Segurança da Informação é a disciplina voltada à proteção da informação, considerada um ativo do negócio – ou seja, aquilo que tem valor para a entidade – dos diferentes tipos de ameaças internas e externas (eventos que podem ter impactos negativos, como empregados mal intencionados, ataques cibernéticos, espionagem, concorrência desleal, fraudes digitais etc.) para mitigar os riscos, aumentar o retorno sobre os investimentos e garantir a continuidade do negócio.
Como vivemos na era da Sociedade da Informação, na qual a informação passa a ter valor financeiro, é imprescindível a adoção de metodologia adequada para protegê-la. O foco da disciplina, portanto, era voltado à proteção de informação estratégica relevante para os negócios e, não necessariamente, para a proteção de dados pessoais. As duas coisas não se confundem; porém, diante da necessidade de proteção dos dados pessoais para garantia da privacidade de seus titulares, se fez imprescindível a aplicação dessa metodologia também nesse universo.
A respeito, Mary Pat McCarthy e Stuart Campbell explanam:
Há aqueles que juntariam, sem discriminação, privacidade e segurança, acreditando que não se poderia ter uma sem a outra. Mas, as duas estão inexoravelmente veiculadas? Embora, de fato, vemos seu inter-relacionamento, não estamos seguros de que as duas devem ser tratadas como parte de um todo indivisível. Por exemplo, alguém poderia idealizar uma arquitetura de segurança que evitasse grande parte das penetrações, detectasse algumas poucas exceções, e reagisse a invasões rápida e definitivamente. Esse ambiente de segurança abordaria os reinos físicos e do ciberespaço dentro dos quais a empresa faz seus negócios. Ele poderia ser refinado para fazer um trabalho apropriado de manter os atacantes externos a distância, enquanto de maneira adequada gerenciaria os riscos internos de segurança da informação. Ao mesmo tempo, no entanto, essa empresa também poderia comercializar listas de informações dos clientes – listas que foram coletadas por meio de uma infraestrutura muito segura – para terceiros, sem conhecimento dos seus clientes. Você poderia argumentar que a empresa estaria fazendo um grande trabalho na área de segurança, porém a maioria dos clientes concordaria que a pontuação de sua empresa quanto à privacidade é abominável. Em outras palavras, uma empresa poderia ter apropriada segurança da informação acoplada a um uso censurável de informações pessoais. As duas atitudes, com certeza, não são conjugadas. […] Segurança é um tema que vai bem além da tecnologia, e privacidade é um tema que vai bem além da segurança. [1]
Estabelecida essa proposição, ficam muito claras as razões de segurança serem apenas um dos princípios estabelecidos pelo art. 6º da LGPD para nortear as atividades de tratamento de dados pessoais, cujo teor deve ser conjugado com os outros princípios, que vão muito além de segurança. São partes complementares de um todo.
Os três pilares principais que norteiam a Segurança da Informação são a confidencialidade (informação ser conhecida somente por quem precise conhecê-la), a disponibilidade (informação estar disponível quando necessária) e a integridade (a informação é confiável, pois não sofreu alterações).
Segundo Edison Fontes:
A informação é um bem da organização e como tal deve ser gerenciado, protegido, possuir regras e políticas de utilização. Na medida em que a informação está armazenada no ambiente computacional, ela é cada vez mais necessária para a realização e lucro dos negócios. Um processo de segurança da informação na organização deve ter como objetivos:
- disponibilidade da informação – a informação deve estar acessível para o funcionamento da empresa e a realização do negócio;
- integridade da informação – a informação deve estar correta, ser verdadeira e não estar corrompida;
- confidencialidade da informação – a informação deve ser acessada e utilizada exclusivamente pelos usuários autorizados.[2]
A disciplina da Segurança da Informação é norteada pela Norma Técnica ABNT NBRISO/IEC 27002, considerada um código de práticas para controles de segurança da informação, consubstanciado nas melhores técnicas mundialmente reconhecidas sobre o assunto. As organizações ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) contam com a participação de especialistas de vários países e têm como objetivo criar e gerenciar normas técnicas internacionais, sendo tais normas publicadas no Brasil pela ABNT (Associação Brasileira de Normas Técnicas).
Referida Norma Técnica esclarece:
A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendido [3].
Por conseguinte, constata-se que ao impor os agentes de tratamento o dever de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais, conforme disposto no art. 46, a LGPD almeja alcançar os mesmos objetivos que sustentam os pilares da Segurança da Informação (confidencialidade, disponibilidade e integridade), incorporando a ideia de que segurança é uma questão que vai muito além da tecnologia, embora tecnologia seja parte contribuinte da solução.
Em complemento, ao consignar no artigo sob análise a obrigação dos agentes de tratamento ou de qualquer outra pessoa envolvida em uma das fases do processo de garantia da segurança da informação, a LGPD torna a disciplina, pelo menos no que toca aos dados pessoais, uma obrigação legal e não apenas uma mera opção de controle interno que poderia ou não ser adotada pelas organizações.
Trata-se de uma verdadeira evolução nesse segmento.
Ainda, o dispositivo legal em análise preordena a garantia de segurança da informação mesmo após o término do tratamento dos dados pessoais. Significa dizer que o dado pessoal deve ser protegido em todo o seu ciclo de vida, o qual pode contemplar criação, coleta, manuseio, processamento, armazenamento, transporte, transmissão, exclusão ou destruição definitiva da informação, mesmo depois de concluído o seu tratamento. Tal previsão é deveras importante, pois seria absolutamente ineficaz proteger o dado somente em determinada etapa de seu ciclo de vida.
Válido lembrar que estão consignadas no art. 15 da LGPD as hipóteses de término do tratamento dos dados pessoais, quais sejam, a verificação de que a finalidade foi alcançada (inc. I); a verificação de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada (inc. I) ; fim do período de tratamento (inc. II); revogação do consentimento (inc. III) e; determinação da ANPD (inc. IV).
Por fim, imperioso destacar o Decreto 9.637/2018, que instituiu a Política Nacional de Segurança da Informação no âmbito da administração pública federal, tendo por objetivo assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional. O mencionado decreto estabeleceu em seu art. 2º que, para os fins nele dispostos, a segurança da informação abrange segurança cibernética, defesa cibernética, segurança física e proteção de dados organizacionais e as ações destinadas a assegurar a disponibilidade, a integridade, a integridade, a confidencialidade e a autenticidade da informação. Foi também instituído o Comitê Gestor da Segurança da Informação, órgão que será o responsável por assessorar o Gabinete de Segurança Institucional da Presidência da República, nos assuntos ligados à segurança da informação.
FONTE:
JIMENE, Camilla do Vale. Capítulo VII – Da segurança e das Boas Práticas: Art. 47. In: NÓBREGA MALDONADO, Viviane; OPICE BLUM, Renato (coord.). Lei Geral de Proteção de Dados Comentada. São Paulo: Thomson Reuters Brasil, 2019. p. 339-341. ISBN 978-85-5321-393-1.
[1] MCCARTHY, Mary Pat; CAMPBELL, Stuart. Transformação na segurança eletrônica: estratégias e gestão da defesa digital para proteger a reputação e a participação de sua empresa no mercado. Trad. Celso Roberto Paschoa. Revisão Técnica KPMG Auditores. São Paulo: Ed. Pearson Education do Brasil, 2013. p. 131-132.
[2] FONTES, Edison. Vivendo a segurança da informação: orientações práticas para pessoas e organizações. São Paulo: Ed. Sicurezza, 2000. p. 21.
[3] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação — Técnicas de Segurança — Código de prática para controles de segurança da informação. Rio de Janeiro, 2013, p. x.
