Direito Digital e Compliance

Categorias


Direito Digital e Compliance

A nova Política Nacional de Segurança da Informação (PNSI)

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

No dia 27 de dezembro de 2018 foi publicado no Diário Oficial da União o Decreto 9.637/2018, instituindo a nova Política Nacional de Segurança da Informação (PNSI). A norma, que revogou o Decreto 3.505/2000, trouxe uma visão mais abrangente da segurança da informação.

Além de revogar o decreto anterior e instituir a nova Política, a norma alterou o Decreto 2.295/1997, que regulamenta a Lei das Licitações (Lei 8.666/1993) e dispõe sobre a dispensa de processo licitatório em casos que possam comprometer a segurança nacional. Deste modo, foi incluído o inciso III no artigo 1º do referido decreto regulamentar, dispensando de licitação a aquisição de equipamentos e contratação de serviços técnicos especializados para as áreas de inteligência, de segurança da informação, de segurança cibernética, de segurança das comunicações e de defesa cibernética.

Disposições gerais

O Decreto nº 9.637/2018, que é a norma instituidora da Política Nacional de Segurança da Informação (PNSI), conforme disposto no seu artigo 1°, tem como fim assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação no âmbito da administração pública federal.

De acordo com os quatro incisos do artigo 2°, a segurança da informação abrange:

Princípios da PNSI

O nova PNSI revogou a anterior, instituída pelo Decreto No 3.505/2000, tornando-a mais abrangente. As diretrizes que orientam a atuação dos gestores públicos federais foram atualizadas, levando em consideração nossa atual realidade. O artigo 3º elencou os dezesseis princípios que nortearão a aplicação da norma, destacando-se os seguintes:

Soberania Nacional

As ações direcionadas à segurança da informação na Administração Pública Federal visam assegurar e defender os interesses do Estado e da sociedade para a preservação da soberania nacional, que é, inclusive, um princípio constitucional. Aqui, há o reconhecimento da segurança da informação como área estratégica para a soberania nacional.

Direitos humanos e garantias fundamentais

Os desafios relacionados à segurança da informação devem respeitar e promover os direitos humanos e garantias fundamentais, como a liberdade de expressão, proteção de dados pessoais, proteção da privacidade e o acesso à informação. O desafio maior será – como sempre foi – encontrar um equilíbrio entre as preocupações com a proteção desses direitos e a segurança.

Educação

A educação ganhou status principiológico, sendo fundamental para fomentar a cultura da segurança da informação, seja no âmbito da administração pública federal, seja na sociedade. Inclusive, o fortalecimento da segurança da informação na sociedade é um dos objetivos da PNSI, conforme o seu inciso V, do artigo 4º. Ainda nesse tocante, vale dizer que, agora, o Ministério da Educação e o Ministério da Cultura fazem parte do Comitê Gestor da Segurança da Informação.

A importância destinada à educação fica patente no comando do artigo 15, inciso VI, que estabelece aos órgãos e às entidades da administração pública federal a competência para promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação (Art. 15, VI).

Por fim, em consonância com a competência para qualificar recursos humanos, está o princípio que estabelece o dever dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas (Art. 3, XI).

Responsabilidade do Brasil

Cabe ao Brasil, como país soberano, coordenar os esforços e estabelecer políticas, estratégias e diretrizes relacionadas à segurança da informação.

A PNSI prevê, por exemplo, a criação da Estratégia Nacional de Segurança da Informação, a qual terá ampla participação da sociedade civil, não somente do Poder Público.

O Gabinete de Segurança Institucional da Presidência da República, em outro exemplo, tem a competência para aprovar diretrizes, estratégias, normas e recomendações. Inclusive, compete ao GSI-PR, em articulação com o Comitê Interministerial para a Transformação Digital, a elaboração e publicação da Estratégia Nacional.

Cooperação entre órgãos e as informações sigilosas

Informações sigilosas são diariamente acessadas pelos agentes públicos. Uma vez classificada assim, sua divulgação ou tratamento é de caráter restrito. Ou seja, somente pessoas credenciadas têm acesso a ela.

O Decreto 7.845/2012 regulamenta os procedimentos para credenciamento de segurança e tratamento de informação classificada como sigilosa no âmbito do Poder Executivo Federal e dispõe sobre o Núcleo de Segurança e Credenciamento. Neste decreto são especificados quais são os procedimentos adotados pelas autoridades e servidores públicos responsáveis pelo sigilo dos documentos classificados em qualquer grau de sigilo ou previstos na legislação como sigilosos.

Tal princípio, que enfatiza a cooperação entre órgãos e entidades públicos no processo de credenciamento de pessoas para o acesso a informações sigilosas, pode ser entendido como uma garantia a mais para assegurar o sigilo das informações.

Integração e cooperação entre o setor público e privado

Na Política anterior tinha-se como um dos seus objetivos a promoção do intercâmbio científico e tecnológico entre o setor público e privado. Fazia parte do rol, também, a promoção da capacitação industrial do País, visando a sua autonomia, no desenvolvimento e na fabricação de produtos que incorporassem recursos criptográficos. Figurava como objetivo, do mesmo modo, o estimulo ao setor produtivo para participar competitivamente do mercado de bens e serviços relacionadas com a segurança da informação.

