Segurança por imperativo legal
É agora "doutrina consolidada" (utilizando terminologia tipicamente jurídica) que o âmbito da gestão da segurança se estende muito para além do plano técnico. O trinómio de pessoas, processos e tecnologia é hoje em dia indiscutível em qualquer processo que aborde a segurança ou a continuidade de qualquer negócio ou organização.
No entanto, numa dessas convergências que surgem de facto, os gestores de segurança (CISOs) acharam necessário passar desse triângulo consolidado, pessoas, processos e tecnologia, para um quadrado perfeito: pessoas, processos, tecnologia e... conformidade!
Medidas de segurança
Atualmente, uma grande parte das medidas de segurança que uma organização deve implementar são requisitos apoiados por algum tipo de norma legal. Portanto, de carácter obrigatório.
Em Espanha, muitos recordarão a histórica Lei Orgânica 15/1999, de 13 de dezembro, sobre a Proteção de Dados Pessoais (LOPD) e o Decreto Real 1720/2007, de 21 de dezembro, que aprovou os seus regulamentos de execução. No contexto legal que delimitaram, e para os ficheiros de dados no seu âmbito de aplicação, foi indicado um conjunto muito concreto e específico de medidas de segurança a serem implementadas e auditadas.
Durante anos, estas normas relacionadas com o tratamento de dados de carácter pessoal constituíram a totalidade da regulamentação aplicável no domínio da segurança da informação, mas nos últimos anos, e de forma silenciosa, têm-se estendido ao panorama geral atual, que, tudo aponta, continuará a crescer.
Revejamos alguns dos principais regulamentos legais que obrigam as organizações a implementar determinadas medidas de segurança:
- O Sistema Nacional de Segurança (ENS) espanhol, aprovado em 2010, subsequentemente atualizado através do RD 951/2015, e recentemente através do RD 311/2022. Esta norma visa "criar confiança na utilização de meios eletrónicos, através de medidas para garantir a segurança dos sistemas, dos dados, das comunicações e dos serviços eletrónicos". Embora o seu âmbito de aplicação pareça inicialmente limitado às administrações públicas, desde a sua primeira versão, tem sido também tacitamente aplicado a organizações privadas que prestam serviços a estas administrações públicas.
- O regulamento da UE 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril, que regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais. Conhecido como RGPD, define obrigações destinadas, entre outros princípios, a garantir a segurança desses dados. Este regulamento, diretamente aplicável, foi acompanhado em Espanha pela nova Lei Orgânica 3/2018, de 5 de dezembro, sobre a Proteção de Dados Pessoais e Garantia dos Direitos Digitais (LOPDGG), que também define critérios para a adoção de medidas de segurança.
- A Lei 8/2011, de 28 de abril, que estabelece medidas para a proteção das infraestruturas críticas, a qual, embora substancialmente orientada para a proteção de instalações, visa "regular a proteção das infraestruturas críticas contra ataques deliberados de todo o tipo (tanto físicos como cibernéticos)".
- O Real Decreto-Lei 12/2018, de 7 de setembro, sobre a segurança das redes e sistemas de informação, que transpôs a chamada Diretiva SRI para o direito espanhol. A regulamentação espanhola identifica os setores essenciais nos quais é necessário garantir a proteção das redes e dos sistemas de informação.
- O Decreto Real 43/2021, de 26 de janeiro, que desenvolve o anterior "no que respeita ao quadro estratégico e institucional para a segurança das redes e sistemas de informação, à supervisão do cumprimento das obrigações de segurança dos operadores de serviços essenciais e dos fornecedores de serviços digitais".
A lista poderia ser muito mais extensa incluindo outros regulamentos de âmbito mais limitado ou setorial: a estratégia de segurança nacional, o regulamento e-IDAS, a Lei 59/2003 de 19 de dezembro sobre assinaturas eletrónicas ou a Lei 5/2014 de 4 de Abril sobre Segurança Privada, que já inclui no seu âmbito de aplicação as empresas que prestam serviços de segurança informática, cujos requisitos poderão ser desenvolvidos num decreto real específico.
Cada organização pode (e deve) analisar e gerir os seus riscos, ou seja, mitigá-los, reduzi-los ou transferi-los
Estratégia de segurança
É de notar neste ponto que a publicação destes novos regulamentos legais introduziu, com maior ou menor grau de exigência, uma mudança substancial e extraordinariamente importante no que diz respeito à LOPD. Os textos já não incluíam um conjunto concreto, específico e discreto de medidas de segurança necessárias. Pelo contrário, a análise de risco foi substanciada como a forma de determinar a taxonomia e o alcance das medidas de segurança necessárias. Em suma, cada organização pode (e deve) analisar e gerir os seus riscos, ou seja, mitigá-los, reduzi-los ou transferi-los.
A legislação gera obrigações, estabelece mecanismos de supervisão e sanções, especialmente em setores críticos e essenciais, e a tendência indiscutível é o alargamento progressivo do conjunto de sujeitos jurídicos obrigados (ver a recente revisão da Diretiva SRI 2, que já se refere a setores importantes).
Neste cenário, como indicámos no início desta entrada, a gestão da segurança da informação nas organizações deve integrar os pilares tradicionais de pessoas, processos e tecnologia com o novo, e não o menor, pilar de conformidade.
E devemos falar de integração, não de incorporação. Os pilares tradicionais, o modelo de gestão, os processos associados à análise e tratamento dos riscos e, em suma, a estratégia, devem ser alinhados num sistema de gestão da segurança definido e implementado, e é neste mesmo sistema de gestão que devemos integrar a gestão da conformidade, que, tal como os outros, não é uma situação, mas um processo.
Esta visão abrangente da estratégia de segurança faz parte do núcleo da proposta de valor da Izertis. A partir desta abordagem, a nossa metodologia aborda o diagnóstico (onde estamos), o cenário de risco objetivo (onde devemos estar) e o plano de ação (como alcançá-lo) tendo em conta estas quatro áreas de atuação: pessoas, processos, tecnologia e conformidade.
Manter a conformidade é um novo desafio para as organizações, de carácter obrigatório devido ao seu estatuto regulamentar, e deve ser integrado no modelo estratégico de gestão da segurança, especialmente quando os objetivos desta estratégia figuram a implementação de um Sistema de Gestão de Segurança da Informação (SGSI).
Fazê-lo também reflete uma atitude de eficiência e transparência da organização para com os clientes, fornecedores, investidores, autoridades e outras partes interessadas, constrói confiança e reputação, e contribui sem dúvida para o desenvolvimento do negócio ao melhorar a competitividade da organização.