4 - Política Nacional da Segurança da Informação
O Decreto nº 3505/00 instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. O referido decreto tem como inspiração técnica as melhores práticas internacionais sobre segurança da informação, como garantia de acesso a informação, implementação de tecnologias, normas, níveis de segurança e garantias de continuidade de serviços.
O supramencionado Decreto, promulgado pelo Presidente Fernando Henrique Cardoso, trouxe também a previsão do chamado certificado de conformidade, conceituando também a segurança da informação, que passou a contar com uma definição legal:
Art. 2o Para efeitos da Política de Segurança da Informação, ficam estabelecidas as seguintes conceituações:
I - Certificado de Conformidade: garantia formal de que um produto ou serviço, devidamente identificado, está em conformidade com uma norma legal;
II - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento
Outro ponto interessante é um princípio que passa desapercebido em diversas contratações públicas, que, por vezes, optam pela contratação de ferramentas externas de TI, através do licenciamento e não cessão ou desenvolvimento de softwares por encomenda.
O art. 3º, II, do Decreto 3505/00 nos traz um princípio implícito, o de favorecimento ao uso de instrumentos de cessão e não de licenciamento e, sobretudo, preferencialmente, o de desenvolvimento da própria tecnologia da informação no âmbito do órgão interessado:
Art. 3º. São objetivos da Política da Informação:
II - eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação
III - promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação
VII - promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e;
Em termos gerais, o administrador deve preferencialmente optar pela contratação ou uso da sua própria estrutura para o desenvolvimento de ferramentas de Tecnologia da Informação à simples contratação de ferramentas, muitas vezes estrangeiras – um princípio importante que deve ser visto do ponto de vista das licitações e da segurança e garantia do controle dos meios de acesso e segurança de dados.
A capacitação e preferência pela contratação de empresas nacionais pode ser considerada também como conteúdo local da Tecnologia da Informação, em analogia a Lei do Petróleo que exige a contratação de um percentual mínimo de empresas nacionais. O conteúdo local, por assim dizer, é algo extremamente positivo do ponto de vista do desenvolvimento do mercado nacional. O intercâmbio de informações entre os órgão públicos é outra medida essencial para a eficácia das medidas trazidas pela sistemática da Política Nacional da Segurança da Informação.
4.1. Níveis de Sigilo
Com a promulgação do Decreto nº 7.845/2012, restou-se disciplinado o procedimento para credenciamento de segurança e tratamento da informação classificada, no âmbito da Administração Pública Federal criando, inclusive, o chamado Núcleo de Segurança e Credenciamento.
A referida norma trouxe pela primeira vez, num único diploma, regras suficientemente técnicas para o manuseio e classificação de documento sigilosos, aproximando-se das melhores práticas de segurança, já adotas por outras nações. Disciplinou-se também a forma pela qual as mídias físicas e virtuais deveriam ser tratadas de acordo com os níveis e postos de informação.
Logo no início o decreto menciona em seu art. 2º e incisos, sobre o sentido e alcance terminológico adotado:
Art. 2o Para os efeitos deste Decreto, considera-se:
I - algoritmo de Estado - função matemática utilizada na cifração e na decifração, desenvolvido pelo Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades do Poder Executivo federal;
II - cifração - ato de cifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de linguagem clara por outros ininteligíveis por pessoas não autorizadas a conhecê-la;
III - código de indexação - código alfanumérico que indexa documento com informação classificada em qualquer grau de sigilo;
IV - comprometimento - perda de segurança resultante do acesso não autorizado;
V - contrato sigiloso - ajuste, convênio ou termo de cooperação cujo objeto ou execução implique tratamento de informação classificada;
VI - credencial de segurança - certificado que autoriza pessoa para o tratamento de informação classificada;
VII - credenciamento de segurança - processo utilizado para habilitar órgão ou entidade pública ou privada, e para credenciar pessoa para o tratamento de informação classificada;
VIII - decifração - ato de decifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para reverter processo de cifração original;
IX - dispositivos móveis - equipamentos portáteis dotados de capacidade computacional ou dispositivos removíveis de memória para armazenamento;
X - gestor de segurança e credenciamento - responsável pela segurança da informação classificada em qualquer grau de sigilo no órgão de registro e posto de controle;
XI - marcação - aposição de marca que indica o grau de sigilo da informação classificada;
XII - medidas de segurança - medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade e disponibilidade da informação classificada em qualquer grau de sigilo;
XIII - órgão de registro nível 1 - ministério ou órgão de nível equivalente habilitado pelo Núcleo de Segurança e Credenciamento;
XIV - órgão de registro nível 2 - órgão ou entidade pública vinculada a órgão de registro nível 1 e por este habilitado;
XV - posto de controle - unidade de órgão ou entidade pública ou privada, habilitada, responsável pelo armazenamento de informação classificada em qualquer grau de sigilo;
XVI - quebra de segurança - ação ou omissão que implica comprometimento ou risco de comprometimento de informação classificada em qualquer grau de sigilo;
XVII - recurso criptográfico - sistema, programa, processo, equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração; e
XVIII - tratamento da informação classificada - conjunto de ações referentes a produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação classificada em qualquer grau de sigilo.
O ponto crítico para o tratamento de informações classificadas encontra-se nos órgãos de registro nível 2, que são os órgãos públicos em si. Trata-se de um ponto crítico em razão da dimensão limitada de atuação de tais órgãos e da própria cultura vigente, em que se despreza, por vezes, a relevância do sigilo.
Eventuais pessoas, funcionários da própria Administração Pública Federal de órgãos de registro nível 2 devem assinar o chamado Termo de Compromisso de Manutenção de Sigilo - TCMS, constante no Anexo I do Decreto 7845/2012:
Art. 18. O acesso, a divulgação e o tratamento de informação classificada ficarão restritos a pessoas com necessidade de conhecê-la e que sejam credenciadas na forma deste Decreto, sem prejuízo das atribuições dos agentes públicos autorizados na legislação.
Parágrafo único. O acesso à informação classificada em qualquer grau de sigilo a pessoa não credenciada ou não autorizada por legislação poderá, excepcionalmente, ser permitido mediante assinatura de Termo de Compromisso de Manutenção de Sigilo - TCMS, constante do Anexo I, pelo qual a pessoa se obrigará a manter o sigilo da informação, sob pena de responsabilidade penal, civil e administrativa, na forma da lei.
Os documentos sigilosos deverão ser manuseados com especial metodologia, a fim de preservar as informações nele contidas, como disciplina o referido decreto:
Art. 23. A marcação será feita nos cabeçalhos e rodapés das páginas que contiverem informação classificada e nas capas do documento.
§ 1º As páginas serão numeradas seguidamente, devendo cada uma conter indicação do total de páginas que compõe o documento.
§ 2º A marcação deverá ser feita de modo a não prejudicar a compreensão da informação.
E continua o Decreto 7.845/2012 estabelecendo um protocolo para a guarda e manuseio de documentos físicos classificados:
Art. 26. A expedição e a tramitação de documentos classificados deverão observar os seguintes procedimentos:
I - serão acondicionados em envelopes duplos;
II - no envelope externo não constará indicação do grau de sigilo ou do teor do documento;
III - no envelope interno constarão o destinatário e o grau de sigilo do documento, de modo a serem identificados logo que removido o envelope externo;
IV - o envelope interno será fechado, lacrado e expedido mediante recibo, que indicará remetente, destinatário e número ou outro indicativo que identifique o documento; e
V - será inscrita a palavra “PESSOAL” no envelope que contiver documento de interesse exclusivo do destinatário.
Como mencionamos, há uma hierarquia de documentos classificados de acordo com a sua relevância e confidencialidade demandada pelo conteúdo que nele se encerra. A condução de informações classificadas como ultrassecretas devem ser feitas pessoalmente, através de agentes do governo autorizados, contendo, em reforço, chaves criptográficas de uso restrito do governo:
Art. 27. A expedição, a condução e a entrega de documento com informação classificada em grau de sigilo ultrassecreto serão efetuadas pessoalmente, por agente público autorizado, ou transmitidas por meio eletrônico, desde que sejam usados recursos de criptografia compatíveis com o grau de classificação da informação, vedada sua postagem.
Nenhum sigilo sobre informações públicas pode ser eterno, a memória do povo depende do acesso as informações relevantes sobre a sua história. Seguido essa lógica a Lei 12527/2011 estipula, por via oblíqua ao decreto, os limites temporais para a manutenção do sigilo:
Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada.
§ 1o Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes:
I - ultrassecreta: 25 (vinte e cinco) anos;
II - secreta: 15 (quinze) anos; e
III - reservada: 5 (cinco) anos.
Como visto neste capítulo, a Administração Pública já conta com importantes ferramentas para assegurar a integridade e confidencialidade de informações estratégicas, de relevante interesse nacional. Por esta razão, não haveria qualquer motivo ou justificativa para não conferir o mesmo tratamento as informações confidenciais de documentos particulares, no qual constam dados comerciais. O país deve ser sensível a demanda de uma economia cada vez mais globalizada, na qual grandes corporações dependem da manutenção do ativo de seus ativos intangíveis amparados por trade secrets, como estratégias comerciais, informações sobre P&D (Pesquisa e Desenvolvimento), precificação de intangíveis, dentre outras.
Como mencionado no capítulo anterior, tanto o Estado quanto o meio corporativo sempre buscaram adotar mecanismos de proteção as suas informações confidenciais. Contudo, por uma questão de mercado, o meio corporativo evoluiu a passos largos em termos de segurança da informação em relação ao Estado. Anos a fio de pesquisa e investimento geraram e ainda geram um ambiente propício para o desenvolvimento de novas tecnologias de segurança da informação - grandes empresas se ergueram e se mantem no mercado graças a estratégias inovadoras, protegidas até a sua descoberta por meio do sigilo.
Por mais que a Administração Pública, por vezes, se mostre insensível com relação ao sigilo de dados confidenciais de particulares, sobretudo, do ponto de vista comercial, a mesma perde e muito com isso, pois diminuiu o seu grau de respeitabilidade perante toda comunidade. Contratos administrativos devem ser autuados com informações sigilosas dos concorrentes e das empresas em separado, como ocorre na prática com os procedimentos administrativos junto ao CADE (Conselho Administrativo de Defesa Econômica), como preceitua o seu Regimento Interno:
Art. 52. No interesse das investigações e instrução processual, o CADE assegurará, no procedimento preparatório e no inquérito administrativo para apuração de infrações à ordem econômica e no processo administrativo para imposição de sanções administrativas por infrações à ordem econômica, no âmbito de aplicação da Lei nº 12.529, de 2011, tratamento sigiloso de autos, documentos, objetos ou informações e atos processuais, dentro do estritamente necessário à elucidação do fato e em cumprimento ao interesse social.
Outro ponto a ser ressaltado é a vedação da prática da concorrência desleal, trazida pela Lei nº. 9.279/98 (Lei da Propriedade Industrial - “LPI”), que pode ser facilitada pela própria Administração Pública na eventualidade do vazamento de informações comerciais confidenciais.
“Art. 195. Comete crime de concorrência desleal quem:
XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;
XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude;”
A “nova” Lei de Falências (Lei nº 11.101/05) prevê o crime de violação de sigilo empresarial, tamanha é a importância atribuída ao sigilo comercial:
Art. 169. Violar, explorar ou divulgar, sem justa causa, sigilo empresarial ou dados confidenciais sobre operações ou serviços, contribuindo para a condução do devedor a estado de inviabilidade econômica ou financeira:
Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.
Exige-se do Administrador Público a mesma perspicácia no emprego da confidencialidade na esfera dos documentos públicos aos particulares, por pura aplicação do Princípio da Isonomia. Não pode haver dois pesos e duas medidas, a relevância da informação confidencial deve encontrar o mesmo grau de respeitabilidade em todas as esferas, públicas e privadas.
