prÁticas e polÍticas de monitoramento de e-mails e...
TRANSCRIPT
Monitoramento Eletrônico no Local de Trabalho: dois estudos de casos com
gestores da área de Tecnologia de Informação
Anatália Saraiva Martins Ramos
Doutora em Engenharia de Produção
Docente do Programa de Pós-graduação em Administração
Universidade Federal do Rio Grande do Norte
Campus universitário – Lagoa Nova - Natal-RN CEP: 59072-970
Email: [email protected] Telefone: 84-8807-3324
Tânia Regina Nery
Mestre em Administração
Doutoranda em Ciências da Administração na Universidade do Minho, Portugal
Email: [email protected]
Naíla Kelly Lima
Mestre em Administração
Docente da Faculdade das Atividades Empresariais de Teresina
Rua Jornalista Hélder Feitosa, 1040 - Bairro Iningá - Teresina-PI CEP: 64049-660
Email: [email protected]
2
Monitoramento Eletrônico no Local de Trabalho: dois estudos de casos com gestores da área de Tecnologia de Informação
Resumo O uso do e-mail e o acesso à Internet aumentam a eficácia no trabalho mas ao mesmo tempo constituem-se em ameaça à segurança da informação corporativa e à produtividade do funcionário no ambiente de trabalho. O monitoramento eletrônico tem se apresentado como uma alternativa para o equilíbrio dessa situação. Este trabalho discute a questão do monitoramento eletrônico, particularmente quanto à correspondência eletrônica e ao uso da Internet no trabalho e relata as práticas adotadas por duas empresas do ramo de varejo de alimentos. Foi empregada a pesquisa exploratória, de natureza qualitativa, através do método de estudo de caso. O procedimento de coleta de dados adotado foi a entrevista em profundidade, tendo como entrevistados os responsáveis pelo setor de Tecnologia de Informação dessas organizações. Os resultados mostraram que as políticas são pautadas em uma empresa pela necessidade de segurança da informação e em outra pelo controle da produtividade do funcionário. Percebeu-se ainda que a inexistência de monitoramento das comunicações internas em ambas decorre de razões distintas, em um caso pela confiança nos funcionários e no outro pela proteção assegurada pela Intranet. Baseado nestes resultados, são apresentadas algumas contribuições teóricas do estudo e implicações gerenciais práticas. Palavras-chave: Gestão da Tecnologia da Informação. Monitoramento eletrônico no Local de Trabalho. Segurança da Informação.
Electronic Monitoring in the Workplace: two case studies among Information Technology area managers
Abstract The email usage and the Internet access increase the work effectiveness but also they consist in threat to the information security and to the productivity of the employee in the work environment. The electronic monitoring has presented as an alternative for the balance of this situation. This research presents the question of the electronic monitoring, particularly how much to the email and Internet use in the workplace. Also, this work describes the adopted surveillance strategies and policies for two retail companies. The reseach method is the descriptive type, at qualitative approach, using the case study method. Data was collected primarily via interview of individuals from Information Technology managers. Results indicated that the policies are managed for the aim of information security, in a company, while in another was the control of the productivity of the employee. Based on these results, theoretical contributions of the study along with practical implications are reviewed. Keywords: Information Technology Management. Electronic Monitoring in the Workplace. Information Security.
3
Monitoramento Eletrônico no Local de Trabalho: dois estudos de casos com
gestores da área de Tecnologia de Informação
1. Introdução
Nesta era eletrônica e de uso intensivo da informação, é crescente a
preocupação dos empregadores com a segurança dos dados corporativos. Este é
um dos principais motivos que leva à adoção de políticas de monitoramento
eletrônico, as quais reduzem a privacidade de profissionais em escritórios e fábricas.
Nos Estados Unidos, 76% das empresas monitoram ou fiscalizam a conexão dos
websites de seus funcionários, 65% utilizam softwares de bloqueio a sites proibidos
pela empresa e 55% monitoram os e-mails dos funcionários, segundo pesquisa da
American Management Association (AMA, 2005). Segundo dados dessa pesquisa,
os gestores estão cada vez mais demitindo trabalhadores que violam os privilégios
computacionais, e mais especificamente 26% das empresas já demitiram
funcionários por utilização indevida de e-mails.
Na Inglaterra, uma lei específica conhecida como ‘Regulation of Investigatory
Powers’ (RIP, 2000), em vigor desde outubro de 2000, autoriza as empresas a
monitorar e-mails e telefonemas de seus funcionários, mas essas questões que
envolvem a privacidade não são consensuais em muitas cortes internacionais. No
Brasil, as práticas de monitoramento são bastante difundidas, porém a jurisprudência
legal que as sustentam nas empresas é recente. O Tribunal Superior do Trabalho
(TST) decidiu que o empregador tem o direito de violar o sigilo de correspondência
do e-mail colocado à disposição do funcionário, com a finalidade de obter provas
que justifiquem a demissão por justa causa (FOLHA ONLINE, 2005). Um dos casos
de demissão por justa causa julgado pelo Tribunal Regional do Trabalho (TRT) de
São Paulo diz respeito ao repasse de segredos comerciais a um ex-funcionário
(GLOBO ONLINE, 2006).
A tecnologia tem sido desenvolvida no sentido de permitir um maior
monitoramento do uso dos recursos computacionais. Os softwares que filtram e-
mails particulares, avaliam o desempenho de funcionários ou impedem roubos são
exemplos desse desenvolvimento técnico. No entanto, os avanços em tecnologia de
informação (TI) têm sido proporcionais ao número de incidentes de segurança da
4
informação, principalmente fraudes bancárias e financeiras via Internet. No Brasil,
em 2005, as fraudes cresceram 600% em relação ao ano anterior e seus prejuízos
ultrapassaram a cifra de R$ 300 milhões, segundo informações do Instituto de
Peritos de Tecnologias Digitais e Telecomunicações (SCHNOOR, 2006).
A Internet se apresenta hoje como fonte quase inesgotável de informações,
proporcionando acesso a bancos de dados diversos. Conforme Turban et al. (2004,
p. 124), “esse recurso do descobrimento tem utilidade no aperfeiçoamento da
educação, dos serviços públicos, do comércio e do lazer”. Mas, no local de trabalho,
o uso da Internet pode se converter em um sedutor artifício de desperdício de tempo,
pela utilização da Internet para navegar em sites de comunidades virtuais (Orkut, por
exemplo), conversas instantâneas (chats), dowloadings de programas de interesse
pessoal, tais como MP3 dentre outras práticas. Este comportamento torna mais
comuns os riscos associados ao vazamento de dados confidenciais e ameaça por
vírus. Por isso, o uso abusivo e inadequado das comunicações via e-mail e
mensagens instantâneas, além de sites não relacionados com o trabalho, são fontes
de preocupações por parte da gestão da tecnologia de informação (TI).
A Internet pode agilizar a comunicação e ser uma fonte valiosa de
informações. Mas pode causar queda de produtividade e, com freqüência, envolve
segurança (BARBÃO; MARTINS, 2007). Esta tecnologia, portanto, tanto pode
otimizar como atrapalhar o trabalho diário no ambiente corporativo. Conforme Healy
e Iles (2003), quanto mais a TI está imersa na organização, maiores e mais
significativos são os problemas associados ao uso pessoal de seus recursos pelos
empregados. As empresas têm reforçado seus argumentos de defesa do
monitoramento eletrônico, alegando ser essa uma medida que atenua a queda da
produtividade do trabalhador.
Estudos acadêmicos sobre a questão do monitoramento eletrônico dos
empregados e o desdobramento para a gestão da TI ainda são poucos explorados
em publicações internacionais. A revisão da literatura desse assunto mostrou uma
carência de publicações também no Brasil. Tendo em vista os contextos geral e
acadêmico, o objetivo deste trabalho é descrever as práticas e as políticas de
monitoramento eletrônico de duas redes de supermercados localizadas em
diferentes estados do nordeste brasileiro.
Este artigo está estruturado em cinco partes, contemplada esta introdução.
Após uma discussão teórica da questão do monitoramento eletrônico de
5
empregados no local de trabalho na próxima seção, são descritos, na seção 3, os
procedimentos metodológicos da pesquisa. Na seção 4, os resultados dos estudos
de casos, acompanhados de sua discussão são abordados. A última seção retoma
os principais achados, aponta algumas implicações gerenciais a partir dos
resultados, apresenta as limitações do estudo e as perspectivas de pesquisa futura.
2. Perspectivas Téoricas do Monitoramento Eletrônico no Trabalho
O monitoramento de funcionários é um assunto gerador de polêmica em
quaisquer segmentos. Suas distintas argumentações estão comumente embasadas
em razões econômicas, legais ou éticas. O termo ‘monitoramento’ abrange uma
gama de atividades distintas, dentre as quais o monitoramento eletrônico de
funcionários, que não ocorre periódica ou aleatoriamente, mas de forma contínua
(FIROZ et al., 2006). Essa característica de ‘continuidade do monitoramento’ é,
entretanto, apresentada por Hartman (1998) como inadequada às empresas que
buscam equilibrar os interesses de empregadores e empregados, no que se refere à
adoção de práticas de monitoramento de funcionários.
Outra conduta apontada sugere que as empresas deveriam coletar apenas
informações relevantes ao trabalho (HARTMAN, 1998). Porém, tal procedimento é
contraditório se consideradas as diferentes ameaças à segurança e à reputação da
organização, provenientes das mais diversas fontes, como a proliferação de vírus
por e-mails ou por download de softwares, o vazamento de informações sigilosas em
supostas correspondências eletrônicas pessoais e a vinculação de funcionários aos
crimes de pedofilia, prostituição infantil e assédio sexual, muitas vezes articulados
através de redes na Internet.
O monitoramento de funcionários assume, assim, uma dimensão ampliada,
visto que os limites entre as questões organizacionais e pessoais são cada vez mais
tênues. É exigida do funcionário moderno uma dedicação maior à empresa, além de
comprometimento e lealdade com suas políticas. Com o conseqüente aumento de
horas trabalhadas, muitos empregados são levados a realizar durante o expediente
algumas de suas atividades privadas, como marcação de consultas médicas,
pagamento de contas e até compras de supermercado pela Internet (SHARMA;
GUPTA, 2004). Empregadores, portanto, costumam ser um pouco tolerantes se o
empregado destina uma pequena parcela do seu dia de trabalho aos assuntos
pessoais e sociais.
6
Lobato de Paiva (2002) defende o uso do ‘e-mail social’ como uma prática
salutar para a organização, por estimular os funcionários a desenvolverem suas
atividades com mais liberdade, sem medo de sofrerem advertências ou demissão
somente pelo simples uso do correio eletrônico. Já Hornung (2005) afirma que a
única forma dos empregados se sentirem confortáveis conduzindo seus negócios
privados no trabalho é se assegurando de que os assuntos particulares continuarão
particulares.
Segundo Martin e Freeman (2003), a compreensão da complexidade do
monitoramento de funcionários envolve questões como produtividade, segurança,
responsabilidade, privacidade, criatividade, paternalismo e controle social. Os dois
primeiros – segurança e produtividade – são os principais argumentos apresentados
pelas organizações no que tange à decisão de monitorar, de acordo com estudos
anuais realizados pela AMA desde 1997.
Pesquisas aplicadas em mais de 2.000 empresas públicas e privadas de
quatro estados norte-americanos apontaram que 98,2% usavam software antivírus,
90,7% tinham firewalls e 75% usavam software anti-spyware. Mesmo assim, durante
o ano de 2005, 83,7% das organizações experimentaram no mínimo um incidente de
vírus, worm ou cavalo de tróia e 79,5% tiveram no mínimo um incidente de spyware.
(FBI COMPUTER CRIME SURVEY, 2005). Após os incidentes, a maioria das
empresas afirmou ter instalado atualizações de segurança e novos softwares, mas
44% disseram que as invasões vinham de dentro das próprias organizações,
remetendo-as à idéia de fortalecer ainda mais o controle interno. Já para o FBI, os
resultados da pesquisa apontam claramente para a necessidade urgente de
vigilância contra os cyber ataques, tanto internos como externos.
Problemas relacionados à Internet não estão restritos a ação de hackers e a
proliferação de vírus pela troca de e-mails com elementos externos à companhia. De
acordo com Flynn (apud TAM et al., 2005), os e-mails potencialmente mais
prejudiciais tendem a ser aqueles trocados entre funcionários de uma mesma
organização, por não haver uma preocupação excessiva com linguagem e conteúdo.
Com relação à Internet, caso os funcionários a utilizem para fazer download de
softwares ilegais ou utilizem indevidamente informações da WEB protegidas por
direitos autorais, a organização pode ser legalmente responsabilizada por tais
infrações. Portanto, acredita-se que o monitoramento é um meio efetivo de
7
assegurar um ambiente de trabalho seguro e de proteger os indivíduos e os bens e
recursos da organização (HARTMAN, 1998).
Já de conhecimento comum que navegar na Internet e enviar e-mails
pessoais são ações que demandam tempo, recursos e reduzem a produtividade. Em
pesquisa sobre o assunto divulgada pela Websense (2001 apud MARTIN,
FREEMAN, 2003), 60,7% dos empregados entrevistados afirmaram visitar websites
com fins pessoais no ambiente de trabalho. Um dado relevante mostra que 70% do
tráfico em websites pornográficos ocorre durante o horário de expediente. Um outro
levantamento, realizado pela empresa britânica de segurança MessageLabs,
apontou que 15% de todos os anexos de e-mail com imagens que circulam em
empresas contém pornografia (FOLHA ONLINE, 2002).
Para Martin e Freeman (2003), a Internet substituiu a pausa para o cafezinho
ou as conversas ao telefone, antes consideradas as principais razões de desperdício
de tempo corporativo. Assim, muitas empresas adotam o monitoramento como forma
de estímulo à eficiência, à produtividade, à contenção de custos e à melhoria dos
serviços oferecidos aos clientes; além de possibilitar também uma avaliação mais
precisa e imediata da performance dos funcionários.
Outra corrente defende que o monitoramento, ao contrário, pode vir a reduzir
a produtividade dos funcionários. Tais críticas partem de pesquisas que evidenciam
uma conexão entre monitoramento e problemas de saúde de ordem psicológica e
física, como a ‘síndrome do túnel do carpo’ – dano no nervo do pulso causado por
teclar excessivamente (UCAN, 2006), stress, aumento do tédio, agitação, ansiedade
extrema, depressão, raiva, fadiga severa e problemas musculoesqueléticos
(HARTMAN, 1998).
Mais um dos problemas relacionados ao monitoramento se refere à moral do
funcionário. A falta de privacidade no ambiente de trabalho muitas vezes é
compreendida como ausência de confiança do empregador. Tal percepção pode
reduzir sua moral e desgastar o respeito mútuo que deve existir entre empregado e
empregador – necessário à continuidade de uma relação de trabalho bem sucedida
(HORNUNG, 2005). Estudos conduzidos por Frey (1992 apud Hartman, 1998) já
comprovaram que o monitoramento piora a moral do empregado e, por isso, afeta
negativamente sua performance. Contudo, não foi mencionado se nesses casos
constatados o funcionário tinha conhecimento prévio do monitoramento.
8
Os funcionários provavelmente não criarão nenhuma expectativa sobre
privacidade se um empregador os comunicar sobre o monitoramento. O contrário
ocorre quando o empregador distribui uma senha ou sugere de alguma forma que o
e-mail é confidencial. Nas organizações, a função da senha não é garantir a
privacidade do funcionário, mas sim a segurança dos dados da empresa. Zviran e
Haga (1999) afirmam que as senhas do tipo ‘user-selected’, escolhidas pelo usuário,
são as mais adotadas pela sua simplicidade conceitual e pela ausência de custos
para o administrador do sistema. Entretanto, quando da criação da senha, os
usuários não respeitam as orientações – senhas devem ser longas, compostas não
só por caracteres alfanuméricos, não baseadas em detalhes pessoais e
freqüentemente modificadas – o que vem a comprometer, de certa forma, a
segurança das informações.
O monitoramento de e-mails é um procedimento bastante comum nos
Estados Unidos e, segundo Hartman (1998), cada vez mais elementar para os
técnicos em informática. Os programas mais simples fazem uma varredura do
conteúdo a partir de uma lista de palavras-chave consideradas inadequadas. Porém,
existem softwares mais avançados que são ‘personalizados’ de acordo com a
necessidade de cada empresa. Além dos termos de baixo calão, com conotação
sexual e ofensiva, sistemas modernos podem localizar também mensagens
contendo o nome de um CEO de uma empresa, de códigos de produtos e até de
competidores. Até mesmo as expressões que possam implicar em dilemas éticos
para a empresa são incluídas na lista. Dunn (2006) menciona o caso de uma
prestadora de serviços de consultoria na área financeira, cujo sistema de
monitoramento conseguia rastrear expressões como “garantia de retorno”, “garantia
de rendimento” e até “reclamação”. Quando tais palavras eram identificadas, os
supervisores revisavam os e-mails – o que atingia uma média de 50 mensagens
diárias.
O conteúdo das mensagens de correio eletrônico também é objeto de
monitoramento por diversas outras razões. Uma delas diz respeito à preservação do
próprio funcionário. É possível que os empregados algumas vezes se equivoquem e
enviem informações que não deveriam, fato que pode levar a perda de sua
reputação ou até do trabalho (OSTERMAN, 2005). Em outros casos, os
empregadores buscam padronizar a comunicação e manter um nível de qualidade
textual, já que isso de alguma forma reflete a imagem corporativa. Quando um
9
empregado envia uma mensagem através do endereço de e-mail do provedor da
organização, o nome da empresa é identificável em cada endereço de e-mail
individual. Através do monitoramento de conteúdo, a empresa se certificará de que
comunicações inapropriadas não sejam consideradas como autorizadas pela
empresa num contexto legal (HARTMAN, 1998; MULH, 2003).
Muitas empresas fazem uso do rastreamento para proteger seus segredos de
negócio e manter sua vantagem competitiva (TAM et al., 2005), outras até para
descobrir o interesse da concorrência. Hartman (1998) discorre sobre uma situação
na qual determinados funcionários de uma empresa acessam repetidamente
páginas específicas do website de um concorrente em busca de informação
competitiva. Caso esta empresa utilize um sistema de rastreamento de hits, ela
saberá o que mais interessa aos empregados da outra, o que pode ajudá-la no
direcionamento de suas pesquisas e desenvolvimento de produtos e/ou serviços.