Com a nova PNSI, a integração e cooperação entre o setor público e privado foi alçada à categoria de princípio. A troca e compartilhamento de informações e boas práticas entre a sociedade civil, governo, instituições acadêmicas e setor empresarial passa a ganhar um maior relevo.

A integração e cooperação entre esses diversos atores é muito importante para atingir o objetivo relacionado ao fomento das atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação.

Cooperação internacional

O decreto, acertadamente, acomoda no inciso XVI do artigo 3º a cooperação internacional como um dos princípios da PNSI. Na sociedade da informação, encorajar a cooperação entre os países é fundamental, já que os atuais problemas de segurança da informação são transfronteiriços. Iniciativas e soluções focadas localmente têm alcance limitado contra um problema de ordem global.

O decreto anterior, no âmbito internacional, se limitava a apontar o acompanhamento da evolução doutrinária e tecnológica das atividades inerentes à segurança da informação como uma diretriz.

Objetivos da PNSI

O primeiro, e talvez o mais importante, objetivo da PNSI é o de contribuir para a segurança do indivíduo, da sociedade e do Estado, respeitando os direitos e garantias fundamentais. Para tanto, orientar a implementação de ações de segurança da informação, que visam assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação, tem relevância para atingir o fim proposto (Art. 4º, I).

Outro importante objetivo está relacionado ao fomento das atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionada à segurança da informação, sem as quais não reduziremos a nossa dependência a tecnologias estrangeiras. Espera-se, portanto, que seja aberta uma janela de oportunidades para pesquisadores, profissionais de organizações públicas e privadas, do meio acadêmico, bem como para outros interessados nessas atividades (Art. 4º, II).

Aprimorar continuamente o arcabouço legal e normativo relacionado à segurança da informação também faz parte do objetivo da PNSI. Num mundo cada vez mais digital, os legisladores da maioria dos países estão conscientes da necessidade de leis específicas para proteger a informação, vista não apenas como um bem de valor econômico, mas como um bem jurídico (Art. 4º, III).

Segurança da informação, costumamos dizer, tem muito mais a ver com capacitação de pessoas do que tecnologias. Resultados só podem ser alcançados com a formação e qualificação de recursos humanos (Art. 4º, IV).

Lembrando que um dos princípios da Política é o da educação como alicerce fundamental para o fomento da cultura em segurança da informação. Princípio este em sintonia com o objetivo que visa fortalecer a cultura de segurança da informação na sociedade (Art. 4º, V).

Dentre os objetivos da norma, conforme o artigo 4º, VI, está o de orientar as ações relacionadas à (a) segurança dos dados custodiados por entidades públicas e (b) segurança da informação das estruturas críticas, bem como sobre (c) proteção das informações das pessoas físicas e (d) tratamento das informações com restrição de acesso.

Por fim, tendo em vista o incomensurável acervo de informações históricas armazenadas nos mais variados formatos (textual, iconográfico, audiovisual, digital etc), a Política elencou a preservação da memória cultural brasileira como um dos seus objetivos.

Instrumentos da PNSI

Para alcançar os seus objetivos, a PNSI contará com dois importantes instrumentos: a Estratégia Nacional de Segurança da Informação e os planos nacionais.

A ENSI abrangerá as ações estratégicas e os objetivos relacionados à segurança da informação, devendo estar em harmonia com as políticas públicas e os programas do Governo federal.

Consoante a importância que o texto deu à cooperação e integração entre os diversos atores, a ENSI será construída com a ampla participação da sociedade e dos órgãos e das entidades do Poder Público.

Ela será dividida em cinco módulos, já definidos pelo decreto, mas outros poderão ser criados quando for publicada. São eles:

Em relação aos dois primeiros módulos, cabe fazer alguns apontamentos: por mais que existam divergências doutrinárias em relação ao uso do termo cibernético, sendo visto como inapropriado por alguns autores, no momento, isso não nos interessa. Importa fazer distinções entre o conceito de segurança cibernética e defesa cibernética. Para tanto, faremos uso das definições propostas pela publicação Desafios Estratégicos para a Segurança da Defesa Cibernética, elaborado pela Secretaria de Assuntos Estratégicos.

Segurança Cibernética – Refere à proteção e garantia de utilização de ativos de informação estratégicos, principalmente os ligados às infraestruturas críticas da informação (redes de comunicações e de computadores e seus sistemas informatizados) que controlam as infraestruturas críticas nacionais. Também abrange a interação com órgãos públicos e privados envolvidos no funcionamento das infraestruturas críticas nacionais, especialmente os órgãos da Administração Pública Federal (APF).

Defesa Cibernética – Conjunto de ações defensivas, exploratórias e ofensivas, no contexto de um planejamento militar, realizadas no espaço cibernético, com as finalidades de proteger os nossos sistemas de informação, obter dados para a produção de conhecimento de inteligência e causar prejuízos aos sistemas de informação do oponente. No contexto do preparo e emprego operacional, tais ações caracterizam a Guerra Cibernética.

O módulo sobre segurança das infraestruturas críticas tratará sobre a proteção das infraestruturas essenciais para o normal funcionamento da sociedade, como o sistema de tratamento e abastecimento de água, produção e distribuição de energia elétrica, gás e combustíveis, telecomunicações, transporte coletivo, tráfego aéreo etc. Tais serviços dependem cada vez mais de sistemas informatizados e conectados em rede para sua gerência e controle. Caso sejam interrompidos causarão danos de ordem social, econômica, política e colocarão em risco a segurança do Estado.

Diariamente, uma quantidade descomunal de informações sigilosas e dados sensíveis são tratados pelo governo. Os riscos de vazamentos de dados são reais e continuarão persistindo. Os dois últimos módulos da Estratégia cuidarão desses problemas.

Vale lembrar que deve haver articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação, uma vez que se trata de um princípio da PNSI (Art. 3º, X).

Em relação aos planos nacionais, que eles conterão:

Os planos nacionais serão divididos em temas e designados a um órgão responsável, conforme estabelecido na Estratégia Nacional de Segurança da Informação.

Será da competência do Gabinete de Segurança Institucional da Presidência da República, com assessoramento do Comitê Gestor da Segurança da Informação, apoiar a elaboração dos planos nacionais vinculados à Estratégia.

Ao Ministério da Defesa caberá apoiar o GSI-PR nas atividades relacionadas à segurança cibernética, bem como elaborar as diretrizes, os dispositivos e os procedimentos de defesa que atuem nos sistemas relacionados à defesa nacional contra ataques cibernéticos.

Comitê Gestor da Segurança da Informação (CGSI)

O Comitê Gestor da Segurança da Informação instituído pelo Decreto 9637/18 tem a atribuição de assessorar o GSI-PR nas atividades relacionadas à segurança da informação.

Será composto por um representante titular e respectivo suplente indicados por ministérios, secretarias, Advocacia-Geral da União, Banco do Brasil, dentre outros órgãos. A participação dos seus membros será considerada prestação de serviço publico relevante, não remunerada. Representantes do setor público ou privado e especialistas com notório saber poderão ser chamados para participar dos grupos de trabalhos ou câmaras técnicas instituídas para tratar de temas específicos relacionados à segurança da informação.

Gabinete de Segurança Institucional da Presidência da República (GSI-PR)

O GSI-PR é um órgão que faz parte da Presidência da República. É responsável pela assistência direta e imediata ao presidente da República no assessoramento pessoal em assuntos estratégicos que afetam a segurança da sociedade e do Estado.

Nos temas relacionados à segurança da informação, o GSI-PR será assessorado pelo Comitê Gestor da Segurança da Informação (CGSI).

As competências do GSI-PR nesses temas, que têm alto teor estratégico, estão elencadas em nove incisos. São eles:

Como observado, o GSI-PR tem um importante papel no desenvolvimento do arcabouço conceitual e normativo que sustentarão as ações de segurança da informação no âmbito da administração pública federal, bem como permitirão a execução da Política.

As normas editadas pelo GSI-PR servirão de base aos órgãos e às entidades da administração pública federal elaborarem suas políticas e as normas internas de segurança da informação (Art. 15, II). Espera-se haver um impulsionamento no nível de maturidade dos órgãos e entidades da administração pública, uma vez que terão responsabilidades.

Algumas conclusões

Decreto 9.637/18, essencialmente, institui a PNSI e dispõe sobre a governança da segurança da informação no âmbito da administração pública federal. A segurança da informação tem lugar estratégico nos assuntos de Estado, sendo essencial para manter e preservar as infraestruturas críticas do Brasil, bem como proteger informações sigilosas que, se vazassem, poderiam colocar em risco a defesa e soberania nacionais, prejudicar a condução de negociações com outros países ou colocar em risco a vida, segurança e a saúde da população, além da privacidade de indivíduos.

A efetivação da nova Política será um grande desafio. Alguns obstáculos poderão dificultar a sua concretização, como os de natureza cultural. A sociedade brasileira e os seus governantes, de maneira geral, ainda não estão conscientes em relação aos problemas de segurança da informação. Seja como for, o texto deixou claro o seu compromisso com ações que possibilitem disseminar a cultura da segurança da informação.

Restrições orçamentárias ou não priorização da área na alocação de recursos financeiros também são obstáculos a serem enfrentados. Em alguma medida, essas barreiras têm relação com a questão cultural.

Garantir a segurança da informação é um dos maiores desafios do nosso tempo. Não somente os direitos humanos e fundamentais dos indivíduos estão em risco. A paz entre os Estados, diante dos inúmeros casos de espionagem, terrorismo e sabotagem muitas vezes patrocinados por outros Estados-nação, também corre perigo.

politica-nacional-secinfo-dl9637

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.