Monitoramento de Usuário – A empresa pode?

Monitorar as atividades dos funcionários em ambiente de trabalho é um tema que precisa ser navegado com cuidado, mas pode ajudar em investigações de fraudes.

Por André Mazeron | Diretor Executivo da Leverage

Recentemente fomos questionados por um cliente sobre monitoramento de atividades de usuário em apoio a uma investigação interna. Daí surgem duas questões: A empresa tem este direito? Se sim, como fazê-lo?

Monitorar ou não

A empresa é a proprietária do computador, do software que roda nele, paga a conexão com a internet e é a responsável legal pelas ações do empregado durante o trabalho. Logo, pode fazer o que bem entender para assegurar o uso correto destes recursos, certo? Não é tão simples assim, especialmente quando isto envolve algum uso pessoal destes recursos, tais como email pessoal e redes sociais.

Uma vez que a Constituição Federal assegura o direito da confidencialidade das comunicações, o que é reforçado pelo Marco Civil da Internet, o ideal é a organização bloquear, reduzir ou disciplinar o uso pessoal do computador de trabalho. Bloquear inteiramente pode não ser viável, já que frequentemente o acesso às redes sociais pode ser necessário para as atividades do funcionário. Mas é fundamental que as regras de uso estejam previamente combinadas.

O contrato de trabalho é o instrumento para isto. Ele deve explicitar que a empresa desaprova o uso do computador de trabalho para uso pessoal e que pode, a seu critério, monitorar de que forma estes recursos são utilizados, dando ciência ao colaborador que, ao optar por fazer algum tipo de acesso pessoal no computador de trabalho, estes dados podem ser registrados pela empresa. A política de segurança também deve abordar isto, mas não tem o mesmo peso legal do que o contrato e deve ser pensada como ferramenta complementar para reforço e conscientização das regras.

Na prática, qualquer organização que possua um proxy/firewall em seu ambiente já tem a capacidade de ao menos saber que sites o colaborador acessa, o que é necessário até mesmo para a qualidade do acesso, mas conforme a necessidade do negócio, pode ser necessário ir mais além e analizar o conteúdo trafegado. Na ausência deste tipo de comunicação prévia das regras no contrato ou política de segurança, o melhor é se abster do monitoramento.

O que e como monitorar

Sua organização já se preparou para ter o direito de poder monitorar o uso dos sistemas. Como fazê-lo e até onde ir? Se o objetivo é simplesmente lidar com produtividade, o simples log de sites acessados já pode ser suficiente. Por exemplo, um funcionário que não precisa de Facebook para suas atividades, mas passa 2 horas por dia neste site. Vale lembrar que a justiça já confirmou demissão por justa causa de funcionários que acessavam sites pornográficos durante o horário de expediente.

No caso de suspeitas de fraude, isto não basta. Alguns serviços de correio corporativo já trazem ferramentas para apoiar nisto, tais como o recurso de Litigation Hold do Exchange e Office 365, o qual salva todas as mensagens de uma caixa postal impedindo até a perda de emails deletados.

Ou pode ser necessário ir ainda mais fundo e acompanhar tudo o que o colaborador faz na estação, independente do aplicativo. Isto requer o uso de ferramentas adicionais. Algumas das soluções existentes permitem gerar vídeo e metadados de todas as ações realizadas, de forma que a empresa pode auditar aplicativos e arquivos abertos, cliques, navegação, uso de dispositivos USB e quaisquer outras ações tomadas pelo usuário. As melhores ferramentas são capazes até mesmo de guardar as ações que o usuário toma quando está desconectado da rede, enviando-as ao servidor de auditoria quando ele se reconectar. Ou então monitorar a atividade de usuários remotos, via internet.

Ações tomadas, aplicativos e arquivos abertos, além da captura da tela. Tudo fica disponível para auditoria.

Além disso, o monitoramento não se restringe à estações. Dependendo do caso, servidores Windows e Linux também podem demandar monitoramento para que a organização audite ações realizadas sobre eles, localmente ou remotamente.

Esta coleta pode ser fundamental na detecção de fraudes, roubo de informações e outras ameaças internas. É importante que a empresa tome cuidados para evitar acesso a conteúdo como emails particulares. O bloqueio disto na origem ainda pode ser o melhor método. Além disso, lembre-se que estas não são ferramentas para uso geral, para 100% do tempo, mas são parte dos recursos que a empresa deve ter ao seu dispor para investigações e auditorias internas.