Certamente que o recente escândalo mundial revelado por Edward Snowden, referente ao caso de espionagem do governo americano, e o também recente caso de vazamento de dados de renomada instituição de ensino, entre outros, voltaram os holofotes.
Contemporâneos da maior revolução tecnológica, preconizada por alguns estudiosos, como a segunda grande revolução industrial, que tem como característica principal a informação, que assume status de patrimônio, ativo intangível de valor agregado, que no ambiente corporativo – quando bem gerenciada – representa matéria prima do conhecimento, estamos inseridos em um contexto social, onde interatividade, mobilidade, conectividade, transparência e profusão da informação – alcunhada por Pierre Lévy, filósofo francês da cultura virtual contemporânea como um dilúvio informacional – são característica desta nova sociedade.
Os ativos são classificados em tangíveis e intangíveis. Os tangíveis são os físicos e financeiros; no que se refere aos intangíveis, podem ser assim subdivididos: (i) os que geram valor (marcas, inovação e capital intelectual; (ii) e os que protegem valor (Segurança da informação, gestão de riscos e governança corporativa).
Neste contexto, a norma ISO/IEC 27002 (antiga 1799:2005), preconiza: “Segurança da Informação é a proteção da informação de vários tipos de ameaça para garantir a continuidade do negócio, minimizar o risco ao negócio e maximizar o retorno sobre os investimentos e as oportunidades de negócio”.
Dito isto, cumpre esclarecer, que a terminologia Políticas de Segurança da Informação, aqui empregada, não se refere ao uso corriqueiro da palavra, geralmente utilizada para referir-se às diretrizes, normas e procedimentos de segurança da informação, materializados em um conjunto de documentações, em suporte físico ou digital.
Quando me refiro às Políticas de Segurança da Informação, me valho da experiência e formação como advogado criminalista, para fazer uma analogia às políticas criminais, que têm como escopo principal reduzir a criminalidade, uma vez que a extinção da criminalidade é uma utopia. Estas políticas têm como objetivo atacar não apenas os nefastos efeitos causados pelo crime, através da lei, que possui como uma das suas características punir o infrator pela violação da norma; mas evitar que o crime aconteça, por intermédio da educação, políticas públicas, entre outras mediadas.
Pois bem, voltando a falar em Políticas de Segurança da Informação, a situação não é diferente, a salvaguarda da informação só se dará de forma eficiente se o gestor utilizar-se de medidas conjuntas, de forma harmônica e estratégica, uma vez que medidas isoladas se tornam inócuas. No mesmo sentido é a orientação da ABNT NBR ISO/IEC 27002:2005, que preconiza: “a Segurança da Informação é obtida a partir da implantação de um conjunto de controles adequados, incluindo política, processos, procedimentos, estruturas e funções de software e hardware”.
Em “Code and other laws of cyberspace”, Lawrence Lessig diz que o comportamento humano é regulado por modalidades de restrições, as leis, normas sociais, o mercado e a arquitetura física da sociedade, onde está, por exemplo, o software e o hardware. Diante deste cenário, uma estratégia eficaz é aquela que harmoniza todas as modalidades de restrições, de tal forma que uma complemente a outra, para que possam alcançar o seu resultado, a proteção do ativo intangível.
Políticas de Segurança da Informação são um conjunto de medidas, entre elas: Política de Segurança da Informação (Diretrizes), Termo de Uso dos Sistemas da Informação (TUSI), Regulamento Interno de Segurança da Informação (RISI), soluções desoftware e hardware (firewall, DLP, antivírus), educação (programas de conscientização dos colaboradores e treinamento da equipe de TI), entre outras medidas.
Tais medidas podem ser categorizadas como reativas ou corretivas e dissuasivas ou preventivas. As reativas ou corretivas têm como objetivo dar uma resposta rápida e eficaz no momento em que o incidente de segurança da informação é engendrado ou está em andamento, melhor explicando, quando há um ataque aos sistemas computacionais (outsiders) ou, ainda, quando um colaborador viola as Políticas de Segurança da Informação (insiders). Nestes casos as soluções de software e hardware (firewall, antivírus, DLP), são eficazes para evitar a ocorrência de um incidente de segurança da informação.
Por outro lado, as medidas dissuasivas ou preventivas têm como objetivo desestimular os colaboradores a violarem as Políticas de Segurança da Informação, por conhecerem as normas (educação, programas de conscientização etc.), e por acreditarem na certeza da punição, na hipótese de violação às regras.
Entretanto, diante da astucia, sagacidades do engenho humano, aliada à dinamicidade na qual são engendradas novas formas de ataques, o fator velocidade e criatividade são elementos que, certamente, farão a diferença na proteção da informação, sem perder de vista, obviamente, a conscientização de toda equipe (TI, colaboradores e terceiros) quanto ao uso ético, seguro e responsável, da internet e das ferramentas tecnológicas no ambiente corporativo. Por outro lado, aqui me referindo mais precisamente aos aspectos jurídicos, fundamentalmente no que tange à responsabilidade civil dos gestores e empregadores. Consoante dicção do artigo 932, III, do Código Civil, são também responsáveis pela reparação civil, o empregador ou comitente, por seus empregados, e prepostos, no exercício do trabalho que lhes competir, ou em razão dele.
É bom que se diga, que a matéria responsabilidade civil dos gestores e empregadores, não se exauri com a leitura literal dos dispositivos legais mencionado, pois tendo em vista a complexidade do tema, necessária se faz uma abordagem holística do ordenamento jurídico. Entretanto, a pretensão desta pequena abordagem e destacar que o investimento em segurança da informação é necessário em virtude da possibilidade de responsabilização do empregador pelos atos dos seus colaboradores.
Em remate, as estatísticas reforçam a importância do investimento em Políticas da Segurança da Informação para higidez das empresas. Pesquisa realizada pela Symantec, publicada no Relatório de Ameaças à Segurança na Internet de 2014, registrou que a soma dos gastos de empresas brasileiras em decorrência do vazamento de informações chegou a quase 10 milhões de reais em 2013. A abranet – Associação Brasileira de Internet, por sua vez registrou um aumento de 197% em 2014, em comparação com o ano anterior de Incidentes de segurança.
Diante deste cenário, o investimento em Políticas de Segurança da Informação justifica-se pelo fato de ser a informação um ativo intangível de valor agregado, que representa o grande patrimônio da sociedade moderna, dita sociedade da Informação ou do conhecimento, aliado ao fato de que a proteção da informação não se restringe apenas à proteção de patrimônio, mas também à proteção da imagem e reputação. Entretanto, importante estar em conformidade com a legislação, jurisprudência e melhores práticas, para blindagem jurídica e minimização dos riscos jurídicos, para que as Políticas de Segurança não se tornem um risco legal.
Jean Carlos Fernandes
Advogado. Especialista em Direito Eletrônico, Diretor Geral da Comissão de Direito Eletrônico da 104ª Subseção de Itaquera – OAB/SP, Membro Consultor da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia – CDECAT – OAB/SP, pós-graduado em Direito e Tecnologia da Informação pela Escola Politécnica – USP, pós-graduado em Direito Penal com habilitação para docência no ensino superior.