Ética e TI. Como Lidar Com Este Dilema?

Adriano Martins Antonio

Adriano Martins Antonio

em 15 de maio de 2020
Ética e TI. Como Lidar Com Este Dilema?

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Ética e TI. Como Lidar Com Este Dilema?

Quando um Profissional de TI se Esbarra na Questão “Ética”

Eu estive lendo recentemente um artigo sobre ética no site da BCS e resolvi fazer uma adaptação sobre o tema, já que muito se fala sobre Ética, Proteção de Dados, Privacidade, etc;

Neste artigo eu vou falar do dilema da ética, quando a TI fica exposta facilmente a certas “oportunidades”. Ou seja, fáceis ocasiões de bisbilhotar informações da empresa.

E eu começo te perguntando: O que a segurança da Informação, a conformidade e a boa e velha curiosidade têm em comum?

São forças que impulsionam a confusão contínua no campo da ética em TI.

Vamos deixar de lado a questão sobre o que os especialistas em TI podem fazer e perguntar: o que eles devem fazer?

Os especialistas em TI enfrentam hoje uma quantidade imensa de decisões éticas.

A combinação explosiva entre usuários corporativos, aplicativos que eles usam e os dados que consomem abrem uma ampla oportunidade de servir e prejudicar a empresa.

Vou explicar o motivo!

Se um aplicativo de negócios, como um sistema de contabilidade, de cobrança ou de RH, falhar, a TI corre para resgatar os usuários. Ou seja, um dia normal de trabalho.

Esse sentimento que são “superpoderosos” também oferece aos profissionais de TI a oportunidade de realizar ações mais perversas.

Veja o exemplo de um sistema de RH. Muitas vezes, os especialistas em TI desfrutam de privilégios administrativos sobre estes (além de outros sistemas vitais) para que possam recuperá-lo em caso de falha.

Mas esses mesmos privilégios também lhes dão acesso para procurar detalhes de remuneração de praticamente qualquer pessoa na organização.

Eles deveriam fazer isso? Provavelmente não. Eles fazem? Pode apostar que sim.

Em diversas pesquisas é relatado que a cada três administradores com acesso elevado, dois admitiram “bisbilhotar” dados que não precisavam para realizar seu trabalho.

Ética e TI – Mas o que realmente é bisbilhotar?

Uma maneira de ver a atividade de TI é através dos olhos comparativos do mundo real. Em outras palavras: Como as atividades de TI seriam vistas se uma atividade equivalente ocorresse no ambiente físico?

No mundo físico, seu escritório, sua mesa e seu arquivo pertencem ao seu empregador. Entende-se que qualquer pessoa, desde o seu gerente até as pessoas amigáveis ​​das instalações, pode entrar aleatoriamente em seu escritório e vasculhar sua mesa.

Com certeza, esse tipo de busca seria mal vista por todos, desde os colaboradores até os líderes, mas isso poderia acontecer.No entanto, por algum motivo, sentimos que o computador é propriedade nossa e que os dados contidos nele também são nossos.

Na maioria das organizações, seu computador é, na verdade, a propriedade de seu empregador, mas ainda sentimos que é de propriedade pessoal. Então, quando um especialista em TI pesquisa aleatoriamente seus arquivos, nos sentimos invadidos

Mas minha pergunta é: deveríamos nos sentir assim?

Deixando de lado o fato de que os especialistas em TI bisbilhotam, conforme declarado anteriormente. Se a sua organização é tradicional, você está sujeito a uma política de ‘uso de equipamentos’, que afirma que “seu” PC ou laptop pertence na verdade ao seu empregador e, portanto, você não deveria conduzir atividades pessoais no computador.

O que acontece se o especialista em TI ‘espiona’ em um computador e encontra evidências de atividade que coloquem a empresa em posição de violação de alguma regulamentação? Por exemplo, copiando dados do cliente em uma planilha do Excel para uma campanha de marketing, o que poderia violar a EU GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados .

A TI é obrigada a denunciar? E se eles encontrarem evidências de um crime? Eles são obrigados a reportar à gerência, ao RH ou às autoridades?

Tudo isso, baseando-se no fato de que esse reporte evidenciara uma espionagem – um dilema ético difícil, com certeza.

Exemplos de Educadores

Algumas leis nos EUA ajudaram a resolver estes dilemas, pelo menos em parte!

Na área da educação, os educadores são obrigados, por lei, a denunciar qualquer incidente ou ameaça de abuso infantil. Isso coloca, por muitas vezes o educador em perigo. Eles podem acabar em um tribunal de justiça ou talvez rotulados como um “dedo-duro”, “x9”.

Além disso, os EUA têm leis de “Bom Samaritano” que oferecem proteção legal a pessoas que auxiliam àqueles que estão, ou que acreditam estar em perigo.

Funciona perfeitamente?

Claro que não, mas a intenção está no caminho correto – uma tentativa de padronização, para que todas as partes entendam as respectivas expectativas.

O escopo da TI está se tornando muito mais complexo com o advento de novas tecnologias, como a internet das coisas (IoT).

