junho 26, 2012

[Segurança] Normatizando o uso seguro das redes sociais

O governo federal lançou recentemente uma norma de segurança sobre o uso de redes sociais em órgãos públicos. A Norma Complementar nº 15/IN01/DSIC/GSIPR, chamada de "Diretrizes para o uso seguro das redes sociais na Administração Pública Federal (APF)", foi criada pelo Departamento de Segurança da Informação e Comunicações (DSIC) e foi publicada no Diário Oficial da União no dia 21 de junho, através do Conselho de Defesa Nacional, órgão ligado diretamente à Presidência da República.

De acordo com o texto da norma publicado no Diário Oficial, o objetivo dela é de "estabelecer diretrizes de Segurança da Informação e Comunicações para o uso das redes sociais, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta".

Esta norma é uma iniciativa interessante de tentar criar algumas diretrizes para as entidades interessadas em criar critérios de segurança para o uso de redes sociais e poderia servir de exemplo também para o uso nas empresas, porém esta norma não traz grandes inovações nem grandes novidades. A maior parte do texto da norma é relacionado a considerações iniciais, fundamentos e conceitos, e são indicadas poucas recomendações práticas de segurança.

O principal aspecto da norma é que ela veta a terceirização da administração e da gestão dos perfis "oficiais" nas redes sociais. Em geral, poucos parágrafos merecem algum destaque, ao meu ver:
  • Parágrafo 5.2: recomenda que a norma seja válida para quem administre o perfil oficial da entidade e, também, para todos usuários que acessem alguma rede social: "A normatização interna de uso seguro das redes sociais deve estar alinhada tanto à Política de Segurança da Informação e Comunicações (POSIC) quanto aos objetivos estratégicos do órgão ou entidade. Também deve estabelecer diretrizes, critérios, limitações e responsabilidades na gestão do uso seguro das redes sociais, por usuários que tenham permissão para administrar perfis institucionais ou que possuam credencial de acesso para qualquer rede social, a partir da infraestrutura das redes de computadores da APF"
  • Parágrafo 5.4 (e 5.5): Define que somente servidores públicos podem ser responsáveis pelo perfil da entidade, que não pode ser terceirizado: "Perfis institucionais mantidos nas redes sociais devem, preferencialmente, ser administrados e gerenciados por equipes integradas exclusivamente por servidores ou empregados públicos federais ocupantes de cargo efetivo ou militar de carreira, de órgão ou entidade da APF. Quando não for possível, a equipe pode ser mista, desde que sob a coordenação e responsabilidade de um servidor ou empregado público."
  • Parágrafo 5.6: Define o perfil profissional do responsável pelas contas em redes sociais em nome da entidade: "O órgão ou entidade da APF deve nomear um servidor público, ocupante de cargo efetivo ou militar de carreira, para a função de Agente Responsável pela gestão do uso seguro de cada perfil institucional nas redes sociais, com o seguinte perfil profissional: capacidade de estabelecer bons relacionamentos interpessoais, de interagir e dialogar com as demais áreas presentes nas redes sociais, proativo e, principalmente, que conheça e entenda o negócio do órgão ou entidade da APF a que esteja vinculado."


Me parece que a norma deixou de regulamentar muitos aspectos importantes referentes aos riscos do uso de redes sociais. Não basta limitar quem é o responsável por administrar o perfil oficial da entidade, mas o mais importante, na minha opinião, é regulamentar como os usuários devem se portar nas redes sociais a partir do ambiente de trabalho. Isto poderia incluir vários aspectos, como evitar citar aspectos internos do trabalho, não responder questões de trabalho através do perfil pessoal, não se envolver em grupos ou discussões relacionados negativamente ao órgão e ao trabalho, e não publicar mensagens de conteúdo ofensivo ou moralmente questionável.

Além do mais, não basta proibir a terceirização da gestão dos perfis e definir exigências mínimas para funcionário responsável pelos perfis. É importante definir que somente as pessoas relacionadas a área de comunicação e relações institucionais da empresa podem publicar mensagens em nome da entidade, e que estas pessoas devem ter treinamento específico sobre comunicação corporativa e sobre o correto uso de redes sociais. Além do mais, a norma poderia orientar que, para discussões e questionamentos online que envolvam determinados detalhes, a área responsável pelo perfil tem que solicitar o envolvimento de outras áreas relacionadas a discussão em questão.

Entretanto, como a norma acima faz menção as demais políticas de segurança existentes na entidade, alguns aspectos podem ser omitidos, como o cuidado na discussão sobre assuntos confidenciais ou com o vazamento acidental de informações, pois isto já deveria estar previsto em outras normas.
o texto completo da norma está disponível no site do Diário Oficial da União e a notícia de sua publicação foi divulgada também no site do DSIC. Não custa lembrar que esta norma só vale para os órgãos da Administração Pública Federal (APF).

Um comentário:

Guilherme Damasio Goulart disse...

Concordo inteiramente Anchises. Creio que eles perderam uma grande oportunidade de citar e regular o "aspecto comportamental", como tu mesmo ressaltou.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.