[370] Identificação

Título: Segurança da Informação – mitigando riscos e gerando economia

Instituições envolvidas: CTEEP – Transmissão Paulista
Categoria: Eficiência no Uso dos Recursos Públicos

Problema enfrentado ou oportunidade percebida

A preocupação com a manutenção dos níveis da qualidade na prestação de serviços,

associada ao uso crescente da tecnologia nas relações empresariais, exigindo investimentos
cada vez maiores e mais freqüentes, fez com que o Departamento de Tecnologia da
Informação da Transmissão Paulista buscasse otimizar a utilização dos recursos de TI
corporativos.
A busca da eficiência na utilização da tecnologia estimulou a realização de avaliações que
demonstraram que grande parte da capacidade da rede e dos equipamentos adquiridos para
a consecução dos negócios da empresa era desviada para atender a necessidades pessoais
dos empregados e, até mesmo, para o envio de mensagens pornográficas, guardar arquivos
de áudio, vídeo e música na rede corporativa, acessar sites de jogos, sexo, etc, o que, além
de denegrir a imagem da empresa e desperdiçar recursos públicos, expunha-a ao risco de
sofrer demandas judicias.
O monitoramento dos acessos à Internet já era realizado, porém de forma descontinuada e
sem uma regra que delineasse claramente o permitido e o proibido, bem como as sanções a
serem aplicadas ao empregado faltoso.
A utilização indevida da rede corporativa também podia ser constatada facilmente mas a
carência da norma restritiva impedia punições e levava a abusos por parte de empregados
equivocados quanto às responsabilidades da empresa, tais como pedidos de restauração de
arquivos pessoais perdidos.
Embora a utilização do correio eletrônico fosse regrada, a norma vigente não previa o
monitoramento das mensagens, deixando inacessível o conteúdo dos e-mails, exceção feita
apenas a algumas reclamações de empregados incomodados com correntes e spams e ao
endereçamento equivocado de mensagens pornográficas que revelavam por acidente a
inadequação do conteúdo.

Solução adotada

Diante dos problemas apresentados, o Núcleo de Segurança da Informação do

Departamento de TI , coordenado por um engenheiro especialista em tecnologia e por uma
advogada dedicada ao direito eletrônico, elaborou uma Norma de Utilização dos Recursos
de TI e uma Política de Segurança da Informação em conformidade com a Associação
Brasileira de Normas Técnicas, com o fim de estabelecer limites claros para a utilização dos
recursos de TI corporativos, prever sanções, atribuir responsabilidades e, sobretudo,
eliminar qualquer expectativa de privacidade do empregado no uso de tais recursos, o que
promoveu uma transformação cultural na empresa.
A elaboração da política de segurança e da norma corporativa demandou
o estudo da legislação vigente, por meio da aquisição de livros e da participação em
seminários e conferências , bem como o acompanhamento, via Internet, da tendência
jurisprudencial nacional e internacional. As regras sobre o uso dos recursos de TI no local
de trabalho, foram redigidas com fundamento no princípio da proteção da propriedade
privada, previsto na Constituição Federal e no poder diretivo do empregador , apontado no
art. 2º da CLT.
A política elaborada apoia-se em um tripé, também adotado pela NBR17.799, que por sua
vez reflete a norma inglesa BS7799, conforme abaixo :

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A Transmissão Paulista buscando a excelência nos serviços de transmissão de energia,
assume o compromisso de utilizar informações confiáveis e íntegras, devendo:
1. Preservar a informação, a sua confidencialidade, integridade e disponibilidade
Garantindo que as informações digitais sejam acessadas somente pelas respectivas
pessoas autorizadas;
Garantindo o acesso às informações a qualquer momento, assim como a sua exatidão e
integralidade.
2. Reduzir os riscos de erro humano
Conscientizando e treinando todos os usuários de modo a garantir a aplicação adequada
dos recursos e o atendimento às normas e procedimentos de segurança da informação.
3. Preservar e prevenir contra o uso indevido dos recursos de Tecnologia da
Informação
Salvaguardando as informações digitais depositadas nos recursos em conformidade com
estatutos, regulamentos e legislação pertinente.
O cumprimento das diretrizes será atingido através de:

