InfoSec Council

  • Aumentar tamanho da fonte
  • Tamanho da fonte padrão
  • Diminuir tamanho da fonte
Home Renato Opice Blum Aspectos jurídicos do PESI

Aspectos jurídicos do PESI

Sáb, 27 de Março de 2010 14:22 Renato Opice Blum e Juliana Abrusio
Imprimir

Planejamento Estratégido da Segurança da Informação

Capítulo 9 - Aspectos Jurídicos do PESI 2 * 

Renato Opice Blum  e  Juliana Abrusio

1. Introdução

No mundo moderno, o bem mais valioso é a informação. As empresas estão preocupadas com o chamado “capital intelectual”. Tudo o que se quer evitar é a ocorrência do dano, aqui entendido como qualquer evento que atinja a propriedade imaterial da empresa, causando-lhe prejuízos.

Muitas vezes tais lesões são irreparáveis, vez que se está diante de um patrimônio que não comporta a simples devolução da coisa móvel. Diante de tal complicação, questiona-se a qual tutela legal as empresas podem recorrer para se protegerem da melhor forma possível. E mais, quais os procedimentos jurídicos devem ser incorporados ao mundo corporativo visando não somente prevenir o evento danoso, mas, também, municiar a empresa de provas contra futuros processos judiciais.

É preciso adotar um Plano Estratégico da Segurança da Informação (PESI) para garantir o binômio “prevenção e reação”. O primeiro é para evitar a ocorrência de fraudes, invasões, descuido de funcionários, condutas de má-fé dos insiders, sabotagem, concorrência desleal, fraudes eletrônicas etc. O segundo, como dito, para cercar a parte lesada – no caso, a empresa que já sofreu o ataque – de todas as provas possíveis para o processo judicial. Há, ainda, um terceiro requisito, não menos importante, que, ao lado do binômio “prevenção e reação”, é essencial para a vida de uma empresa bem preparada em sede de segurança da informação, ou seja, a condição em que se encontra toda estrutura de tecnologia da informação da empresa, para, se preciso for, periciá-la. É dizer, a condição da empresa em responder a incidentes e gerar provas diante de tais incidentes, de modo a coletar as provas relacionadas corretamente, para que não sejam desconsideradas no futuro.

 

2. A estratégia da organização frente às normas de segurança

As questões relacionadas à segurança da informação conquistaram lugar de destaque nas estratégias corporativas em âmbito mundial. Proteger e conservar a informação das inúmeras ameaças tornou-se essencial para garantir a continuidade do negócio, minimizando riscos e maximizando o retorno sobre os investimentos.

Diversas normas regem os procedimentos relativos à segurança da informação. Entre elas, a ABNT ISO/IEC 27001, ABNT ISO/IEC 27002, e outras tais como a Basiléia II e a Sarbanes-Oxley. Porém, não podemos esquecer que o universo corporativo está alocado em um Estado de direito, onde o exercício aos direitos sociais e individuais é assegurado, como valores supremos da sociedade, por meio de vasta legislação.

A adoção e a implantação do “Código de práticas para a gestão da segurança da informação” devem estar obrigatoriamente alinhadas às leis, estatutos, regulamentações e obrigações contratuais inerentes,3 sob pena de sofrer as sanções legalmente previstas. Em que pese referidas práticas estarem restritas ao universo corporativo, em hipótese alguma se deve deixar de considerar os aspectos legais envolvidos.

3. Conformidade com requisitos legais

A primeira grande preocupação no assunto é a conformidade com a legislação pátria vigente, incluindo todas as leis trabalhistas, civis, criminais e administrativas. É preciso repelir a violação de qualquer legislação, bem como de estatutos, regulamentações e obrigações contratuais inerentes aos requisitos de segurança da informação. Anote-se, ainda, que é extremamente necessária a interligação entre o setor de auditoria e a área jurídica para terem a tranqüilidade de atuar conforme os ditames legais, sem incorrer em qualquer irregularidade.

O tipo de controle sugerido para a identificação da legislação vigente é fundamentado na verificação da documentação. A norma ABNT ISO/IEC 27002 preconiza que todos os requisitos estatutários, regulamentares e contratuais relevantes, bem como o enfoque da organização para atender tais requisitos, sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação.

4. Regulamento Interno de Segurança da Informação

A organização deve aplicar, internamente, um documento apto a render-lhe a maior segurança possível, considerando os elementos de “prevenção”, “reação” e “condição forense”. Tal documento é conhecido como “Regulamento Interno de Segurança da Informação” (RISI), que constitui um conjunto de normas e regras de segurança da informação, que visam possibilitar o compartilhamento de informações dentro da infraestrutura tecnológica da organização, por meio de seus recursos computacionais.

