A responsabilidade civil dos profissionais da informação

[psergiom]

A cada dia cresce mais e mais a nossa responsabilidade, tanto quanto cidadão consciente, como profissionais da área de TI, vejam o texto abaixo :

Autor: Roberto Leibholz Costa

Um panorama geral da responsabilidade civil dos CSO (Chief Security Officers) diretores, gerentes e demais profissionais da área de segurança e TI.
Os novos tempos, projetam a informação como principal e mais valioso bem das empresas.
Em todas as áreas, podemos afirmar sem sombra de duvida, que quem detém a informação detém o poder.

Junto esta valorização da informação vem a valorização do profissional que cuida dela. Seja quem a estrutura (profissionais de TI) seja quem a protege (profissionais de segurança) ganharam mais importância dentro das organizações.
Não é a toa, que os diretores de TI hoje, figuram em grau de importância ao lado dos diretores financeiros e por vezes acima deles.

Como não poderia deixar de ser, o profissional da informação, na medida que conquistou importância também incorporou responsabilidades.

Além da responsabilidade de manter o bom funcionamento e integração dos sistemas eletrônicos, estes profissionais são responsáveis também pelos danos decorrentes de sua atividade.

Breve visão sobre danos

A internet figura como instrumento de interconexão entre organizações, é o principal meio de transporte da informação. Através da internet infinitas e inéditas possibilidades de relacionamento podem existir. É sem duvida a maior revolução do século. Por outro lado, o que pode ser utilizado para o bem, também pode ser utilizado para o mau.

Em épocas onde as empresas mantinham seus sistemas isolados, os riscos de danos eram restritos a ações internas da empresa, desta forma, bem menores que os atuais.

Através da internet é possível realizar negócios, buscar e trocar informações, mas também é possível invadir sistemas, furtar informações sigilosas, causar danos irreparáveis.

Como exemplo, temos o recente apagão de 14 de agosto que afetou parte dos Estados Unidos e Canada. Segundo Gary Seifert, pesquisador do Departamento de Energia dos EUA, o vírus MSBlast teria provocado um congestionamento nos links de comunicação usados pelos técnicos daquelas empresas, o que impediu que eles tomassem providências imediatas para evitar o incidente.

Se é verdade ou não, isso nunca saberemos, contudo a possibilidade não é descartável.

A exposição ao risco é tamanha, que me assusto ao imaginar um Hacker no comando das comportas da Usina Hidrelétrica de Itaipu.

A responsabilidade Civil.

Além da responsabilidade ética e profissional daqueles que cuidam da informação e meios de comunicação, temos ainda a responsabilidade legal.

Alargada pelo novo Código Civil, atualmente os profissionais desta área respondem legalmente pelos danos causados através dos meios eletrônicos.

Vejamos o que diz o novo Código Civil:

"Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem"

Se neste momento você deu um salto de espanto e indignação, peço calma. Esta responsabilização e o conseqüente dever de indenizar obedecem critérios.

Em primeiro lugar devemos observar seu cargo e atribuições, formação societária da empresa entre outros critérios.

Em segunda análise, seus atos e a relação (nexo causal) que eles tem com o dano.

Vejamos o que diz os artigos 186 e 187 do mesmo código:

Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.

Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes.


Principalmente o artigo 186 é importante para nosso estudo, o texto tem o seguinte significado: ação ou omissão = por ter praticado ou deixado como estava; negligencia ou imprudência = não ter tomado os devidos cuidados.
Desta forma para que exista o dever de indenizar, você deve, no exercício de suas funções, ter sido displicente ou pouco cauteloso e essa conduta ter gerado dano a outrem.

Para ser mais prático, existiria hipoteticamente responsabilidade e dever de indenizar, se por exemplo, um hacker destruísse o banco de dados de uma empresa e o gerente de segurança sabia que o firewall estava com o software desatualizado por 3 versões e nada fez para corrigir.

Fatos imprevisíveis como terremoto, atentado terrorista e furacão, são chamados no direito de caso fortuito ou força maior, esses para o seu sossego, não geram responsabilidade. Contudo a invasão, entre outros eventos danosos, não podem no mundo moderno que vivemos ser considerados como imprevisíveis.


Uma boa conduta


É certo que você como bom profissional que é, já deve estar tomando todos os cuidados para o bom funcionamento e segurança das informações de sua organização. Infelizmente existem milhares de pessoas mal intencionadas querendo atrapalhar o seu trabalho e lhe trazer surpresas desagradáveis.