Implementação da Gestão de Continuidade do Negócio

Que assegure a continuidade dos processos vitais ao negócio da empresa, por meio
da combinação de ações de prevenção e recuperação.
Que considere prazos máximos de recuperação de sistemas de acordo com uma
classificação por ordem de criticidade dos processos e contemple:
Cópias de segurança (back-up);
Tratamento adequado de mídias removíveis;
Plano de contingência;
Procedimentos de prevenção, detecção e eliminação de vírus e software
maliciosos.
Garantia da Manutenção de Instalações Adequadas
Os recursos e instalações de processamento de informações críticas ou sensíveis do
negócio devem ser mantidos em áreas ambientalmente apropriadas, se for este o
 caso, e protegidas com barreiras de segurança para evitar o acesso não autorizado,
dano ou interferência.
Deverão ser implementados procedimentos detalhados para controle às instalações
de acesso restrito.
Controle e gerenciamento da Rede
Garantir a segurança de dados na rede, assim como a proteção dos serviços
oferecidos contra acessos não autorizados, utilizando um conjunto de controles,
considerando:
o uso de tecnologias que assegurem a confidencialidade e a integridade
dos dados que trafegam por redes públicas e privada;
coordenar as atividades de gerenciamento de forma a otimizar o serviço
prestado e garantir a aplicação dos procedimentos de segurança em toda a
infra-estrutura de processamento da informação.
Estabelecimento de um Gerenciamento de Acesso
Através de procedimentos de controle do acesso aos sistemas de informação e
serviços, que estabeleçam regras para inclusão e exclusão de usuários.
Co-responsabilização dos Usuários pela Segurança da Informação
Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalações e
informações da Organização por meio de programas de conscientização e
treinamento.
Capacitar todos os empregados e demais usuários, atuais e novos, para a utilização
adequada dos recursos de Ti por meio de treinamento e da divulgação, das normas e
procedimentos de segurança adotados pela empresa.
Salvaguarda de Registros Organizacionais
Garantir a proteção de registros e informações legais e essenciais ao negócio contra
perda, destruição ou falsificação, para atender a requisitos estatutários,
regulamentares, de auditoria ou que possam assegurar a defesa adequada contra
potenciais processos civis ou criminais, etc
Respeito aos Direitos de Propriedade Intelectual
Utilizar somente softwares oficiais e limitados à quantidade contratada, em respeito
à legislação do direito autoral.
Registro dos Incidentes de Segurança
Todos os incidentes de segurança relacionados à Tecnologia da Informação
(fragilidades ou ameaças, ocorridas ou suspeitas) devem ser notificados ao
Departamento de Tecnologia de Informação.
Monitoramento do Uso e Acesso ao Sistema
Adotar sistemas de monitoramento para detectar divergências entre a norma de
controle de acesso e os registros e eventos monitorados, fornecendo evidências no
caso de incidente de segurança.
O objeto da Política é disseminar, por intermédio de ações preventivas, as diretrizes que
norteiam o uso adequado da tecnologia da informação. Tais ações obrigaram uma alteração
na cultura empresarial em vigência ao eliminar qualquer expectativa de privacidade em
relação ao patrimônio da instituição. Cerca de 20 palestras foram realizadas, abrangendo
mais de mil usuários, bem como um amplo processo de divulgação que incluiu uma
mensagem do presidente para todos os empregados, via e-mail, com cópia da Norma
anexada; a elaboração de uma cartilha que foi entregue junto com o aviso de pagamento; a
criação de um endereço eletrônico para encaminhamento de dúvidas , a publicação da
Norma em meio eletrônico, na Intranet, além de matérias no jornal corporativo.
O processo de monitoramento e atribuição de responsabilidades teve início com um período
educativo, onde o usuário faltosos era convidado a reler a Norma . Esse período teve a
duração de dois meses, após o que, os gerentes foram liberados para tomar as providências
cabíveis, segundo a Norma de RH que estabelece os critérios para aplicação de medidas
disciplinares.
A Norma Corporativa aprovada apontou objetivos; demonstrou que a mesma é aplicável a
todos os usuários dos recursos de TI, inclusive terceiros; indicou diretrizes; definiu com
clareza as transgressões graves que expõem o infrator ao risco de demissão por justa causa;
esclareceu que o uso de TODOS os recursos de TI é monitorado; atribuiu
responsabilidades pelo monitoramento e pelo descumprimento da regra, como pode ser
constatado no resumo abaixo:

Todos os empregados da Empresa

5.1. Utilização dos recursos de Tecnologia da Informação

Os equipamentos e o sistema que viabiliza toda a atividade de acesso eletrônico à
rede corporativa e à conexão com a Internet, assim como as informações geradas,
recebidas, armazenadas e transmitidas, compõem patrimônio da empresa e, como tal,
devem ser entendidos. Assim sendo, todos os empregados da empresa obrigam-se ao
atendimento das seguintes diretrizes:

5.1.1. Utilizar os recursos de Tecnologia da Informação somente para a consecução dos

negócios da empresa.

5.1.2. Acessar diretamente computadores externos apenas para obter ou retransmitir

informações digitais cujo conteúdo esteja relacionado com a rotina de trabalho.

5.1.3. Racionalizar o envio de informações digitais, evitando excessos de mensagens que

sobrecarreguem a rede e provoquem lentidão na transmissão de informações e
prejuízo para a Empresa.

5.1.4 Utilizar somente programas e equipamentos homologados e instalados pelo AI. Os

programas computacionais e equipamentos de uso específico e restrito a um
departamento, e que não demandem recursos da rede corporativa, serão
homologados e instalados pelas áreas internas competentes, que deverão informar
previamente ao Departamento de Tecnologia da Informação - AI.
5.1.5 Adotar senhas de acesso para garantir a segurança das informações e a proteção dos
equipamentos.

5.1.6. Usar o Correio Eletrônico da Transmissão - Cet e a Internet para a realização dos
trabalhos pertinentes as atividades da área .Os mesmos recursos de TI podem ser
utilizados para facilitar o atendimento aos compromissos pessoais e realizar ações
de cidadania, desde que não afetem negativamente a rotina de trabalho . Os casos
omissos, submetem-se à aprovação da gerência do empregado.

5.1.7. Atender as instruções e sugestões de uso do Cet disponíveis na Intranet da

Transmissão Paulista - Transnet.

5.1.8. Buscar informações digitais que possibilitem atualização profissional.

5.1.9. Encerrar o Cet ao fim da utilização.

5.1.10. Atender as diretrizes da Norma NG.5.04.18 – Segurança Interna, na utilização dos

recursos de TI.

5.1.11. Aplicar as regras estabelecidas pelo Manual de Competências para o envio de

mensagens.

5.2. Transgressões graves

As seguintes condutas serão classificadas como falta grave e o infrator estará sujeito
a sanções disciplinares:

5.2.1. Enviar, em nome da Empresa, mensagens que externem opiniões pessoais .

5.2.2. Enviar textos, figuras ou desenhos que comprometam a reputação ou a imagem da

Empresa.

5.2.3. Divulgar informações confidenciais ou de propriedade da Empresa, sem a devida

autorização.

5.2.4. Utilizar os Recursos de Tecnologia da Informação para fins de outros ganhos

pessoais.

5.2.5. Acessar ou armazenar material pornográfico.

5.2.6. Enviar mensagens com conteúdo, sexual, político, ideológico, racista,

discriminatório, ofensivo ou difamatório.

