Palestra Aspectos legais no uso da tecnologia
Resenha: Palestra Aspectos legais no uso da tecnologia. Pesquise 862.000+ trabalhos acadêmicosPor: edps83 • 13/5/2013 • Resenha • 2.823 Palavras (12 Páginas) • 758 Visualizações
Resumo Palestra Aspectos legais no uso da tecnologia
O objetivo dessa palestra foi conhecer os impactos de leis, a pauta legislativa para a indústria de software brasileira e o fortalecimento do setor de TI.
No mundo moderno, o bem mais valioso é a informação. As empresas estão preocupadas com o chamado “capital intelectual”. Tudo o que se quer evitar é a ocorrência do dano, aqui entendido como qualquer evento que atinja a propriedade imaterial da empresa, causando-lhe prejuízos.
Muitas vezes tais lesões são irreparáveis, vez que se está diante de um patrimônio que não comporta a simples devolução da coisa móvel. Diante de tal complicação, questiona-se a qual tutela legal as empresas podem recorrer para se protegerem da melhor forma possível. E mais, quais os procedimentos jurídicos devem ser incorporados ao mundo corporativo visando não somente prevenir o evento danoso, mas, também, municiar a empresa de provas contra futuros processos judiciais.
É preciso adotar um Plano Estratégico da Segurança da Informação (PESI) para garantir o binômio “prevenção e reação”. O primeiro é para evitar a ocorrência de fraudes, invasões, descuido de funcionários, condutas de má-fé dos insiders, sabotagem, concorrência desleal, fraudes eletrônicas etc. O segundo, como dito, para cercar a parte lesada – no caso, a empresa que já sofreu o ataque – de todas as provas possíveis para o processo judicial. Há, ainda, um terceiro requisito, não menos importante, que, ao lado do binômio “prevenção e reação”, é essencial para a vida de uma empresa bem preparada em sede de segurança da informação, ou seja, a condição em que se encontra toda estrutura de tecnologia da informação da empresa, para, se preciso for, periciá-la. É dizer, a condição da empresa em responder a incidentes e gerar provas diante de tais incidentes, de modo a coletar as provas relacionadas corretamente, para que não sejam desconsideradas no futuro.
2. A estratégia da organização frente às normas de segurança
As questões relacionadas à segurança da informação conquistaram lugar de destaque nas estratégias corporativas em âmbito mundial. Proteger e conservar a informação das inúmeras ameaças tornou-se essencial para garantir a continuidade do negócio, minimizando riscos e maximizando o retorno sobre os investimentos.
Diversas normas regem os procedimentos relativos à segurança da informação. Entre elas, a ABNT ISO/IEC 27001, ABNT ISO/IEC 27002, e outras tais como a Basiléia II e a Sarbanes-Oxley. Porém, não podemos esquecer que o universo corporativo está alocado em um Estado de direito, onde o exercício aos direitos sociais e individuais é assegurado, como valores supremos da sociedade, por meio de vasta legislação.
A adoção e a implantação do “Código de práticas para a gestão da segurança da informação” devem estar obrigatoriamente alinhadas às leis, estatutos, regulamentações e obrigações contratuais inerentes,3 sob pena de sofrer as sanções legalmente previstas. Em que pese referidas práticas estarem restritas ao universo corporativo, em hipótese alguma se deve deixar de considerar os aspectos legais envolvidos.
3. Conformidade com requisitos legais
A primeira grande preocupação no assunto é a conformidade com a legislação pátria vigente, incluindo todas as leis trabalhistas, civis, criminais e administrativas. É preciso repelir a violação de qualquer legislação, bem como de estatutos, regulamentações e obrigações contratuais inerentes aos requisitos de segurança da informação. Anote-se, ainda, que é extremamente necessária a interligação entre o setor de auditoria e a área jurídica para terem a tranqüilidade de atuar conforme os ditames legais, sem incorrer em qualquer irregularidade.
O tipo de controle sugerido para a identificação da legislação vigente é fundamentado na verificação da documentação. A norma ABNT ISO/IEC 27002 preconiza que todos os requisitos estatutários, regulamentares e contratuais relevantes, bem como o enfoque da organização para atender tais requisitos, sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação.
4. Regulamento Interno de Segurança da Informação
A organização deve aplicar, internamente, um documento apto a render-lhe a maior segurança possível, considerando os elementos de “prevenção”, “reação” e “condição forense”. Tal documento é conhecido como “Regulamento Interno de Segurança da Informação” (RISI), que constitui um conjunto de normas e regras de segurança da informação, que visam possibilitar o compartilhamento de informações dentro da infraestrutura tecnológica da organização, por meio de seus recursos computacionais.
Por “informação” deve ser entendido todo o patrimônio que se refere à cultura da organização ou ao seu negócio, podendo elas ser de caráter comercial, técnico, financeiro, legal, recursos humanos, ou de qualquer outra natureza que tenham valor para organização e que se encontrem armazenadas em seus recursos computacionais, com tráfego dentro da sua infraestrutura tecnológica.
A eficácia do regulamento depende da vinculação de todas as pessoas que mantêm contato com a organização, como empregados, prestadores de serviços, colaboradores.4 Assim, dentro do regulamento serão inseridas cláusulas relativas aos usuários da rede; senhas e amplitude de acesso a arquivos; controle de ameaças (vírus, crackers etc.); uso e instalação de software e hardware; utilização de equipamentos (computadores, impressoras, notebooks, smartphones etc.); procedimentos de acesso à internet e ao correio eletrônico; dentre outras.
5. Termo de Uso da Segurança da Informação
O “Termo de Uso de Segurança da Informação” (TUSI) também deve ser utilizado pela organização em conjunto com o RISI. O TUSI consiste em um compromisso assumido, individualmente, de forma expressa e escrita, pelos empregados, prestadores de serviços ou colaboradores, declarando estarem subordinados ao cumprimento das atribuições e responsabilidades advindas do RISI.
O TUSI é um documento importante à medida que garante a ciência das partes e poderá ser um excelente meio de prova, já que a pessoa se compromete por escrito. Ambos os documentos (RISI e TUSI) devem ser feitos com base nas mais atualizadas e confiáveis diretrizes de segurança mundiais, em especial a NBR ISO IEC 27002 e NBR ISO IEC 27001; na reforma do Bürgerliches Gesetzbuch (BGB) envolvendo documentos eletrônicos; no Data Protection
...