Existem algumas formas de você se abster da responsabilidade e seguir com seu trabalho tranqüilamente.

Veja algumas dicas:

1- Tenha um descritivo atualizado de suas funções, atribuições e responsabilidades.

2- Descreva a situação atual da organização com relação a sua área, enfatizando todos os riscos que possam existir. Divulgue este documento para a alta gerência e faça constar que estão cientes.

3- Proponha soluções e melhorias, elabore um projeto ideal. Se ele não for aceito em razão de custo (muito comum) ou outra razão, faça constar que você o propôs.

4- Observe as normas de segurança. Atualmente temos diversas normas nacionais e internacionais, uma norma de segurança importante de ser observada é a ABNT NBR ISO/IEC 17799 que dispõe sobre práticas para a gestão da segurança da informação.

5- Mantenha-se informado, esteja atualizado em relação a novas vulnerabilidades e correções de segurança. Participe de listas de discussão por e-mail e visite regularmente os sites dos fornecedores. Não se deixe levar por boatos, procure fontes seguras. Alguns sites e listas são de visita obrigatória.

http://www.securityfocus.com
http://www.securitymagazine.com.br
http://www.cert.org/contact_cert/certmaillist.html
http://www.cert.org/advisories
http://www.cert.org/current/current_activity.html
http://www.incidents.org

Conclusões

A vida dos profissionais da informação, que já é das mais atarefadas deve reservar um espaço para o estudo jurídico dos impactos das novas tecnologias no direito.
Não se trata apenas de questões curiosas e sim de questões que repercutem profundamente no dia a dia do profissional. Observar a lei é mais que precaução é um dever.

Clique na Seção Artigos e Veja mais sobre outros assuntos.

[E.Lima]

Não creio que seja tão simples assim imputar culpa e posterior obrigação de indenização por este tipo de fato.
Acredito que para a Empresa processar um Empregado (que é o caso do CSO) por danos, deveria ANTES conseguir demiti-lo por justa causa. E aí surgem diversos problemas:

a) o já mencionado antes no artigo, os deveres (e punições) deveriam estar explicitamente declarados. Afinal, "por default", o risco empresarial é do EMPREGADOR e não creio que seja possível se imputar dolo ou culpa pelo fato de um servidor estar desatualizado.

b) Além disso para a demissão por justa causa (que creio ser sine qua non para o processo seguinte) segue alguns critérios bem específicos (e arcaicos) da CLT.
Diz o artigo 482 da CLT das condições para demissão por Justa Causa:

a)ato de improbidade (ex. furto e extorsão);
b)incontinência de conduta (ato de natureza sexual) ou mau procedimento (viola norma ética);
c)negociação habitual por conta própria ou alheia sem permissão do empregado, e quando constituir ato de concorrência à empresa para a qual trabalha o empregado, ou for prejudicial ao serviço;
d)condenação criminal do empregado, passada em julgado, caso não tenha havido suspensão da execução da pena;
e)desídia no desempenho das respectivas funções (negligência);
f)embriaguez habitual ou em serviço;
g)violação de segredo da empresa;
h)ato de indisciplina ou de insubordinação.
i)abandono de emprego, caracterizado por dois elementos: subjetivo – intenção em romper o contrato – e o objetivo – decurso de ausência do serviço, que para a jurisprudência majoritária é de trinta dias;
j)ato lesivo da honra ou da boa fama praticado no serviço contra qualquer pessoa, ou ofensas físicas, nas mesmas condições, salvo em caso de legítima defesa, própria ou de outrem;
k)ato lesivo da honra ou da boa fama ou ofensas físicas praticadas contra o empregador e superiores hierárquicos, salvo em caso de legítima defesa, própria ou de outrem;
l)prática constante de jogos de azar (ex. jogo do bicho).

Destes todos, eventualmente apenas o item e) (desídia) poderia ser aplicada. Vejo no entanto dificuldades em o empregador que houve negligência do empregado, sem uma PRÉVIA descrição detalhada dos deveres deste último.

[Padawan]

Pessoal,

eu ainda não ouvi dizer que nenhum empregado ter sido processado no caso acima, mas as coisas estão mudando, nesta semana um juiz determinou a prisão de um ex-presidente do bco central e de um banqueiro (se eles vão ficar presos ou não é uma outra história...)

agora, eu já testemunhei um profissional de TI ser demitido, após uma invasão de um webserver, o depto de SI avisou que o servidor em questão não estava com todos os patches aplicados (à 03 meses) e com uma infeliz coincidência (Lei de Murphi) o site foi desfigurado.

acredito que neste caso se a empresa quisesse ela poderia processar o administrador, pois ele tinha sido avisado, sabia que era da responsabilidade dele a atualização e não fez nada... (negligência) - não foi demitido por justa causa e não foi processado.

e como resultado o diretor perdeu prestígio e o gerente foi elegantemente convidado a assumir uma nova posição... é justo? - eles acreditavam na equipe e nos profissionais que tinham, mas a história poderia ser diferente?