Por “informação” deve ser entendido todo o patrimônio que se refere à cultura da organização ou ao seu negócio, podendo elas ser de caráter comercial, técnico, financeiro, legal, recursos humanos, ou de qualquer outra natureza que tenham valor para organização e que se encontrem armazenadas em seus recursos computacionais, com tráfego dentro da sua infraestrutura tecnológica.

A eficácia do regulamento depende da vinculação de todas as pessoas que mantêm contato com a organização, como empregados, prestadores de serviços, colaboradores.4 Assim, dentro do regulamento serão inseridas cláusulas relativas aos usuários da rede; senhas e amplitude de acesso a arquivos; controle de ameaças (vírus, crackers etc.); uso e instalação de software e hardware; utilização de equipamentos (computadores, impressoras, notebooks, smartphones etc.); procedimentos de acesso à internet e ao correio eletrônico; dentre outras.

5. Termo de Uso da Segurança da Informação

O “Termo de Uso de Segurança da Informação” (TUSI) também deve ser utilizado pela organização em conjunto com o RISI. O TUSI consiste em um compromisso assumido, individualmente, de forma expressa e escrita, pelos empregados, prestadores de serviços ou colaboradores, declarando estarem subordinados ao cumprimento das atribuições e responsabilidades advindas do RISI.

O TUSI é um documento importante à medida que garante a ciência das partes e poderá ser um excelente meio de prova, já que a pessoa se compromete por escrito. Ambos os documentos (RISI e TUSI) devem ser feitos com base nas mais atualizadas e confiáveis diretrizes de segurança mundiais, em especial a NBR ISO IEC 27002 e NBR ISO IEC 27001; na reforma do Bürgerliches Gesetzbuch (BGB) envolvendo documentos eletrônicos; no Data Protection Working Party, da União Européia, no Statuto dei Lavoratori Italiani; Codice della Privacy (Itália); Diretiva 2002/58/CE; Decreto Legislativo Italiano n.196 de 30 de junho de 2003 (Misure di sicurezza) e outros.

O RISI e o TUSI são os dois principais instrumentos jurídicos que compõem o PESI. Tais instrumentos resguardam não somente a organização, como também os administradores, os empregados e terceiros envolvidos em todas as esferas do direito.

6. Monitoramento de e-mails

O monitoramento de e-mails pode ser considerado como válido, desde que se atente a alguns requisitos. O Tribunal Superior do Trabalho, bem como os Tribunais Regionais do Trabalho brasileiros, vêm cristalizando a jurisprudência pátria no sentido de permitir o monitoramento dos meios eletrônicos da corporação para verificação do mau uso dos recursos de processamento da informação, o que possibilita, inclusive, a dispensa motivada por justa causa, inexistindo expectativa de privacidade por parte dos empregados da organização.

Acertadamente e a fim de evitar maiores discussões, é salutar que todos os usuários estejam conscientes do escopo de suas permissões de acesso e da monitoração realizada, o que pode ser viabilizado por meio de registro de autorizações escritas, devidamente assinadas por funcionários, fornecedores e terceiros envolvidos na organização, o que, mormente, é denominado de “Termo de Uso dos Sistemas de Informação”.

Recomenda-se, ainda, a apresentação de mensagem no momento da conexão inicial, advertindo ao usuário que o recurso de processamento da informação utilizado é de propriedade da organização e que não são permitidos acessos não-autorizados, necessitando de confirmação do usuário para o prosseguimento do processo de conexão.

7. Responsabilidades

O Código Civil Brasileiro, em seu art. 186, prevê a responsabilidade civil para aquele que viola direito ou causa dano a outrem, ainda que exclusivamente moral, por ação ou omissão voluntária, negligência ou imprudência, configurando-se ato ilícito, ficando obrigado a repará-lo independentemente de culpa, quando a atividade normalmente desenvolvida pelo autor do dano implicar por natureza em risco para outrem (art. 927, CC). Ainda na mesma trilha de entendimento, referido diploma legal preconiza, por meio do art. 1.016, a responsabilidade solidária dos administradores perante a sociedade e terceiros prejudicados no desempenho de suas funções.

Tais dispositivos demonstram de forma evidente a necessidade de resguardar juridicamente a corporação na gestão da segurança da informação, considerando-se que o objetivo maior das corporações na adoção da norma é a minimização dos riscos inerentes e não a geração de mais riscos.

