Começo o meu post de hoje com a frase de Sun Tzu no livro a Arte da Guerra: “Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas…”. A norma ISO 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação, apresenta o seguinte esquema para a implementação dos processos de gestão de riscos:

O ponto de partida da implementação da Gestão dos Riscos em Segurança da Informação é a definição do contexto,  ou o conhecimento de si mesmo. A norma ISO 27005 estabelece que: “todas as informações sobre a organização relevantes para a definição do contexto da gestão de riscos de segurança da informação” sejam utilizadas como entrada deste processo. Nesta etapa do “conhecer a si mesmo” o contexto de ativos de informação, escopo de sistema e demais informações relevantes devem ser consideradas. É na definição do contexto que são desenvolvidos os critérios para a avaliação dos riscos.

Critérios estes que, segundo a norma ISO 27005, devem considerar: o valor estratégico do processo que trata as informações do negócio; a criticidade dos ativos de informação envolvidos; requisitos legais e regulatórios, bem como obrigações contratuais; a importâncvia do ponto de vista operacional e dos negócios, da disponibilidade, integridade e confidencialidade das informações e as espectativas e percepções das partes interessadas. Ainda dentro da definição do contexto são estabelecidos os critérios de impacto, aceitação do risco e escopo da gestão de riscos.

A partir da definição do contexto, é realizada a análise/avaliação de riscos de segurança da informação. Nesta etapa são identificadas as ameaças, controles existentes, as vulnerabilidades e principalmente as consequências de dano que a potencialização de ocorrência de uma ameaça traga consigo. Todos estes elementos são avaliados de acordo com o contexto, interno e externo, levando em conta os objetivos da organização para finalmente chegar-se as opções de tratamento de riscos conforme esquema a seguir apresentado.

 Todo o Sistema de Gestão da Segurança da Informação vai ser estruturado a partir da Gestão de Riscos e o resultado das batalhas pela preservação da segurança será positivo;

Quais são os profissionais necessários?
Quem são os responsáveis por sua formação?
O que se deve ensinar?

UM SNAPSHOT DO PRESENTE

Os serviços estão sendo prestados satisfatoriamente através da Internet. A perspectiva de crescimento para o comércio eletrônico é de cerca de 30% ao ano. Os algoritmos de criptografia estão cada vez mais impenetráveis, o que dá melhores subsídios para que as Autoridades Certificadoras, tanto públicas quanto privadas iniciem a sua caça àqueles que precisam utilizar as assinaturas digitais, já que a confiabilidade é bem maior. As barreiras alfandegárias estão sendo ultrapassadas.

O poder legislativo já se ocupa em disciplinar os fatos jurídicos oriundos das relações entre o Direito e a Tecnologia da Informação. Contratos Eletrônicos são celebrados, certificados e seu valor probante é reconhecido. Os meios eletrônicos de armazenamento derrubam os preconceitos e fazem sua história nos tribunais.

Relações de trabalho da nova era, que, devido à sua natureza eminentemente diversa das que eram conhecidas, não podem ser caracterizadas ou disciplinadas da mesma forma, encontram solução na sábia aplicação analógica do direito. Já se pode, legalmente, coibir fatos que, anteriormente, não eram puníveis, agora sob a tutela da legislação penal.

Escreve-se, discute-se, doutrina-se, debate-se, teoriza-se acerca do tema, o que significa, inequivocamente, que a Sociedade da Informação está madura, Correto?

Categoricamente, não.

A NECESSIDADE DA INTERVENÇÃO DO DIREITO

Está-se, este é o fato, diante de mais uma situação detonada pela movimentação, pela vontade, pela necessidade social, que ameaça, caso não seja propriamente regulamentada, causar sérios transtornos à vida em comum.

O panorama traçado acima, representa, senão o retrato fiel do que se vive, uma visão extremamente aproximada do que se terá em poucos anos, talvez meses.

Mais uma vez, o direito é chamado a intervir em uma situação que, de fato, já existe de uma forma consolidada, como meio de permitir a continuação do desenvolvimento com a segurança social de que todos precisam.

Enquanto o que foi descrito estiver ocorrendo de forma pacífica, enquanto a composição entre as partes, de forma razoável e ponderada, puder ir dirimindo os conflitos, solucionando as dúvidas, tudo estará sob um certo controle.

À medida, contudo, que estas soluções não puderem ser mais fruto de uma composição amigável – e acreditem, em muitos casos, já não é – passa a ser essencial a disciplina legal, sob a sombra da qual devem procurar os cidadãos a sua pretendida proteção.

Experiências legislativas ocorrem, já em vários países, inclusive no Brasil, e não é a ausência de leis, de per se o que deve preocupar aqueles que fazem com que odireito represente as soluções práticas do dia-a-dia, mas sim o fato de que serão pessoas, o humanware ou peopleware, que irão aplicar as soluções propostas, de acordo com critérios que devem estar bem estabelecidos, conceitos que devem estar bem firmados, limites que devem estar bem compreendidos.

A FORMAÇÃO ESPECÍFICA É NECESSÁRIA?

Lembra o Dr. Amaro Moraes e Silva Neto, que quando foi introduzido o telégrafo no convívio humano, não foi necessário o estabelecimento de qualquer direito telegráfico, razão pela qual as relações de jurídicas na Tecnologia da Informação não necessitariam, a seguir-se o mesmo diapasão, de qualquer ramo específico do direito.

A assertiva, apesar de lógica, não aplica-se às relações detonadas pela introdução das tecnologias da informação no nosso dia-a-dia. Isso porque não há como comparar, na história recente do homem, os efeitos, o impacto, a profundidade das transformações que delas se originaram.

Tampouco é possível mensurar o alcance de tais mudanças, visto que é virtualmente (sem qualquer trocadilho) impossível a concepção do mundo, pelo menos da forma como o conhecemos, sem o auxílio dos dispositivos que nos fazem ignorar distâncias, espaços de tempo, graus de dificuldade e automação.

Dito isto, talvez, é verdade, não seja necessário estabelecer um ramo do direito, no sentido de uma Ciência, com métodos e objeto próprios, para estudar as relações e as formas de se disciplinar estas relações entre as pessoas e entre estas e as tecnologias da informação. Mas, com toda a certeza, será necessário – e desde já – dispor de profissionais que estejam sempre em sintonia fina com o conjunto de fatores que compõem este quadro, para que estes possam suprir a sociedade com o subsídio necessário para a discussão, a compreensão e a tomada de decisão racional, lógica e adequada.

Um claro exemplo é O Decreto n.º 3.857/2000, que disciplina a Infra-estrutura de Chaves Públicas para o poder executivo. Uma breve consulta aos seus dispositivos revela que a sua leitura, e por conseqüência, a posterior e essencial interpretação que a seu respeito terá que ser feita não poderá ficar a cargo de profissionais com domínio, exclusivamente, dos aspectos legais, jurídicos da questão. Já é indispensável o conhecimento técnico, senão com a profundidade que se espera de um especialista, pelo menos, conceitual, no sentido de que não se tenha que recorrer a assessores para ler um texto legal.

Além disso, é bom que seja constatado, não estamos tratando, simplesmente, do processo de decisão de casos isolados, cujo mérito deverá ser analisado com base em noções técnicas, casos em que, aí sim, uma consulta a um eventual assessor ou assistente seria suficiente.

Estamos tratando, e creio que muitos já o notaram, de alterações profundas, significativas, cruciais que estão ocorrendo em sede processual, procedimentos que irão impactar na maneira como o próprio processo é conduzido. Convenhamos, não é conveniente que o controle destes atos não esteja ao alcance da compreensão clara de quem, por lei, deve conduzi-los.

QUEM SOMOS?

A esmagadora maioria dos especialistas em atividade no país é de brilhantes e geniais profissionais, que, a despeito da falta de bibliografia disponível, da carência de encontros que propiciem um maior intercâmbio profissional, da ausência de debates mais criteriosos e públicos a respeito dos grandes temas da área, estudam, especializam-se, produzem, resolvem problemas e são muito, muito bons no que fazem.

Autodidatas, no entanto, apesar do inegável romantismo que suas histórias trazem, serão, dentro em pouco, exceções à regra. Sem a paranóia corporativista que, com freqüência, dispara ondas de protecionismo profissional – somos bons nisso! -, é preciso entender a dimensão que o movimento toma. De posse desse entendimento, ficará patente a necessidade de pessoal especializado, tanto para a solução prática e técnica dos problemas e limites que surjam, quanto para a teorização e a análise lógica e jurídica dos litígios que nascerem à sombra deste paradigma de mundo.

Portanto, o fato é que praticamente todos os profissionais que atuam neste campo adquiriram o seu notável conhecimento sem a adequada orientação ou o devido acompanhamento acadêmico, escolar, prático, profissional e técnico. Apesar disto somente tornar o seu feito ainda mais espetacular e sua iniciativa ainda mais nobre e louvável, é preciso direcionar esforços no sentido de suprir as dificuldades que estas pessoas encontraram.

OS PRÓXIMOS PASSOS

Sem querer fugir às propostas de solução, o que sempre parece conveniente após ser detectado um problema real, como o que apontamos, a verdade é que não há proposta capaz de apontar um caminho definitivo, infalível, a ser seguido.

Desta forma, longe de apontar planos de contingência ou medidas paliativas e emergenciais, poderíamos, só para variar um pouco, seguir o Plano A: verificar quais são os princípios fundamentais que norteiam este campo do conhecimento humano, procurar discutir nas faculdades a necessidade de formar profissionais que tenham, também este perfil, buscar pessoas que possam transmitir com qualidade, autoridade e de forma eficiente esses conhecimentos, elaborar ementas consistentes, mas flexíveis para as eventuais disciplinas que venham a ser criadas, observando que se há princípios fundamentais e que devem ser sempre explorados, há novos temas em desenvolvimento a cada dia, e cuja apreciação não pode ser dispensada por uma estrutura curricular engessada e paquidérmica.

Talvez seja, assim, mais fácil dispor de uma melhor infra-estrutura de recursos humanos para encarar e lidar com os muitos problemas, mas com as inúmeras alternativas que a Tecnologia da Informação trouxe ao dia-a-dia. Alternativas que, exploradas de uma maneira planejada, poderão propiciar o surgimento de formas mais eficientes de disciplinar a vida em sociedade, além de fazer com que, automatizadas as tarefas braçais e repetitivas, surja o tempo necessário – aí está o grande salto – para pensar o mundo, adequando-o cada vez melhor às necessidades daqueles que nele vivem.

Toda esta evolução ocorrida determinou que os ativos de informação passassen a ser considerados ativos de extrema importância para as organizações e como tal gerando a necessidade de serem protegidos devido ao seu valor. Os prejuízos com problemas de segurança da informação levaram as empresas e governos a aumentar os investimentos nesta área. O roubo de computadores é um dos crimes que mais cresce internacionalmente. Cada libra de equipamento perdido ou roubado, custa 10 libras em interrupção dos negócios, o roubo de computadores custou à Industria Britânica mais de 1 bilhão de libras em 1996, segundo informações do Governo Britânico (BS 7799 Lead Auditor Course).

Como os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma geridas para proporcionar confidencialidade, integridade e disponibilidade dos ativos de informação, que conforme a norma NBR ISO/IEC 27002 podem ser assim definidos:

Confidencialidade – garantia que a informação somente é acessível por pessoas explicitamente autorizadas a terem acesso; quem acessa um ativo de informação deve ser identificado e autenticado.

Disponibilidade – garantia de que as pessoas autorizadas tenham acesso as informações e seus ativos correspondentes sempre que necessário;

Integridade – salvaguarda da exatidão e completeza da informação e dos meios de processamento.

Toda violação de segurança gera um incidente que conforme o caso pode determinar uma violação de direitos passando então a ser objeto do Direito Digital.

O Direito da Tecnologia da Informação  pode ser definido como o conjunto de princípios fundamentais e de instrumentos jurídicos que atendem a nova realidade da sociedade da informação. Abrange todas as áreas do Direito.

Pretendemos aqui abordar  os dois assuntos, Direito da TI e Segurança da Informação, disponibilizando material de pesquisa e um espaço para consultas e troca de idéias.