Além de monitorarem Internet, correio eletrônico, mensagens instantâneas e
até blogues (TAM et al., 2005), alguns dos softwares permitem ainda que o
empregador veja o que está na tela do computador ou armazenado no disco rígido;
podem também rastrear a atividade do funcionário relativa a cópias e exclusões de
arquivos, incluindo freqüência e quantidade. Outros permitem, em tempo real,
acompanhar todas as atividades do funcionário, os recursos utilizados e a possível
violação de políticas de uso (SCHULTZ, 2005). Geralmente os funcionários que
lidam com processamento de texto e entrada de dados são os mais sujeitos ao
monitoramento de performance via teclado, onde o sistema mensura o número de
toques por hora e informa se o funcionário está acima ou abaixo da expectativa
média. Outra técnica de monitoramento permite quantificar o tempo gasto pelo
funcionário longe do computador ou o tempo ocioso de um terminal (UCAN, 2006).
De uma maneira geral, as ferramentas usadas para o monitoramento permitem ao
empregador obter informações sobre como os empregados utilizam o seu tempo no
trabalho (BOCKMAN, 2004).
A grande maioria dos softwares permite que o monitoramento seja realizado
sem a percepção dos funcionários. Na maioria das vezes, estes só passam a saber
que são monitorados quando as informações coletadas são usadas na avaliação do
seu trabalho. Entretanto, alguns empregadores adotam formas explícitas para
comunicar suas políticas de monitoramento, como manuais, anúncios em folhetos,
10
jornais internos e na intranet (HÖNE; ELOFF, 2002), memorandos, contratos,
reuniões ou até bilhetes afixados nos computadores (UCAN, 2006).
Como destaca Hartman (1998), o empregador deveria comunicar
adequadamente a intenção do monitoramento, sua forma, freqüência e propósito,
até como demonstração de respeito aos direitos de privacidade dos empregados e
ao direito de serem informados sobre decisões envolvendo suas ações. Seguindo a
mesma linha de raciocínio, em recente reportagem extensa publicada no Jornal O
Estado de São Paulo sobre o uso da Internet no trabalho, concluiu-se que o
monitoramento do uso da rede depende do tipo de atividade que exerce o
empregado e que as necessidades de cada cargo precisam ser levadas em
consideração (BARBÃO; MARTINS, 2007).
Sobre a política de uso do correio eletrônico, há necessidade de elaboração
de uma política de segurança da informação capaz de auxiliar no desenvolvimento
de práticas voltadas para a manutenção segura, tanto quanto possível, de seu
ambiente computacional, bem como no desenvolvimento das pessoas que trabalhem
neste ambiente (RAMOS; CAVALCANTE, 2005). Siau, Nah e Teng (2002), em
pesquisa sobre políticas aceitáveis para o uso da Internet no trabalho, concluíram
que a ação mais eficaz é investir em uma gestão profissional centrada na informação
e na conscientização das pessoas.
3. Metodologia
O critério de escolha dos sujeitos da pesquisa partiu do interesse em
estabelecer uma comparação entre as práticas de monitoramento de funcionários
em relação ao uso de Internet e e-mail no setor varejista de alimentos. Assim, optou-
se por escolher duas empresas de segmentos semelhantes, líderes no setor em
suas cidades de origem, em diferentes estados da Federação, aqui identificadas
como V1 e V2. A escolha ainda se pauta pela significativa relevância econômica da
atividade e pelo fato das empresas do ramo apresentarem aspectos extrínsecos
similares, possibilitando uma gama de estudos sobre as características intrínsecas
da organização (BARBOSA; TEIXEIRA, 2005).
Por possuir um caráter exploratório, o método de pesquisa utilizado foi o
estudo de caso. Segundo Pozzebon e Freitas (1997), uma das razões principais que
justificam o estudo de caso como a estratégia mais apropriada, em dado contexto de
11
pesquisa, é a possibilidade de pesquisar uma área na qual poucos estudos prévios
tenham sido realizados.
Para Yin (2001), a adoção de um único caso é apropriada em nas situações
onde: a) o caso representa um caso crítico de teoria bem formulada; b) o caso
representa um caso extremo ou único; e c) o caso representa um caso revelatório.
Como essas situações não parecem aderir ao contexto desta pesquisa, e o objetivo
é realizar a descrição de um fenômeno, decidiu-se pela escolha de dois casos a
explorar (múltiplos casos).
Esta pesquisa, quanto ao número de pontos no tempo onde os dados serão
coletados, é de corte transversal. A coleta dos dados ocorreu em um só momento
porque o interesse é mostrar um retrato de práticas e políticas empregadas no
momento atual em duas realidades organizacionais.
As questões da pesquisa endereçadas aos gerentes de TI foram: i) Como são
utilizados e gerenciados os acessos à rede e qual é o padrão de uso da Internet? ii)
Como são utilizados e gerenciados os recursos de comunicação eletrônica (e-mail e
comunicadores instantâneos)? iii) Como são considerados os impactos do uso da
Internet para a produtividade dos funcionários? iv) Quais são as regras e a política
de monitoramento eletrônico dos empregados? Como está sendo implementada esta
política, no que diz respeito ao acesso à Internet e à utilização de comunicação
eletrônica? v) Como estão sendo considerados o processo de vazamento de
informação confidencial e uso de dispositivos de gravação? vi) Quais são as
medidas disciplinares adotadas para o caso da não observação da política
empresarial de uso da Internet?
Quanto ao instrumento de coleta de dados, foi escolhida a entrevista em
profundidade, mediante um roteiro semi-estruturado, baseando-se em parte na
pesquisa “2003 E-Mail Rules, Policies and Practices Survey”, realizada por três
instituições norte-americanas: American Management Association - AMA, The
ePolicy Institute e Clearswift” (AMA, 2003). Fez-se necessário inserir outras
indagações ao instrumento original na constituição do roteiro, para abordar as
questões de uso da Internet.
As questões foram endereçadas aos gerentes do setor de Tecnologia da
Informação em ambas as empresas pesquisadas. Cada entrevista tinha a duração
média de 40 minutos. Foram necessários alguns retornos depois de iniciada a
análise qualitativa dos resultados, apesar do pouco tempo que os gerentes
12
dispunham para receber as pesquisadoras. As respostas foram gravadas mediante
prévia autorização. A pesquisa de campo foi realizada em dois momentos, no ano de
2006.
Não foram entrevistados outros atores, tais como os empregados, pois o
objetivo da pesquisa era inicialmente focar na perspectiva dos gerentes de TI. O
presente artigo, conseqüentemente, limita-se a investigar a visão dos responsáveis
pela área de sistemas e tecnologia de informação.
As entrevistas foram transcritas e, posteriormente, submetidas à análise de
conteúdo do tipo categorial que, segundo Bardin (2004, p. 111), é uma “operação de
classificação de elementos constitutivos de um conjunto, por diferenciação e,
seguidamente, por reagrupamento segundo o gênero (analogia), com os critérios
previamente definidos”. Ainda de acordo com Bardin (2004), a categorização é
coerente em situações aonde os objetos de análise são respostas a questões
abertas, entrevistas ou reuniões em grupos.
4. Análise e Discussão dos Resultados
Neste tópico, serão relatados os resultados da análise qualitativa.
Inicialmente, serão caracterizadas as organizações pesquisadas, para então serem
descritos os principais achados da pesquisa de campo, a partir das questões de
pesquisa.
V1 é uma empresa do ramo de varejo de alimentos com 20 anos de atuação
no mercado. Seus 4000 funcionários estão distribuídos em 26 lojas, sendo 19 na
capital, quatro no interior e duas em um Estado vizinho. Do total de lojas, três estão
direcionadas a venda por atacado. Com faturamento de 600 milhões de reais, a
empresa está entre as 20 primeiras no ranking da Associação Brasileira de
Supermercados (ABRAS), divulgado anualmente (SUPERHIPER, 2005). Por sua
vez, V2, segunda empresa pesquisada, ocupa posição pouco inferior no mesmo
ranking, apresentando faturamento da ordem de 320 milhões de reais. Possui seis
lojas de varejo, todas em uma única cidade onde foi fundada há mais de 32 anos.
Ambas as empresas são líderes em vendas nos Estados onde atuam.
A seguir, as questões de pesquisa são discutidas a partir da análise do
conteúdo das entrevistas realizadas com os gerentes de TI dos supermercados
estudados.
Política de acesso à Internet e à rede
13
No que tange à informatização das lojas, V1 possui 1000 terminais, sendo
400 do tipo check-out (micro-computadores de frente de loja). Do restante das
máquinas, em média 150 estão conectadas a Internet, liberada para apenas 2,5%
dos empregados. Esse percentual se refere principalmente aos funcionários do setor
administrativo e cargos de confiança, a quem é permitido acesso a websites
relacionados aos seus setores. O acesso ilimitado é restrito apenas à diretoria da
empresa. Cada máquina é normalmente utilizada por apenas um funcionário, sendo
raros os casos de compartilhamento dos equipamentos.
Na V2 todos os computadores – aproximadamente 300, segundo o
entrevistado – estão conectados a Internet, excetuando-se os servidores. O acesso
é permitido a 40% dos 1800 funcionários. Com relação ao acesso a programas
específicos e documentos da empresa, há níveis de permissão definidos por senhas
individuais criadas pelo próprio usuário, de acordo com a atividade por ele realizada.
Tal prática é salutar visto que os computadores são compartilhados – cada terminal
chega a ser usado em média por três funcionários, em turnos distintos. Por essa
razão, o número de empregados com acesso a Internet é bastante alto, se
comparado ao número de computadores.
Um sistema similar ao do supermercado V2, de privilégios de acesso por
senha, está em fase de implantação em V1. Entretanto, o controle não se restringirá
à utilização de programas, mas também à navegação na Internet, conforme afirma o
entrevistado: “No momento em que o funcionário acessar a Internet, ele [o sistema]
já mostrará a intranet, e a partir dela, vai ter por onde navegar. Dependendo da sua
senha, vai ter condições de dar continuidade a um acesso ou não”.
Nenhuma das empresas atualmente tem website. Segundo o entrevistado na
V1, o site da Internet, criado inicialmente para fins institucionais, foi retirado do ar
para reestruturação visando aumentar a interação com seus públicos. A nova
proposta do site – ainda sem previsão de lançamento, contempla funcionalidades
como cadastro de currículos e comércio eletrônico, com sistema de entrega das
compras em domicílio. O responsável pela TI do supermercado V2 acredita ser
remota a possibilidade de lançamento de um website em moldes semelhantes, visto
que em médio prazo tal investimento não é prioritário para a organização.
Assim como não se vende, tampouco se compra via Internet na V2. Em
relação ao abastecimento das lojas, a empresa recebe visitas diárias da maioria dos
fornecedores, com quem negociam pessoalmente. A necessidade do contato
14
presencial é atribuída às minúcias e trâmites do processo de negociação. Nas
compras de bens de uso e consumo da organização, a Internet somente é utilizada
para pesquisa de preços, e o e-mail para contatos com a rede de relacionamento
profissional. Na V1 os processos não são muito distintos, porém algo em torno de
10% dos pedidos de compra são realizados via e-mail e alguns contatos através de
mensagens instantâneas pelo MSN Messenger, principalmente entre as lojas mais
distantes.
Monitoramento da comunicação interna
Os funcionários de ambas as empresas que utilizam e-mail na execução de
suas atividades dispõem de um endereço eletrônico fornecido pelos seus
provedores. As regras para utilização do e-mail são bastante flexíveis, sendo
permitido o uso para troca de mensagens de natureza privada. Isso se reflete de
alguma forma nos números: do volume de e-mails recebidos diariamente na V2, 40%
são spams, e o restante se divide igualmente em mensagens pessoais e
profissionais. Na V1 a freqüência de recebimento de spam também é alta, embora a
preocupação da empresa seja maior com relação à utilização do MSN e Internet, por
questões relacionadas à perda de produtividade dos funcionários.
Esse assunto foi pauta de discussão na V1, quando se detectou por
observação empírica que o uso indevido de Internet e MSN afetava o rendimento. A
partir daí, estabeleceu-se um controle mais rigoroso. O acesso ao programa de
mensagens instantâneas continua existindo, porém é limitado a alguns funcionários.
O acesso à Internet é centralizado e gerenciado através de firewall, que
bloqueia páginas de conteúdo impróprio. A reestruturação pela qual passa a TI da
empresa também contempla uma ampliação das políticas de monitoramento de e-
mail e Internet. O software em desenvolvimento permitirá à empresa conhecer
detalhes da interação do funcionário com a máquina, como o número de acessos a
um determinado programa, o tempo de uso, o aproveitamento do software de gestão
da empresa, além de detectar a subtilização dos computadores para possível
realocação, se necessário. Com o novo software, a empresa espera conseguir
gerenciar e avaliar com mais precisão a produtividade dos empregados em relação
ao uso dos computadores.
Impactos do uso da Internet para a produtividade
A idéia de perda de produtividade para o gerente de TI da V2 segue a linha de
raciocínio desenvolvida por Martin e Freeman (2003). Ele acredita que a Internet é
15
só mais uma das razões para redução da produtividade: “se não for o e-mail é a
Internet, se não for a Internet é a palavra cruzada, se não for a palavra cruzada é
qualquer outra atividade”. A perda de tempo diária é estimada pelo entrevistado
como algo entre 15 e 30 minutos, usados na leitura de e-mail, acesso à Internet e
outras atividades, como “a arrumação de uma gaveta, por exemplo”. Para V2, o
desenvolvimento das tarefas e o aumento da produtividade vão depender do
interesse do trabalhador e não dos artifícios que lhes sejam disponibilizados.
Entretanto, a empresa toma as devidas precauções para garantir a segurança de
suas informações.
Política de monitoramento dos empregados
A política de monitoramento na V2 é suavizada em um discurso onde, em
princípio, tudo é permitido, até que o funcionário descubra sozinho o que pode ou
não acessar. Ao se deparar com uma página bloqueada, o usuário lê
automaticamente na tela uma mensagem informando que aquele endereço está
proibido pela empresa, devendo contatar o setor de informática caso haja
necessidade. Não há documentação formal, por escrito, que contenha com clareza
as políticas de monitoramento de e-mail e Internet adotadas pela organização e que
seja apresentada aos funcionários. A empresa foi informatizada há 11 anos, mas há
dois implantou mudanças consideradas significativas nas áreas de comunicação e
segurança. Os funcionários antigos acompanharam o processo, mas os recém-
admitidos aprendem na prática diária como a empresa lida com tais questões.
Já a nova política proposta pela V1 é baseada na remoção ou adição de
privilégios de e-mails e Internet a partir da necessidade e do nível de utilização
individual. Em relação à comunicação sobre as regras de monitoramento, o grupo V1
tem realizado um treinamento com os funcionários objetivando a difusão das novas
políticas e a conscientização sobre a importância da senha de acesso ao sistema,
através de informativos e reuniões em grupo. Como ressaltam Zviran e Haga (1999),
é primordial que as organizações empreendam esse esforço educativo para
aumentar a consciência dos usuários sobre a segurança dos sistemas. Os autores
sugerem, em adição, que as empresas elaborem guias para ajudar a selecionar e
implementar a senhas, bem como mecanismos de monitoramento da sua
implementação.
O bloqueio de novos sites da Internet é realizado quase que diariamente na
V2, a partir de um software baseado no sistema operacional Linux que contém os
16
endereços impróprios para acesso em ambientes empresariais. Assim também
ocorre com o monitoramento de e-mails, que sofre controle de conteúdo e tamanho
das mensagens em qualquer circunstância. O software faz a varredura a partir de
uma lista de palavras e expressões, anexos executáveis, zipados ou de origem
desconhecida, em e-mails enviados e recebidos. Quando o sistema localiza alguma
mensagem com tais características ela é imediatamente bloqueada, mas o conteúdo
não é lido nem analisado por terceiros, nem mesmo pelo setor de informática. Não
há nenhum tipo de identificação do funcionário, advertência ou punição, a não ser
em um caso exaustivamente repetido. Até porque toda a responsabilidade por
acessos indevidos, caso haja, é do setor de informática. O sistema incentiva de certa
forma a autodisciplina do usuário.
Já a comunicação entre funcionários, por ser realizada via intranet, não é alvo
de monitoramento, o que ocorre também na V1. A adoção de tal postura remete às
considerações de Tam et al. (2005) sobre a complacência das organizações no
monitoramento das comunicações internas e do seu alto grau de periculosidade,
também constatado empiricamente nas pesquisas do FBI COMPUTER CRIME
SURVEY (2005). O grupo V1 justifica a ausência de controle e monitoramento nesse
canal pela alta confiabilidade depositada nos poucos funcionários que têm acesso
ao e-mail. Questões de assédio sexual, comuns na realidade norte americana,
parecem não fazer parte do cotidiano das organizações aqui estudadas. Não haveria
tampouco como a empresa identificar tal tipo de problema já que não se monitora a
comunicação eletrônica dos seus empregados.
De uma maneira geral, o e-mail é visto pelos entrevistados como uma
ferramenta que torna o trabalho mais eficiente, desde que usado com parcimônia.
Em algumas áreas da empresa V2, como no setor de manutenção, não há a
premência da utilização do e-mail, mas seu acesso é mantido por questões ligadas à
filosofia da empresa: “Toda a tecnologia aplicada na empresa é pra ser usada na
empresa. [...] A mesma regra que eu tenho aqui, o diretor, o dono tem. É padrão;
não tem ninguém com exceção”. Entretanto ambas as empresas relataram episódios
de travamento ou congestionamento de sistema, pane em equipamentos e infecção
por vírus decorrentes de problemas com e-mails. Nunca houve a perda definitiva
documentos – ambas tem um servidor para back-up – e nem a interrupção dos
negócios das empresas, em particular na V2, visto que seu sistema de check-out
funciona independentemente da comunicação.
17
Riscos da segurança e sigilo
Não foram relatados quaisquer casos de vazamento de informação
confidencial em nenhuma das organizações. Acredita-se que os riscos sejam
menores na V1 em parte pelo fato dos terminais serem de uso individual, o que
dificultaria o acesso de terceiros a documentos específicos. O entrevistado, porém,
alega que tal comportamento oportunista está relacionado menos à facilidade de
acesso e mais à insatisfação do funcionário com a empresa. Apesar disso, o novo
sistema a ser adotado em breve eliminará a possibilidade de cópias, através do
travamento da máquina a partir da tentativa de conexão de dispositivos em drive
USB. Já na V2 é vetado o uso de dispositivos para gravação de informações, tais
como pen-drive, disquete e CD-Rom. Apenas nos setores de tecnologia e
contabilidade o disquete ainda é passível de utilização, dado as especificidades do
trabalho realizado.
Adoção de medidas disciplinares
As empresas também não relataram nenhum caso de demissão de
funcionários por uso inadequado de Internet, embora em ambas já tenha havido
advertências – um único caso constatado em cada empresa: numa, por acesso a
páginas impróprias através de uma falha do sistema; na outra, constatação de perda
de produtividade pelo acesso à Internet em demasia.
5. Conclusões
Os recursos de rede de informação e comunicação são alvos vulneráveis aos
cyber-ataques e à sabotagem no ambiente interno e externo às empresas. Sob esse
aspecto, as práticas de monitoramento configuram-se como uma ação preventiva
necessária às organizações que primam pela segurança.
Os resultados obtidos a partir das respostas às questões de pesquisa são
sumarizados a seguir. No tocante à política de acesso à rede, a utilização da Internet
no trabalho tem características distintas, assim como o padrão gerencial de ambas.
A rede de supermercados V2 demonstrou ter um acesso à rede mais democrático
quanto ao critério de igualdade de privilégios de acesso, sem diferença entre níveis
hierárquicos do que a V1. Tal atitude reflete em parte a compreensão de que as
ameaças, às quais estão sujeitas as organizações, podem surgir de formas diversas,
não sendo a Internet sua principal preocupação.
18
Quanto aos aspectos relacionados ao monitoramento da comunicação
interna, a análise das entrevistas permitiu concluir que ambas as organizações
mostraram-se despreocupadas a esse respeito. A rede de supermercados V2, pela
suposta proteção assegurada na intranet; o grupo V1, por depositar alto grau de
confiança nos funcionários que acedem a e-mails. A gestão dos recursos de
comunicação instântanea e por email em ambas organizações baseia-se em
modelos pouco sofisticados de governança da TI, pelo que depreende-se das
informações dos gerentes.
No que se refere aos impactos do uso da Internet para a produtividade,
ambas as empresas têm um discurso em que são colocados em dúvida os impactos
causados pelo uso da Internet no trabalho. Os gerentes acreditam que a
improdutividade teria mais relação com a motivação e interesse de cada empregado
em ser produtivo, não sendo a tecnologia da informação a principal responsável por
seu resultado ser abaixo do esperado.
Com relação à política de monitoramento eletrônico, a organização não tem
uma prática formal e documentada de suas ações visando à segurança da
informação corporativa. Ambas têm uma postura de cultivar a confiança nos seus
funcionários, de respeitar a privacidade deles e de incentivar a sua autodisciplina.
Em V2, o gerente relatou que a política de monitoramento é de liberdade relativa
para o funcionário que acessa a Internet e utiliza o email no local de trabalho,
cabendo a cada um descobrir o que é ou não permitido pelo setor de informática. Em
contrapartida, em V1 existe mais emprego de recursos computacionais para o
monitoramento dos empregados. Há a utilização de um software para realizar
fiscalização do email dos funcionários, tais como o tamanho dos arquivos e
varredura de origem desconhecida e de palavras ou expressões, sem que o
conteúdo seja violado. Ambas adotam algumas práticas como bloqueio de sites.
Em nenhuma das duas empresas são gerenciados os riscos da segurança e
sigilo de suas informações. Nenhuma considerou a possibilidade de troca de
informação sigilosa entre funcionários de setores distintos, por exemplo. Os dois
casos analisados não utilizam práticas rigorosas de uso de dispositivos de gravação,
e de controle de vazamento de informações. Os gerentes, entretanto, contrariando
as normas de gestão de segurança da informação (tal como a ISO 27001, que
recomenda a observação de mais de 127 itens de controle), percebem que as
19
práticas de monitoramento adotadas pelas organizações atendem a contento aos
objetivos e ao nível de segurança exigido por ambas as empresas.
Quanto a adoção de medidas disciplinares para os empregados quando da
identificação de algum aspectos ligado à segurança, uma evidência mostrada foi o
registro de apenas um caso de reforço das políticas por disciplina em cada uma das
empresas. Nunca houve demissão, revisão da performance de funcionários,
eliminação do uso do e-mail ou alguma punição de âmbito legal.
É imprescindível investir na conscientização dos funcionários acerca dos
riscos da utilização da Internet no local de trabalho. Além dos aspectos relacionados
à conscientização e ao uso de softwares adequados para o monitoramento
eletrônico dos empregados, a educação é o caminho recomendado para alcançar
um nível de produtividade satisfatório às organizações, sem colocar em risco sua
sobrevivência no mercado.
Os gestores devem informar as pessoas sobre a política de acesso e de
fiscalização existente, esclarecendo de que forma os empregados estão sendo
observados, além de notificá-los sobre as mudanças que eventualmente sejam
implantadas na política de utilização dos recursos corporativos. A decisão sobre
quaisquer práticas de monitoramento a serem adotadas deve se balizar sempre
pelos valores, missão e objetivos da empresa, respeitados os interesses de todos os
envolvidos na organização.
Portanto, a adoção de uma política de uso da Internet e de meios digitais que
tenha ampla aceitação por parte dos funcionários é a receita para equacionar os
interesses da empresa. Supervisionar o trabalho realizado, avaliar o desempenho de
seus funcionários e se proteger do uso inadequado dos seus recursos, respeitando
ainda a privacidade e individualidade de cada trabalhador e suas necessidades, são
medidas que ajudarão a empresa a ter um relativo equilíbrio entre a necessidade de
proteção e a habilitação para realizar negócios, sem afetar a satisfação dos
empregados.
Como limitação do trabalho, a pesquisa poderia ter incluído outras formas de
coleta de dados, não tendo sido possível fazer uma triangulação com a análise de
documentos, como desejável, pois não havia muita formalização na gestão dos
recursos de TI nas empresas pesquisadas. Outro fator limitante é a pesquisa ser
cross-sectional. Todavia, considerando a abordagem exploratória, o método utilizado
parece ter sido adequado para a proposição da pesquisa.
20
Diante da relevância e atualidade para a área de Administração da
Informação e a escassez de publicações sobre monitoramento eletrônico, o artigo
buscou contribuir para o avanço do conhecimento sobre o tema, dentro das
condições metodológicas limitantes. Como propostas de estudos futuros, destacam-
se a realização de uma pesquisa tipo survey entre os funcionários das empresas
estudadas, abordando a percepção desses atores sobre os efeitos da
monitoramento sobre a satisfação e desempenho; a ampliação da pesquisa a outros
segmentos de negócio; e a inclusão da questão do monitoramento dos blogues
(weblogs) corporativos.
Referências
AMA. 2003 E-mail rules, policies and practices survey. American Management
Association, New York, USA, 2003.
AMA. Electronic monitoring & surveillance survey. American Management
Association, New York, USA, 2005.
BARBOSA, D. C. S., TEIXEIRA, D. J. A percepção da imagem no varejo de
alimentos: a descrição da imagem de um supermercado por seus consumidores. In:
ENCONTRO DA ASSOCIAÇÃO NACIONAL DOS PROGRAMAS DE PÓS-
GRADUAÇÃO EM ADMINISTRAÇÃO, XXIX, 2005, Brasília. Anais... Distrito Federal:
ANPAD, 2005.
BARDIN, L. Análise de conteúdo. 3ª. ed. Lisboa: Edições 70, 2004.
BOCKMAN, Kimberly A. Employee monitoring: it is a fact, you are being monitored!
SANS Institute, 2004. Disponível em:
<http://www.giac.org/certified_professionals/practicals/gsec/3736.php> - Acesso em:
04 mar 2006.
DUNN, Darrell. Who's Watching Now? InformationWeek, ABI/INFORM Global,
n.1078, p.64-65, 2006.
FBI COMPUTER CRIME SURVEY. 2005. Disponível em: <http://www.ic3.gov> -
Acesso em: 10 mar 2007.
FIROZ, Nadeem M., et al. E-mails in the workplace: the electronic equivalent of 'DNA'
Evidence. Journal of American Academy of Business, ABI/INFORM Global, v.8,
n.2, p.71, 2006.
FOLHA ONLINE. 15% dos anexos de e-mail corporativo têm pornografia. 2002.
Disponível em: <http://www1.folha.uol.com.br/folha/informatica/ult124u10627.shtm>-
21
Acesso em: 04 mar 2006.
FOLHA ONLINE. 36% das empresas americanas monitoram e-mail, diz
pesquisa. 2005. Disponível em:<
http://www1.folha.uol.com.br/folha/dinheiro/ult91u98699.shtml>- Acesso em: 04 mar
2006.
GLOBO ONLINE. Empresas podem usar e-mail como prova contra funcionário.
2006. Disponível em:
<http://oglobo.globo.com/online/economia/mat/2006/03/01/192004811.asp>- Acesso
em: 14 mar 2006.
HARTMAN, Laura P. The rights and wrongs of workplace snooping. Journal of
Business Strategy, v.19, n. 3, p.16,1998.
HEALY, Mike; ILES, Jennifer. The impact of information and communications
technology on managerial practices: the use of codes of conduct. Strategic Change,
ABI/INFORM Global, v.12, n.4, p.185, 2003.
HÖNE, Karin; ELOFF, J.H.P. Information security policy: what do international
information security standards say? Computer and Security, v.21, n.5, p. 402-409,
2002.
HORNUNG, Meir S. Think before you type: a look at email privacy in the workplace.
Fordham Journal of Corporate & Financial Law, ABI/INFORM Global, v.11, n.1,
p.115-161, 2005.
LOBATO DE PAIVA, Mário Antonio. O monitoramento do correio eletrônico no
ambiente de trabalho. Congresso internacional de Direito e Tecnologia da
informação. Brasília, n.19, p. 24-39, 2002.
MARTIN, Kirsten; FREEMAN, R Edward. Some problems with employee monitoring.
Journal of Business Ethics, ABI/INFORM Global, v.43, n.4, p. 353, 2003.
MULH, Charles J. Workplace e-mail and Internet use: employees and employers
beware. Monthly Labor Review, p.36-45, 2003.
OSTERMAN, Michael. Should you check outgoing e-mail? Network World, v. 22, n.
27, p. 41, 2005. Disponível em:
<http://www.networkworld.com/newsletters/gwm/2005/0704msg1.html?fsrc=rss-
messaging>.
Acesso em: 15 jun 2007.
POZZEBON, M.; FREITAS, H. Pela aplicabilidade - com um maior rigor científico -
dos
22
estudos de caso em sistemas de informação. In: ENCONTRO DA ASSOCIAÇÃO
NACIONAL DOS PROGRAMAS DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO,
XXI, 1997, Rio das Pedras. Anais... Rio de Janeiro: ANPAD, 1997.
RAMOS, A. S. M.; CAVALCANTE, S. M. Práticas de conscientização e treinamento
em segurança da informação no correio eletrônico: um estudo de caso. In:
CONGRESSO ANUAL DE TECNOLOGIA DE INFORMAÇÃO (CATI), II, 2005, São
Paulo. Anais...São Paulo: FGV, 2005.
RIP - REGULATION OF INVESTIGATORY POWERS ACT 2000. Investigation of
electronic data protected by encryption. Disponível em:
http://www.opsi.gov.uk/acts/acts2000/00023--e.htm . Acesso em: 23 mar 2006.
SCHNOOR, Tatiana. Crimes digitais geraram prejuízo de R$ 300 mi em 2005.
2006. Disponível em:
<http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=4148>-
Acesso em: 22 mai 2007.
SCHULTZ, Keith. ConSentry keeps an eye on users. Infoworld, ABI/INFORM
Global, v. 27, n.46, p. 54, 2005.
SHARMA, Sushil K; GUPTA, Jatinder N D. Improving workers' productivity and
reducing Internet abuse. The Journal of Computer Information Systems,
ABI/INFORM Global, v.44, n.2, p.74, 2004.
SIAU, K; NAH, F. F. H.; TENG, L. Acceptable internet use policy. Communications
of the ACM. Vol. 45, N. 1, p. 75-79, 2002.
SUPERHIPER. Ranking Abras 2005. São Paulo: Abras, ano 31, n.357, 2005.
TAM, Pui-Wing, et al. Snooping e-mail by software is now a workplace norm. Wall
Street Journal, New York, p. B.1, 2005.
TURBAN, Efraim; McLEAN, Ephrain; WETHERBE, James. Tecnologia da
informação para gestão: transformando os negócios na economia digital. 3 ed.
Porto Alegre: Bookman, 2004.
UCAN. Employee Monitoring: is there privacy in the workplace? Privacy Rights
Clearinghouse. 2006. Disponível em: <http://www.privacyrights.org/FS/fs7-
work.htm>. Acesso em 10 mar 2007.
YIN, Robert K. Estudo de Caso: planejamento e métodos. 2ª.ed. Porto Alegre:
Bookman, 2001.
ZVIRAN, Moshe; HAGA, Willian J. Password security: an empirical study. Journal of
Management Information Systems v.15, n.4, p.161,1999.