Monitoramento Eletrônico no Local de Trabalho: dois estudos de casos com

gestores da área de Tecnologia de Informação

Anatália Saraiva Martins Ramos

Doutora em Engenharia de Produção

Docente do Programa de Pós-graduação em Administração

Universidade Federal do Rio Grande do Norte

Campus universitário – Lagoa Nova - Natal-RN CEP: 59072-970

Email: anatalia@ufrnet.br Telefone: 84-8807-3324

Tânia Regina Nery

Mestre em Administração

Doutoranda em Ciências da Administração na Universidade do Minho, Portugal

Email: tanianery@gmail.com

Naíla Kelly Lima

Mestre em Administração

Docente da Faculdade das Atividades Empresariais de Teresina

Rua Jornalista Hélder Feitosa, 1040 - Bairro Iningá - Teresina-PI CEP: 64049-660

Email: nailakellylima@gmail.com

2

Monitoramento Eletrônico no Local de Trabalho: dois estudos de casos com gestores da área de Tecnologia de Informação

Resumo O uso do e-mail e o acesso à Internet aumentam a eficácia no trabalho mas ao mesmo tempo constituem-se em ameaça à segurança da informação corporativa e à produtividade do funcionário no ambiente de trabalho. O monitoramento eletrônico tem se apresentado como uma alternativa para o equilíbrio dessa situação. Este trabalho discute a questão do monitoramento eletrônico, particularmente quanto à correspondência eletrônica e ao uso da Internet no trabalho e relata as práticas adotadas por duas empresas do ramo de varejo de alimentos. Foi empregada a pesquisa exploratória, de natureza qualitativa, através do método de estudo de caso. O procedimento de coleta de dados adotado foi a entrevista em profundidade, tendo como entrevistados os responsáveis pelo setor de Tecnologia de Informação dessas organizações. Os resultados mostraram que as políticas são pautadas em uma empresa pela necessidade de segurança da informação e em outra pelo controle da produtividade do funcionário. Percebeu-se ainda que a inexistência de monitoramento das comunicações internas em ambas decorre de razões distintas, em um caso pela confiança nos funcionários e no outro pela proteção assegurada pela Intranet. Baseado nestes resultados, são apresentadas algumas contribuições teóricas do estudo e implicações gerenciais práticas. Palavras-chave: Gestão da Tecnologia da Informação. Monitoramento eletrônico no Local de Trabalho. Segurança da Informação.

Electronic Monitoring in the Workplace: two case studies among Information Technology area managers

Abstract The email usage and the Internet access increase the work effectiveness but also they consist in threat to the information security and to the productivity of the employee in the work environment. The electronic monitoring has presented as an alternative for the balance of this situation. This research presents the question of the electronic monitoring, particularly how much to the email and Internet use in the workplace. Also, this work describes the adopted surveillance strategies and policies for two retail companies. The reseach method is the descriptive type, at qualitative approach, using the case study method. Data was collected primarily via interview of individuals from Information Technology managers. Results indicated that the policies are managed for the aim of information security, in a company, while in another was the control of the productivity of the employee. Based on these results, theoretical contributions of the study along with practical implications are reviewed. Keywords: Information Technology Management. Electronic Monitoring in the Workplace. Information Security.

3

Monitoramento Eletrônico no Local de Trabalho: dois estudos de casos com

gestores da área de Tecnologia de Informação

1. Introdução

Nesta era eletrônica e de uso intensivo da informação, é crescente a

preocupação dos empregadores com a segurança dos dados corporativos. Este é

um dos principais motivos que leva à adoção de políticas de monitoramento

eletrônico, as quais reduzem a privacidade de profissionais em escritórios e fábricas.

Nos Estados Unidos, 76% das empresas monitoram ou fiscalizam a conexão dos

websites de seus funcionários, 65% utilizam softwares de bloqueio a sites proibidos

pela empresa e 55% monitoram os e-mails dos funcionários, segundo pesquisa da

American Management Association (AMA, 2005). Segundo dados dessa pesquisa,

os gestores estão cada vez mais demitindo trabalhadores que violam os privilégios

computacionais, e mais especificamente 26% das empresas já demitiram

funcionários por utilização indevida de e-mails.

Na Inglaterra, uma lei específica conhecida como ‘Regulation of Investigatory

Powers’ (RIP, 2000), em vigor desde outubro de 2000, autoriza as empresas a

monitorar e-mails e telefonemas de seus funcionários, mas essas questões que

envolvem a privacidade não são consensuais em muitas cortes internacionais. No

Brasil, as práticas de monitoramento são bastante difundidas, porém a jurisprudência

legal que as sustentam nas empresas é recente. O Tribunal Superior do Trabalho

(TST) decidiu que o empregador tem o direito de violar o sigilo de correspondência

do e-mail colocado à disposição do funcionário, com a finalidade de obter provas

que justifiquem a demissão por justa causa (FOLHA ONLINE, 2005). Um dos casos

de demissão por justa causa julgado pelo Tribunal Regional do Trabalho (TRT) de

São Paulo diz respeito ao repasse de segredos comerciais a um ex-funcionário

(GLOBO ONLINE, 2006).

A tecnologia tem sido desenvolvida no sentido de permitir um maior

monitoramento do uso dos recursos computacionais. Os softwares que filtram e-

mails particulares, avaliam o desempenho de funcionários ou impedem roubos são

exemplos desse desenvolvimento técnico. No entanto, os avanços em tecnologia de

informação (TI) têm sido proporcionais ao número de incidentes de segurança da

4

informação, principalmente fraudes bancárias e financeiras via Internet. No Brasil,

em 2005, as fraudes cresceram 600% em relação ao ano anterior e seus prejuízos

ultrapassaram a cifra de R$ 300 milhões, segundo informações do Instituto de

Peritos de Tecnologias Digitais e Telecomunicações (SCHNOOR, 2006).

A Internet se apresenta hoje como fonte quase inesgotável de informações,

proporcionando acesso a bancos de dados diversos. Conforme Turban et al. (2004,

p. 124), “esse recurso do descobrimento tem utilidade no aperfeiçoamento da

educação, dos serviços públicos, do comércio e do lazer”. Mas, no local de trabalho,

o uso da Internet pode se converter em um sedutor artifício de desperdício de tempo,

pela utilização da Internet para navegar em sites de comunidades virtuais (Orkut, por

exemplo), conversas instantâneas (chats), dowloadings de programas de interesse

pessoal, tais como MP3 dentre outras práticas. Este comportamento torna mais

comuns os riscos associados ao vazamento de dados confidenciais e ameaça por

vírus. Por isso, o uso abusivo e inadequado das comunicações via e-mail e

mensagens instantâneas, além de sites não relacionados com o trabalho, são fontes

de preocupações por parte da gestão da tecnologia de informação (TI).

A Internet pode agilizar a comunicação e ser uma fonte valiosa de

informações. Mas pode causar queda de produtividade e, com freqüência, envolve

segurança (BARBÃO; MARTINS, 2007). Esta tecnologia, portanto, tanto pode

otimizar como atrapalhar o trabalho diário no ambiente corporativo. Conforme Healy

e Iles (2003), quanto mais a TI está imersa na organização, maiores e mais

significativos são os problemas associados ao uso pessoal de seus recursos pelos

empregados. As empresas têm reforçado seus argumentos de defesa do

monitoramento eletrônico, alegando ser essa uma medida que atenua a queda da

produtividade do trabalhador.

Estudos acadêmicos sobre a questão do monitoramento eletrônico dos

empregados e o desdobramento para a gestão da TI ainda são poucos explorados

em publicações internacionais. A revisão da literatura desse assunto mostrou uma

carência de publicações também no Brasil. Tendo em vista os contextos geral e

acadêmico, o objetivo deste trabalho é descrever as práticas e as políticas de

monitoramento eletrônico de duas redes de supermercados localizadas em

diferentes estados do nordeste brasileiro.

Este artigo está estruturado em cinco partes, contemplada esta introdução.

Após uma discussão teórica da questão do monitoramento eletrônico de

5

empregados no local de trabalho na próxima seção, são descritos, na seção 3, os

procedimentos metodológicos da pesquisa. Na seção 4, os resultados dos estudos

de casos, acompanhados de sua discussão são abordados. A última seção retoma

os principais achados, aponta algumas implicações gerenciais a partir dos

resultados, apresenta as limitações do estudo e as perspectivas de pesquisa futura.

2. Perspectivas Téoricas do Monitoramento Eletrônico no Trabalho

O monitoramento de funcionários é um assunto gerador de polêmica em

quaisquer segmentos. Suas distintas argumentações estão comumente embasadas

em razões econômicas, legais ou éticas. O termo ‘monitoramento’ abrange uma

gama de atividades distintas, dentre as quais o monitoramento eletrônico de

funcionários, que não ocorre periódica ou aleatoriamente, mas de forma contínua

(FIROZ et al., 2006). Essa característica de ‘continuidade do monitoramento’ é,

entretanto, apresentada por Hartman (1998) como inadequada às empresas que

buscam equilibrar os interesses de empregadores e empregados, no que se refere à

adoção de práticas de monitoramento de funcionários.

Outra conduta apontada sugere que as empresas deveriam coletar apenas

informações relevantes ao trabalho (HARTMAN, 1998). Porém, tal procedimento é

contraditório se consideradas as diferentes ameaças à segurança e à reputação da

organização, provenientes das mais diversas fontes, como a proliferação de vírus

por e-mails ou por download de softwares, o vazamento de informações sigilosas em

supostas correspondências eletrônicas pessoais e a vinculação de funcionários aos

crimes de pedofilia, prostituição infantil e assédio sexual, muitas vezes articulados

através de redes na Internet.

O monitoramento de funcionários assume, assim, uma dimensão ampliada,

visto que os limites entre as questões organizacionais e pessoais são cada vez mais

tênues. É exigida do funcionário moderno uma dedicação maior à empresa, além de

comprometimento e lealdade com suas políticas. Com o conseqüente aumento de

horas trabalhadas, muitos empregados são levados a realizar durante o expediente

algumas de suas atividades privadas, como marcação de consultas médicas,

pagamento de contas e até compras de supermercado pela Internet (SHARMA;

GUPTA, 2004). Empregadores, portanto, costumam ser um pouco tolerantes se o

empregado destina uma pequena parcela do seu dia de trabalho aos assuntos

pessoais e sociais.

6

Lobato de Paiva (2002) defende o uso do ‘e-mail social’ como uma prática

salutar para a organização, por estimular os funcionários a desenvolverem suas

atividades com mais liberdade, sem medo de sofrerem advertências ou demissão

somente pelo simples uso do correio eletrônico. Já Hornung (2005) afirma que a

única forma dos empregados se sentirem confortáveis conduzindo seus negócios

privados no trabalho é se assegurando de que os assuntos particulares continuarão

particulares.

Segundo Martin e Freeman (2003), a compreensão da complexidade do

monitoramento de funcionários envolve questões como produtividade, segurança,

responsabilidade, privacidade, criatividade, paternalismo e controle social. Os dois

primeiros – segurança e produtividade – são os principais argumentos apresentados

pelas organizações no que tange à decisão de monitorar, de acordo com estudos

anuais realizados pela AMA desde 1997.

Pesquisas aplicadas em mais de 2.000 empresas públicas e privadas de

quatro estados norte-americanos apontaram que 98,2% usavam software antivírus,

90,7% tinham firewalls e 75% usavam software anti-spyware. Mesmo assim, durante

o ano de 2005, 83,7% das organizações experimentaram no mínimo um incidente de

vírus, worm ou cavalo de tróia e 79,5% tiveram no mínimo um incidente de spyware.

(FBI COMPUTER CRIME SURVEY, 2005). Após os incidentes, a maioria das

empresas afirmou ter instalado atualizações de segurança e novos softwares, mas

44% disseram que as invasões vinham de dentro das próprias organizações,

remetendo-as à idéia de fortalecer ainda mais o controle interno. Já para o FBI, os

resultados da pesquisa apontam claramente para a necessidade urgente de

vigilância contra os cyber ataques, tanto internos como externos.

Problemas relacionados à Internet não estão restritos a ação de hackers e a

proliferação de vírus pela troca de e-mails com elementos externos à companhia. De

acordo com Flynn (apud TAM et al., 2005), os e-mails potencialmente mais

prejudiciais tendem a ser aqueles trocados entre funcionários de uma mesma

organização, por não haver uma preocupação excessiva com linguagem e conteúdo.

Com relação à Internet, caso os funcionários a utilizem para fazer download de

softwares ilegais ou utilizem indevidamente informações da WEB protegidas por

direitos autorais, a organização pode ser legalmente responsabilizada por tais

infrações. Portanto, acredita-se que o monitoramento é um meio efetivo de

7

assegurar um ambiente de trabalho seguro e de proteger os indivíduos e os bens e

recursos da organização (HARTMAN, 1998).

Já de conhecimento comum que navegar na Internet e enviar e-mails

pessoais são ações que demandam tempo, recursos e reduzem a produtividade. Em

pesquisa sobre o assunto divulgada pela Websense (2001 apud MARTIN,

FREEMAN, 2003), 60,7% dos empregados entrevistados afirmaram visitar websites

com fins pessoais no ambiente de trabalho. Um dado relevante mostra que 70% do

tráfico em websites pornográficos ocorre durante o horário de expediente. Um outro

levantamento, realizado pela empresa britânica de segurança MessageLabs,

apontou que 15% de todos os anexos de e-mail com imagens que circulam em

empresas contém pornografia (FOLHA ONLINE, 2002).

Para Martin e Freeman (2003), a Internet substituiu a pausa para o cafezinho

ou as conversas ao telefone, antes consideradas as principais razões de desperdício

de tempo corporativo. Assim, muitas empresas adotam o monitoramento como forma

de estímulo à eficiência, à produtividade, à contenção de custos e à melhoria dos

serviços oferecidos aos clientes; além de possibilitar também uma avaliação mais

precisa e imediata da performance dos funcionários.

Outra corrente defende que o monitoramento, ao contrário, pode vir a reduzir

a produtividade dos funcionários. Tais críticas partem de pesquisas que evidenciam

uma conexão entre monitoramento e problemas de saúde de ordem psicológica e

física, como a ‘síndrome do túnel do carpo’ – dano no nervo do pulso causado por

teclar excessivamente (UCAN, 2006), stress, aumento do tédio, agitação, ansiedade

extrema, depressão, raiva, fadiga severa e problemas musculoesqueléticos

(HARTMAN, 1998).

Mais um dos problemas relacionados ao monitoramento se refere à moral do

funcionário. A falta de privacidade no ambiente de trabalho muitas vezes é

compreendida como ausência de confiança do empregador. Tal percepção pode

reduzir sua moral e desgastar o respeito mútuo que deve existir entre empregado e

empregador – necessário à continuidade de uma relação de trabalho bem sucedida

(HORNUNG, 2005). Estudos conduzidos por Frey (1992 apud Hartman, 1998) já

comprovaram que o monitoramento piora a moral do empregado e, por isso, afeta

negativamente sua performance. Contudo, não foi mencionado se nesses casos

constatados o funcionário tinha conhecimento prévio do monitoramento.

8

Os funcionários provavelmente não criarão nenhuma expectativa sobre

privacidade se um empregador os comunicar sobre o monitoramento. O contrário

ocorre quando o empregador distribui uma senha ou sugere de alguma forma que o

e-mail é confidencial. Nas organizações, a função da senha não é garantir a

privacidade do funcionário, mas sim a segurança dos dados da empresa. Zviran e

Haga (1999) afirmam que as senhas do tipo ‘user-selected’, escolhidas pelo usuário,

são as mais adotadas pela sua simplicidade conceitual e pela ausência de custos

para o administrador do sistema. Entretanto, quando da criação da senha, os

usuários não respeitam as orientações – senhas devem ser longas, compostas não

só por caracteres alfanuméricos, não baseadas em detalhes pessoais e

freqüentemente modificadas – o que vem a comprometer, de certa forma, a

segurança das informações.

O monitoramento de e-mails é um procedimento bastante comum nos

Estados Unidos e, segundo Hartman (1998), cada vez mais elementar para os

técnicos em informática. Os programas mais simples fazem uma varredura do

conteúdo a partir de uma lista de palavras-chave consideradas inadequadas. Porém,

existem softwares mais avançados que são ‘personalizados’ de acordo com a

necessidade de cada empresa. Além dos termos de baixo calão, com conotação

sexual e ofensiva, sistemas modernos podem localizar também mensagens

contendo o nome de um CEO de uma empresa, de códigos de produtos e até de

competidores. Até mesmo as expressões que possam implicar em dilemas éticos

para a empresa são incluídas na lista. Dunn (2006) menciona o caso de uma

prestadora de serviços de consultoria na área financeira, cujo sistema de

monitoramento conseguia rastrear expressões como “garantia de retorno”, “garantia

de rendimento” e até “reclamação”. Quando tais palavras eram identificadas, os

supervisores revisavam os e-mails – o que atingia uma média de 50 mensagens

diárias.

O conteúdo das mensagens de correio eletrônico também é objeto de

monitoramento por diversas outras razões. Uma delas diz respeito à preservação do

próprio funcionário. É possível que os empregados algumas vezes se equivoquem e

enviem informações que não deveriam, fato que pode levar a perda de sua

reputação ou até do trabalho (OSTERMAN, 2005). Em outros casos, os

empregadores buscam padronizar a comunicação e manter um nível de qualidade

textual, já que isso de alguma forma reflete a imagem corporativa. Quando um

9

empregado envia uma mensagem através do endereço de e-mail do provedor da

organização, o nome da empresa é identificável em cada endereço de e-mail

individual. Através do monitoramento de conteúdo, a empresa se certificará de que

comunicações inapropriadas não sejam consideradas como autorizadas pela

empresa num contexto legal (HARTMAN, 1998; MULH, 2003).

Muitas empresas fazem uso do rastreamento para proteger seus segredos de

negócio e manter sua vantagem competitiva (TAM et al., 2005), outras até para

descobrir o interesse da concorrência. Hartman (1998) discorre sobre uma situação

na qual determinados funcionários de uma empresa acessam repetidamente

páginas específicas do website de um concorrente em busca de informação

competitiva. Caso esta empresa utilize um sistema de rastreamento de hits, ela

saberá o que mais interessa aos empregados da outra, o que pode ajudá-la no

direcionamento de suas pesquisas e desenvolvimento de produtos e/ou serviços.

Além de monitorarem Internet, correio eletrônico, mensagens instantâneas e

até blogues (TAM et al., 2005), alguns dos softwares permitem ainda que o

empregador veja o que está na tela do computador ou armazenado no disco rígido;

podem também rastrear a atividade do funcionário relativa a cópias e exclusões de

arquivos, incluindo freqüência e quantidade. Outros permitem, em tempo real,

acompanhar todas as atividades do funcionário, os recursos utilizados e a possível

violação de políticas de uso (SCHULTZ, 2005). Geralmente os funcionários que

lidam com processamento de texto e entrada de dados são os mais sujeitos ao

monitoramento de performance via teclado, onde o sistema mensura o número de

toques por hora e informa se o funcionário está acima ou abaixo da expectativa

média. Outra técnica de monitoramento permite quantificar o tempo gasto pelo

funcionário longe do computador ou o tempo ocioso de um terminal (UCAN, 2006).

De uma maneira geral, as ferramentas usadas para o monitoramento permitem ao

empregador obter informações sobre como os empregados utilizam o seu tempo no

trabalho (BOCKMAN, 2004).

A grande maioria dos softwares permite que o monitoramento seja realizado

sem a percepção dos funcionários. Na maioria das vezes, estes só passam a saber

que são monitorados quando as informações coletadas são usadas na avaliação do

seu trabalho. Entretanto, alguns empregadores adotam formas explícitas para

comunicar suas políticas de monitoramento, como manuais, anúncios em folhetos,

10

jornais internos e na intranet (HÖNE; ELOFF, 2002), memorandos, contratos,

reuniões ou até bilhetes afixados nos computadores (UCAN, 2006).

Como destaca Hartman (1998), o empregador deveria comunicar

adequadamente a intenção do monitoramento, sua forma, freqüência e propósito,

até como demonstração de respeito aos direitos de privacidade dos empregados e

ao direito de serem informados sobre decisões envolvendo suas ações. Seguindo a

mesma linha de raciocínio, em recente reportagem extensa publicada no Jornal O

Estado de São Paulo sobre o uso da Internet no trabalho, concluiu-se que o

monitoramento do uso da rede depende do tipo de atividade que exerce o

empregado e que as necessidades de cada cargo precisam ser levadas em

consideração (BARBÃO; MARTINS, 2007).

Sobre a política de uso do correio eletrônico, há necessidade de elaboração

de uma política de segurança da informação capaz de auxiliar no desenvolvimento

de práticas voltadas para a manutenção segura, tanto quanto possível, de seu

ambiente computacional, bem como no desenvolvimento das pessoas que trabalhem

neste ambiente (RAMOS; CAVALCANTE, 2005). Siau, Nah e Teng (2002), em

pesquisa sobre políticas aceitáveis para o uso da Internet no trabalho, concluíram

que a ação mais eficaz é investir em uma gestão profissional centrada na informação

e na conscientização das pessoas.

3. Metodologia

O critério de escolha dos sujeitos da pesquisa partiu do interesse em

estabelecer uma comparação entre as práticas de monitoramento de funcionários

em relação ao uso de Internet e e-mail no setor varejista de alimentos. Assim, optou-

se por escolher duas empresas de segmentos semelhantes, líderes no setor em

suas cidades de origem, em diferentes estados da Federação, aqui identificadas

como V1 e V2. A escolha ainda se pauta pela significativa relevância econômica da

atividade e pelo fato das empresas do ramo apresentarem aspectos extrínsecos

similares, possibilitando uma gama de estudos sobre as características intrínsecas

da organização (BARBOSA; TEIXEIRA, 2005).

Por possuir um caráter exploratório, o método de pesquisa utilizado foi o

estudo de caso. Segundo Pozzebon e Freitas (1997), uma das razões principais que

justificam o estudo de caso como a estratégia mais apropriada, em dado contexto de

11

pesquisa, é a possibilidade de pesquisar uma área na qual poucos estudos prévios

tenham sido realizados.

Para Yin (2001), a adoção de um único caso é apropriada em nas situações

onde: a) o caso representa um caso crítico de teoria bem formulada; b) o caso

representa um caso extremo ou único; e c) o caso representa um caso revelatório.

Como essas situações não parecem aderir ao contexto desta pesquisa, e o objetivo

é realizar a descrição de um fenômeno, decidiu-se pela escolha de dois casos a

explorar (múltiplos casos).

Esta pesquisa, quanto ao número de pontos no tempo onde os dados serão

coletados, é de corte transversal. A coleta dos dados ocorreu em um só momento

porque o interesse é mostrar um retrato de práticas e políticas empregadas no

momento atual em duas realidades organizacionais.

As questões da pesquisa endereçadas aos gerentes de TI foram: i) Como são

utilizados e gerenciados os acessos à rede e qual é o padrão de uso da Internet? ii)

Como são utilizados e gerenciados os recursos de comunicação eletrônica (e-mail e

comunicadores instantâneos)? iii) Como são considerados os impactos do uso da

Internet para a produtividade dos funcionários? iv) Quais são as regras e a política

de monitoramento eletrônico dos empregados? Como está sendo implementada esta

política, no que diz respeito ao acesso à Internet e à utilização de comunicação

eletrônica? v) Como estão sendo considerados o processo de vazamento de

informação confidencial e uso de dispositivos de gravação? vi) Quais são as

medidas disciplinares adotadas para o caso da não observação da política

empresarial de uso da Internet?

Quanto ao instrumento de coleta de dados, foi escolhida a entrevista em

profundidade, mediante um roteiro semi-estruturado, baseando-se em parte na

pesquisa “2003 E-Mail Rules, Policies and Practices Survey”, realizada por três

instituições norte-americanas: American Management Association - AMA, The

ePolicy Institute e Clearswift” (AMA, 2003). Fez-se necessário inserir outras

indagações ao instrumento original na constituição do roteiro, para abordar as

questões de uso da Internet.

As questões foram endereçadas aos gerentes do setor de Tecnologia da

Informação em ambas as empresas pesquisadas. Cada entrevista tinha a duração

média de 40 minutos. Foram necessários alguns retornos depois de iniciada a

análise qualitativa dos resultados, apesar do pouco tempo que os gerentes

12

dispunham para receber as pesquisadoras. As respostas foram gravadas mediante

prévia autorização. A pesquisa de campo foi realizada em dois momentos, no ano de

2006.

Não foram entrevistados outros atores, tais como os empregados, pois o

objetivo da pesquisa era inicialmente focar na perspectiva dos gerentes de TI. O

presente artigo, conseqüentemente, limita-se a investigar a visão dos responsáveis

pela área de sistemas e tecnologia de informação.

As entrevistas foram transcritas e, posteriormente, submetidas à análise de

conteúdo do tipo categorial que, segundo Bardin (2004, p. 111), é uma “operação de

classificação de elementos constitutivos de um conjunto, por diferenciação e,

seguidamente, por reagrupamento segundo o gênero (analogia), com os critérios

previamente definidos”. Ainda de acordo com Bardin (2004), a categorização é

coerente em situações aonde os objetos de análise são respostas a questões

abertas, entrevistas ou reuniões em grupos.

4. Análise e Discussão dos Resultados

Neste tópico, serão relatados os resultados da análise qualitativa.

Inicialmente, serão caracterizadas as organizações pesquisadas, para então serem

descritos os principais achados da pesquisa de campo, a partir das questões de

pesquisa.

V1 é uma empresa do ramo de varejo de alimentos com 20 anos de atuação

no mercado. Seus 4000 funcionários estão distribuídos em 26 lojas, sendo 19 na

capital, quatro no interior e duas em um Estado vizinho. Do total de lojas, três estão

direcionadas a venda por atacado. Com faturamento de 600 milhões de reais, a

empresa está entre as 20 primeiras no ranking da Associação Brasileira de

Supermercados (ABRAS), divulgado anualmente (SUPERHIPER, 2005). Por sua

vez, V2, segunda empresa pesquisada, ocupa posição pouco inferior no mesmo

ranking, apresentando faturamento da ordem de 320 milhões de reais. Possui seis

lojas de varejo, todas em uma única cidade onde foi fundada há mais de 32 anos.

Ambas as empresas são líderes em vendas nos Estados onde atuam.

A seguir, as questões de pesquisa são discutidas a partir da análise do

conteúdo das entrevistas realizadas com os gerentes de TI dos supermercados

estudados.

Política de acesso à Internet e à rede

13

No que tange à informatização das lojas, V1 possui 1000 terminais, sendo

400 do tipo check-out (micro-computadores de frente de loja). Do restante das

máquinas, em média 150 estão conectadas a Internet, liberada para apenas 2,5%

dos empregados. Esse percentual se refere principalmente aos funcionários do setor

administrativo e cargos de confiança, a quem é permitido acesso a websites

relacionados aos seus setores. O acesso ilimitado é restrito apenas à diretoria da

empresa. Cada máquina é normalmente utilizada por apenas um funcionário, sendo

raros os casos de compartilhamento dos equipamentos.

Na V2 todos os computadores – aproximadamente 300, segundo o

entrevistado – estão conectados a Internet, excetuando-se os servidores. O acesso

é permitido a 40% dos 1800 funcionários. Com relação ao acesso a programas

específicos e documentos da empresa, há níveis de permissão definidos por senhas

individuais criadas pelo próprio usuário, de acordo com a atividade por ele realizada.

Tal prática é salutar visto que os computadores são compartilhados – cada terminal

chega a ser usado em média por três funcionários, em turnos distintos. Por essa

razão, o número de empregados com acesso a Internet é bastante alto, se

comparado ao número de computadores.

Um sistema similar ao do supermercado V2, de privilégios de acesso por

senha, está em fase de implantação em V1. Entretanto, o controle não se restringirá

à utilização de programas, mas também à navegação na Internet, conforme afirma o

entrevistado: “No momento em que o funcionário acessar a Internet, ele [o sistema]

já mostrará a intranet, e a partir dela, vai ter por onde navegar. Dependendo da sua

senha, vai ter condições de dar continuidade a um acesso ou não”.

Nenhuma das empresas atualmente tem website. Segundo o entrevistado na

V1, o site da Internet, criado inicialmente para fins institucionais, foi retirado do ar

para reestruturação visando aumentar a interação com seus públicos. A nova

proposta do site – ainda sem previsão de lançamento, contempla funcionalidades

como cadastro de currículos e comércio eletrônico, com sistema de entrega das

compras em domicílio. O responsável pela TI do supermercado V2 acredita ser

remota a possibilidade de lançamento de um website em moldes semelhantes, visto

que em médio prazo tal investimento não é prioritário para a organização.

Assim como não se vende, tampouco se compra via Internet na V2. Em

relação ao abastecimento das lojas, a empresa recebe visitas diárias da maioria dos

fornecedores, com quem negociam pessoalmente. A necessidade do contato

14

presencial é atribuída às minúcias e trâmites do processo de negociação. Nas

compras de bens de uso e consumo da organização, a Internet somente é utilizada

para pesquisa de preços, e o e-mail para contatos com a rede de relacionamento

profissional. Na V1 os processos não são muito distintos, porém algo em torno de

10% dos pedidos de compra são realizados via e-mail e alguns contatos através de

mensagens instantâneas pelo MSN Messenger, principalmente entre as lojas mais

distantes.

Monitoramento da comunicação interna

Os funcionários de ambas as empresas que utilizam e-mail na execução de

suas atividades dispõem de um endereço eletrônico fornecido pelos seus

provedores. As regras para utilização do e-mail são bastante flexíveis, sendo

permitido o uso para troca de mensagens de natureza privada. Isso se reflete de

alguma forma nos números: do volume de e-mails recebidos diariamente na V2, 40%

são spams, e o restante se divide igualmente em mensagens pessoais e

profissionais. Na V1 a freqüência de recebimento de spam também é alta, embora a

preocupação da empresa seja maior com relação à utilização do MSN e Internet, por

questões relacionadas à perda de produtividade dos funcionários.

Esse assunto foi pauta de discussão na V1, quando se detectou por

observação empírica que o uso indevido de Internet e MSN afetava o rendimento. A

partir daí, estabeleceu-se um controle mais rigoroso. O acesso ao programa de

mensagens instantâneas continua existindo, porém é limitado a alguns funcionários.

O acesso à Internet é centralizado e gerenciado através de firewall, que

bloqueia páginas de conteúdo impróprio. A reestruturação pela qual passa a TI da

empresa também contempla uma ampliação das políticas de monitoramento de e-

mail e Internet. O software em desenvolvimento permitirá à empresa conhecer

detalhes da interação do funcionário com a máquina, como o número de acessos a

um determinado programa, o tempo de uso, o aproveitamento do software de gestão

da empresa, além de detectar a subtilização dos computadores para possível

realocação, se necessário. Com o novo software, a empresa espera conseguir

gerenciar e avaliar com mais precisão a produtividade dos empregados em relação

ao uso dos computadores.

Impactos do uso da Internet para a produtividade

A idéia de perda de produtividade para o gerente de TI da V2 segue a linha de

raciocínio desenvolvida por Martin e Freeman (2003). Ele acredita que a Internet é

15

só mais uma das razões para redução da produtividade: “se não for o e-mail é a

Internet, se não for a Internet é a palavra cruzada, se não for a palavra cruzada é

qualquer outra atividade”. A perda de tempo diária é estimada pelo entrevistado

como algo entre 15 e 30 minutos, usados na leitura de e-mail, acesso à Internet e

outras atividades, como “a arrumação de uma gaveta, por exemplo”. Para V2, o

desenvolvimento das tarefas e o aumento da produtividade vão depender do

interesse do trabalhador e não dos artifícios que lhes sejam disponibilizados.

Entretanto, a empresa toma as devidas precauções para garantir a segurança de

suas informações.

Política de monitoramento dos empregados

A política de monitoramento na V2 é suavizada em um discurso onde, em

princípio, tudo é permitido, até que o funcionário descubra sozinho o que pode ou

não acessar. Ao se deparar com uma página bloqueada, o usuário lê

automaticamente na tela uma mensagem informando que aquele endereço está

proibido pela empresa, devendo contatar o setor de informática caso haja

necessidade. Não há documentação formal, por escrito, que contenha com clareza

as políticas de monitoramento de e-mail e Internet adotadas pela organização e que

seja apresentada aos funcionários. A empresa foi informatizada há 11 anos, mas há

dois implantou mudanças consideradas significativas nas áreas de comunicação e

segurança. Os funcionários antigos acompanharam o processo, mas os recém-

admitidos aprendem na prática diária como a empresa lida com tais questões.

Já a nova política proposta pela V1 é baseada na remoção ou adição de

privilégios de e-mails e Internet a partir da necessidade e do nível de utilização

individual. Em relação à comunicação sobre as regras de monitoramento, o grupo V1

tem realizado um treinamento com os funcionários objetivando a difusão das novas

políticas e a conscientização sobre a importância da senha de acesso ao sistema,

através de informativos e reuniões em grupo. Como ressaltam Zviran e Haga (1999),

é primordial que as organizações empreendam esse esforço educativo para

aumentar a consciência dos usuários sobre a segurança dos sistemas. Os autores

sugerem, em adição, que as empresas elaborem guias para ajudar a selecionar e

implementar a senhas, bem como mecanismos de monitoramento da sua

implementação.

O bloqueio de novos sites da Internet é realizado quase que diariamente na

V2, a partir de um software baseado no sistema operacional Linux que contém os

16

endereços impróprios para acesso em ambientes empresariais. Assim também

ocorre com o monitoramento de e-mails, que sofre controle de conteúdo e tamanho

das mensagens em qualquer circunstância. O software faz a varredura a partir de

uma lista de palavras e expressões, anexos executáveis, zipados ou de origem

desconhecida, em e-mails enviados e recebidos. Quando o sistema localiza alguma

mensagem com tais características ela é imediatamente bloqueada, mas o conteúdo

não é lido nem analisado por terceiros, nem mesmo pelo setor de informática. Não

há nenhum tipo de identificação do funcionário, advertência ou punição, a não ser

em um caso exaustivamente repetido. Até porque toda a responsabilidade por

acessos indevidos, caso haja, é do setor de informática. O sistema incentiva de certa

forma a autodisciplina do usuário.

Já a comunicação entre funcionários, por ser realizada via intranet, não é alvo

de monitoramento, o que ocorre também na V1. A adoção de tal postura remete às

considerações de Tam et al. (2005) sobre a complacência das organizações no

monitoramento das comunicações internas e do seu alto grau de periculosidade,

também constatado empiricamente nas pesquisas do FBI COMPUTER CRIME

SURVEY (2005). O grupo V1 justifica a ausência de controle e monitoramento nesse

canal pela alta confiabilidade depositada nos poucos funcionários que têm acesso

ao e-mail. Questões de assédio sexual, comuns na realidade norte americana,

parecem não fazer parte do cotidiano das organizações aqui estudadas. Não haveria

tampouco como a empresa identificar tal tipo de problema já que não se monitora a

comunicação eletrônica dos seus empregados.

De uma maneira geral, o e-mail é visto pelos entrevistados como uma

ferramenta que torna o trabalho mais eficiente, desde que usado com parcimônia.

Em algumas áreas da empresa V2, como no setor de manutenção, não há a

premência da utilização do e-mail, mas seu acesso é mantido por questões ligadas à

filosofia da empresa: “Toda a tecnologia aplicada na empresa é pra ser usada na

empresa. [...] A mesma regra que eu tenho aqui, o diretor, o dono tem. É padrão;

não tem ninguém com exceção”. Entretanto ambas as empresas relataram episódios

de travamento ou congestionamento de sistema, pane em equipamentos e infecção

por vírus decorrentes de problemas com e-mails. Nunca houve a perda definitiva

documentos – ambas tem um servidor para back-up – e nem a interrupção dos

negócios das empresas, em particular na V2, visto que seu sistema de check-out

funciona independentemente da comunicação.

17

Riscos da segurança e sigilo

Não foram relatados quaisquer casos de vazamento de informação

confidencial em nenhuma das organizações. Acredita-se que os riscos sejam

menores na V1 em parte pelo fato dos terminais serem de uso individual, o que

dificultaria o acesso de terceiros a documentos específicos. O entrevistado, porém,

alega que tal comportamento oportunista está relacionado menos à facilidade de

acesso e mais à insatisfação do funcionário com a empresa. Apesar disso, o novo

sistema a ser adotado em breve eliminará a possibilidade de cópias, através do

travamento da máquina a partir da tentativa de conexão de dispositivos em drive

USB. Já na V2 é vetado o uso de dispositivos para gravação de informações, tais

como pen-drive, disquete e CD-Rom. Apenas nos setores de tecnologia e

contabilidade o disquete ainda é passível de utilização, dado as especificidades do

trabalho realizado.

Adoção de medidas disciplinares

As empresas também não relataram nenhum caso de demissão de

funcionários por uso inadequado de Internet, embora em ambas já tenha havido

advertências – um único caso constatado em cada empresa: numa, por acesso a

páginas impróprias através de uma falha do sistema; na outra, constatação de perda

de produtividade pelo acesso à Internet em demasia.

5. Conclusões

Os recursos de rede de informação e comunicação são alvos vulneráveis aos

cyber-ataques e à sabotagem no ambiente interno e externo às empresas. Sob esse

aspecto, as práticas de monitoramento configuram-se como uma ação preventiva

necessária às organizações que primam pela segurança.

Os resultados obtidos a partir das respostas às questões de pesquisa são

sumarizados a seguir. No tocante à política de acesso à rede, a utilização da Internet

no trabalho tem características distintas, assim como o padrão gerencial de ambas.

A rede de supermercados V2 demonstrou ter um acesso à rede mais democrático

quanto ao critério de igualdade de privilégios de acesso, sem diferença entre níveis

hierárquicos do que a V1. Tal atitude reflete em parte a compreensão de que as

ameaças, às quais estão sujeitas as organizações, podem surgir de formas diversas,

não sendo a Internet sua principal preocupação.

18

Quanto aos aspectos relacionados ao monitoramento da comunicação

interna, a análise das entrevistas permitiu concluir que ambas as organizações

mostraram-se despreocupadas a esse respeito. A rede de supermercados V2, pela

suposta proteção assegurada na intranet; o grupo V1, por depositar alto grau de

confiança nos funcionários que acedem a e-mails. A gestão dos recursos de

comunicação instântanea e por email em ambas organizações baseia-se em

modelos pouco sofisticados de governança da TI, pelo que depreende-se das

informações dos gerentes.

No que se refere aos impactos do uso da Internet para a produtividade,

ambas as empresas têm um discurso em que são colocados em dúvida os impactos

causados pelo uso da Internet no trabalho. Os gerentes acreditam que a

improdutividade teria mais relação com a motivação e interesse de cada empregado

em ser produtivo, não sendo a tecnologia da informação a principal responsável por

seu resultado ser abaixo do esperado.

Com relação à política de monitoramento eletrônico, a organização não tem

uma prática formal e documentada de suas ações visando à segurança da

informação corporativa. Ambas têm uma postura de cultivar a confiança nos seus

funcionários, de respeitar a privacidade deles e de incentivar a sua autodisciplina.

Em V2, o gerente relatou que a política de monitoramento é de liberdade relativa

para o funcionário que acessa a Internet e utiliza o email no local de trabalho,

cabendo a cada um descobrir o que é ou não permitido pelo setor de informática. Em

contrapartida, em V1 existe mais emprego de recursos computacionais para o

monitoramento dos empregados. Há a utilização de um software para realizar

fiscalização do email dos funcionários, tais como o tamanho dos arquivos e

varredura de origem desconhecida e de palavras ou expressões, sem que o

conteúdo seja violado. Ambas adotam algumas práticas como bloqueio de sites.

Em nenhuma das duas empresas são gerenciados os riscos da segurança e

sigilo de suas informações. Nenhuma considerou a possibilidade de troca de

informação sigilosa entre funcionários de setores distintos, por exemplo. Os dois

casos analisados não utilizam práticas rigorosas de uso de dispositivos de gravação,

e de controle de vazamento de informações. Os gerentes, entretanto, contrariando

as normas de gestão de segurança da informação (tal como a ISO 27001, que

recomenda a observação de mais de 127 itens de controle), percebem que as

19

práticas de monitoramento adotadas pelas organizações atendem a contento aos

objetivos e ao nível de segurança exigido por ambas as empresas.

Quanto a adoção de medidas disciplinares para os empregados quando da

identificação de algum aspectos ligado à segurança, uma evidência mostrada foi o

registro de apenas um caso de reforço das políticas por disciplina em cada uma das

empresas. Nunca houve demissão, revisão da performance de funcionários,

eliminação do uso do e-mail ou alguma punição de âmbito legal.

É imprescindível investir na conscientização dos funcionários acerca dos

riscos da utilização da Internet no local de trabalho. Além dos aspectos relacionados

à conscientização e ao uso de softwares adequados para o monitoramento

eletrônico dos empregados, a educação é o caminho recomendado para alcançar

um nível de produtividade satisfatório às organizações, sem colocar em risco sua

sobrevivência no mercado.

Os gestores devem informar as pessoas sobre a política de acesso e de

fiscalização existente, esclarecendo de que forma os empregados estão sendo

observados, além de notificá-los sobre as mudanças que eventualmente sejam

implantadas na política de utilização dos recursos corporativos. A decisão sobre

quaisquer práticas de monitoramento a serem adotadas deve se balizar sempre

pelos valores, missão e objetivos da empresa, respeitados os interesses de todos os

envolvidos na organização.

Portanto, a adoção de uma política de uso da Internet e de meios digitais que

tenha ampla aceitação por parte dos funcionários é a receita para equacionar os

interesses da empresa. Supervisionar o trabalho realizado, avaliar o desempenho de

seus funcionários e se proteger do uso inadequado dos seus recursos, respeitando

ainda a privacidade e individualidade de cada trabalhador e suas necessidades, são

medidas que ajudarão a empresa a ter um relativo equilíbrio entre a necessidade de

proteção e a habilitação para realizar negócios, sem afetar a satisfação dos

empregados.

Como limitação do trabalho, a pesquisa poderia ter incluído outras formas de

coleta de dados, não tendo sido possível fazer uma triangulação com a análise de

documentos, como desejável, pois não havia muita formalização na gestão dos

recursos de TI nas empresas pesquisadas. Outro fator limitante é a pesquisa ser

cross-sectional. Todavia, considerando a abordagem exploratória, o método utilizado

parece ter sido adequado para a proposição da pesquisa.

20

Diante da relevância e atualidade para a área de Administração da

Informação e a escassez de publicações sobre monitoramento eletrônico, o artigo

buscou contribuir para o avanço do conhecimento sobre o tema, dentro das

condições metodológicas limitantes. Como propostas de estudos futuros, destacam-

se a realização de uma pesquisa tipo survey entre os funcionários das empresas

estudadas, abordando a percepção desses atores sobre os efeitos da

monitoramento sobre a satisfação e desempenho; a ampliação da pesquisa a outros

segmentos de negócio; e a inclusão da questão do monitoramento dos blogues

(weblogs) corporativos.

Referências

AMA. 2003 E-mail rules, policies and practices survey. American Management

Association, New York, USA, 2003.

AMA. Electronic monitoring & surveillance survey. American Management

Association, New York, USA, 2005.

BARBOSA, D. C. S., TEIXEIRA, D. J. A percepção da imagem no varejo de

alimentos: a descrição da imagem de um supermercado por seus consumidores. In:

ENCONTRO DA ASSOCIAÇÃO NACIONAL DOS PROGRAMAS DE PÓS-

GRADUAÇÃO EM ADMINISTRAÇÃO, XXIX, 2005, Brasília. Anais... Distrito Federal:

ANPAD, 2005.

BARDIN, L. Análise de conteúdo. 3ª. ed. Lisboa: Edições 70, 2004.

BOCKMAN, Kimberly A. Employee monitoring: it is a fact, you are being monitored!

SANS Institute, 2004. Disponível em:

<http://www.giac.org/certified_professionals/practicals/gsec/3736.php> - Acesso em:

04 mar 2006.

DUNN, Darrell. Who's Watching Now? InformationWeek, ABI/INFORM Global,

n.1078, p.64-65, 2006.

FBI COMPUTER CRIME SURVEY. 2005. Disponível em: <http://www.ic3.gov> -

Acesso em: 10 mar 2007.

FIROZ, Nadeem M., et al. E-mails in the workplace: the electronic equivalent of 'DNA'

Evidence. Journal of American Academy of Business, ABI/INFORM Global, v.8,

n.2, p.71, 2006.

FOLHA ONLINE. 15% dos anexos de e-mail corporativo têm pornografia. 2002.

Disponível em: <http://www1.folha.uol.com.br/folha/informatica/ult124u10627.shtm>-

21

Acesso em: 04 mar 2006.

FOLHA ONLINE. 36% das empresas americanas monitoram e-mail, diz

pesquisa. 2005. Disponível em:<

http://www1.folha.uol.com.br/folha/dinheiro/ult91u98699.shtml>- Acesso em: 04 mar

2006.

GLOBO ONLINE. Empresas podem usar e-mail como prova contra funcionário.

2006. Disponível em:

<http://oglobo.globo.com/online/economia/mat/2006/03/01/192004811.asp>- Acesso

em: 14 mar 2006.

HARTMAN, Laura P. The rights and wrongs of workplace snooping. Journal of

Business Strategy, v.19, n. 3, p.16,1998.

HEALY, Mike; ILES, Jennifer. The impact of information and communications

technology on managerial practices: the use of codes of conduct. Strategic Change,

ABI/INFORM Global, v.12, n.4, p.185, 2003.

HÖNE, Karin; ELOFF, J.H.P. Information security policy: what do international

information security standards say? Computer and Security, v.21, n.5, p. 402-409,

2002.

HORNUNG, Meir S. Think before you type: a look at email privacy in the workplace.

Fordham Journal of Corporate & Financial Law, ABI/INFORM Global, v.11, n.1,

p.115-161, 2005.

LOBATO DE PAIVA, Mário Antonio. O monitoramento do correio eletrônico no

ambiente de trabalho. Congresso internacional de Direito e Tecnologia da

informação. Brasília, n.19, p. 24-39, 2002.

MARTIN, Kirsten; FREEMAN, R Edward. Some problems with employee monitoring.

Journal of Business Ethics, ABI/INFORM Global, v.43, n.4, p. 353, 2003.

MULH, Charles J. Workplace e-mail and Internet use: employees and employers

beware. Monthly Labor Review, p.36-45, 2003.

OSTERMAN, Michael. Should you check outgoing e-mail? Network World, v. 22, n.

27, p. 41, 2005. Disponível em:

<http://www.networkworld.com/newsletters/gwm/2005/0704msg1.html?fsrc=rss-

messaging>.

Acesso em: 15 jun 2007.

POZZEBON, M.; FREITAS, H. Pela aplicabilidade - com um maior rigor científico -

dos

22

estudos de caso em sistemas de informação. In: ENCONTRO DA ASSOCIAÇÃO

NACIONAL DOS PROGRAMAS DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO,

XXI, 1997, Rio das Pedras. Anais... Rio de Janeiro: ANPAD, 1997.

RAMOS, A. S. M.; CAVALCANTE, S. M. Práticas de conscientização e treinamento

em segurança da informação no correio eletrônico: um estudo de caso. In:

CONGRESSO ANUAL DE TECNOLOGIA DE INFORMAÇÃO (CATI), II, 2005, São

Paulo. Anais...São Paulo: FGV, 2005.

RIP - REGULATION OF INVESTIGATORY POWERS ACT 2000. Investigation of

electronic data protected by encryption. Disponível em:

http://www.opsi.gov.uk/acts/acts2000/00023--e.htm . Acesso em: 23 mar 2006.

SCHNOOR, Tatiana. Crimes digitais geraram prejuízo de R$ 300 mi em 2005.

2006. Disponível em:

<http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=4148>-

Acesso em: 22 mai 2007.

SCHULTZ, Keith. ConSentry keeps an eye on users. Infoworld, ABI/INFORM

Global, v. 27, n.46, p. 54, 2005.

SHARMA, Sushil K; GUPTA, Jatinder N D. Improving workers' productivity and

reducing Internet abuse. The Journal of Computer Information Systems,

ABI/INFORM Global, v.44, n.2, p.74, 2004.

SIAU, K; NAH, F. F. H.; TENG, L. Acceptable internet use policy. Communications

of the ACM. Vol. 45, N. 1, p. 75-79, 2002.

SUPERHIPER. Ranking Abras 2005. São Paulo: Abras, ano 31, n.357, 2005.

TAM, Pui-Wing, et al. Snooping e-mail by software is now a workplace norm. Wall

Street Journal, New York, p. B.1, 2005.

TURBAN, Efraim; McLEAN, Ephrain; WETHERBE, James. Tecnologia da

informação para gestão: transformando os negócios na economia digital. 3 ed.

Porto Alegre: Bookman, 2004.

UCAN. Employee Monitoring: is there privacy in the workplace? Privacy Rights

Clearinghouse. 2006. Disponível em: <http://www.privacyrights.org/FS/fs7-

work.htm>. Acesso em 10 mar 2007.

YIN, Robert K. Estudo de Caso: planejamento e métodos. 2ª.ed. Porto Alegre:

Bookman, 2001.

ZVIRAN, Moshe; HAGA, Willian J. Password security: an empirical study. Journal of

Management Information Systems v.15, n.4, p.161,1999.