Especificamente, em relação aos gestores da segurança da informação, estes estão ligados ao complexo de atividades relacionadas às diversas formas de utilização dos recursos proporcionados pelo computador, e como conseqüência, são responsáveis por proporem soluções capazes de maximizar o uso das ferramentas tecnológicas, bem como por sugerir medidas tendentes a evitar riscos dos mais diversos tipos para a organização, seja com relação à perda de dados, vírus, entre outros. O gestor tem o dever de promover o processo de conscientização e treinamento.

Assim, é recomendável que elabore uma espécie de relatório com a descrição da atual situação da empresa, no que tange à tecnologia empregada. Aliás, a Resolução 3.380 do BACEN, de 2006, inauguradora da primeira fase da adoção da Basiléia II no Brasil, acentua a preocupação com a elaboração de relatórios, contendo as questões críticas das instituições financeiras.

É sabido que ninguém pode alegar em sua defesa o desconhecimento das normas vigentes. Portanto, o gestor deverá estar sempre atualizado acerca dos aspectos jurídicos que envolvem sua profissão. É muito importante que exista este tipo de conhecimento, pois o gestor de segurança poderá ser responsabilizado, civil e criminalmente, por seus atos, seja em virtude da conivência com certos comportamentos, ou ainda, por não ter agido com o cuidado e diligência do que se espera normalmente do profissional.

Ademais, o empregado, em razão do cargo ou função que ocupa, poderá tomar conhecimento de informações sigilosas, como componentes de fórmulas criadas por empresas que elaborem produtos; detalhes sobre a vida de clientes que sejam partes em demandas judiciais; dados cadastrais de clientes; planejamento para desenvolver a atividade comercial durante o ano; entre outras.

Por tais motivos, alguns dispositivos do Código Penal poderão ter incidência, conforme listado abaixo:

Divulgação de segredo

Art. 153 – Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem:

Pena – detenção, de um a seis meses, ou multa.

§ 1º Somente se procede mediante representação.

§ 1º-A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública:

Pena – detenção, de 1 (um) a 4 (quatro) anos, e multa. § 2º Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada.

Divulgação de segredo

Art. 154 – Revelar alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério,

ofício ou profissão, e cuja revelação possa produzir dano a outrem: Pena – detenção, de 3 (três) meses a 1 (um) ano, ou multa. Parágrafo único – Somente se procede mediante representação.

Não obstante a isso, pode acontecer de um funcionário acessar, sem a devida autorização, documentos ou informações confidenciais que não lhe seja permitido o conhecimento. Assim, ocorrerá o descumprimento de ordens de seu empregador ou superior hierárquico, podendo o empregado ser demitido por “justa causa” em virtude de ato de indisciplina ou de insubordinação (artigo 482, alínea “h” da CLT).

Ademais, o gestor pode se deparar com concorrência desleal, que são as práticas antiéticas ou ilegais no exercício da atividade econômica, previstas no art. 1955 da Lei 9.279/96.

8. Implementação

Em conclusão às ponderações legais colacionadas, recomenda-se que as principais posturas a serem adotadas pela organização sejam:

  • Divulgação de política de conformidades com direitos de propriedade intelectual, que contenha definição expressa sobre o uso legal de software. Será adequado que a política mencione a legislação vigente sobre o tema;
  • Aquisição de software somente por meio de fontes idôneas para assegurar que o direito autoral não seja violado;
  • Conscientizar os empregados por meio de políticas e adotar ações disciplinares em face dos que viola-rem tais políticas. Seria adequado que as ações disciplinares culminem até em demissão por justa causa;
    • Manter o registro de ativos e identificar todos os possivelmente relacionados aos direitos de propriedade intelectual. Assim, deve-se verificar e registrar tudo dentro da organização que esteja submetido à legislação pertinente;
    • • Manter provas da propriedade de licenças, tais como contrato de licença, recibos, manuais, discos mestres;
  • Implantação de controles para que o número de usuários permitidos seja compatível com o número de licenças adquiridas; tal recomendação é extrema importância, haja vista o disposto na Lei n.º 9609/98 (lei do software);
  • Proceder constantes verificações para que somente sejam instalados produtos de software autorizados e licenciados na corporação;
    • Criar normas para manutenção das condições adequadas de licenças;
    • Adotar contratos para transferência de software para terceiros;
    • Utilizar ferramentas de auditoria adequadas;
    • Identificar e respeitar termos e condições para software obtido a partir de redes públicas;
  • Não duplicar, alterar para outro formato ou ainda extrair registros de filme ou áudio além do que permitido pela lei de direito autoral, qual seja, Lei n.º 9610/98;
  • Não copiar livros, artigos ou outros documentos, fora dos padrões admitidos pela Lei de Direitos Autorais n.º 9610/98.

 

2Plano Estratégico da Segurança da Informação.

