Atributos de Segurança da Informação

Uma das raízes do problema, envolvendo a segurança da informação aplicada à Internet, consiste no fato de que a arquitetura da Internet não foi construída pensando-se em segurança140_{. O foco básico da Internet era, à época de} sua criação, a manutenção da sua disponibilidade em caso de ataques militares. À época, os atributos de confidencialidade, autenticidade e integridade não foram devidamente observados, valorizando-se mais as questões de disponibilidade.141

Mesmo assim, é possível afirmar que, em relação à segurança da informação, há certos atributos que são protegidos: a confidencialidade, a

139 Acerca da tutela penal, ressalte-se que o crime de Invasão de Dispositivo Informático, do art. 154-A do CP atualizado pela lei 12.737/2012, possui duas situações de aumento de pena, respectivamente, nos casos de obtenção e divulgação de informações sigilosas, nos parágrafos 3º e 4º,

140 KURBALIJA, Jovan. An Introduction to Internet Governance. Genebra: DiploFoundation, 2008, p. 55.

141 Como se verá adiante, os atributos de segurança da informação envolvem a autenticidade, integridade, confidencialidade e disponibilidade.

integridade/autenticidade142 _{e a disponibilidade. Eles podem ser conceituados da} seguinte forma:

“Confidencialidade: garantia de que o acesso à informação é restrito

aos seus usuários legítimos.

Integridade: garantia da criação legítima e da consistência ao longo de seu ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não autorizada de dados e informações. O objetivo de autenticidade da informação é englobado pelo de integridade, quando se assume que este visa a garantir não só que as informações permaneçam completas e previsas, mas também que a informação capturada do seu ambiente externo tenha sua fidedignidade143 _{verificada e que a criada internamente seja} produzida apenas por pessoas autorizadas e atribuída unicamente ao seu autor legítimo.

Disponibilidade: garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna.” 144

Patrícia Peck Pinheiro trata, de forma sumária, os atributos de segurança:

“Quanto aos seus objetivos, a Segurança da Informação visa a três pontos: a) confidencialidade - a informação só deve ser acessada por quem de direito; b) integridade - evitar que os dados sejam apagados ou alterados sem a devida autorização do proprietário; e c) disponibilidade - as informações devem sempre estar disponíveis para acesso. [...] A autenticidade é a capacidade de identificar e reconhecer formalmente a identidade dos elementos de uma comunicação eletrônica ou de comércio.”145

142 Quanto ao atributo da integridade-autenticidade a maior parte dos autores coloca-os como sendo apenas um atributo por entenderem que a autenticidade é englobada pela integridade.

143 Talvez aqui o termo correto deva ser “autoria”.

144 BEAL, Adriana. Segurança da Informação. São Paulo: Ed. Atlas. 2005, p.1 145 PINHEIRO, Patrícia Peck. Direito Digital. São Paulo: Saraiva, 2007, p. 133

A importância de estudo dos atributos de segurança da informação ocorre à medida que, quando há situações de dano à informações em meio digital, haverá, por sua vez, a violação de algum dos atributos. Se, por exemplo, dados pessoais em meio digital forem acessados de forma não autorizada, houve a violação da confidencialidade da informação. Se um dado foi apagado de forma não autorizada, houve a violação da disponibilidade e da integridade da informação. Por sua vez, se houve a alteração indevida de dados protegidos, houve a violação da integridade (ou da autenticidade) da informação.

Em um contexto técnico, a confidencialidade – atributo que mais interessa para esse trabalho - pode ser vista também como a capacidade de um sistema de informação de evitar o acesso não autorizado às informações.146 _{Esse atributo é} necessário mas não suficiente pois a privacidade pode ser violada pela ação direta de pessoas que possuem o acesso ao recurso. Aquele que possui acesso à informação pode, por sua vez, utilizá-la de forma incorreta.

Pode-se conceituar segurança da informação como “o processo de proteger informações das ameaças para a sua integridade, disponibilidade e confidencialidade.”147 _{A segurança da informação pode ser entendida, ainda, como} dispõe a norma técnica NBR ISO/IEC 27002 :

“Segurança da informação é a proteção da informação de vários

tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e de hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados,

146 MERRIL, Charles R. Ibid, p. 10.

onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos .”148

O conceito de segurança da informação, assim retirado da norma ISO 27002, representa o aspecto interno da segurança, esse em relação aos procedimentos técnicos adotados pelas empresas. No entanto, as práticas de segurança da informação internas servem para a instrumentalização do dever geral de segurança aplicado às relações de consumo no comércio eletrônico.

Dentro dessas abordagens é preciso entender a segurança da informação conforme os seguintes aspectos: a) Dever de segurança como dever jurídico149 _b) Disciplina tecnológica, que oferece subsídios para este trabalho, principalmente no que diz respeito aos atributos de segurança que são absorvidos pelo direito, tornando-se aspectos do dever de segurança da informação e c) Segurança da informação como contra-medidas ou inteligência cibernética estatal, visando à proteção contra atividades danosas (sejam criminosas ou não).150

Outra abordagem bastante interessante e inteligente é a compreensão da segurança da informação – e seus atributos - como direito fundamental. Essa ideia pode ser encontrada nos estudos de Ahti Saarenpää e Fabiano Menke. O primeiro 148 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação - Técnicas de Segurança - Código de prática para a gestão da segurança da informação. 2. ed. Rio de Janeiro, 2005, p. 9.

149 Se há um dever geral de respeito à segurança por parte do fornecedor em relação ao consumidor, há consequentemente, um direito subjetivo à segurança. Ver MARQUES, Cláudia Lima. Contratos no Código de Defesa do Consumidor: o novo regime das relações contratuais. 6ª Ed. São Paulo: RT, 2011, p. 764. “Dever jurídico é uma ordem ou comando dirigido pelo ordenamento jurídico ao indivíduo, que ele tem de observar como um imperativo, visando orientar seu procedimento. Ao dever jurídico imposto a um indivíduo (devedor: lado passivo) corresponde um direito subjetivo assegurado a outro indivíduo ou ente (credor:lado ativo).

O estado de sujeição é o correlativo passivo dos direitos potestativos, assim como o dever jurídico o é dos direitos subjetivos propriamente ditos. A sujeição traduz-se na impossibilidade de querer com eficácia em sentido contrário ao que já foi determinado pelo ordenamento jurídico. É uma subordinação irresistível que consiste na necessidade de suportar as consequências jurídicas da atuação do outro que titula um poder potestativo, enquanto o dever jurídico consiste na necessidade subjetiva de obedecer ao comando jurídico, sob pena de sanção do ordenamento jurídico."

150 Sobre esse aspecto, no Brasil, ver MANDARINO JR., Raphael. Segurança e defesa do espaço cibernético brasileiro. Recife: Cuzbac, 2010.

autor parte do pressuposto da grande dependência das infraestruturas informáticas151 _{e da necessidade de considerar um direito fundamental à segurança} em tais “supervias”152_{. Segundo ele, “o direito à segurança da informação é um} direito que todos os cidadãos gozam quando dados relativos a eles – e não apenas dados sensíveis – são processados”153_{. Já Fabiano Menke considera a proteção de}

dados e o novo direito fundamental à garantia da confidencialidade e integridade, com base na jurisprudência alemã154

.

É certo que esses aspectos relacionam-se. Porém, o que interessa aqui é a análise do primeiro com o apoio – em alguns casos – da disciplina tecnológica, que é impossível de ser afastada. No entanto, é verdade que é mais comum ver o termo “Segurança da Informação” vinculado aos seus aspectos tecnológicos155_.

A segurança da informação também pode ser vista como o objeto principal de um contrato. Isso ocorre, por exemplo, por intermédio de um contrato em que uma empresa contrata o serviço de segurança da informação para os seus ativos informacionais; um consumidor que contrata de um provedor de acesso um serviço de firewall ou ainda em um contrato de compra de um certificado digital.

151 Observando que essa dependência também ocorre em relação aos governos que, muitas vezes, disponibilizam serviços essenciais por meio das redes informáticas. Além do mais as discussões acerca de uma ciberdemocracia só podem ocorrer considerando-se medidas de segurança da informação como um direito subjetivo.

152 SAAREPÄÄ, Ahti. Ibid, p. 8: “Information security for the new infrastructure is thus a significant issue in the realm of fundamental rights: We should have access to a secure information superhighway. Yet this is but one, albeit important, component of legal information security. We must take a look at the other aspects of information as well.”

153 Idem. Ibid, p. 9-10. O autor afirma ainda que “given that the right to privacy is a fundamental right, information security can be seen as a right safeguarding a fundamental right. Information security has changed – or at least is in the process of changing – from a technical aid to a legal value. This change is a crucial development.

154 De acordo com o belíssimo estudo de MENKE, Fabiano. A proteção de dados e o novo direito fundamental à garantia da confidencialidade e da integridade dos sistemas técnico-informacionais no direito alemão. No prelo.

155 Essa visão (de valorizar mais os aspectos tegnológicos do que jurídicos da disciplina) coloca o próprio direito em perigo, cf. SAAREMPÄÄ, Ahti. The importance of information security in safeguarding human and fundamental rights. e-Stockholm 2008 Legal Conference. p. 1-15. Disponível em: <http://www.juridicum.su.se/Iri/e08/documentation/ahti_saarenpaa- information_security_and_human_rights-paper.pdf>. Acesso em: 20 Dez. 2012, p. 5: “Where attention is trained exclusively on the changes in IT in society, law is in danger of becoming a lower-level – if still well selling – planning technique. Only a deeper-going assessment of changes in a state and society can fulfil the criteria for good science.”

A questão da segurança da informação, como dever principal de um contrato, deve ser entendida também considerando-se a possibilidade de contratar apenas alguns aspectos de segurança. É possível contratar apenas a proteção de alguns ativos informacionais deixando outros descobertos da proteção contratada.

O foco principal nesse trabalho será dado ao dever de confidencialidade, principalmente no que diz respeito à proteção de confidencialidade de dados pessoais nos bancos de dados de informações de consumidores.

Em função de defender-se aqui a ligação da proteção dos atributos ao conceito de segurança, sempre que se falar em um dever geral de segurança da informação, estar-se-á falando sobre a proteção de um, ou de todos os referidos atributos.