[Dirty Vader]

Lima, acredito que não seria a empresa que processaria o funcionário, e sim qualquer um que tenha algum tipo de relacionamento comercial com a empresa que tenha sido afetado pelo incidente (clientes, fornecedores, parceiros). Acho que a "vítima" vai processar a empresa e não uma pessoa específica (o CSO, o gerente de segurança, etc.) e daí em diante não sei o que acontece. Se eu descobrir algo a respeito coloco um post.
Quanto a processar o próprio funcionário, se não me engano não existe lei que determine o desligamento do funcionário como pré-requisito, e da mesma forma um funcionário pode mover ação (trabalhista, pelo menos) contra sua empresa contratante a qualquer tempo.

[]s,

Dirty Vader

[E.Lima]

Dirty, entendo que o caso como exemplo citado no artigo é de negligência do CSO e, neste caso, só o empregador "poderia" processá-lo. Se alguém (terceiro) for o prejudicado, então só caberia mesmo o processo contra a empresa. É o chamado "risco empresarial".

Quanto a processar o próprio funcionário, se não me engano não existe lei que determine o desligamento do funcionário como pré-requisito.

Ah, eu não quis dizer isso. Eu quis dizer que não me parece "vitoriosa" a estratégia nos tribunais de o empregador processar o empregado por "danos" (processo civil) sem que houvesse um ganho no foro trabalhista. O funcionário simplesmente poderia alegar que trabalha na empresa e que não há nenhum documento que indique quais são os deveres dele a respeito do item específico (no exemplo "manter o firewall atualizado").
Isso é muito complicado (na prática) de provar. Eu posso alegar um milhão de coisas para "escapar" do dever, e portanto, da indenização.

[psergiom]

O funcionário simplesmente poderia alegar que trabalha na empresa e que não há nenhum documento que indique quais são os deveres dele a respeito do item específico (no exemplo "manter o firewall atualizado").
Isso é muito complicado (na prática) de provar. Eu posso alegar um milhão de coisas para "escapar" do dever, e portanto, da indenização.

Nobre Jedi Luminoso, realmente na maiorias das empresas alegação verídica deva ser essa, simplismente não há reformulação de contrato, nem um regimento interno que indique aos funcionários seus deveres.

Fungindo um pouco desse assunto, essa semana estava observando um dispositivo que um cliente trouxe de Miami, menor que uma pendrive, que pode ser utilizado para escutar músicas pela saída de som, como para baixar mp3. Contive minha ansiedade e curiosidade e não demorei muito com o equipamento em minhas mãos até porque o proprietário estava ancioso em usá-lo.
Fiquei Matutando, e lembrando de alguns trechos do livro " A Arte de Enganar ". Onde por muitas vezes foram furtadas informações de empresas com uso de alguns artíficios...
Esse equipamento sem dúvida é ótimo disfarce de Mini-fone de ouvido. Não tive tempo pra testar se o equipamento conseguia gravar outros tipos de arquivos além de MP3, no caso ele permite gravar 200 MP3. Acredito que este dispositivo use algum tipo de memória flash e possa permitir sim, a gravação de outros formatos de arquivo.
Então dependendo da destreza da equipe de TI e das políticas de segurança implantadas pelas empresas (quando são), haja um risco controlado, caso venha vazar algum tipo de informação ou seja implantado algum sotware estranho na rede da empresa.
É um fator de risco é, agora, se o profissional de TI, não estiver atento as inovações irá ser responsabilizado e processado continuamente.

[E.Lima]

Acredito que este dispositivo use algum tipo de memória flash e possa permitir sim, a gravação de outros formatos de arquivo.
Então dependendo da destreza da equipe de TI e das políticas de segurança implantadas pelas empresas (quando são), haja um risco controlado, caso venha vazar algum tipo de informação ou seja implantado algum sotware estranho na rede da empresa.
É um fator de risco é, agora, se o profissional de TI, não estiver atento as inovações irá ser responsabilizado e processado continuamente.

Ó Diamante a ser lapidado, na verdade este problema já está sendo levado a sério.
Tanto é verdade, que a MS criou no XP (SP 2), um novo método para controlar os dispositivos USB, permitindo o bloqueio de Pen Drivers R/W:

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l
- procure pela chave StorageDevicePolicies. Se não existir, crie
- crie na chave acima uma REG_DWORD de nome WriteProtect
- coloque 1 para bloquear pendrivers r/w ou 0 para permitir

é possivel também se bloquear o uso de USB totalmente. veja aqui:http://support.microsoft.com/default...b;en-us;823732

dá-lhe Microsoft!

[psergiom]

Ó Diamante a ser lapidado, na verdade este problema já está sendo levado a sério.

Tanto é verdade, que a MS criou no XP (SP 2), um novo método para controlar os dispositivos USB, permitindo o bloqueio de Pen Drivers R/W:

Para o caso de dispositivos que usam a USB, muito boa a iniciativa da MS, no entanto esse discpositivo usa a comunicação pela saída de som, ou seja, converte os sinais de audio em dados.

Pelo que posso imaginar, pega os sinais do barramento pci, firmware ou do chip de som, usa a interface do dispositivo e faz a conversão.

É a batalha tecnológica quando avançamos em hardware, retrocedemos no uso de software com códigos maliciosos.

[Dirty Vader]

Dirty, entendo que o caso como exemplo citado no artigo é de negligência do CSO e, neste caso, só o empregador "poderia" processá-lo. Se alguém (terceiro) for o prejudicado, então só caberia mesmo o processo contra a empresa. É o chamado "risco empresarial".

Preciso (assim que tiver algum tempo) descobrir algo sólido sobre o tema para compartilhar com vocês, pois em conversa com alguns profissionais de uma famosa empresa de segurança nacional me foi dito que, grosso modo, quando o "bicho pega" é o funcionário e não a empresa quem responde a processo pois o ato cometido foi de responsabilidade do mesmo. Aguardem novidades sobre o assunto.

Ah, eu não quis dizer isso. Eu quis dizer que não me parece "vitoriosa" a estratégia nos tribunais de o empregador processar o empregado por "danos" (processo civil) sem que houvesse um ganho no foro trabalhista. O funcionário simplesmente poderia alegar que trabalha na empresa e que não há nenhum documento que indique quais são os deveres dele a respeito do item específico (no exemplo "manter o firewall atualizado").
Isso é muito complicado (na prática) de provar. Eu posso alegar um milhão de coisas para "escapar" do dever, e portanto, da indenização.

Concordo em gênero, número e grau. Acho que aí a empresa simplesmente demite o funcionário e este é quem vai entrar com ação na justiça trabalhista. Pelo menos isso é o que acontece normalmente. Nunca ouvi falar de nenhuma empresa que tenha movido ação trabalhista contra funcionário.

[]s,

Dirty Vader

P.S.: "Ó diamante a ser lapidado"? "Ó nobre Jedi luminoso"? MM, muda logo essas frases que a coisa está ficando feia por aqui!

[Number One]

Acho difícil uma empresa entrar com um processo contra um funcionário, salvo casos excepcionais e milionários, é bem improvável.

O que pode ocorrer é a empresa demitir o funcionário por justa causa, baseando-se no artigo 482 da CLT [desídia no desempenho das respectivas funções] e o mesmo entrar na justiça contra a empresa. O que levaria a empresa a se defender, obviamente.

Não estou certo disso, mas terceiros não processariam o funcionário, mas sim a empresa, uma vez que o funcionário representa a empresa e quando está em serviço faz parte dela. Seria ineficaz, pois o contrato não é com o funcionário e sim com a empresa.

Preciso (assim que tiver algum tempo) descobrir algo sólido sobre o tema para compartilhar com vocês, pois em conversa com alguns profissionais de uma famosa empresa de segurança nacional me foi dito que, grosso modo, quando o "bicho pega" é o funcionário e não a empresa quem responde a processo pois o ato cometido foi de responsabilidade do mesmo. Aguardem novidades sobre o assunto.

Não estudei sobre o assunto, até porque é assaz complexo, porém creio que quem responde ao processo é a empresa, como dito anteriormente, a empresa contrata um funcionário que a representa perante seus clientes. Portanto, durante o ato de negligência, o funcionário estaria representando a empresa.

O problema empregador-empregado é resolvido de outra forma (na justiça trabalhista, que aliás trabalha com o conceito de equilíbrio de forças, isto é, o empregado tem um certo "privilégio" no julgamento), já o problema contratante-contratado é resolvido perante o Código Civil.

[]'s

NumberOne