Baixe o app para aproveitar ainda mais
Prévia do material em texto
Autora: Profa. Angélica L. Carlini Colaborador: Ricardo Sewaybriker Leis, Políticas e Normas de Segurança da Informação Professora conteudista: Angélica L. Carlini Doutora em Direito Político e Econômico pela Universidade Presbiteriana Mackenzie. Doutora em Educação pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Mestre em Direito Civil pela Universidade Paulista (UNIP). Mestre em História Contemporânea e graduada em Direito pela PUC-SP. Pós-doutora em Direito Constitucional pela PUC do Rio Grande do Sul (PUCRS). Docente na área de Direito da UNIP. Professora convidada do Programa de Mestrado em Administração da UNIP. Professora e Coordenadora do MBA de Gestão Jurídica de Seguros e Resseguros da Escola de Negócios e Seguros (ENS). Vice-presidente do Instituto Brasileiro de Direito Contratual (IBDCONT). Membro do Conselho Científico do Comitê Iberolatinoamericano da Associação Internacional de Direito de Seguro (Aida). Vice-presidente da Associação Brasileira de Auditoria, Riscos e Compliance (Abrarc). Advogada, parecerista e pesquisadora na área de Inovação e Seguro pelo Centro de Pesquisa e Economia do Seguro da ENS. © Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem permissão escrita da Universidade Paulista. Dados Internacionais de Catalogação na Publicação (CIP) C282l Carlini, Angélica L. Leis, Políticas e Normas de Segurança da Informação / Angélica L. Carlini. – São Paulo: Editora Sol, 2020. 256 p., il. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517-9230. 1. Fundamentos de direito. 2. Segurança da informação. 3. Governança corporativa. I. Título. CDU 681.3.004.4 U508.67 – 20 Prof. Dr. João Carlos Di Genio Reitor Prof. Fábio Romeu de Carvalho Vice-Reitor de Planejamento, Administração e Finanças Profa. Melânia Dalla Torre Vice-Reitora de Unidades Universitárias Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Pós-Graduação e Pesquisa Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Graduação Unip Interativa – EaD Profa. Elisabete Brihy Prof. Marcello Vannini Prof. Dr. Luiz Felipe Scabar Prof. Ivan Daliberto Frugoli Material Didático – EaD Comissão editorial: Dra. Angélica L. Carlini (UNIP) Dr. Ivan Dias da Motta (CESUMAR) Dra. Kátia Mosorov Alonso (UFMT) Apoio: Profa. Cláudia Regina Baptista – EaD Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos Projeto gráfico: Prof. Alexandre Ponzetto Revisão: Bruna Baldez Bruno Barros Giovanna Oliveira Sumário Leis, Políticas e Normas de Segurança da Informação APRESENTAÇÃO ......................................................................................................................................................9 INTRODUÇÃO ........................................................................................................................................................ 10 Unidade I 1 SOCIEDADE DE INFORMAÇÃO .................................................................................................................... 15 1.1 Conceitos e princípios da segurança da informação ............................................................. 21 1.1.1 Conceitos relevantes para a segurança da informação .......................................................... 21 1.1.2 Princípios de segurança da informação ........................................................................................ 26 2 FUNDAMENTOS DE DIRETO ......................................................................................................................... 28 2.1 Compreensão do direito e sua finalidade ................................................................................... 28 2.2 Direito público e direito privado .................................................................................................... 31 2.3 Sistema jurídico brasileiro ................................................................................................................. 32 2.4 Fontes do direito: a lei e outras fontes importantes do direito brasileiro .................... 34 2.4.1 A Lei .............................................................................................................................................................. 36 2.4.2 Princípios .................................................................................................................................................... 39 2.4.3 Costumes .................................................................................................................................................... 41 2.4.4 Jurisprudência .......................................................................................................................................... 42 2.4.5 Doutrina ...................................................................................................................................................... 45 2.5 Direito constitucional ......................................................................................................................... 46 2.5.1 Definição de constituição e história da Constituição Federal brasileira .......................... 46 2.5.2 Direitos e garantias fundamentais constitucionais .................................................................. 49 2.5.3 Livre iniciativa e livre concorrência – princípios da ordem econômica na Constituição Federal brasileira ............................................................................................................... 59 Unidade II 3 DIREITO PRIVADO E APLICAÇÃO À SEGURANÇA DA INFORMAÇÃO........................................... 64 3.1 Direito civil: histórico e conceito ................................................................................................... 64 3.2 Pessoa natural ........................................................................................................................................ 65 3.3 Pessoa jurídica ....................................................................................................................................... 68 3.4 Direitos da personalidade ................................................................................................................. 70 3.5 Contratos ................................................................................................................................................. 79 3.5.1 Histórico e definição .............................................................................................................................. 79 3.5.2 Classificação .............................................................................................................................................. 81 3.5.3 Princípios .................................................................................................................................................... 83 3.5.4 Extinção dos contratos ......................................................................................................................... 83 3.5.5 Contratos e segurança da informação ........................................................................................... 84 3.6 Responsabilidade civil ........................................................................................................................ 85 3.7 Direito do consumidor ....................................................................................................................... 95 3.7.1 História do direito do consumidor ................................................................................................... 96 3.7.2 Conceito de consumidor e de fornecedor ....................................................................................96 3.7.3 A política nacional das relações de consumo ............................................................................. 98 3.7.4 Direitos básicos do consumidor ......................................................................................................100 3.7.5 Responsabilidade do fornecedor de produtos ou serviços ..................................................102 3.7.6 Da proteção contratual do consumidor ......................................................................................104 3.7.7 Sistema de proteção do consumidor ............................................................................................106 3.8 Direito empresarial ............................................................................................................................109 3.8.1 Empresa, empresário e estabelecimento empresarial .............................................................111 3.8.2 Obrigação dos empresários e registro da empresa ................................................................. 113 3.8.3 Tipos de organização empresarial mais utilizados no Brasil ............................................... 113 3.8.4 Desconsideração da personalidade jurídica .............................................................................. 120 3.8.5 Incorporação, fusão, cisão e dissolução de empresas ........................................................... 122 3.8.6 Falência e recuperação de empresa.............................................................................................. 122 4 PROPRIEDADE INDUSTRIAL.......................................................................................................................123 Unidade III 5 MARCO CIVIL DA INTERNET – LEI N. 12.965 DE 2014 ....................................................................130 5.1 Introdução à Lei Geral de Proteção de Dados (LGPD) .........................................................135 5.1.1 LGPD: principais aspectos ................................................................................................................ 136 5.2 Termos técnicos utilizados pela LGPD .......................................................................................137 5.3 Objetivos da lei ....................................................................................................................................141 5.4 Princípios da LGPD .............................................................................................................................142 5.5 Requisitos para tratamento e compartilhamento de dados pessoais ..........................145 5.5.1 Requisitos para tratamento de dados pessoais ....................................................................... 145 5.5.2 Requisitos para compartilhamento de dados pessoais ........................................................ 146 5.6 Direitos do titular de dados pessoais .........................................................................................147 5.7 Agentes de tratamento de dados pessoais e responsabilidades .....................................150 5.7.1 Agentes de tratamento ..................................................................................................................... 150 5.7.2 Responsabilidade dos agentes de tratamento de dados pessoais ....................................151 5.8 Segurança no tratamento de dados ...........................................................................................152 5.9 Comunicação imediata de riscos ou danos .............................................................................153 5.10 Boas práticas e governança .........................................................................................................154 5.11 Sanções aplicáveis aos agentes de tratamento de proteção de dados ......................155 5.12 Autoridade Nacional de Proteção de Dados (ANPD) .........................................................157 5.13 Tratamento de dados sensíveis e de dados de crianças e adolescentes ....................158 5.13.1 Dados pessoais sensíveis ................................................................................................................ 158 6 NORMAS DE SEGURANÇA DA INFORMAÇÃO ....................................................................................161 6.1 Segurança da informação e a família ISO/IEC 27000 .........................................................170 6.2 ISO/IEC 27000 ......................................................................................................................................175 6.3 ISO/IEC 27001 ......................................................................................................................................177 6.4 ISO/IEC 27002 ......................................................................................................................................180 6.5 Política de segurança da informação .........................................................................................184 Unidade IV 7 GOVERNANÇA CORPORATIVA NA SEGURANÇA DA INFORMAÇÃO ..........................................199 7.1 Histórico, definição e princípios ...................................................................................................199 7.2 Governança corporativa de tecnologia da informação ......................................................208 7.3 Ética: elemento fundamental da governança corporativa ...............................................213 7.4 Conceito de ética e moral ...............................................................................................................213 7.5 Ética empresarial ................................................................................................................................215 8 COMPLIANCE E SEGURANÇA DA INFORMAÇÃO ..............................................................................219 8.1 Lei Anticorrupção ...............................................................................................................................228 8.2 Lei de Lavagem de Dinheiro ...........................................................................................................232 8.3 Crimes cibernéticos ...........................................................................................................................235 8.4 Direito digital .......................................................................................................................................238 9 APRESENTAÇÃO Você já deve ter ouvido ou lido que vivemos, na atualidade, em uma sociedade de informação. Essa afirmação é repetida na imprensa, nas redes sociais e no ambiente escolar e profissional com frequência, mas, acredite, nem sempre quem afirma que vive em uma sociedade de informação sabe exatamente o que isso significa ou, pelo menos, tem uma noção precisa das múltiplas possibilidades que estão contidas nessa afirmação. Também é provável que você já tenha ouvido, por inúmeras vezes, as palavras que se tornaram parte do nosso vocabulário de alguns anos para cá: informação, big data, inteligência artificial, machine learning e sociedade em rede. Também mais recentemente, nosso vocabulário ficou repleto de termos como fintechs, insurtechs, sandbox, bitcoins, criptomoedas, entre tantos outros. São esses elementos que nos fazem ter certeza de que estamos de fato em um mundo que muda rapidamente em razão das novas tecnologias. Essas mudanças estão presentes na nossa forma de falar – com a inserção desses novos termos que nos referimos anteriormente –, na forma de nos comunicarmos uns com os outros, na nossa maneira de trabalhar e até nas nossas diferentes formas de lazer. O trabalho da ciência e da educação universitária profissional é criar ambientes e possibilidades que levem o aluno a conhecer e refletir sobre a realidade em que ele vive, de forma observadora e crítica, ou seja, em condiçõesde avaliar os principais aspectos de mudança que ocorrem na sociedade e exprimir suas opiniões a respeito deles. Neste momento, especificamente, que a sociedade sofre mudanças significativas em decorrência da tecnologia e da inovação, é essencial que a relação ensino-aprendizagem seja focada em ensinar o aluno a aprender sempre, ou, de forma mais objetiva, ensinar a aprender, porque já temos consciência de que o conhecimento produzido no mundo contemporâneo se renova de maneira muito rápida, e todos nós devemos buscar continuamente conhecimento para estarmos em condições de viver e trabalhar nesta quadra da história da humanidade. Dados ou informações se tornaram riqueza na economia mundial contemporânea. Possuir dados, organizá-los de forma objetiva e com vistas ao desenvolvimento de atividades econômicas já se tornou, inclusive, objeto de estudo das ciências, a chamada ciência de dados, que hoje já é curso superior em algumas universidades do mundo. Universidades na Holanda, França, Alemanha, Espanha e Bélgica, entre outros países, já possuem cursos de ciência de dados, que formam profissionais capacitados a gerenciar, analisar e tratar dados para que sejam utilizados por diferentes áreas da produção econômica em fornecimento de produtos e serviços. No Brasil, os estudos de ciência de dados também avançam de forma muito rápida e mostram claramente as muitas utilidades econômicas de organizar, gerenciar, analisar e tratar dados. Toda essa movimentação requer, no entanto, segurança. Por isso, a segurança da informação se tornou também um objeto de estudo da ciência e uma formação profissional da maior importância. Segurança da informação é um tema recorrente de muitas áreas da atividade empresarial e pessoal na atualidade. Como pessoas naturais, somos titulares de uma grande quantidade de dados e informações e, como participantes da vida produtiva – profissionais, empreendedores, empresários –, também utilizamos uma enorme quantidade de informação para produzir produtos e serviços. 10 Todas as atividades econômicas hoje utilizam informação, e a perspectiva é de que utilizarão cada vez mais. A importância da informação e dos dados não está restrita às atividades de maior envergadura econômica; também as atividades corriqueiras utilizam cada vez mais dados e informações que são essenciais e precisam ser protegidos com segurança. Ao abastecer o veículo no posto de gasolina, cortar o cabelo na barbearia, utilizar a academia para exercitar-se, fazer compras no supermercado, levar os filhos para a aula de natação, reservar alguns minutinhos durante o dia para tomar um café com os amigos na padaria ou cafeteria preferida, ou seja, em todos os lugares, geramos dados a nosso respeito e recebemos informação dessas atividades. Os cartões de débito e de crédito, os cartões de afinidade das lojas e dos supermercados, nossas consultas e compras na rede mundial de computadores, os perfis que criamos em redes sociais: todas essas atividades, que muitas vezes executamos sem nos preocupar, geram dados e informações que podem ser utilizadas de forma lícita ou ilícita por alguém. Nas atividades empresariais acontece o mesmo que na vida das pessoas naturais: todas essas geram algum tipo de informação que pode ser útil de forma lícita ou ilícita. Quando as atividades econômicas armazenam dados de terceiros, como acontece com bancos, seguradoras, financeiras, operadoras de saúde, laboratórios clínicos e hospitais, o gerenciamento da informação e a proteção dela se tornam essenciais para que a empresa tenha credibilidade, solvência e continuidade. No mundo exponencialmente digital em que vivemos, a segurança da informação se tornou necessária a ponto de criar novas carreiras profissionais, como: coordenador de segurança da informação, analista em segurança de redes de dados, analista em segurança de processos, administrador de redes com perfil de segurança, especialista em segurança da informação e consultor em segurança da informação. Para todas essas carreiras citadas, é fundamental o conhecimento sobre o direito, ou, mais especificamente, sobre as leis e as normas que regem cada atividade profissional. Para os profissionais de segurança da informação, o conhecimento sobre leis, normas e políticas de segurança da informação é ainda mais relevante, porque cabe a eles proteger um valor que se tornou essencial para a existência de inúmeras empresas e pessoas em todo o mundo. Bem-vindo ao mundo jurídico da proteção à informação! Que ele o torne ainda mais capacitado tecnicamente para dar conta dos desafios da vida pessoal e profissional. INTRODUÇÃO Informação é um valor para a sociedade em que vivemos e para as organizações que nela se formam. Todas as informações são relevantes para alguém e para alguma finalidade, lícita ou ilícita. Organizar com segurança e preservar as informações é hoje objeto de estudo de uma área do conhecimento, que recebe o nome de segurança da informação. Dados pessoais, conhecimento, processos de gestão, fluxos de produção, planilhas de dados operacionais, todos esses são exemplos de informação que as instituições produzem em seu cotidiano e que precisa ser organizada, analisada, utilizada, mas, principalmente, muito bem protegida contra a utilização ou o compartilhamento indevido. 11 Por vezes, a atividade empresarial compartilha uma informação como forma de produção de riqueza, e, nesse caso, é essencial que a informação seja compartilhada apenas com os destinatários previamente identificados, de forma segura e controlada, para evitar que aqueles que não estão autorizados tenham acesso a ela. Esse compartilhamento se tornou muito comum na sociedade contemporânea, conhecida como sociedade em rede, como definiu Manuel Castells: Rede é um conjunto de nós conectados. Nó é ponto no qual uma curva se entrecorta. Concretamente, o que é um nó depende do tipo de redes concretas de que falamos. São mercados de bolsas de valores e suas centrais de serviços auxiliares avançados na rede dos fluxos financeiros globais. São conselhos nacionais de ministros e comissários europeus da rede política que governa a União Europeia. [...] A topologia definida por redes determina que a distância (ou intensidade e frequência de interação) entre dois pontos (ou posições sociais) é menor (ou mais frequente, ou mais intensa), se ambos os pontos forem nós de uma rede do que se não pertencerem à mesma rede. Por sua vez, dentro de determinada rede os fluxos não têm nenhuma distância, ou a mesma distância, entre dois nós. Portanto a distância (física, social, econômica, política, cultural) para um determinado ponto ou posição varia entre zero (para qualquer nó da rede) e infinito (para qualquer ponto externo à rede). A inclusão/exclusão em redes e a arquitetura das relações entre redes, possibilitadas por tecnologias da informação que operam à velocidade da luz, configuram os processos e funções predominantes em nossas sociedades (CASTELLS, 2016, p. 554). Observe que Castells se refere às redes como processos e funções predominantes em nossas sociedades e sinaliza que essas redes estão presentes em todas as formas de organização social contemporânea, tanto na área econômica e política, que ele menciona no início do texto, quanto em todas as demais que compõem a vida humana como social, cultural e física. No entanto, Castells afirma ainda mais: Uma vez que as redes são múltiplas, os códigos interoperacionais e as conexões entre redes tornam-se as fontes fundamentais da formação, orientação e desorientação das sociedades. A convergência da evolução social e das tecnologias de informação criou uma nova base material para o desempenho de atividades em toda a estrutura social. Essa base material construída em redes define os processos sociais dominantes, consequentemente dando forma à própria estrutura social. [...] 12 Em razão da convergência da evolução histórica e da transformação tecnológica, entramos em um modelo genuinamentecultural de interação e organização social. Por isso é que a informação representa o principal ingrediente de nossa organização social, e os fluxos de mensagens e imagens entre as redes constituem o encadeamento básico de nossa estrutura social (CASTELLS, 2016, p. 554-560) Se a informação representa o principal ingrediente de nossa organização social contemporânea, como afirma Castells (2016), então podemos avaliar com razoável precisão a importância da segurança de informação para a sociedade em que vivemos, considerando o fato de que as informações não param de circular entre as redes de relações sociais, econômicas, culturais e políticas, porque esse é o modo de viver do nosso tempo atual. O texto de Castells nos permite ter uma boa dimensão da relevância de garantir que a informação circule com segurança e, principalmente, que os fluxos de informação não parem de existir, para que a vida em sociedade aconteça e atenda aos objetivos aos quais se destina. Todos nós já lemos notícias sobre vazamentos de dados ou de informações que provocaram prejuízos financeiros para empresas e, principalmente, prejuízos reputacionais. Ninguém confia em uma empresa que não consegue organizar e proteger adequadamente a informação que utiliza e arquiva. A proteção da informação é uma atividade que ocorre no plano nacional e internacional porque, já há alguns anos, a transferência de informação se faz em segundos, por meio eletrônico, com notável facilidade, mas nem sempre com a segurança necessária. Tornar a produção, o gerenciamento, a utilização e a transferência de informação uma prática sempre segura é o principal objetivo de inúmeros profissionais nas mais variadas áreas de produção de serviços, produtos, conhecimento, pesquisa, ciência, tecnologia, entre outras. Nos últimos anos, várias leis, normas e regulamentos foram criados com o objetivo de regular a maneira pela qual a informação pode ser produzida, armazenada e transferida, sempre com o objetivo de proteger dados relevantes, cuja divulgação indevida pode causar danos a pessoas e organizações. Essas leis, normas e regulamentos são a contribuição da área do conhecimento do direito para que a sociedade possa se desenvolver por meio de redes e transitar as informações necessárias para seu desenvolvimento econômico, social, político e cultural, porém respeitando princípios essenciais da dignidade e da personalidade humana. O ponto central da contribuição do direito – como área do conhecimento que regula as relações sociais por meio de leis e sanções – é equilibrar a liberdade de captação e tratamento de informações e sua circulação em nível mundial, com o direito que todas as pessoas têm de ter sua dignidade e privacidade respeitadas. Nenhum interesse econômico, político, social ou cultural deve ser superior à proteção da dignidade, da personalidade e da privacidade dos seres humanos em todas as épocas de sua vida, em todos os lugares e em todas as práticas sociais e profissionais às quais eles possam se dedicar. 13 Equilibrar o direito daqueles que utilizam informações e as fazem circular com o direito daqueles que possuem privacidade e dignidade a proteger é o principal papel das normas que regulam a segurança da informação, e, por isso, conhecê-las e refletir sobre sua aplicabilidade prática é um dos objetivos deste livro-texto. Entretanto, o esforço para a criação de leis e sistemas de proteção à informação não alcançará seus objetivos se as pessoas que trabalham com informação não forem capacitadas para conhecer e executar as regras de segurança, fiscalizar e exigir que sejam cumpridas no cotidiano e, principalmente, capacitar outras pessoas para que adotem os mesmos cuidados. É preciso que a segurança da informação, mais do que o conhecimento de leis e regras, se torne parte da cultura dos diferentes grupos sociais, em especial aqueles que utilizam a informação como parte essencial de sua atividade econômica. Este livro-texto tem por objetivo, portanto, demonstrar a importância das leis e normas que regulam a segurança da informação no Brasil e no ambiente internacional, e a melhor forma para atingir esse objetivo é permitir que as principais leis e normas sejam compreendidas em sua finalidade, de modo que a vida profissional se desenvolva sempre acompanhada desta premissa: a proteção e a segurança da informação são essenciais no mundo contemporâneo porque são parte fundamental das relações sociais. 15 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO Unidade I Nesta unidade, vamos tratar dos aspectos conceituais daquilo que convencionamos denominar de sociedade de informação ou sociedade digital. Também vamos compreender os conceitos e princípios essenciais da segurança da informação. Com esses conhecimentos, estaremos preparados para começar a pensar na forma como o direito pode atuar para garantir a segurança da informação. Para isso, precisamos compreender os fundamentos do direito e começar a conhecer o direito constitucional, que é a área do direito público mais importante no sistema legislativo brasileiro, porque a Constituição Federal é a lei maior de nosso ordenamento jurídico. Vamos ao trabalho! 1 SOCIEDADE DE INFORMAÇÃO Como vimos na introdução, vivemos em uma sociedade em rede e com grande circulação de dados e informações. Os estudiosos têm utilizado a denominação sociedade de informação ou sociedade digital para caracterizar esse período em que vivemos, e isso tem uma explicação histórica. Luiz Akutsu e José Antonio Gomes de Pinho nos remetem à história da construção do termo “sociedade de informação”. Afirmam os autores: A informação, não só como conceito, mas também como ideologia, está intrinsecamente ligada ao desenvolvimento do computador durante e após a II Guerra Mundial (Kumar, 1997). Dois pontos focais aparecem como determinantes para a formação da sociedade da informação: a computação e a comunicação, que, por sua vez, são diretamente ligadas a “dois objetos tecnológicos”: o microcomputador e a rede Internet (Bell, citado por Kumar, 1997). A teoria da sociedade da informação procura não somente analisar as transformações provocadas pelas novas TIs, mas também prever mudanças que poderão ocorrer em um futuro próximo. Um dos pressupostos da teoria da sociedade da informação é que o advento de novas TIs, ao possibilitar o acesso a informações a um maior número de pessoas, com maior rapidez e menor custo, não somente aumentaria a oferta de bens disponíveis para a humanidade por meio da melhoria do gerenciamento dos bens de produção, como também diminuiria os conflitos sociais, ao permitir aos cidadãos melhor acesso às informações acerca da gestão dos administradores públicos, permitindo-lhes acompanhar as administrações, avaliar e escolher melhor seus governantes. 16 Unidade I Kumar (1997:212) registra que “a ideia de uma sociedade de informação foi elaborada sistematicamente, pela primeira vez, por estudiosos japoneses em fins da década de 1960”. Citando como exemplo obras de Masuda e Kishida, o autor afirma ainda que “os pensadores japoneses figuraram entre os mais ativos proponentes da ideia” (Kumar, 1997:212). O mesmo autor avalia, entretanto, que o expositor mais eminente do modelo teórico da sociedade da informação foi Daniel Bell, cuja teoria coloca o computador como o “símbolo principal” e “motor principal” das mudanças advindas. Na sua obra O Advento da Sociedade Pós-Industrial, Bell formulou inicialmente a ideia de uma sociedade pós-industrial: “A tese apresentada neste livro afirma que no decorrer dos próximos trinta ou cinquenta anos presenciaremos o aparecimento do que designei como ‘sociedade pós-industrial’, [...] [que] constituirá uma característica primordial do século XXI, nas estruturas sociais dos Estados Unidos, Japão, União Soviética e Europa Ocidental” (Bell, 1977:10). Já nessa obra, Bell (1977:516) deixava implícita a denominação de sociedade da informação: “a sociedade pós-industrial é umasociedade de informação, assim como a sociedade industrial é uma sociedade de produção de bens”. Em outro trecho da mesma obra, reforça essa denominação: “a sociedade pós-industrial representa o aparecimento de novas estruturas e princípios axiais: uma sociedade produtora de bens transformada em sociedade de informação, ou erudita” (Bell, 1977:538) (AKUTSU; PINHO, 2002, p. 726-727). Repare que os aportes teóricos utilizados por Akutsu e Pinho referem-se, principalmente, a aspectos da produção econômica e tecnológica para construir um conceito de sociedade de informação. De fato, a caracterização da sociedade de informação como pós-industrial está relacionada diretamente ao modo de produção e aos novos elementos que ele requer para se desenvolver. Assim, as sociedades pós-industriais ou de informação possuem, quase sempre e respeitadas as diferenças econômicas, sociais e culturais que lhes são particulares, as características a seguir: • Crescimento do setor econômico de serviços: bancos, seguradoras, financeiras e, mais recentemente, aplicativos que podem ser utilizados nos mais diversos equipamentos eletrônicos, como celulares, tablets, notebooks ou computadores pessoais. O setor de serviços se torna tão relevante economicamente quanto o setor industrial. • Crescimento rápido das tecnologias de informação (TICs): esse crescimento se dá tanto em quantidade quanto em possibilidades de acesso. O mundo contemporâneo tem diferentes possibilidades de acesso à informação, seja para captação, seja para armazenamento ou tratamento dos dados, seja para utilização na vida pessoal ou profissional. Até os bens, ou as coisas, já possuem acesso à internet, como televisões, carros, relógios e mesmo alguns modelos de geladeira; também sistemas de alarme, de iluminação, que podem ser acessados à distância ou monitorados por seus proprietários. O mesmo acontece na área de produção econômica, em que 17 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO muitos dispositivos estão conectados à internet e podem ser monitorados e acessados à distância por seus usuários. • Importância do conhecimento e das práticas criativas: o conhecimento e as práticas criativas são fundamentais na sociedade de informação porque o crescimento das possibilidades de utilização dos recursos tecnológicos está diretamente relacionado com a criatividade de quem trabalha com eles. A maior prova disso são os incontáveis aplicativos que surgiram nos últimos anos para as mais diversificadas finalidades, inclusive para serviços de intermediação de transporte e hospedagem. Assim, a sociedade pós-industrial ou sociedade de informação, ou, ainda, sociedade digital, vai aos poucos substituindo a ideia de produção industrial que a humanidade conheceu após o período da Revolução Industrial – que marcou profundamente a história e gerou resultados relevantes, como a produção em massa e a urbanização – e deixando ainda mais longínquo o período da produção essencialmente agrícola que a humanidade conheceu em seus primórdios. No âmbito da abordagem da área do conhecimento do direito, a sociedade de informação ou digital tem outra perspectiva. Ana Elizabeth Lapa Wanderley Cavalcanti afirma: A ciência, as novas descobertas e as novas tecnologias fazem parte da sociedade moderna de tal forma que não conseguimos mais pensar em nossas vidas sem o uso de equipamentos eletrônicos, mecanismos digitais etc. A vida hoje gira ao redor das tecnologias de informação e conhecimento (TICs), muitas das nossas atividades são totalmente mecanizadas. Esta é uma realidade, a nosso ver, sem volta. Daqui para frente teremos cada dia mais uma novidade tecnológica que iremos acrescentar ao nosso dia a dia, seja no trabalho, na nossa residência, na relação com os amigos, com nossos médicos, com o governo etc. Essa nova realidade nos traz muita coisa positiva, o desenvolvimento, o progresso, a possibilidade de intercâmbio maior entre os povos, maior compartilhamento de informações e descobertas, mas também nos traz muita coisa negativa, como por exemplo, mudança de comportamento social com o afastamento físico entre as pessoas (as cidades estão cada dia mais “virtuais”, fazemos praticamente tudo pela internet, por exemplo), circulação maior de informações sem confirmação do conteúdo com velocidade recorde, produzindo cada vez mais as chamadas fake news (contribuindo até mesmo para um movimento de desinformação em massa, já que muitos buscam apenas informações em redes sociais na internet), e, até mesmo a violação de direitos personalíssimos como é o caso da privacidade com a manipulação de dados pessoais sem a segurança e o sigilo adequados. [...] vemos que essa “revolução tecnológica” que estamos presenciando na Sociedade de Informação, impacta não somente nossas vidas, mas também a estrutura governamental, de poder e, logicamente, o sistema jurídico (CAVALCANTI, 2020, p. 15). 18 Unidade I As abordagens podem ser construídas por diferentes áreas do conhecimento – administração, economia, direito –, mas o tema continua sendo da mais alta relevância para todas: como compreender as características da sociedade de informação e como avaliar os riscos que dela decorrerem para que possamos pensar em mecanismos de segurança. Repare que a ideia de segurança da informação também pode ser abordada a partir de diferentes perspectivas, seja da repercussão para a economia, seja para a administração pública e privada, seja para o direito. Mais recentemente, a sociedade de informação introduziu em seu vocabulário diário um conceito importante que tem sido muito difundido: o big data, ou, em tradução literal, o grande volume de dados. Big data é a forma como estamos nos referindo ao volume gigantesco de dados que são produzidos pelas pessoas em seus movimentos diários, seja na atividade profissional, seja na atividade particular. Mesmo quando não temos nenhuma intenção de produzir dados a nosso respeito ou a respeito das atividades que exercemos, vamos deixando nossas “pegadas digitais” espalhadas por aí, e esses dados podem significar algumas vantagens ou uma grande quantidade de problemas. Walter Sosa Escudero, economista pela Universidade de Buenos Aires, especialista em estatística e econometria teórica e aplicada a questões sociais, professor da Universidade de San Andrés e da Universidade Nacional de La Plata, ambas na Argentina, afirma: O mais óbvio é dizer que big data são “dados maciços”. Porém na realidade se refere a um volume e tipo de dados provenientes da interação com dispositivos interconectados, como telefones celulares, cartões de crédito, caixas automáticos, relógios inteligentes, computadores pessoais, dispositivos de GPS e qualquer objeto capaz de produzir informação e enviá-la eletronicamente a outra parte (ESCUDERO, 2019, p. 31). E o professor argentino provoca nossa reflexão quando afirma: Pensem no que fizeram nas últimas duas horas. Se caminharam com o celular, muito provavelmente tenham gerado dados de endereços geográficos, isso sem falar no uso do GPS para viajar em um carro. Ou mesmo se saíram para correr com seu relógio inteligente que lhes informa o ritmo cardíaco e o número de passos. Ou se usaram o cartão de crédito, viajaram no metrô, se assistiram Netflix, ou deram um curtir em uma foto de sua tia no Facebook, se mandaram ou receberam um e-mail ou si buscaram um par de sapatos na Amazon. Tudo gerou dados. [...] A diferença entre uma pesquisa sistemática, como uma pesquisa política ou essas que são feitas pelo telefone fixo, os dados de big data são anárquicos e espontâneos. Toda vez que abrimos o celular para que um aplicativo de GPS nos guia até algum lugar, geramos dados, não com o propósito de contribuir para nenhuma pesquisa nem estudo científico, mas para evitar o trânsito ou 19 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO se perder. Quer dizer, os dados não são gerados com o propósito de criá-los, como as respostas de uma pesquisa tradicional,mas como resultado de uma outra ação: ir a uma reunião, pagar um cartão de crédito, entrar em um site da web, etc. Então, os dados do big data não são mais dos mesmos velhos dados (de pesquisas, registros administrativos, etc.), mas sim um animal completamente distinto (tradução da autora) (ESCUDERO, 2019, p. 31). O professor Escudero parece estar completamente correto. Os dados que produzimos na sociedade de informação são diferentes daqueles que produzíamos há 10 anos, quando ainda tínhamos algum controle de nossos dados, sabíamos onde estavam e podíamos gerenciá-lo. Eram tempos razoavelmente recentes, há 10 ou 20 anos, mas que tinham uma dinâmica de produção e utilização de dados bastante diferente. Quem tinha nossos dados pessoais – nome, endereço, número do documento, estado civil, gênero, profissão – era a nossa escola, o trabalho, o plano de saúde, o clube, o banco e o cartão de crédito. Hoje, nossos dados estão em milhares de arquivos que desconhecemos, aos quais não temos acesso, e não podemos sequer gerenciar a forma como esses dados são acessados por aqueles que têm interesse neles. Quando fazemos uma pesquisa na rede mundial de computadores sobre um produto ou um serviço no qual temos interesse, por exemplo, uma viagem para a Europa para conhecer Portugal, é muito comum que no momento seguinte ao que acessamos a rede social de nossa preferência, Facebook ou Instagram, comecem a ser veiculadas publicidades sobre passagens aéreas, hotéis e pousadas, pacotes de viagem e outras ofertas relacionadas com a pesquisa anterior. Não geramos dados porque desejamos, e sim porque na sociedade de informação eles se tornaram importantes para quase todas as atividades da vida cotidiana e, principalmente, para a produção econômica. Organizar e proteger esses dados é tarefa de grande importância à qual muitas áreas do conhecimento têm se dedicado, entre elas o direito, que é o nosso assunto fundamental neste livro-texto. O bom uso dos nossos dados e da organização que eles recebem, que geram as informações, pode gerar oportunidades. Em contrapartida, o mau uso pode gerar danos e prejuízos, e isso é uma característica importante da sociedade de informação: os mesmos instrumentos que facilitam nossa vida podem se tornar um grande problema, por exemplo, quando nossa conta bancária é invadida ou nosso cartão de crédito é utilizado por criminosos para compras que não fizemos. O mesmo problema pode acontecer para empresas em relação a dados de seus clientes ou para órgãos públicos em relação a dados de contribuintes ou eleitores. Em todas essas situações, existem possibilidades concretas de prejuízos materiais e imateriais – danos à imagem ou danos morais, como são mais conhecidos –, que serão fonte de problemas para as vítimas. A vida na sociedade de informação tem criado problemas e respostas em alta velocidade. A área do direito, por exemplo, já se preocupa com os crimes cibernéticos e tem construído pesquisas para definir, caracterizar sua prática e adotar punições para os praticantes. 20 Unidade I A área da educação busca meios pelos quais os estudantes possam tirar o melhor proveito em um ambiente no qual podem ter o protagonismo na relação ensino-aprendizagem, podem escolher várias possibilidades com a ajuda do professor para identificar o material didático que melhor se adequa às suas necessidades e preferências – textos, documentários, filmes, games, trabalho em equipe –, todas essas são possibilidades de construção do conhecimento na sociedade de informação. A área da saúde tem utilizado a tecnologia de múltiplas formas tanto na pesquisa quanto nos diagnósticos e tratamentos. Em nenhuma outra época da história da humanidade foi possível obter tantos dados sobre a saúde como neste momento, em que alguns aparelhos conseguem medir o tempo dos batimentos cardíacos, a pressão arterial, a taxa de glicose, e até mesmo adotar providências necessárias, como injetar insulina no caso de portadores de diabetes. A sociedade de informação é, portanto, o local em que os dados se tornaram elementos para uma nova forma de sociabilidade, de relacionamento entre as pessoas e dessas com os novos instrumentos de comunicação. Para além disso, a sociedade de informação é a sociedade em que os dados pessoais e não pessoais se tornaram fonte de recursos econômicos para quem os coleta e os organiza com finalidade específica. Nesse sentido, Barreto Júnior e Venturi Junior afirmam: A revolução tecnológica fez com que a informação fosse alçada ao status de mercadoria e os dados pessoais de usuários de equipamentos informáticos tornaram-se um dos insumos mais atraentes dessa nova economia. Os dados transformaram-se em commodities, sendo que a aplicação de tecnologias, como a inteligência artificial, permite o processamento e análise dessas informações, o que faz dos registros pessoais ativos tão valiosos (BARRETO JÚNIOR; VENTURI JUNIOR, 2020, p. 337). Os dados não pessoais são igualmente valiosos, em especial quando se referem a segredos comerciais ou industriais que as empresas precisam proteger, como fórmulas, projetos, características técnicas, programas de computadores, fluxos de produção ou logística, resultados de testes de resistência de materiais, entre outras informações geradas no ambiente empresarial que são relevantes e precisam ser protegidas de forma eficaz. A segurança da informação para as empresas se tornou, na sociedade em que vivemos, uma área de aporte de grande volume de recursos econômicos tanto para a aquisição de sistemas e equipamentos que viabilizem segurança quanto para a contratação e capacitação de pessoal qualificado para a tarefa e, finalmente, para o desenvolvimento de estratégias e processos contínuos de gerenciamento de riscos. O grau de confiabilidade na área de segurança da informação é hoje um bônus para as empresas, um elemento de qualificação em relação à concorrência e decisivo para a consecução de parcerias com empresas clientes de produtos e serviços. Nenhuma empresa quer contratar uma parceria com outra que não comprove os cuidados que adota na área de segurança da informação. Por exemplo, quando um empresa de logística contrata um banco para movimentar valores de folha de pagamento, de capital de giro ou de investimentos, deseja ter total certeza de que os mecanismos de gerenciamento de risco na área de segurança da informação são eficientes e não criarão problemas durante o período em que 21 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO a parceria perdurar. Quando um hospital contrata serviços de laboratório de análises clínicas para que ele realize exames de sangue, por exemplo, precisa ter certeza de que o laboratório adota medidas de segurança de informação compatíveis com sua responsabilidade, principalmente para que os usuários do hospital tenham seus dados protegidos e os médicos tenham confiança no resultado dos exames apresentados, porque esses dados vão nortear o tratamento do paciente. Assim, tanto no âmbito das relações empresariais quanto das relações pessoais, a segurança da informação se tornou essencial para a garantia do equilíbrio e da viabilidade das relações econômicas, sociais e políticas. A sociedade de informação é, por tudo isso, um vasto campo para pesquisas e reflexões sobre a segurança da informação, com possibilidades a serem construídas e experienciadas em muitas áreas do conhecimento. Para essas áreas do conhecimento, os desafios serão enormes, mas também serão a perspectiva de adequação do saber aos novos tempos que a humanidade vivencia. Saiba mais Vale a pena assistir ao filme a seguir, que conta a história de Snowden, funcionário terceirizado de uma agência de segurança do governo norte-americano que ficou famoso por provar, por meio de vazamento de dados, que o governo praticava atos de espionagem contra cidadãos comuns e autoridades internacionais: SNOWDEN – herói ou traidor. Diretor: Oliver Stone. França; Alemanha; EUA: 2016. 135 minutos.1.1 Conceitos e princípios da segurança da informação 1.1.1 Conceitos relevantes para a segurança da informação Vamos identificar alguns conceitos importantes da área de segurança da informação para depois aplicá-los ao campo da ciência do direito e compreender mais objetivamente a necessidade de aplicação de leis e normas para regular a segurança da informação. Eduardo Fontes define: Segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e sua missão seja alcançada. 22 Unidade I A segurança da informação existe para minimizar os ricos do negócio em relação à dependência dos recursos de informação para o funcionamento da organização. Sem a informação ou com uma incorreta, o negócio pode ter perdas que comprometam o seu funcionamento e o retorno de investimento dos acionistas (FONTES, 2006, p. 31). Repare que o autor associa a segurança da informação à própria manutenção do negócio empresarial, à sua continuidade no mercado e, principalmente, à viabilidade de que seus objetivos institucionais sejam atingidos. A segurança da informação não é a atividade fim da organização empresarial, mas possui igual importância. Imagine que a empresa seja uma loja de eletrodomésticos que vende por meio físico e digital e que a segurança da informação é planejada e executada por amadores, pessoas que não possuem conhecimento técnico adequado para desenvolver meios confiáveis na área de segurança da informação. Que resultado se pode esperar? Negativo, evidentemente. Os dados pessoais de clientes podem ser vazados para pessoas indesejáveis, assim como os produtos podem não ser entregues no prazo e na forma corretos, por erro na captação e no tratamento da informação do endereço, por exemplo. Poderão ocorrer consequências ainda mais graves se, por exemplo, a falta de segurança da informação inviabilizar que a empresa receba os créditos decorrentes das vendas que realizou ou que deixe de pagar as mercadorias que comprou dos fabricantes para revender. Nas duas hipóteses, os resultados serão os piores possíveis: a execução dos débitos por parte dos fornecedores e a falta de capital para pagar os custos. A partir do exemplo anterior, o que pode acontecer? Falência da empresa, com desemprego para seus funcionários, falta de pagamento para fornecedores, que também poderão ter dificuldades para manter seus compromissos com empregados, e ações judiciais dos consumidores, que vão pleitear a entrega dos produtos que compraram ou a devolução do preço pago com juros e correção monetária, como permite a lei. Uma reação em cadeia de resultados negativos, todos decorrentes de falha na segurança de informação da empresa. Difícil de acreditar? Nem tanto. Isso pode realmente ocorrer com empresas que não se preocupam com políticas sérias de segurança da informação. E sempre é importante destacar que, na atualidade, todas as empresas utilizam algum sistema de informação que pode ter maior ou menor sofisticação ou complexidade, mas que pode ser encontrado em todas as empresas contemporâneas. Hintzbergen et al. (2018) nos fornecem conceitos importantes para compreendermos o que é sistema de informação e os riscos de que cuida a área de segurança da informação: Sistema de informação – aplicação, serviços, recursos de tecnologia da informação ou de qualquer outro componente de manejo da informação. Em um sentido amplo, o termo sistema da informação é frequentemente usado para se referir à interação entre pessoas, processos, dados e tecnologia. Nesse sentido, o termo é usado para se referir não somente à Tecnologia da Informação e de Comunicações (TIC) que uma organização usa, mas também à forma como as pessoas interagem com essa tecnologia em apoio aos processos de negócio. 23 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO Risco – a probabilidade de um agente ameaçador tirar proveito de uma vulnerabilidade e o respeito impacto comercial. Efeito da incerteza sobre os objetivos. É a combinação da probabilidade de um evento e sua consequência. Tratamento do risco – o processo de seleção e implementação de medidas para modificar o risco. Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. Identificação do risco – é o processo de encontrar, reconhecer e descrever riscos. A identificação do risco envolve a identificação das suas fontes, eventos, causas e suas potenciais consequências. A identificação do risco também pode envolver dados históricos, análise teórica, opiniões, pareceres fundamentados e de especialistas, e necessidades das partes interessadas. Risco residual – risco que permanece após o tratamento do risco. O risco residual pode conter riscos não identificados e também pode ser conhecido como “risco retido”. Aceitação do risco – reconhecimento do fato de que certos riscos são aceitos. Isso pode ocorrer quando os custos das medidas de segurança excedem os possíveis danos. Mas também pode ser que a gestão decida não fazer nada, mesmo que os custos não sejam superiores aos possíveis danos. As medidas que uma organização com aceitação de risco adota no domínio da segurança da informação geralmente são de natureza repressiva. Mitigação do risco – as medidas de segurança tomadas são tais que as ameaças já não se manifestam ou, se o fizerem, o dano resultante é minimizado. A maioria das medidas tomadas no domínio da segurança da informação por uma organização que neutraliza os riscos é uma combinação de medidas preventivas, de detecção e repressivas. Prevenção de riscos (ou evitar) – medidas tomadas para que uma ameaça seja neutralizada a tal ponto que já não leve a um incidente. [...] Gerenciamento de risco – o processo de planejar, organizar, liderar e controlar as atividades de uma organização a fim de minimizar os efeitos do risco sobre o capital e os ganhos de uma organização (HINTZBERGEN et al., 2018, p. 377). Compreendido o risco no campo da segurança da informação, os mesmos autores nos fornecem alguns conceitos igualmente relevantes, agora para melhor compreendermos o campo do conhecimento de segurança da informação. Assim, nos ensinam que: 24 Unidade I Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação. Adicionalmente, outras propriedades como autenticidade, responsabilidade, não repúdio e confiabilidade, também podem ser incluídas. [...] segurança da informação é a proteção da informação contra uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios, minimizar os riscos de negócio e maximiza o retorno sobre os investimentos e as oportunidades de negócios (HINTZBERGEN et al., 2018, p. 69). Repare que eles se referem a garantir a continuidade do negócio, o que demonstra que o exemplo usado anteriormente – da loja de eletrodomésticos que não cuidou da segurança da informação e teve problemas que resultaram em falência – não é um fato tão difícil de ser encontrado na vida prática. Além desse exemplo, outro facilmente encontrado na vida cotidiana é a empresa que perde sua reputação positiva com os clientes ou usuários, exatamente por falhar na proteção da segurança da informação. Leia a reportagem a seguir publicada pela Exame, uma das maiores revistas de negócios do país: Vazamento de dados empresariais: por que ele é tão perigoso As empresas brasileiras, principalmente as pequenas, estão muito vulneráveis aos ataques hackers, podendo sofrer não só com o roubo de informações, mas, principalmente, com o roubo de dados corporativos. Um estudo elaborado pela IBM mostrou que, apenas em 2017, as empresas nacionais perderam R$ 4,7 milhões com vazamento de dados. O levantamento indicou também que essas informações foram coletadas, em sua maioria, via ataques maliciosos (44%). No entanto, um estudo conduzido pelo Instituto IPSOS trouxe um dado preocupante:apesar do impacto financeiro que esses eventos trazem para as empresas, sobretudo as menores, o Brasil é um dos países que menos se preocupa com segurança digital. A média do país fica em 74%, muito abaixo de outras nações. Para que se tenha uma ideia, os Estados Unidos, o país mais preocupado com invasões digitais, tem um índice de 88% sobre a crença de que podem ser invadidos. Sócio da Strong Security Brasil, empresas especialista em cibersegurança, Dario Caraponale mostra como os brasileiros precisam mudar essa visão e como o vazamento de dados pode ser perigoso para uma corporação: Prejuízos financeiros A primeira consequência de uma empresa que tem dados confidenciais vazados sofre são os prejuízos financeiros. Dependendo da área de atuação desta companhia, esse volume poderá ser tão grande que chegará até mesmo a inviabilizar a manutenção do negócio. 25 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO “Recentemente, tivemos uma amostra do quão prejudicial financeiramente pode ser o vazamento de dados de uma empresa com o incidente envolvendo o Facebook. Em dois dias, a perda superou os R$ 77 milhões. Que empresa teria capital suficiente para aguentar esse prejuízo e continuar funcionando? Apenas uma gigante. Para uma companhia menor, essa perda levaria à falência certa”, alerta o executivo. Além disso, graças à LGPD (Lei geral de proteção de dados), poderão ser cobradas outras multas, assim como geração de prejuízo de imagem. Impacto na credibilidade Quando uma empresa sofre um ataque e tem os dados de seus funcionários ou clientes expostos, não é apenas dinheiro que ela perde. Sua credibilidade é afetada. Isso pode ser verificado se usarmos como exemplo o incidente envolvendo a Apple, há alguns anos. Embora o vazamento de fotos tenha atingido apenas usuários famosos da iCloud, muitas pessoas ficaram inseguras, temendo também ser impactadas com o incidente. “Imagine uma empresa do tamanho da Apple, conhecida por desenvolver celulares seguros e revolucionários, de repente se envolver em um evento onde informações pessoais foram vazadas? Embora esse fato não tenha destruído sua credibilidade, acabou trazendo algumas marcas. Certamente, muitos usuários não veem mais o sistema em nuvem da empresa com a mesma segurança e confiança que viam antes do ataque”, explica. O sócio da Strong Security Brasil compara, ainda, o que aconteceu com a Apple com um incidente, da mesma magnitude, em uma companhia menor. Segundo ele, caso a empresa lidasse com dados sensíveis e, como informações bancárias, e elas tivessem sido divulgadas, a quebra de credibilidade seria ainda maior. Muitas pessoas podem deixar de fazer negócios com essa empresa, por acreditar que eles não são confiáveis e não conseguem proteger dados que são pagos para guardar. Em uma companhia menor, essa seria uma perda gravíssima (VAZAMENTO..., 2019). Fonte: Vazamento... (2019) Perda de credibilidade ou abalo na reputação é um dos riscos que podem afetar uma empresa cuja segurança de informação seja frágil ou mal planejada. Esse resultado negativo – perda da reputação e da credibilidade – pode se estender por muito tempo e tornar os negócios inviáveis. A marca deixa de ter valor para se tornar um problema para a empresa. Por essa razão, a segurança da informação é um ativo das empresas, um valor a ser protegido e gerenciado de forma altamente técnica, sem margem para amadorismo ou práticas contrárias aos bons princípios e às normas legais. 26 Unidade I 1.1.2 Princípios de segurança da informação Os estudiosos da área de segurança da informação quase sempre são unânimes em identificar três princípios fundamentais dessa área do conhecimento: confidencialidade, integridade e disponibilidade. Conhecer os princípios não é uma opção meramente teórica, mas essencial para que se tenha sempre presentes as linhas mestras, as diretrizes que devem conduzir os estudos, as reflexões e as práticas da área de segurança da informação. Assim, quando se trata de planejar uma ação em segurança da informação, criar os processos de comunicação, capacitar pessoas para executar as tarefas, gerenciar fluxos e, principalmente, avaliar se os objetivos traçados estão sendo cumpridos e o que é possível aprimorar, é fundamental ter em mente os princípios que vão guiar todas as operações. Para Felipe Nery Rodrigues Machado, esses princípios podem ser assim definidos: Confidencialidade – é a capacidade de garantir que o nível necessário de sigilo seja aplicado em cada junção de dados em processamento. Além disso, trata-se da prevenção contra a divulgação não autorizada dos mesmos. [...] Integridade – é a garantia de rigor e confiabilidade das informações e sistemas e de que não ocorrerão modificações não autorizadas de dados. Os mecanismos de hardware, software e comunicação devem trabalhar de maneira conjunta para manter e processar dados corretamente e movimentar dados para os destinos desejados sem qualquer alteração não autorizada ou não esperada. Disponibilidade – é a capacidade que os sistemas e as redes devem ter para executar e disponibilizar os dados de forma previsível e adequada às necessidades da empresa. Eles devem estar aptos a recuperar quedas de disponibilidade de forma rápida e segura e a garantir que a produtividade das operações da empresa não seja afetada significativamente (MACHADO, 2014, p. 27). Fábio Cabral Torres, por sua vez, com apoio de outros autores, define: Confidencialidade – garantia de que o acesso à informação é restrito aos seus usuários legítimos (BEAL, 2008, p. 1). Ou seja, seu acesso é permitido apenas a determinados usuários. Integridade – toda informação deve ser mantida na mesma condição em que foi disponibilizada por seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais (SÊMOLA, 2003, p. 45). Ou seja, informação não adulterada. 27 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO Disponibilidade – garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna (BEAL, 2008, p. 1). Ou seja, independente da finalidade, a informação deve estar disponível (TORRES, 2015, p. 25). Marcos Aurelio Pchek Laureano e Paulo Eduardo Sobreira Moraes entendem que os princípios são confidencialidade, integridade e disponibilidade, porém existem critérios que precisam ser respeitados. Afirmam esses pesquisadores que: Alguns autores defendem que, para que uma informação seja considera segura, o sistema que o administra ainda deve respeitar os seguintes critérios: • Autenticidade. Garante que a informação ou o usuário da mesma é autêntico. • Não repúdio. Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; não é possível negar o envio ou recepção de uma informação ou dado. • Legalidade. Garante a legalidade (jurídica) da informação; a aderência de um sistema à legislação; e as características das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação nacional ou internacional vigente. • Privacidade. Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve poder ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste caso é atribuído o caráter de confidencialidade à informação). É a capacidade de um usuário realizar ações em um sistema sem que seja identificado. • Auditoria. Rastreabilidade dos diversos passos de um negócio ou processo, identificando os participantes, os locais e horários de cada etapa. A auditoria aumenta a credibilidade da empresa e é responsável pela adequação da empresa às políticas legais e internas (LAUREANO; MORAES, 2005, p. 41). Observe que alguns critérios como legalidade, privacidadee auditoria, que serão tratados mais minuciosamente neste livro, estão relacionados com aspectos legais, ou seja, com as normas que regulam as atividades econômicas que utilizam informação e que devem obedecer ao ordenamento jurídico específico sob pena de receberem sanções como multas ou até a imposição estatal para que a atividade seja interrompida. 28 Unidade I Lembrete Legalidade, privacidade e auditoria são critérios muito importantes para a segurança da informação. As normas jurídicas têm por principal objetivo garantir que a utilização de informações em caráter econômico não prejudique ou coloque em risco a privacidade das pessoas naturais e jurídicas, salvo naquilo que elas próprias autorizarem que seja divulgado. Assim, adotar os critérios de legalidade e de privacidade é prática fundamental para todos aqueles que operam com informação. No entanto, não haverá resultado positivo no cumprimento das normas de legalidade e privacidade se não houver processos de monitoramento, ou seja, a adoção do critério da auditoria. A auditoria, que também será tratada neste livro com maior detalhamento, consiste em ações que monitoram ou rastreiam o uso e armazenamento da informação, de forma que seja sempre possível para o gestor identificar os caminhos que ela percorre, os níveis de segurança com os quais está sendo tratada e, especialmente, os mecanismos por meio dos quais se possa ter certeza de que os dados não serão utilizados por nenhuma pessoa natural ou jurídica que não esteja rigorosamente autorizada para isso. Compreendidos os princípios e os critérios que sustentam a atividade de segurança da informação, podemos começar a estudar os fundamentos jurídicos aplicados à matéria. Observação Os autores e estudiosos de segurança da informação podem adotar princípios e critérios distintos, correspondentes à abordagem metodológica que fazem sobre o objeto de estudo. Para aumentar seu conhecimento na área, sugerimos que pesquise em portais confiáveis outros princípios e critérios utilizados por diferentes autores. 2 FUNDAMENTOS DE DIRETO 2.1 Compreensão do direito e sua finalidade Para os leigos, quase sempre a palavra “direito” é associada a leis que são de cumprimento obrigatório e cujo desrespeito pode gerar sanções. A sanção mais conhecida em toda a sociedade é a privação de liberdade, ou seja, a prisão. O direito é muito mais do que isso, e é importante compreender seus objetivos antes de aprender sobre leis, normas e princípios. O direito existe para regular a vida dos homens em sociedade e adota o pressuposto de que todos os seres humanos concordaram em deixar de ser absolutamente livres para poder contar com relativa 29 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO segurança em suas relações. Assim, abrimos mão de uma parte de nossa liberdade, mas, em troca, teremos direitos que deverão ser respeitados por todos aqueles que vivem na mesma sociedade que nós. O direito substitui o império da força, a chamada lei do mais forte, que durante muito tempo na história da humanidade permitiu que os homens e grupamentos sociais mais fortes subordinassem os mais fracos conforme sua vontade, sem reconhecer a eles nenhum tipo de direito. Assim, tribos mais fortes tomaram as terras de tribos mais fracas; exércitos mais bem equipados com armas e cavalos destruíram aldeias e roubaram toda a produção agrícola de grupos sociais despreparados para lutar; reis poderosos ocuparam terras de outros reinados pelo uso da força e com grande quantidade de mortes. O direito é a forma de organização social que prioriza a existência de direitos e deveres para todos e que exige que as regras sejam cumpridas, tendo como pressuposto o interesse público ou o bem comum. O primeiro objetivo do direito é garantir que, em um grupo social, todos tenham direitos e deveres compatíveis com suas necessidades e que o interesse coletivo prevaleça sobre os interesses individuais. Os direitos individuais deverão ser protegidos sempre que não colidirem com o interesse público. Havendo algum tipo de colisão nesses interesses, o coletivo se sobrepõe ao individual e deve ser priorizado. É exatamente o que acontece com a aplicação da desapropriação da propriedade privada. Suponha que você tem um imóvel no qual reside com sua família e a prefeitura da cidade pretende fazer um viaduto naquele local, que será muito útil para ligar um bairro afastado ao centro da cidade, permitindo que a população residente naquele bairro economize em tempo e transporte. A própria prefeitura vai economizar porque o transporte público vai circular por uma área menor, já que o viaduto vai encurtar as distâncias, e, com isso, vai haver menor gasto de combustível e de manutenção dos veículos. Porém, para que isso aconteça, será necessário desapropriar uma área em que se encontram vários imóveis residenciais, e o seu imóvel é um deles. Considerando a suposição anterior, você será indenizado pelo valor do imóvel, mas terá que deixar de morar na casa que construiu ou que comprou, ou até na casa que já pertence à sua família há muitos anos. Isso é justo? Do ponto de vista individual, parece que não, mas, do ponto de vista social ou coletivo, sim, porque os benefícios para a coletividade são mais importantes do que os benefícios de cada cidadão de forma individualizada. O mesmo acontece com as cidades que adotam o rodízio de veículos. Nessas cidades, você é proprietário de um automóvel, paga para comprá-lo, paga o imposto sobre a circulação de veículos automotores (IPVA) e, no entanto, não pode utilizar o veículo todos os dias da semana porque em alguns dias a circulação é proibida por lei municipal. O rodízio de veículos normalmente é implantado para facilitar o trânsito e conter a poluição ambiental, mas significa uma restrição ao livre uso de veículos por seus proprietários. Novamente, aqui estamos diante de uma situação em que o interesse coletivo prevalece sobre o individual. A restrição para alguns proprietários de veículos é organizada para que todos tenham maior facilidade de circulação, uma vez que o trânsito diminui, e, principalmente, para que todos possam ter uma vida mais saudável, porque a poluição também vai diminuir. Essa é a ideia central que faz com que o direito seja adotado por todas as sociedades contemporâneas que conhecemos, embora ele possa ser bastante diferente a depender da história, 30 Unidade I dos costumes, dos valores e da forma de viver que cada sociedade adota. Em algumas sociedades, ainda temos a pena de morte como punição para crimes mais graves, como o homicídio; em outras sociedades, essa forma de punição foi completamente abolida; em outras, ainda, o uso de algumas drogas é regulado por lei e permitido, e, em muitas sociedades, o uso de drogas é completamente proibido, como acontece no Brasil. Com essas ideias, já podemos pensar em definir o direito como um conjunto de princípios, leis e costumes que são adotados para organizar a vida de um determinado grupo social e para proteger os valores que aquela sociedade adota. Esse conjunto pode ser modificado frequentemente para que esteja sempre atualizado com os valores que a sociedade pretende proteger, porque é historicamente comprovado que as sociedades se modificam, adotam novos valores e abandonam valores que se tornam arcaicos. Na atualidade, isso tem ocorrido com cada vez maior velocidade. Basta lembrarmos que, no Brasil, o adultério, a infidelidade conjugal, já foi um crime passível de punição com prisão, e somente em 2005 deixou de ser considerado crime. Em outros países do mundo, continua sendo uma prática punida com severidade, até mesmo com a pena de morte, mas a sociedade brasileira entendeu que a infidelidade é um assunto para ser solucionado pelas partes diretamente interessadas, aquelas que mantinham o relacionamento afetivo. Elas é que devem resolver o problema, e não o Estado. O Estado protege a família, os filhos, mas não deve se imiscuir na forma como as pessoasquerem organizar suas relações afetivas. Tanto isso é verdade que, na atualidade, já são aceitas na sociedade brasileira organizações familiares conhecidas como poliamor ou poliafetiva. Essas novas formas de organização social ainda não são aceitas de maneira homogênea pela sociedade brasileira e, provavelmente, vão demorar para que tenham uma convivência harmônica com o modelo de família que a maior parte da sociedade considera o ideal. Porém, as pessoas que livremente optarem por viver relações familiares de forma diferente não estão praticando nenhum crime, porque não há previsão legal contra isso, e exatamente por isso compete ao direito proteger as pessoas que não estão praticando nenhum crime, para que possam viver da forma como consideram mais adequada. São novos valores que já se tornaram aceitos por uma parte da sociedade, são rejeitados por outra parte e demonstram que existem mudanças ocorrendo mesmo em organizações muito tradicionais como a da família. No campo das tecnologias e da informação, as mudanças são muito mais velozes e bem aceitas, e algumas práticas tradicionais também foram modificadas nos últimos tempos na sociedade brasileira e exigiram a adaptação do direito. É o caso do trabalho em casa, também conhecido pela terminologia em inglês home office. Antes considerado uma forma de exploração do trabalhador, hoje é aceito e regulamentado por lei, porque a sociedade adotou novas formas e exigiu que o direito se adaptasse. São inúmeros os exemplos que mostram como as sociedades se modificam e obrigam o direito a fazer o mesmo. Essas mudanças evidenciam que novos valores surgiram, e a sociedade deseja que eles sejam protegidos. 31 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO Gustavo Filipe Barbosa Garcia ensina que: Definir um objeto significa definir o seu verdadeiro sentido, ou seja, a sua significação precisa. Ao se procurar apresentar uma definição do Direito, primeiramente, deve-se ter em mente que o vocábulo “direito” compreende enfoques e significados diversos. Exemplificando, o termo em questão pode ser utilizado para significar o justo, ou o conjunto de normas jurídicas, ou a prerrogativa que tem a pessoa de fazer valer determinada posição jurídica etc. O Direito, assim, pode ser visto sob diversas perspectivas, como as que seguem: Direito como justiça, Direito como ordenamento jurídico, Direito como direito subjetivo. [...] Apresentamos, aqui, o conceito de Direito em seu aspecto objetivo, entendido como a realidade, presente na vida social, que regula as relações entre as pessoas. Nesse enfoque, o Direito pode ser definido como o conjunto de normas imperativas que regulam a vida em sociedade, dotadas de coercibilidade quanto à observância. Os seres humanos, por viverem em sociedade, necessitam de regras e princípios que possibilitam o convívio entre as pessoas, permitindo a evolução, a harmonia e a paz nas relações sociais. O Direito é justamente esse conjunto de normas, estabelecidas com essa finalidade. Os preceitos jurídicos são normas imperativas de comportamento, no sentido de que a sua observância é obrigatória (GARCIA, 2017, p. 15). Todos os grupos sociais, em diferentes épocas históricas, adotaram regras de conduta com o objetivo de organizar a vida social e impedir que a força física prevalecesse. Na atualidade, além de as sociedades se organizarem adotando normas de direito, elas precisam organizar o relacionamento entre elas próprias. Por isso, o campo denominado direito internacional tem ganhado cada vez mais espaço para organizar a circulação de bens e pessoas entre diferentes países do mundo. 2.2 Direito público e direito privado No Brasil, uma das classificações mais utilizadas para o direito é a que define duas categorias básicas: direito público e direito privado. Direito público é a denominação utilizada para caracterizar a área do direito que tem por objetivo regular o interesse público, ou seja, os interesses gerais da sociedade, aqueles que protegem o bem comum. Os principais ramos do direito público são: direito constitucional, direito administrativo, direito penal, direito processual (civil ou penal), direito ambiental e direito internacional. 32 Unidade I Direito privado é a área do direito que tem por objetivo regular os interesses dos particulares nas relações que estabelecem entre eles mesmos. É o que acontece, por exemplo, quando as pessoas querem contratar a compra de um imóvel ou a locação de um imóvel, ou constituir uma empresa (sociedade empresária na terminologia do Código Civil). Também é o direito privado que regula o casamento, as relações familiares, a filiação e a sucessão, ou seja, a destinação dos bens depois da morte da pessoa. Essa área do direito unifica dois ramos: o direito civil e o direito empresarial. No campo do direito civil, estão todas as questões tratadas no Código Civil brasileiro, ou seja, na Lei n. 10.406, de 2002 (BRASIL, 2002). E no campo do direito empresarial, estão as normas tratadas pelo Código Civil e as normas esparsas que foram criadas para regular temas específicos, como a Lei das Sociedades Anônimas (BRASIL, 1976) ou a Lei de Falência e Recuperação de Empresas (BRASIL, 2005), entre várias outras. As classificações são adotadas para facilitar o estudo e a compreensão; não são rígidas e variam entre os autores e estudiosos da matéria. 2.3 Sistema jurídico brasileiro O Brasil adota um sistema jurídico que é regido principalmente por leis. Elas estão organizadas em leis esparsas, que são aquelas que tratam de uma única área, como a Lei de Locação, ou em códigos, que tratam de vários temas, como é o caso do Código Penal ou do Código Civil. Há prevalência da lei, que é o instrumento adotado preferencialmente no Brasil, para que as pessoas exijam seus direitos e para que os magistrados decidam os conflitos que são levados ao poder judiciário. Por priorizar a lei como instrumento do direito, o nosso sistema é conhecido como civil law, que é uma denominação adotada em vários países do mundo para definir essa característica: a lei como elemento primordial do direito. Vários países do mundo adotam a civil law, entre eles países da América Latina como Chile, Argentina, Colômbia, Bolívia, Uruguai, Paraguai, Peru etc. Entretanto, outros países do mundo adotam um sistema diferente, conhecido como sistema da common law. É o caso da Inglaterra, da Escócia, da Irlanda, da Austrália e dos Estados Unidos. Nesse sistema, as decisões tomadas pelo poder judiciário nos processos são mais relevantes para a decisão de casos futuros do que o texto da lei. O juiz de direito, ao decidir um conflito, forma sua opinião por meio da análise de casos semelhantes decididos no passado e julga com base nessas decisões anteriores. No Brasil, as decisões anteriormente adotadas por um tribunal também são estudadas pelas partes litigantes e pelo magistrado, ou pelo próprio tribunal que vai decidir o conflito. A isso chamamos de jurisprudência. Jurisprudência é o conjunto de decisões semelhantes adotadas em casos anteriores e que podem ser aplicadas para a solução de um caso ocorrido posteriormente, no qual estejam presentes semelhanças que autorizem a utilização do julgado anterior. 33 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO A jurisprudência se caracteriza por decisões uniformes, semelhantes, que os tribunais adotam para casos concretos com as mesmas características. Quando uma jurisprudência se forma pela decisão reiterada dos tribunais, sempre no mesmo sentido, as partes, seus advogados, o magistrado singular e os tribunais, que são órgãos de decisão colegiados, todos ficam atentos, porque essa jurisprudência sinaliza como aquele tipo de conflito vai ser solucionado se chegar aos tribunais. No Brasil, não se adota uma posição automática porque cada caso deve ser conhecido em suas peculiaridades; às vezes é semelhante, mas não pode ser caracterizado como rigorosamente igual. No entanto, em outros casos, as decisões
Compartilhar