5.2.7. Utilizar os equipamentos computacionais da Empresa para conseguir acesso não

autorizado a qualquer outro computador, rede, banco de dados ou informação
guardada eletronicamente (interna ou externamente).

5.2.8. Enviar cópias de arquivos sem a autorização do proprietário.

5.2.9. Copiar, distribuir ou imprimir material protegido por direitos autorais.

5.2.10. Desativar ou violar os dispositivos de segurança instalados nos equipamentos.

5.2.11. Enviar mensagens, do tipo corrente, que se multiplicam sucessivamente, através de

recomendações para que o destinatário as repasse a seus conhecidos (pedidos de
ajuda, alertas sobre vírus, etc.).

5.2.12. Compartilhar com terceiro as senhas de acesso aos recursos de TI. As senhas são
pessoais e intransferíveis.

5.3. Monitoramento

O monitoramento da utilização dos recursos de tecnologia da informação é direito da

Empresa, amparado legalmente. Como tal, é suscetível aos processos de auditoria.

As informações privadas protegidas legalmente, tais como as contidas em sites de

instituições financeiras e de centros de medicina diagnósitca, não serão monitoradas.
As demais somente serão divulgadas quando solicitadas por comissão de sindicância,
devidamente nomeada, conforme estabelecido pelas normas NE.5.02.02 – Conduta do
Profissional do Departamento de Tecnologia da Informação e Norma 04.03.15 –
Critério para Aplicação de Medidas Disciplinares.

Departamento de Tecnologia da Informação - AI

5.3.1. Monitorar, a qualquer tempo e sem prévio aviso, o envio, recepção e armazenamento
de mensagens, com o intuito de assegurar que os meios de produção oferecidos pela
Empresa atendam ao fim para o qual foram destinados.

5.7. Medidas Disciplinares

Gerente de Divisão

5.7.1. Aplicar sanções disciplinares ao empregado que violar ou permitir a violação desta
norma, de acordo com a Norma 04.03.15 – Critérios para Aplicação de Medidas
Disciplinares.

5.7.2. Tomar as medidas cabíveis para aplicação de penalidades a prestadores de serviços

por transgressão desta norma.

5.8. Sanções a terceiros

Responsável pelo contrato

5.8.1. Solicitar a inclusão de cláusula de obrigatoriedade do conhecimento e cumprimento
desta Norma, nos contratos de prestação de serviços que envolvam tecnologia da
informação. Os contratos devem estabelecer quais recursos de TI serão
disponibilizados pela Empresa.

5.8.2. Encaminhar a aplicação das sanções para as infrações estabelecidas no contrato do

serviço e este deve aplicar a Lei de Licitações e Contratos n.8666/93, atualizada
pelas Leis n. 8883/94 e 9032/95.

O processo de divulgação da Norma de Utilização dos Recursos de TI,

uma das ações previstas pela Política de Segurança da Informação, buscou esclarecer a
todos os usuários, porque as conseqüências do uso indevido são nocivas para a instituição;
a base legal que dá suporte às restrições de uso e o legítimo e legal direito do empregador
de monitorar a utilização dos meios de produção adquiridos para a realização do negócio da
empresa. Os recursos de TI também compõem este patrimônio. São recursos de TI, a rede, a
senha, as informações armazenadas no equipamento, a conexão com a Internet, etc., além
do próprio equipamento. O esclarecimento a respeito do direito de propriedade serve de
introdução e justifica a decisão pela adoção do monitoramento da utilização dos recursos
de TI como prevenção a futuras demandas judiciais por seu uso indevido.
Este tema vem sendo objeto de discussão jurídica, predominando a tendência, hoje já
amparada por jurisprudência, que afirma serem os recursos de TI ferramentas de trabalho
de propriedade do empregador, cuja utilização pode e deve ser normatizada e monitorada
pelo mesmo. A adoção de políticas de monitoramento do e-mail corporativo e de
fiscalização da Internet encontram suporte legal no princípio da proteção da propriedade
privada, previsto na Constituição Federal, e no poder diretivo do empregador, apontado no
artigo 2º da Consolidação das Leis do Trabalho. Além disso, o novo Código Civil, em seu
artigo 932, inciso III, não deixa dúvidas quanto à responsabilidade objetiva do empregador
de reparar os danos que o empregado venha a causar no exercício de suas atividades
profissionais, o que reforça, muito além do direito, o dever da empresa de controlar o uso
que seus empregados fazem dos meios de produção. No caso de instituições públicas, a má
gestão de recursos gera conseqüências muito mais graves que na esfera privada. O
administrador dos recursos públicos deve adotar medidas preventivas do mau uso .