3Legislação: conjunto de leis decretadas ou promulgadas em um país, disciplinando matéria em caráter geral ou específico. Ex.: Constituição Federal, Código Civil, Código Penal, Consolidação das Leis do Trabalho, Lei do Software, Lei da Propriedade Industrial. Estatutos: complexo de regras estabelecidas e observadas por uma instituição jurídica a serem adotadas como lei orgânica, que fixam os princípios institucionais de uma corporação pública ou privada. Ex.: Estatuto Social, Estatuto dos Funcionários Públicos. Regulamentos: conjunto de normas ou regras, em que se fixam o modo de direção ou condução de uma instituição ou associação. Ex.: Regulamento de Segurança da Informação.

Obrigações Contratuais: obrigações oriundas de acordo de duas ou mais pessoas físicas ou jurídicas para entre si, constituir, regular ou extinguir uma relação jurídica. Ex.: Contrato de Compra e Venda, Contrato de Trabalho, Contrato com Empresas Terceirizadas.

4Empregados: considerando os prepostos da empresa que mantêm vínculo empregatício (CLT).

Prestadores de serviços: tendo em vista os prepostos de empresas contratadas, ou autônomos, que, de qualquer forma, estejam alocados na prestação de algum serviço em favor da empresa, por força de contrato de prestação de serviços, sem qualquer vínculo empregatício.

Colaboradores: outras pessoas como estagiários, cooperados e quaisquer terceiros que não se enquadrem no conceito de empregado ou prestador de serviços, mas que, direta ou indiretamente, exerçam alguma atividade dentro ou fora da empresa.

5EArt. 195. Comete crime de concorrência desleal quem: I – publica, por qualquer meio, falsa afirmação, em detrimento de concorrente, com o fim de obter vantagem; II – presta ou divulga, acerca de concorrente, falsa informação, com o fim de obter vantagem; III – emprega meio fraudulento, para desviar, em proveito próprio ou alheio, clientela de outrem; IV – usa expressão ou sinal de propaganda alheios, ou os imita, de modo a criar confusão entre os produtos ou estabelecimentos; V – usa, indevidamente, nome comercial, título de estabelecimento ou insígnia alheios ou vende, expõe ou oferece à venda ou tem em estoque produto com essas referências; VI – substitui, pelo seu próprio nome ou razão social, em produto de outrem, o nome ou razão social deste, sem o seu consentimento; VII – atribui-se, como meio de propaganda, recompensa ou distinção que não obteve; VIII – vende ou expõe ou oferece à venda, em recipiente ou invólucro de outrem, produto adulterado ou falsificado, ou dele se utiliza para negociar com produto da mesma espécie, embora não adulterado ou falsificado, se o fato não constitui crime mais grave; IX – dá ou promete dinheiro ou outra utilidade a empregado de concorrente, para que o empregado, faltando ao dever do emprego, lhe proporcione vantagem; X – recebe dinheiro ou outra utilidade, ou aceita promessa de paga ou recompensa, para, faltando ao dever de empregado, proporcionar vantagem a concorrente do empregador; XI – divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato; XII – divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude; ou XIII – vende, expõe ou oferece à venda produto, declarando ser objeto de patente depositada, ou concedida, ou de desenho industrial registrado, que não o seja, ou menciona-o, em anúncio ou papel comercial, como depositado ou patenteado, ou registrado, sem o ser; XIV – divulga, explora ou utiliza-se, sem autorização, de resultados de testes ou outros dados não divulgados, cuja elaboração envolva esforço considerável e que tenham sido apresentados a entidades governamentais como condição para aprovar a comercialização de produtos. Pena – detenção, de 3 (três) meses a 1 (um) ano, ou multa. § 1º Inclui-se nas hipóteses a que se referem os incisos XI e XII o empregador, sócio ou administrador da empresa, que incorrer nas tipificações estabelecidas nos mencionados dispositivos. § 2º O disposto no inciso XIV não se aplica quanto à divulgação por órgão governamental competente para autorizar a comercialização de produto, quando necessário para proteger o público.

 

* - Este artigo é parte do documento Planejamento Estratégico da Segurança da Informação, publicado pelo Infosec, e sua integra pode ser lida em Publicações.

 

Principal

Membros do InfoSec

Apoio

  • An Image Slideshow
  • An Image Slideshow

Entidades

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow

Em cartaz

Slideshow Image 1
Slideshow Image 2
Slideshow Image 3
Slideshow Image 4

Veja

Slideshow Image 1
Slideshow Image 2

Artigos Recentes:

NewsFlash:

 
 

 
 
 
 
 
 
 
 
  • O índice de notícias apresenta links sobre segurança da informação, direito eletrônico, forense computacional e muito mais.