Hoje, muitos funcionários usam “rastreadores de condicionamento físico” no trabalho para contar seus passos e medir as calorias queimadas. Em geral, eles se comunicam com smartphones, que por sua vez estão conectados, via rede de uma empresa, à Internet, onde os dados são carregados, armazenados e analisados.

De quem são esses dados? A TI tem o direito de acessar esses dados? Eles certamente podem. E os administradores de TI admitem bisbilhotar.

A questão se tornará ainda mais complicada à medida que os dispositivos de IoT de rastreamento de integridade caminham para além da contagem de passos. O futuro, em curto prazo, contempla monitores cardíacos e marca-passos, dispositivos de medição de glicose e muito mais. Todos habilitados para internet para fornecer comunicação em tempo real aos profissionais de saúde.

A empresa deve guardar estes dados? Eles vão usá-lo para determinar remunerações ou contratar/demitir funcionários?

A influência da governança

Outro aspecto ético apontado diretamente para a TI é a influência dos regulamentos e decretos governamentais.

Isso está sendo tratado de forma mais ativa (por enquanto) no Reino Unido, onde os especialistas argumentam repetidamente que o tráfego de internet não deve ser apenas monitorado, mas também censurado.

Na verdade, o governo do Reino Unido está ameaçando exigir que “plataformas” como Facebook, LinkedIn e Twitter usem a tecnologia do Reino Unido para filtrar conteúdo terrorista.

Creio que sabemos diferenciar o que é, e o que não é conteúdo terrorista. Mas, uma vez que esta tecnologia é cada vez mais utilizada, quem determina o que pode ser controlado? Partidos políticos? Governo? Agências? Do Brasil e de outros países?

Ética e TI – Código de Conduta é uma Excelente Resposta

Este artigo destaca apenas algumas áreas em que a TI e a ética colidem, mas por que isso é tão complicado? Por que isso não foi resolvido? Há algumas questões em jogo aqui.

Primeiro, há um abismo entre a compreensão técnica daqueles que fazem política e aqueles que a vivem.

Seria aconselhável que os governos e as agências reguladoras consultassem mais de perto os especialistas de TI em “rank and file” (classificar e arquivar) para entender as ramificações de suas escolhas de palavras.

Talvez, o melhor exemplo, de onde a inclusão resultou em melhores regulamentações, seja os padrões da indústria de cartões de pagamento (PCI) para transações com cartões de crédito seguras.

O regulamento é muito explícito sobre a intenção e as formas de promulgar o regulamento.

Outras regulamentações, particularmente aquelas que vêm do governo (como GDPR), em oposição às organizações financiadas por empresas (como PCI), são vagas na sua implementação. É difícil para uma única empresa resolver problemas de políticas vagas.

Para preencher essa lacuna, as empresas devem esclarecer e documentar suas expectativas através de um código de conduta de TI.

Vários desses existem, como o da SANS, uma organização cooperativa de pesquisa e educação que atinge mais de 165.000 profissionais de segurança ao redor do mundo.

As organizações também devem aprovar uma estratégia de “trust, then verify” (confiar e depois verificar), para proteger tanto os especialistas em TI, quanto a organização dos achados de litígio ou conformidade.

Existem várias classificações de produtos e atividades que podem ajudar nessa busca:

  • Soluções de gerenciamento de acesso privilegiadas, ajudam as organizações a controlar quem tem acesso às “chaves do reino”.
  • O gerenciamento de logs coleta todas as atividades (em linguagem computacional, o registro de auditoria) executadas em um computador ou dispositivo. Geralmente, esses produtos oferecem segurança sem repúdio, garantindo que os registros não sejam adulterados.
  • O aprendizado contínuo da equipe de TI, sobre as expectativas e as ramificações de suas ações, permite que as organizações protejam tanto a TI, quanto os negócios.

Independentemente da solução implantada, as organizações devem avaliar sua utilidade além de somente proteção. Produtos de segurança estão sendo cada vez mais construídos para tornar o negócio mais ágil e produtivo. Muitas indústrias têm códigos de conduta, especificamente para mitigar os dilemas éticos que estes profissionais enfrentam regularmente.

Chegou a hora de a TI aprovar um código de conduta semelhante para proporcionar aos profissionais de TI, seus empregadores e à comunidade de usuários a confiança e o entendimento do que podem esperar da TI.

E você, o que você acha deste assunto? Já passou por alguma situação complicada em relação ao tema?

Leia também nossos artigos sobre carreiras na área de:

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

Manifesto ágil
Artigos
Henrique Mata

O Manifesto Ágil!

O Manifesto Ágil! Lembra que falamos sobre o movimento da agilidade no post anterior? Então,

Leia Mais »

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×

Você voltou! 😊 Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
Aproveite agora o desconto de 10%! Essa é a sua última chance! Resgatar Agora!

×

Olá Visitante! 😊 Você têm: Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
para aproveitar o desconto de 15% (apenas nos cursos) Resgatar Agora!

@

Não ativo recentemente
X
X
X