A justificada preocupação da Diretoria da Transmissão Paulista com a legalidade da norma

proposta, principalmente no que concerne à violação de correspondência, fez com que o
teor dos documentos elaborados fosse discutido por 11 meses, de julho de 2003 a junho de
2004, antes da aprovação final. Superada a dúvida legal, novos questionamentos foram
feitos exigindo a substituição de diversas palavras por sinônimos mais específicos e até
mais suaves. Além disso, algumas das restrições de uso propostas pelo núcleo de segurança
da informação não foram aceitas.

A principal preocupação, quando da execução do plano de divulgação dos documentos

aprovados, era a resistência dos empregados diante de uma nova realidade que deixava
claro serem os recursos de TI patrimônio público e questionava até mesmo hábitos de
linguagem, tais como: “meu micro”, “meu e-mail”. Entretanto, a experiência demonstrou
que os usuários de TI aceitam o monitoramento dos recursos, incluindo as mensagens
enviadas por intermédio do e-mail corporativo, sem grandes questionamentos, quando os
vergonhosos números do uso indevido são revelados e a base jurídica esclarecida, já que
esta última acaba com qualquer expectativa de privacidade em relação aos meios de
produção adquiridos pela instituição para a realização de sua função social. Outro
esclarecimento que colaborou para a aceitação tranqüila do monitoramento, por causar
indignação ao bom usuário, é a revelação de que muitas vezes ilícitos penais são cometidos
por via eletrônica e que as instituições comprometidas com a lei devem reportar as
ocorrências, se houverem, às autoridades competentes.

Após a aprovação da norma corporativa, porém antes das palestras, um levantamento do

conteúdo das mensagens com anexo enviadas para fora da empresa pelos 3000
empregados com caixa postal foi realizado. Essa avaliação não indicou a autoria das
mensagens mas apenas classificou o conteúdo. Os resultados obtidos foram os seguintes:

Média diária de mensagens com anexo enviadas: 2.900

Conteúdo

Trabalho: ................................................................. 377 (13%)

Pessoal: ......................................................................348 (12%)
Não Identificado:........................................................348 (12%)
Pornografia, Piadas e Correntes..........................1.827 (63%)

É importante esclarecer que o sucesso do projeto só foi possível com a criação, pelo
Departamento de Tecnologia da Informação, de um Núcleo de Segurança da Informação.
Todas as ações propostas e os critérios estabelecidos foram discutidos pelo Núcleo,
juntamente com o Gerente de TI, o que eliminou qualquer chance de contradição nas
soluções adotadas e nas respostas aos questionamentos.

Características da iniciativa

O desvio de finalidade na utilização dos recursos de TI expõe o empregador a inúmeros

riscos legais, tais como, desrespeito à lei do software, ao direito autoral, o envio pelo
empregado de mensagens com vírus ou com arquivos prejudiciais à rede, mensagens
pornográficas, violentas, criminosas, difamatórias ou caluniosas, capazes de fundamentar
processos por dano moral e denegrir a imagem da empresa, além do conseqüente prejuízo
causado pela perda de produtividade e pela lentidão da rede.
Assim, a aprovação de Normas Corporativas referentes à utilização dos recursos de TI,
aperfeiçoadas por uma Política de Segurança da Informação que proponha ações para
possibilitar ao empregado compreender a importância do bem que as normas buscam
proteger, é prática recomendável às instituições preocupadas com a excelência dos serviços
prestados e com a responsabilidade social que evidentemente têm.
O e-mail corporativo deve ser entendido como parte dos meios de produção por tratar-se
de ferramenta de trabalho adquirida para a consecução dos negócios da empresa e não
instrumento para a comunicação privada.
Quem realiza a comunicação pelo e-mail corporativo é, em qualquer circunstância, a
empresa e não o empregado. A monitoração do uso do e-mail não difere dos demais
controles realizados pela empresa e tem a finalidade de assegurar o uso adequado deste
recurso. A alegação de violação de correspondência, crime previsto no art.151 do Código
Penal, cai por terra após uma análise cuidadosa da legislação. A definição de
correspondência é fornecida pela Lei Postal e o e-mail, por sua vez, não se encontra entre
os meios de comunicação classificados como tal.
O monitoramento do e-mail corporativo é proposta inovadora que obriga a reflexão e dirige
o empregado à conclusão de que é necessário separar ambiente público e privado,
patrimônio pessoal e empresarial, lazer e trabalho. A posteriori, a jurisprudência ratificou a
escolha feita pela Transmissão Paulista ao julgar o monitoramento do uso dos recursos de
TI direito legal do empregador, constituindo prova lícita e hábil a instruir processos
judicias.
Os resultados da mudança cultural conquistada com a conscientização dos usuários
puderam ser sentidos logo nos primeiros meses após a aprovação dos documentos.

Em novembro de 2004, 3 meses após o término do período educativo, o número de

mensagens com anexo enviadas diariamente para fora da empresa apontava uma redução de
80%: de 2.900 mensagens/dia para 600.
Nova avaliação feita em julho de 2005 revelou que este índice continua a regredir, somando
uma redução total, em relação ao início, de 88%: de 2.900 para 350 mensagens/dia.

Outro resultado positivo foi a reversão de tendência no uso da conexão com a Internet, que
retrocedeu 1 ano e eliminou a necessidade de aditivo contratual já previsto, no valor mensal
de R$6.500,00 (seis mil e quinhentos reais). A economia acumulada no período de 12
meses soma R$78.000,00 (setenta e oito mil reais).
O gráfico abaixo demonstra a ocupação na banda da Internet.

Verde - Tráfego de entrada

Azul - Tráfego de saída

É importante notar que a redução no tráfego de saída se acentua no início de junho, o que
coincide com o envio de mensagem eletrônica do presidente da empresa para todos os
empregados, informando sobre a aprovação da norma. Outro esclarecimento é necessário.
Embora o tráfego de entrada apresente crescimento é preciso considerar que o número de
empregados com acesso à Internet cresceu 15% no período, passando de 1300 para 1500,
que o número de serviços oferecidos pela Internet também aumentou e que, embora as
ações anti-spam tenham bloqueado, apenas no período de janeiro a maio de 2005, 335 mil
mensagens não solicitadas, este bloqueio ocorre apenas depois de o spam penetrar a rede,
deixando registrado no gráfico o espaço que ocupa na banda da Internet.

Em termos de gerenciamento de pessoal a política de segurança também trouxe benefícios.

O controle do uso dos recursos de TI fornece aos gerentes mais um instrumento de gestão
na medida em que ajuda a delinear o perfil do empregado e obriga a chefia imediata a
aplicar sanções em caso de transgressão do disposto pela norma corporativa.
As restrições de acesso (Internet), a proibição dos arquivo de música, áudio, vídeo, etc., e o
monitoramento do conteúdo dos e-mails, diminuíram o tempo gasto com lazer e,
consequentemente, aumentaram a produtividade e estimularam o uso responsável do
patrimônio público. Uma prova dessa conscientização é o grande número de dúvidas
encaminhadas por e-mail para o núcleo de segurança, a grande maioria, sobre como
conduzir-se adequadamente.

Outra conquista importante foi o beneficio à imagem da empresa, que passou a ser
associada a modernidade e segurança. Essa boa imagem fez com que diversas instituições
governamentais e privadas, solicitassem a colaboração da Transmissão Paulista para a
elaboração e implantação de suas políticas de segurança.
A Transmissão Paulista colaborou, até o momento, com as seguintes instituições:

ANTT - Agência Nacional de Transportes Terrestres;

Assembléia Legislativa da Bahia;
ACECO;
Bahiagás – Companhia de Gás da Bahia;
Banco SOFISA;
CCEE – Câmara de Comércio de Energia Elétrica;
CERON – Centrais Elétricas de Rondonia;
CELESC – Centrais Elétricas de Santa Catarina;
CHESF– Centrais Hidroelétricas do Rio São Francisco
CODEVASF – Companhia de Desenvolvimento dos Vales do São Francisco;
CGTEE – Companhia de Geração Térmica de Energia Elétrica;
CESP -Companhia Energética de São Paulo;
COPEL – Companhia Paranaense de Energia;
CPFL – Companhia Paulista de Força e Luz;
Eletrobrás;
Eletronorte;
Hospital das Clínicas SP;
NAZCA Cosméticos
Prodeb – Companhia de Processamento de Dados do Estado da Bahia;
Secretaria da Fazenda SP;
Secretaria de Energia SP;
Secretaria do Meio Ambiente SP;
Tribunal de Contas do Estado de São Paulo;

Lições aprendidas
A implantação da Política de Segurança e da Norma de Utilização dos Recursos de TI
permitiu a verificação da adequação da proposta elaborada e também revelou fragilidades.
O núcleo de segurança da informação acertou ao convencer a direção da empresa a fazer do
projeto uma diretriz empresarial.
O envolvimento pessoal do presidente, inclusive com mensagem enviada a cada
empregado, deu autoridade ao núcleo para implantar as ações previstas na política de
segurança.
A estratégia de divulgação dos documentos, que utilizou todos os meios de comunicação
disponíveis na empresa, eliminou a necessidade da assinatura de um termo aditivo ao
contrato de trabalho (segundo o artigo 444 da CLT). A publicidade é requisito para a
validade do regulamento e, por força da natureza adesiva do contrato de trabalho, o seu
conteúdo passa a constituir cláusula deste mesmo contrato. Além disso, o e-mail
encaminhado pelo presidente, com a norma anexada, foi enviado com recibo de entrega, o
que permite registrar o dia e a hora em que o destinatário leu a mensagem. Esse recurso
tecnológico, associado à elaboração de uma cartilha contendo orientações sobre o bom uso
dos recursos de TI, que foi entregue aos empregados junto com o aviso de pagamento do
mês de agosto de 2004, afastaram qualquer possibilidade de alegação de desconhecimento
da norma corporativa, por parte do mau usuário.

As 22 palestras realizadas buscaram apresentar, de forma clara e didática, a base legal que
sustenta o direito ao monitoramento e revelar, sem identificar a autoria, abusos cometidos
por empregados. As informações apresentadas durante as palestras e a disposição para
responder a todas as perguntas, sem qualquer censura, foram parte importante na
construção do sucesso do projeto.
O período educativo foi muito positivo pois permitiu ao empregado aprender com seus
erros, evitando desgastes desnecessários. Durante esse período, inúmeras dúvidas foram
encaminhadas ao núcleo de segurança por empregados preocupados em acertar.

