sábado, 20 de julho de 2013

BYOD - Você sabe o que é isso?

Fonte: http://sellorelse.ogilvy.com/2012/12/10/byod-movement-spurs-smart-mobility/


CONSUMERIZAÇÃO E BYOD (Bring your own device)


                       Estamos todos conectados, mesmo que involuntariamente - e o tempo todo. O telefone fixo foi substituído pelo celular; o desktop, pelos laptops, tablets e smartphones; os fios, por conexões wireless cada vez mais rápidas e de grande alcance.

A mobilidade tem o condão de tornar ininterrupto o contato entre as pessoas e sem a barreira da distância. A vida pessoal foi amalgamada com toda a força à vida profissional, tendo em vista que os limites entre ambas são cada vez mais tênues. Empresas e órgãos públicos passaram a fornecer a seus empregados/servidores equipamentos móveis, em especial celulares/smartphones e laptops/tablets, como forma de assegurar contato a qualquer hora do dia ou da noite.

Os empregados e servidores públicos, por sua vez, aceitaram prontamente e de bom grado a ideia. Se, por um lado, a mobilidade às expensas do patrão possibilitava que a jornada de trabalho pudesse ser redimensionada e cumprida parcialmente fora dos escritórios, também fazia com que milhares de 'excluídos digitais' pudessem ter acesso àquelas tecnologias. No final da década de 90 e início dos anos 2000 havia pouca oferta de dispositivos móveis, os equipamentos eram caríssimos e nem todos podiam te-los.

Todavia, com a explosão da tecnologia e a consequente popularização dos celulares e tablets, a situação se inverteu. Se no passado a vetusta máquina de escrever atravessava décadas, na atualidade empresas e órgãos públicos não conseguem atender à demanda de renovar seus dispositivos com a mesma velocidade do surgimento de novos modelos e tecnologias. Os devices das empresas ficam rapidamente ultrapassados e, em poucos anos, alguns se tornam praticamente obsoletos.

Em decorrência disso, em todo o mundo verificou-se a tendência de as pessoas passarem a utilizar, profissionalmente, seus dispositivos particulares, no conceito designado BYOD (Bring Your Own Device), muitas vezes tomado como sinônimo de consumerização, embora sejam fenômenos diferentes.

Consumerização é a tendência de os consumidores de dispositivos procurarem estar up-to-date com os lançamentos de mercado e sempre atualizados com os novos modelos e tecnologias. É o que explica, por exemplo, o comportamento de pessoas formando longas filas à porta das lojas Apple na véspera do lançamento de um novo modelo de iPhone.

O BYOD (Bring Your Own Device) é a preferência pela utilização de dispositivos pessoais para fins profissionais.

Estima-se, atualmente, que 90% dos empregados e colaboradores utilizem seus próprios dispositivos a serviço da empresa. Experiências de BYOD em escolas norteamericanas demonstram que o aprendizado pode ser muito facilitado e melhor aproveitado quando as crianças estudam em seus próprios dispositivos.1

Pesquisa realizada em 2012 pela CISCO Internet Business Solutions Group (IBSG) para auxiliar a tomada de decisão sobre o BYOD em grandes e médias empresas apurou que:2

O BYOD é um fenômeno global: forte evidência de funcionários em toda parte usando seus próprios dispositivos no trabalho; 89 por cento dos departamentos de TI permitem o BYOD de alguma forma;

Os principais benefícios do BYOD para a empresa são maior produtividade, satisfação do funcionário, menores custos; 69 por cento dos líderes de TI são “positivos” em relação ao BYOD;

Os funcionários querem o BYOD para poder escolher seus dispositivos e aplicativos e terem a capacidade de combinar suas vidas pessoal e profissional;

O benefício transformador do BYOD é a inovação impulsionada pelos funcionários — ao permitir que os funcionários decidam como, quando e com quais ferramentas o trabalho é realizado, as empresas poderão abrir caminho para a próxima onda de valor;

O BYOD, no entanto, implica em novos desafios de segurança e suporte de TI;

As empresas devem responder de forma proativa ao BYOD com melhores políticas móveis e estratégias de redução de custos; a virtualização da área de trabalho pode ajudar.

Algumas questões de ordem administrativa, funcional e jurídica permeiam essas novas tendências e se colocam como possibilidades de futuro conflito. O BYOD envolve aspectos inéditos relativos à segurança da informação, à integração da rede, aos reflexos trabalhistas e penais, aos custos e, ainda, ao suporte técnico dos dispositivos.
As informações aqui reunidas estão atualizadas até 05 de julho de 2013.

Construindo a história

"Tornou-se chocantemente óbvio que a nossa tecnologia
excedeu a nossa humanidade."
Albert Einstein

Em todos os momentos de nossas vidas fazemos escolhas e são centenas ao dia. Necessitamos decidir a cada segundo, sem mesmo perceber, o que vestir, o que comer, o que dizer, o que calar, qual caminho percorrer, como usar o tempo. Esse confrontamento sistemático entre duas ou mais opções se dá em todos os minutos da vida: escolher, escolher, escolher. Com nossos dispositivos pessoais não é diferente. Android ou iPhone? PC, Laptop ou Tablet? Galaxy ou iPad? Touchscreen ou teclado? Windows, Linux ou iOS? Papel ou Kindle? Vinil ou áudio digital?

Cada um de nós é um consumidor que faz escolhas. Esse fenômeno é a consumerização.

Escolhe-se um determinado dispositivo para uso próprio observando-se a conveniência particular, a melhor adaptação, o preço e a relação custo <=> benefício, a preferência pessoal ou mesmo o sentimento de superioridade e de empoderamento pessoal por adquirir o modelo tecnológico mais moderno. Ao device vão se agregando aplicativos, softwares, procede-se a sincronização com outras máquinas e há interface com outros ambientes. A vida de uma pessoa não é mais individualmente considerada: o conceito atual de 'homem', 'mulher' ou 'ser humano' abrange a pessoa e os seus avatares.

Parece bastante natural, pois, que nessa realidade aumentada a cultura do BYOD seja adotada com muita facilidade. O ambiente de trabalho mudou e a legislação pode ainda não ter cobertura suficiente para todas as situações.

As empresas, atualmente, lidam com outra questão que já se apresenta: o BYOA – Bring Your Own App (“Traga seu próprio aplicativo”). Se a opção por trabalhar com dispositivos pessoais é uma realidade, nada mais natural que os usuários queiram ou exijam, também, poder utilizar aplicativos de sua livre escolha, sem prévia homologação ou aprovação pelo empregador.

BYOD, propriedade e custos

O modelo tradicional de estrutura tecnológica organizacional importa em que os equipamentos adquiridos para o desenvolvimento da atividade empresarial tenham sua propriedade registrada no nome da empresa e que os custos da utilização também sejam por ela suportados. O usuário/empregado recebe os dispositivos como uma espécie de benesse ou facilidade para o trabalho, mantendo-se contatável o tempo todo. Raramente o usuário/empregado é chamado a opinar previamente acerca da preferência por algum modelo ou sobre a adequação deste ou daquele sistema operacional.

Nessa conjuntura, não tem contornos de relevância se o dispositivo fornecido é fixo ou móvel. O usuário irá recebê-lo preformatado, predefinido, com especificações técnicas rígidas e pouca ou nenhuma flexibilidade para customizá-lo. É comum que o sistema fixo ou móvel estabeleça padrões de consumo e filtros de conteúdo, por palavras-chave ou pela proibição expressa de acesso a determinados sites e/ou redes sociais, ou ainda por barreiras técnicas propositais que impeçam acessos não desejados pelas diretrizes empresariais.

Os custos de manutenção, suporte técnico e de segurança da informação, assim como os relativos à energia elétrica utilizada e às despesas com a banda de conexão, são de responsabilidade da empresa.

Na outra ponta, nas empresas que permitem a prática do BYOD, a propriedade do dispositivo é do usuário/empregado, que o escolhe livremente devido à consumerização. O empregado, na qualidade de dono do device, é quem arca com os custos de manutenção, suporte técnico, energia, conexão e reposição em caso de furto, roubo ou perda, além da corresponsabilidade pela segurança da informação.

BYOD e a segurança da informação

Muitas organizações têm observado o cuidado de elaborar um regulamento predefinido e uma política de utilização rígida e abrangente, devendo o empregado aderir expressamente a um termo de uso ou, ao menos, demonstrar ter inequívoco conhecimento das políticas adotadas. Esses normativos internos devem caminhar no sentido de fazer observar recomendações técnicas e boas práticas na utilização do sistema, tais como manter senhas pessoais fortes e intransferíveis, antivirus atualizados, cuidar do sigilo da informação, aqui podendo haver a adoção de contratos especiais de trabalho e cláusulas de confidencialidade (non disclosure agreement) e outras diretivas. Nesse modelo de negócio, tendo em vista o uso profissional do dispositivo pessoal, algumas empresas pagam uma espécie de ajuda de custo ao empregado, traduzida na valoração de uma cota mensal de utilização.

Ao admitir a prática do BYOD, a organização deverá concentrar uma forte política de Data Loss Protection e certificar-se de que seus dados e aplicativos, pulverizados em grande escala nos dispositivos de seus funcionários e colaboradores, tenham adequada solução técnica que os coloquem a salvo de vazamentos, furtos, ataques ou de tentativas de espionagem. Nesse contexto, a criptografia assume relevância como um dos mais importantes aspectos a ser observados, muito especialmente quando o armazenamento dos dados é feito na nuvem (cloud computing).

Além da encriptação, a arquitetura de controle poderá ser feita, também, por meio de hardware e/ou software na origem, como por exemplo a adoção de mecanismos como log in/senha diferentes e de acordo com o nível de acesso permitido externamente, autenticação por desafio, biometria, firewall, VPN (virtual private network), bloqueio geográfico, filtros de conexão e outros, tudo a permitir a AAA (autenticação, autorização e contabilidade/accounting).

De qualquer modo, permitindo-se o BYOD, é sempre recomendável que a política de segurança da informação esteja inequivocamente exposta no site da empresa, que seja distribuída aos empregados ou afixada em áreas comuns. Uma outra boa prática é fazer com que o usuário assine um termo de adesão às políticas de segurança da informação, com cláusula de confidencialidade, previsão de não-expectativa de privacidade nos assuntos corporativos e outras providências legais que possam resguardar a responsabilidade da empresa e e prevenir vazamentos de dados e incidentes de segurança.

BYOD e Privacidade

                            A cada log in, a internet registra e arquiva todos os cliques, páginas visitadas, caracteres digitados, termos usados nos programas de buscas e até o caminho do passeio do mouse na tela (traffic shaping). Os softwares e aplicativos adotados pela empresa como ferramentas de tecnologia e arquitetura de rede, usados adequadamente, também têm potencial para isso.

Uma questão que se coloca é a da privacidade dos dados do usuário no sistema BYOD, no qual o dispositivo é usado indistinta e alternadamente para fins profissionais e pessoais. Se o equipamento é do empregado mas o uso é serviço, a empresa pode ter acesso remoto ao equipamento? E o conteúdo pessoal, pode ser (ainda que inadvertidamente) acessado? Como segmentar o conteúdo e segregar o que é de uso profissional e o que é de uso pessoal?

A tendência da jurisprudência é de responder afirmativamente à primeira pergunta. A empresa pode ter pleno acesso a conteúdos que digam respeito aos assuntos corporativos. O conteúdo e monitoramento dos e-mails profissionais pode ser acessado direta ou remotamente pelo empregador, como rotina de segurança, assim como os arquivos de texto, áudio e imagem localizados no ambiente corporativo.

A jurisprudência das cortes trabalhistas há muito firmou-se no sentido de que o monitoramento e acesso ao conteúdo de mensagens eletrônicas enviadas e recebidas a partir de e-mail corporativo, por SMS (mensagens telefônicas, conhecidas como 'torpedos') ou qualquer outro tipo de comunicação eletrônica instantânea (por exemplo, WhatsApp, Viber, Kakao e outros) encontram-se inseridos no poder de direção do empregador.3 Todavia, a obtenção de ordem judicial é recomendável, para prevenir futura e eventual declaração de nulidade na colheita da prova (teoria dos frutos da árvore envenenada – fruits of the poisonous tree).

Se, eventualmente, algum arquivo de ordem pessoal, pertencente à esfera de intimidade e/ou privacidade do empregado, estiver erroneamente alocado na área corporativa e for acessado, o conteúdo deverá ser desconsiderado e descartado.

O e-mail corporativo é ferramenta de trabalho fornecida pela empresa e seu monitoramento não viola a intimidade ou a privacidade do empregado, ainda que o acesso seja feito a partir de um dispositivo pessoal a partir do qual adentra-se ao ambiente corporativo. Tenha-se em mente, também, a responsabilidade civil objetiva do empregador em relação a seus empregados, serviçais e prepostos (Constituição Federal, art. 5º, XII; Código Civil, arts. 932, III e 933, CLT, art. 2º).4

O trabalho na sede do empregador e o realizado à distância têm idêntico tratamento legal, desde a alteração da Consolidação das Leis do Trabalho havida em 2011.5 Pode haver reflexos no que concerne ao pagamento de sobrejornada, apenas quando se caracterizar o estado de sobreaviso. Vale dizer, o só fato de o empregado usar celular ou acessar e-mails fora do horário de expediente não gera pagamento de horas extraordinárias, observado o disposto no artigo 62 da CLT.6

BYOD e a proteção dos dados

Do ponto de vista do usuário, a chave de proteção contra a violação aos dados e informações pessoais, pertencentes à esfera da privacidade e da intimidade, pode ser a organização de documentos, fotos e outros arquivos em subpastas, com utilização de uma criptografia diferente da utilizada pela empresa para proteger os dados e informações profissionais, que, por óbvio, poderá ser quebrada pela empresa num clique.

Adotar criptografia independente significa não permitir a exposição de dados pessoais à vigilância e impedir o monitoramento do empregador, implantando uma arquitetura própria de controle. Talvez essa seja a medida mais simples e mais eficaz de segregar os dados pessoais dos profissionais e proteger a privacidade.

Em caso de suspeita de crime cometido a partir do device, importante destacar que a Lei nº 9.296/96, que regulamenta a interceptação telefônica e a de dados, só se aplica a crimes apenados com reclusão (art. 2º, inciso III). Não pode ser deferida a interceptação telemática, por exemplo, em relação a condutas que configurem, em tese, crimes contra a honra (CP, arts. 138, 139 e 140 - calúnia, injúria simples e difamação, exceto injúria real), violação de segredo profissional (CP, art. 154), violação de sigilo funcional (art. 325) ou assédio sexual (art. 216-A).

Quanto à proteção dos dados contidos nos dispositivos, ainda há que se destacar o entendimento no sentido de que a empresa pode adotar certas práticas, recomendando-se sempre que estejam previamente registradas na política de segurança da informação, nos regulamentos da empresa ou em contrato especial de trabalho. A propriedade dos dados e da informação é da empresa.

A organização pode, por exemplo, ter acesso ao conteúdo corporativo armazenado no dispositivo, sendo legítimo apagar dados remotamente (wipe) no caso de perda ou roubo do dispositivo, ou demissão/desligamento do usuário. Considere-se que, a cada ano, 70 milhões de celulares são perdidos ou roubados - e só 7% são recuperados.7

Pode, também, fazer com que o empregado se comprometa a submeter o dispositivo a técnicas de apagamento de dados por ocasião da troca de aparelho, para que não haja possibilidade de um terceiro de má fé recuperar dados que são de propriedade da empresa. É perfeitamente possível, ainda, que sejam especificados os aplicativos que podem (devem), ou não, ser usados e eleger níveis de autorização para acesso.

Tais procedimentos, desde que ajustados entre as partes, têm ampla sustentação e fundamento na doctrine of inevitable disclosure, pelo qual as pessoas ficam obrigadas ao sigilo das informações sigilosas ou confidenciais que obtiverem por força do contrato de trabalho.8

Conclusões

Cada um de nós é um consumidor que faz escolhas. Esse fenômeno é a consumerização, que é a a tendência de os consumidores de dispositivos procurarem estar up-to-date com os lançamentos de mercado e sempre atualizados com os novos modelos e tecnologias.

O BYOD (Bring Your Own Device) é a preferência pela utilização de dispositivos pessoais para fins profissionais. Estima-se, atualmente, que 90% dos empregados e colaboradores utilizem seus próprios dispositivos a serviço da empresa.

O modelo tradicional de estrutura tecnológica organizacional importa em que os equipamentos adquiridos para o desenvolvimento da atividade empresarial tenham sua propriedade registrada no nome da empresa e que os custos da utilização também sejam por ela suportados.

No BYOD, a propriedade do dispositivo é do usuário/empregado, que o escolhe livremente. Na qualidade de dono do device, é ele quem arca com os custos de manutenção, suporte técnico, energia, conexão e reposição em caso de furto, roubo ou perda, além da corresponsabilidade pela segurança da informação.

Muitas organizações têm observado o cuidado de elaborar um regulamento predefinido e uma política de utilização rígida e abrangente, devendo o empregado aderir expressamente a um termo de uso ou, ao menos, demonstrar ter inequívoco conhecimento das políticas adotadas.

Ao admitir a prática do BYOD, a organização deverá concentrar uma forte política de Data Loss Protection. Nesse contexto, a criptografia assume relevância como um dos mais importantes aspectos a ser observados, muito especialmente quando o armazenamento dos dados é feito na nuvem (cloud computing). Outros elementos de arquitetura de rede poderão ser adotados.

A empresa pode ter pleno acesso a conteúdos que digam respeito aos assuntos corporativos. O conteúdo e monitoramento dos e-mails profissionais e mensagens eletrônicas (SMS, MSN) pode ser acessado direta ou remotamente pelo empregador, como rotina de segurança, assim como os arquivos de texto, áudio e imagem localizados no ambiente corporativo.

Não há diferença entre o trabalho na sede do empregador e o realizado à distância, podendo haver reflexos no pagamento de sobrejornada apenas quando se caracterizar o estado de sobreaviso. O fato de o empregado usar celular ou acessar e-mails fora do horário de expediente não gera pagamento de horas extraordinárias.

Do ponto de vista do usuário, a chave de proteção contra a violação aos dados e informações pessoais, pertencentes à esfera da privacidade e da intimidade, pode ser a organização de documentos, fotos e outros arquivos em subpastas, com utilização de uma criptografia diferente da utilizada pela empresa, implantando uma arquitetura própria de controle.

Para a proteção dos dados contidos nos dispositivos, a empresa pode adotar certas práticas, recomendando-se sempre que estejam previamente registradas na política de segurança da informação, nos regulamentos da empresa ou em contrato especial de trabalho. A propriedade dos dados e da informação é da empresa e esses procedimentos de segurança, desde que ajustados entre as partes, têm ampla sustentação e fundamento na doctrine of inevitable disclosure.

Notas: 


1 Pastoral Ideas for a BYOD School. Rubens, Linda. Orewa College, 2013. E-book disponível em https://itunes.apple.com/nz/book/pastoral-ideas-for-byod-school/id594414038?mt=11

2 BYOD: uma perspectiva global aproveitando a inovação liderada pelo funcionário. Íntegra da pesquisa disponível emhttp://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons_Global_PTBR.pdf <acesso em 29.6.2013>

3 TST, 1ª Turma, RR-613/2000-013-10-00, Rel. Min. João Oreste Dalazen, DJ de 10/06/05.

4 TST: 3ª Turma, RR 269-80.2010.5.09.0594, julgamento 10/04/2013, Rel. Min. Alberto Luiz Bresciani de Fontan Pereira, publ. DEJT 12/04/2013; RR 1088-17.2010.5.09.0594, julgamento 12/06/2013, Rel. Min. Alberto Luiz Bresciani de Fontan Pereira, publ. DEJT 14/06/2013.

5 CLT, art. 6º: Não se distingue entre o trabalho realizado no estabelecimento do empregador, o executado no domicílio do empregado e o realizado a distância, desde que estejam caracterizados os pressupostos da relação de emprego. (Redação dada pela Lei nº 12.551, de 2011)
Parágrafo único. Os meios telemáticos e informatizados de comando, controle e supervisão se equiparam, para fins de subordinação jurídica, aos meios pessoais e diretos de comando, controle e supervisão do trabalho alheio. (Incluído pela Lei nº 12.551, de 2011)

6 Estudo da iPass em 2012 estimou que empregados adeptos do BYOD trabalhavam cerca de 5 a 20 horas extraordinárias por semana. Veja emhttp://www.automationworld.com/byod-really-hot-topic#sthash.l7Tje1sh.dpuf


8 TRT da 2ª Região (São Paulo), 12ª Turma, RO 1533200708002000 SP 01533-2007-080-02-00-0, Relª VANIA PARANHOS, julg. 19/03/2009, publ. 27/03/2009.

REFERÊNCIAS BIBLIOGRÁFICAS

Material de consulta e Sites acessados:

Pastoral Ideas for a BYOD School. Rubens, Linda. Orewa College, 2013. E-book https://itunes.apple.com/nz/book/pastoral-ideas-for-byod-school/id594414038?mt=11

Securing the mobile forcework - e-book
BYOD-fierce_mobile_eBook.pdf

BYOD and Beyond: implementing a unified access solution - e-book
BYOD_021413_BOOKMARKED FINAL.pdf

BYOD: uma perspectiva global aproveitando a inovação liderada pelo funcionário. http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons_Global_PTBR.pdf <acesso em 29.6.2013>


The Security, Privacy and Legal Implications of BYOD (Bring Your Own Device), por David Navetta



Guia realista para o BYOD: Entenda por que o conceito de trazer o seu próprio dispositivo continuará uma tendência crescente nos próximos anos - Bob Lewis

BYOD na prática, Cézar Taurion

The Tem Commandments of BYOD













2 comentários: