O SPED – Sistema Público de Escrituração Digital foi criado em 2007 e
desde o seu início tem crescido o seu escopo e já é obrigação para uma grande
quantidade de empresas no Brasil. Entendo que a utilização do Ambiente Digital
será crescente no Estado Eletrônico presente em todos os países e em pouco
tempo cobrirá todas as situações das empresas e das pessoas.
Neste artigo apresento a necessidade das organizações, que são
obrigadas a utilizar o SPED, em desenvolver, implantar ou aprimorar o seu
Processo Organizacional de Segurança da Informação.
A legislação do SPED explicita fortemente a maneira e os controles
como as informações devem ser transmitidas para a Secretaria da Receita
Federal. A partir do momento que a informação é transmitida para o Estado
Eletrônico, ela tem garantida a sua integridade (não está errada no que diz
respeito às regras de construção da informação) e a sua autenticidade (foi
transmitida pela empresa em questão). Também a legislação do SPED especifica
como o empresário ou seus representantes poderão acessar com segurança
(confidencialidade) as informações armazenadas no Estado Eletrônico. Está tudo
bem definido, inclusive a explicitação da competência da Secretaria de Receita
Federal para estabelecer a Política de Segurança e de Acesso à Informação
armazenada no Ambiente SPED. (Artigo 60. Decreto 7970 de 8 de Abril 2013 que
alterou a Lei 6022 de 22 de janeiro de 2007).
Porém estas orientações dizem respeito às informações que saem da
empresa e vão para o Ambiente SPED. Mas para que isto aconteça adequadamente, o
que é necessário que as empresas implementem para cumprir estas obrigações? A
legislação do SPED não especifica este detalhe. Alguma legislação mais recente,
considerando o Ambiente Digital citam as responsabilidades ou os controles que
obrigatoriamente devem ser seguidos internamente pelas organizações.
Por exemplo, a Lei 12.737/2012 que tipifica Crimes Eletrônicos declara
que “É crime invadir dispositivo informático alheio mediante violação indevida
de mecanismo de segurança.” O que seria mecanismos de segurança? Para um
telefone celular: uma senha. Para uma empresa, independentemente do seu porte,
seria um Processo Organizacional de Segurança da Informação. Isto é, um
conjunto de ações estruturadas e com responsabilidades definidas, formalizadas
e conhecidas para garantir o uso protegido da informação.
Outro exemplo, o Decreto No. 7829/2013 que complementa a Lei
12.413/2013 referente ao Cadastro Positivo exige que das empresas que vão
prestar este serviço a obrigatoriedade de seguir as melhores práticas de
segurança da informação. Simplificando, esta legislação diz: empresas, tenham
um processo de segurança da informação! Um dos conjuntos de melhores práticas
aceito internacionalmente é a Norma NBR ISO/IEC 27002:2005 – – Código de
prática para a gestão da segurança da informação. É uma norma ISO, publicada em
vários países e também publicada em português no Brasil pela ABNT.
A recente legislação do Comércio Eletrônico (Decreto 7.963/2013)
destaca a necessidade de garantia da segurança da informação. Neste caso a
legislação dá ênfase a guarda dos dados pessoais. Mas podemos extrapolar muito
bem: o SPED é um ambiente de comércio eletrônico entre o Estado e as empresas.
Apenas não existe compras, mas prestação de contas.
Mas, vamos retomar às necessidades das organizações que precisam executar
o SPED.
Primeiramente devemos nos lembrar que com o SPED a informação
registrada na mídia papel deixa de existir e fica valendo a informação
registrada na mídia digital. Muda-se do Ambiente Físico para o Ambiente
Digital. Muda-se do átomo para o bit/byte. E no Ambiente Digital os controles
sobre a informação são implementados de maneira diferente. Não podemos guardar
a informação na gaveta. Não podemos assinar e mandar o mensageiro entregar a
documentação. Agora o executivo da organização assina digitalmente e transmite
instantaneamente. E o armazenamento fica em discos que teoricamente podem ser
mais indevidamente acessados do que um armário trancado com chave em uma sala
também protegida de acesso físico. Além do que, no Ambiente Digital o roubo da
informação pode acontecer e a informação roubada continua onde estava.
Porém, apesar de estarmos no Ambiente Digital, as empresa e seus
executivos continuam com responsabilidades, como “manter sob sua guarda e
responsabilidade os livros e documentos na forma e prazos previstos na
legislação aplicável”, Artigo 6º do Decreto 7979/2013. E este armazenamento de
informação será do Ambiente Digital da empresa. O fator disponibilidade é
exigido pela legislação em função dos prazos que as empresas têm que cumprir.
Não cumpriu, a empresa será penalizada e entendo que não dá para se desculpar
indicando que o computador quebrou. Quando do fornecimento de uma informação
incorreta também haverá penalidades para a empresa. E neste caso entendo que
não se pode se desculpar indicando que alguém (por erro ou por má fé) acessou o
sistema com a identificação e senha do chefe, porque o mesmo deixava
identificação-senha anotada em um papel destro da caixinha de clips. Ou,
simplesmente porque o próprio chefe passou a sua identificação e senha para o
funcionário. Em resumo, a empresa precisa tomar atitudes profissionais para a
proteção da informação.
O executivo-gestor da empresa precisa seguir a orientação do Código
Civil que no seu Artigo 1011 declara: “O Gestor Organizacional, o Executivo
deve exercer suas funções com cuidado e diligência que todo homem ativo e probo
costuma empregar na administração de seus próprios negócios”. O Gestor
Organizacional é responsável por implantar ou aprimorar o processo
Organizacional de Segurança da Informação, baseada na Norma ISO/IEC 27002.
Para facilitar, no meu Livro Praticando a Segurança da Informação,
Editora Brasport, eu aglutino os 133 controles definidos da Norma ISO/IEC
27002, em um conjunto de Dimensões de Segurança. A efetividade da proteção da
informação na sua empresa valerá na medida em que a sua organização tratar em
conjunto todas estas dimensões. E lhe tranquilizo, estes conceitos valem para
qualquer porte de organização. A implementação dos controles que se referem a
cada dimensão é que será diferente.
Explicito abaixo os objetivos das principais Dimensões da Segurança da
Informação:
a. Políticas e normas
=> Define as regras da organização para o uso da sua informação.
Sem a existência de políticas e normas o processo de segurança da informação
não existirá de maneira efetiva.
b. Acesso à informação
=> Implementa as regras de como o acesso à informação será
autorizado, registrado e como o usuário será identificado e autenticado.
c. Planos de continuidade de negócio
=> Garante procedimentos alternativos para situações de desastres
que impeçam o acesso normal à informação, garantindo que mesmo nestas situações
a organização cumprirá seus compromissos legais e funcionará em um padrão
mínimo mas atendendo ao negócio.
d. Treinamento e conscientização de usuários.
=> Treina os usuários para o entendimento das políticas e normas
possibilitando que exista um padrão de comportamento que garantirá uma proteção
adequada da informação.
e. Cópias de Segurança
=> Garante a existência de cópias alternativas de informações, para
as situações em que as informações do Ambiente Digital e/ou Ambiente Físico
forem perdidas ou em situação de recuperação de cópias históricas.
f. Desenvolvimento e aquisição de sistemas.
=> Estabelece cuidados e regras quando do desenvolvimento ou
aquisição de sistemas aplicativos.
g. Classificação da informação
=> Identifica o padrão de sigilo de uma informação ou grupo de
informação. Somente com esta classificação ações em relação à proteção desta
informação pode ser feita. Exemplo: as informações confidenciais devem ser
destruídas após o seu uso em papel. Mas, se não classificarmos a informação
como confidencial, não será possível fazer este descarte de maneira adequada.
f. Ambiente físico e infraestrutura
=> Implementa controles para que os recursos físicos que suportam a
informação no Ambiente Digital e/ou no Ambiente Físico estejam protegidos
adequadamente.
h. Tratamento de incidente e combate à fraude
=> Implementa controles para garantir um efetivo tratamento de
incidente e de gestão de combate a fraudes.
i. Gestão de riscos em segurança da informação.
=> Implementa a atividade contínua de gestão de riscos para os
recursos de informação no ambiente digital, seguindo a Norma NBR/ISO 27005:2008
– Tecnologia da informação – Técnicas de segurança – Gestão de riscos em
segurança da informação.
O primeiro passo para uma organização implantar ou aprimorar o seu
Processo Organizacional de Segurança da Informação é identificar como ela está
na gestão da proteção da informação.
Você sabe como está a maturidade em segurança da informação?
Uma avaliação deve ser feita para em seguida ser elaborado o Plano de
Ações em Segurança da Informação com destaque para o Ambiente SPED.
Não ter uma segurança da informação estruturada é tratar o assunto
SPED de maneira amadora e confiar exclusivamente na sorte. As obrigações legais
que o SPED define para a empresa e para os seus gestores exigem uma abordagem
profissional para o uso da informação. Exigem um Processo Organizacional de
Segurança da Informação.
Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de Risco, Continuidade de
Negócio.
Fonte: taniagurgel.com.br
Nenhum comentário:
Postar um comentário