A aplicação efetiva da norma revelou alguns problemas. O primeiro deles é a flexibilização

das restrições, representada pela permissão do uso social dos recursos de TI (atendimento a
compromissos pessoais e realizar ações de cidadania). Tal flexibilização tornou
interpretativa a adequação ou não do conteúdo da mensagem enviada ao estabelecido pela
norma. Outro problema foi o fato de não constar entre as proibições a restrição ao conteúdo
religioso e a imprecisão quanto a alguns tipos de arquivo, tais como, áudio, vídeo, entre
outros.
Os problemas revelados pelo monitoramento apontaram a necessidade de revisão da norma
corporativa para adequá-la à realidade. No momento encontra-se em processo de aprovação
pela Diretoria uma nova versão da norma que amplia as restrições ora vigentes com o
objetivo de eliminar qualquer necessidade de interpretação na realização do
monitoramento, assegurar agilidade e isonomia na aplicação de medidas disciplinares e
regrar situações antes não contempladas.
Também será apreciado pela Diretoria um Procedimento para o Monitoramento, elaborado
para tornar auditáveis as ações do núcleo de segurança. Embora este Procedimento já
exista, sua primeira versão não passou pela aprovação da Diretoria por se tratar de
documento interno ao departamento de TI. A decisão de submetê-lo à aprovação da
Diretoria, exigência dispensável segundo as regras da Transmissão Paulista, deve-se à
busca total transparência nas ações de segurança realizadas pelo núcleo.
A atuação do núcleo de segurança foi objeto de auditoria recentemente e o relatório final,
ainda não publicado, foi positivo. Um problema foi detectado pela auditoria, mas escapa à
responsabilidade do núcleo de segurança e concentra-se em questões relativas ao
gerenciamento de pessoal, qual seja, a ocorrência de reincidências de violação da norma
empresarial. A revisão em processo de aprovação deverá eliminar a morosidade e até
resistência por parte de uns poucos gerentes, na aplicação de medidas disciplinares,
solucionando o problema da reincidência.
Por fim, é importante ressaltar que a implantação tranqüila do projeto só foi possível
porque a ética esteve presente em cada ação.
A norma faz lei para todos os usuários dos recursos de TI, do presidente ao terceiro
prestador de serviço. Todos os acessos à Internet são monitorados e classificados segundo o
assunto. O monitoramento do conteúdo dos e-mails é realizado de forma aleatória e por
amostragem. O núcleo de segurança tem acesso a todas as caixas postais, sem qualquer
exceção. Os avisos de violação de norma corporativa são encaminhados, em qualquer caso,
para a chefia imediata do empregado. Essa imparcialidade comprovada pela auditoria
realizada imprime seriedade ao trabalho e dá tranqüilidade ao usuário.
Outro fator vital para o sucesso do projeto é o sigilo absoluto obrigatório que acompanha
todas as ações do núcleo de segurança. O infrator da norma corporativa não será, em
nenhuma hipótese, publicamente exposto. Apenas o próprio empregado e sua chefia
imediata serão informados sobre o incidente.
As ações realizadas com discrição, imparcialidade e seriedade, e a determinação de
responder a todas as dúvidas encaminhadas, com fundamento no disposto pela norma
corporativa e, dependendo do caso, na legislação positivada, transportaram a implantação
de um projeto potencialmente polêmico para uma situação de calmaria e segurança, com
benefícios para todos.

Resumo do trabalho

Objetivo: garantir a eficiência no uso dos recursos de TI corporativos e proteger a empresa

contra a ocorrência de demandas judiciais.
Solução: adoção de uma Política de Segurança, de uma Norma de Utilização dos Recursos
de TI e de uma série de ações, entre as quais o monitoramento dos e-mails.
Resultados: aumento da produtividade, redução de riscos legais gerados por e-mails com
conteúdo ilícito ou ofensivo, eliminação de portas de recepção a vírus, administração
tranqüila da rede com a diminuição de downloads e liberação de banda no canal de acesso à
Internet gerando significativa economia.