatoriamente seus arquivos, nos sentimos invadidos

Mas a pergunta que fica é: “Devemos nos sentir assim?”

Deixando de lado o fato de que os especialistas em TI bisbilhotam, conforme declarado anteriormente, vamos seguir com a objeção.

Se a sua empresa é tradicional, você está sujeito a uma política de “uso de equipamentos”, que afirma que “seu” PC ou laptop pertence na verdade ao seu empregador. Portanto, você não deve conduzir atividades pessoais no computador.

O que acontece se o especialista em TI “espiona” em um computador e encontra sinais de atividade que coloquem a empresa em posição de violação de alguma regulamentação?

Por exemplo, ao copiar dados do cliente em uma planilha do Excel para uma campanha de marketing, o que poderia violar a GDPR (General Data Protection Regulation), que se trata da proteção geral de dados da União Europeia.

A TI é obrigada a denunciar? E se eles encontrarem evidências de um crime? Eles são obrigados a reportar à gerência, ao RH ou às autoridades?

Tudo isso, baseando-se no fato de que esse reporte evidencia uma espionagem – um dilema ético difícil, com certeza.

Exemplos de Educadores

Algumas leis nos EUA ajudaram a resolver estes dilemas, pelo menos em parte!

Por exemplo, na área da educação, os educadores são obrigados, por lei, a denunciar qualquer incidente ou ameaça de abuso infantil. Isso coloca, por muitas vezes o educador em perigo.

Desse modo, eles podem acabar em um tribunal de justiça ou talvez receber rótulos como um “dedo-duro”, “x9”, entre outros.

Além disso, os EUA têm leis de “Bom Samaritano”. Elas oferecem proteção legal para as pessoas que auxiliam àqueles que estão, ou que acreditam estar em perigo.

Funciona perfeitamente?

Claro que não! Mas a intenção está no caminho correto. Uma tentativa de padronização, para que todas as partes entendam as respectivas expectativas.

O escopo da TI está se tornando muito mais complexo com o advento de novas tecnologias, como a internet das coisas (IoT).

Nos últimos tempos, muitos funcionários usam “rastreadores de condicionamento físico” no trabalho para contar seus passos e medir as calorias queimadas.

Eles se comunicam com smartphones, que por sua vez estão conectados, via rede de uma empresa, à Internet, onde os dados são carregados, armazenados e analisados.

De quem são esses dados? A TI tem o direito de acessar esses dados? Eles certamente podem. E os administradores de TI admitem bisbilhotar.

A questão se tornará ainda mais complicada à medida que os dispositivos de IoT de rastreamento de integridade caminham para além da contagem de passos.

O futuro, em curto prazo, contempla monitores cardíacos e marca-passos, dispositivos de medição de glicose e muito mais. Todos habilitados para internet para fornecer comunicação em tempo real aos profissionais de saúde.

Todavia, a empresa deve guardar estes dados? Eles vão usá-lo para determinar certa comissão ou contratar/demitir funcionários?

A influência da governança

Outro aspecto ético apontado diretamente para a TI é a influência dos regulamentos e decretos governamentais.

Isso está sendo tratado de forma mais ativa (por enquanto) no Reino Unido. Lá, os especialistas argumentam repetidamente que o tráfego de internet não deve ser apenas monitorado, mas também censurado.

Na verdade, o governo do Reino Unido está ameaçando exigir que “plataformas” como Facebook, LinkedIn e Twitter usem a tecnologia do Reino Unido para filtrar conteúdo terrorista.

Creio que sabemos diferenciar o que é e o que não é conteúdo terrorista. Porém, a medida que essa tecnologia ganha um número maior de utilização, quem determina o seu controle?

Partidos políticos? Governo? Agências? Do Brasil e de outros países?

Ética e TI – Código de Conduta é uma Excelente Resposta

Este artigo destaca apenas algumas áreas em que a TI e a ética colidem. Mas, por que isso é tão complicado? Por que isso não foi resolvido? Há algumas questões em jogo aqui.

Primeiramente, há um abismo entre a compreensão técnica daqueles que fazem política e aqueles que a vivem.

Seria sensato que os governos e as agências reguladoras consultassem mais de perto os especialistas de TI em “rank and file” (classificar e arquivar) para entender as várias divisões de suas escolhas em palavras.

Talvez, o melhor exemplo, de onde a inclusão resultou em melhores regulamentações, seja os padrões da indústria de cartões de pagamento (PCI) para transações com cartões de crédito seguras.

O regulamento é, sem dúvida, muito explícito sobre a intenção e as formas de promulgar o regulamento.

Outras regulamentações, em especial aquelas que vêm do governo (como GDPR), de oposição às organizações financiadas por empresas (como PCI), são vagas na sua implementação.

Em suma, é muito difícil para uma única empresa resolver problemas de políticas vagas.

Para preencher essa lacuna, as empresas devem esclarecer e documentar suas expectativas através de um código de conduta de TI.

Vários desses existem, como o da SANS, uma cooperativa de pesquisa e educação que atinge mais de 165.000 profissionais de segurança ao redor do mundo.

As empresas também devem aprovar uma estratégia de “trust, then verify” (confiar e depois verificar), para proteger tanto os especialistas em TI, quanto a companhia dos achados de litígio ou conformidade.

Existem várias classificações de produtos e atividades que podem ajudar nessa busca:

  • Soluções de gerenciamento de acesso privilegiadas, ajudam as organizações a controlar quem tem acesso às “chaves do reino”;
  • O gerenciamento de logs coleta todas as atividades (em linguagem computacional, o registro de auditoria) executadas em um computador ou dispositivo. Geralmente, esses produtos oferecem segurança sem repúdio, garantindo que os registros não sejam adulterados;
  • O aprendizado contínuo da equipe de TI, sobre as expectativas e as ramificações de suas ações, permite que as organizações protejam tanto a TI, quanto os negócios.

Independentemente da solução implantada, as organizações devem avaliar sua utilidade além de somente proteção.

Produtos de segurança estão sendo cada vez mais construídos para tornar o negócio mais ágil e produtivo.

Nesse ínterim, muitas indústrias têm códigos de conduta, especificamente para mitigar os dilemas éticos que estes profissionais enfrentam regularmente.

PMG Academy RECOMENDA:

Chegou a hora de a TI aprovar um código de conduta semelhante para proporcionar aos profissionais de TI, seus empregadores e à comunidade de usuários a confiança e o entendimento do que podem esperar da TI.

E você, o que você acha deste assunto?

Já passou por alguma situação complicada em relação ao tema? Enfim, deixe o seu comentário!

E se acaso tiver alguma questão, nós, da PMG Academy, iremos responder o mais breve possível.

Até logo mais!

Facebook
Twitter
LinkedIn

Artigos Relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *