html Blog do Scheinman: A operação do Direito e a segurança da informação

quarta-feira, 1 de abril de 2009

A operação do Direito e a segurança da informação

Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento. Nesse sentido, a informação digital é um dos principais, senão o mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas maneiras. Assim, à medida que a informação digital circula pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, possibilitando ela ser lida, modificada ou até mesmo apagada.

Desde a inserção do computador, na década de 40, como dispositivo auxiliar nas mais variadas atividades, até os dias atuais, temos observado uma evolução nos modelos computacionais e tecnologias usadas para manipular, armazenar e apresentar informações. Temos testemunhado uma migração de grandes centros de processamento de dados para ambientes de computação distribuída. Considerando-se tal cenário, há uma necessidade de oferecer suporte à colaboração de múltiplas organizações e comunidades que muitas vezes têm interesses sobrepostos. Em tal situação, o controle de acesso às informações é um requisito fundamental nos sistemas atuais. Vale ressaltar que, atualmente, a grande maioria das informações disponíveis nas organizações encontra-se armazenadas e são trocadas entre os mais variados sistemas automatizados. Dessa forma, inúmeras vezes decisões e ações tomadas decorrem das informações manipuladas por esses sistemas. Dentro deste contexto, toda e qualquer informação deve ser correta, precisa e estar disponível, a fim de ser armazenada, recuperada, manipulada ou processada, além de poder ser trocada de forma segura e confiável.

É oportuno salientar que, nos dias atuais, a informação, tal como o know-how e outros bens incorpóreos constitui uma mercadoria, ou até mesmo uma commodity, de suma importância para as organizações dos diversos segmentos. Por esta razão, segurança da informação tem sido uma questão de elevada prioridade nas organizações.

Segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes integridade, disponibilidade, não repúdio, autenticidade e confidencialidade. Esses elementos constituem os cinco elementos basilares da segurança da informação e, portanto, são essenciais para assegurar a integridade e confiabilidade em sistemas de informações.

Nesse sentido, esses elementos essenciais, juntamente com mecanismos de proteção têm por objetivo prover suporte a restauração de sistemas informações, adicionando-lhes capacidades detecção, reação e proteção. Os componentes criptográficos da segurança da informação tratam da confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o uso desses pilares é feito em conformidade com as necessidades específicas de cada organização.

Assim, o uso desses elementos pode ser determinado pela suscetibilidade das informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos. Note-se que tais elementos são indispensáveis no mundo atual, globalizado, onde se tem ambientes de natureza pública e privada conectados a nível global. Dessa forma, torna-se necessário dispor de uma estratégia, levando-se-os em consideração, a fim de compor uma arquitetura de segurança que venha unificar os propósitos dos elementos.

Neste contexto, deve-se adotar metas consistentes, preliminarmente em: uso de criptografia; incentivo a educação em questões de segurança; disponibilidade de tecnologia da informação com suporte a segurança; infra-estrutura de gestão de segurança; disponibilidade de mecanismos de monitoramento de ataques, capacidade de alerta e ações coordenadas.

Atualmente, numa era onde conhecimento e informação são fatores de suma importância para qualquer organização ou nação, segurança da informação é um pré-requisito para todo e qualquer sistema de informações. Nesse sentido, há uma relação de dependência entre a segurança da informação e seus elementos basilares, essenciais.

Dentro desse contexto, a confidencialidade oferece suporte a prevenção de revelação não autorizada de informações, além de manter dados e recursos ocultos a usuários sem privilégio de acesso. Já a integridade previne a modificação não autorizada de informações. Por outro lado, a disponibilidade prover suporte a um acesso confiável e prontamente disponível a informações. Isto implica em dados e sistemas prontamente disponíveis e confiáveis. Adicionalmente, o não repúdio e autenticidade compreendem o que poderia ser denominado de responsabilidade final e, dessa forma, busca-se fazer a verificação da identidade e autenticidade de uma pessoa ou agente externo de um sistema a fim de assegurar a integridade de origem.

As iniciativas legais de disciplinar o tratamento e a segurança da informação já passam a fazer parte do ordenamento jurídico dos estados e das organizações internacionais.

O Parlamento Sueco, em 1973, foi o responsável pela elaboração da primeira Lei orgânica da Europa visando à proteção da privacidade e dos bancos de dados, tanto públicos quanto privados. Hoje, a Comunidade Européia adota, relativamente aos contratos, políticas de proteção à informação e aos dados dos contratantes e seus negócios de forma a atender à Diretiva aprovada pela própria CE, que exige sigilo e/ou confidencialidade assim como certificação para qualquer transferência de informação privada para países não-membros.

Ainda na Europa, a Alemanha destacou-se desde muito cedo, demonstrando grande agilidade na elaboração de diplomas legais que buscassem a defesa jurídica dos interesses envolvidos com a segurança da informação. Como exemplo, há legislação alemã, inclusive em matéria penal, responsabilizando provedores inclusive pelo conteúdo das informações incluídas nos limites de suas páginas.

Na América Latina, a Colômbia, já elaborou texto legal definindo a assinatura digital, bem como regulamentando a atuação das autoridades certificadoras. A segurança jurídica do certificado digital, à luz da lei colombiana, depende da exclusividade pessoal do seu uso, da capacidade de verificação, do controle individual, da invariabilidade técnica, de modo que uma alteração impeça a verificação, e da obediência às formalidade normativas do governo colombiano, requisitos que, uma vez atendidos, conferem ao documento eficácia legal.

No Brasil, a legislação caminha no sentido de disciplinar o reconhecimento legal do documento eletrônico, bem como as relações jurídicas via internet e ao intercâmbio eletrônico de dados (IED). A respeito, especificamente, da infra-estrutura para chaves públicas – assinatura digital com base em criptografia assimétrica –, o decreto n.º 3.587, de 5 de setembro de 2000, já a define, com respeito ao Governo Federal, complementado pelo decreto n.º 3.865, que estabelece requisitos necessários para a contratação destes serviços pelos órgãos públicos federais.

Diversas discussões hão de surgir a respeito dos efeitos jurídicos e da adequação das normas propostas à realidade, sendo absolutamente natural o aprimoramento e a atualização periódica dos comandos legais promulgados, instrumentos sem os quais a proteção à esfera de privacidade e à segurança dos dados e da informação corporativa será tarefa inglória e improdutiva.

No que se refere ao exercício da advocacia, conforme bem elaborado texto de José Carlos Dutra Blanco (in http://www.blancodominoni.net/) há muito que nossos escritórios e departamentos jurídicos vêm imergindo no mundo dos bytes, os arquivos outrora gigantes e que ocupavam andares vêm sendo digitalizados e substituídos gradualmente pelos de número binário.

Sem dúvida que o acesso remoto, a funcionalidade da pesquisa multiusuário e a economia de espaço físico são muito benéficos. No mesmo norte, para o cliente o que importa é você estar on-line, onde você estiver deve responder a consultas imediatamente, objetivando a mais rápida e precisa resposta. Assim, não ficará para o amanhã um negócio que pode ser concluído naquele momento através do e-mail do advogado autorizando a transação mesmo que este seja enviado de um celular onde ele estiver e por meio de comunicação digital.

Não podemos esquecer que os segredos de nossos clientes ou daqueles contra eles contendem estão sob nossa guarda e responsabilidade, sendo um dever inclusive estatutário a manutenção e garantia da segurança das informações a nós confiadas no exercício da advocacia.Assim, a associação dos termos “comunicação digital” e “gestão e segurança da informação” se faz obrigatória. Bem sabemos que em um ambiente corporativo certamente é o departamento jurídico que mais detém privilégios de acesso e consulta aos sistemas de informações das empresas, sejam eles exclusivos ou mesmo compartilhados, sendo este também o ambiente que mais deve zelar por elas.

Enquanto no exercício da advocacia e em nossas andanças pelo mundo jurídico, encontramos vários deslizes comuns no uso da informática, em especial quando se acessa nossas redes, arquivos, etc., tais como:ausência de identificação de usuário;ausência de perfis de usuário e níveis de acesso; inexistência de senhas ou códigos de acesso/login; compartilhamento de senhas; ambientes wi-fi sem proteção criptogafica; acesso a pastas físicas sem controle de acesso; eliminação de documentos físicos, sendo inclusive doados à reciclagem, sem o devido tratamento. inexistência de bloqueio ou de limitação física de utilização de mídias removíveis; etc.

Verificada qualquer uma das situações exemplificadas, certamente há exposição ao risco e vulnerabilidade ao vazamento de informações e até mesmo a perda delas.

Mas como reagir a tal fato?

Criar e aplicar uma política de gestão e segurança da informação é o principio, esta deve ter como instrumentos basilares o Termo de Uso de Sistemas de Informação (TUSI) e um Regulamento Interno de Segurança da Informação (RISI) conforme já vem ensinando Renato Opice Blum. Tais instrumentos têm for finalidade estabelecer e demonstrar claramente as regras as quais os usuários do sistemas estão submetidos, seja quanto ao tratamento das informações, seja quanto a manejo dos equipamentos e utilização dos mesmos para fins diversos daqueles do ambiente de trabalho. Podemos destacar que necessariamente a política de gestão e segurança da informação deve abranger normas que versem sobre o uso de correio eletrônico, da intranet, da internet e também os estabelecer os recursos mínimos de segurança para rede física, rede wi-fi e equipamentos móveis.

E quem não gostar das normas, que não se habilite...

Certamente esta nova visão deve se ser implementada com diversas ações. Podemos sugerir algumas, básicas por sinal: identificação de usuário, por senha ou biometria; criação de perfis de usuário com níveis de acesso; classificação das informações em níveis de confidencialidade; ambientes wi-fi com proteção criptográfica confiável; controle de acesso a pastas físicas; fragmentação de documentos físicos; bloqueio ou limitação física de utilização de mídias removíveis.

De qualquer forma, tais medidas apenas são meramente exemplificativas e elementares, sendo pois, imperativo, no mundo em que vivemos, o auxílio profissional e qualificado de modernas técnologias da segurança da informação, tudo para que possamos trabalhar tranquilos nesse universo globalizado e ainda por muitos desconhecido. Aliás, antes prevenir do que remediar.

É isso.

Nenhum comentário: