O SPED – Sistema Público de Escrituração Digital foi criado em 2007 e desde o seu início tem crescido o seu escopo e já é obrigação para uma grande quantidade de empresas no Brasil. Entendo que a utilização do Ambiente Digital será crescente no Estado Eletrônico presente em todos os países e em pouco tempo cobrirá todas as situações das empresas e das pessoas.
Neste artigo apresento a necessidade das organizações, que são obrigadas a utilizar o SPED, em desenvolver, implantar ou aprimorar o seu Processo Organizacional de Segurança da Informação.
A legislação do SPED explicita fortemente a maneira e os controles como as informações devem ser transmitidas para a Secretaria da Receita Federal. A partir do momento que a informação é transmitida para o Estado Eletrônico, ela tem garantida a sua integridade (não está errada no que diz respeito às regras de construção da informação) e a sua autenticidade (foi transmitida pela empresa em questão). Também a legislação do SPED especifica como o empresário ou seus representantes poderão acessar com segurança (confidencialidade) as informações armazenadas no Estado Eletrônico. Está tudo bem definido, inclusive a explicitação da competência da Secretaria de Receita Federal para estabelecer a Política de Segurança e de Acesso à Informação armazenada no Ambiente SPED. (Artigo 60. Decreto 7970 de 8 de Abril 2013 que alterou a Lei 6022 de 22 de janeiro de 2007).
Porém estas orientações dizem respeito às informações que saem da empresa e vão para o Ambiente SPED. Mas para que isto aconteça adequadamente, o que é necessário que as empresas implementem para cumprir estas obrigações? A legislação do SPED não especifica este detalhe. Alguma legislação mais recente, considerando o Ambiente Digital citam as responsabilidades ou os controles que obrigatoriamente devem ser seguidos internamente pelas organizações.
Por exemplo, a Lei 12.737/2012 que tipifica Crimes Eletrônicos declara que “É crime invadir dispositivo informático alheio mediante violação indevida de mecanismo de segurança.” O que seria mecanismos de segurança? Para um telefone celular: uma senha. Para uma empresa, independentemente do seu porte, seria um Processo Organizacional de Segurança da Informação. Isto é, um conjunto de ações estruturadas e com responsabilidades definidas, formalizadas e conhecidas para garantir o uso protegido da informação.
Outro exemplo, o Decreto No. 7829/2013 que complementa a Lei 12.413/2013 referente ao Cadastro Positivo exige que das empresas que vão prestar este serviço a obrigatoriedade de seguir as melhores práticas de segurança da informação. Simplificando, esta legislação diz: empresas, tenham um processo de segurança da informação! Um dos conjuntos de melhores práticas aceito internacionalmente é a Norma NBR ISO/IEC 27002:2005 – – Código de prática para a gestão da segurança da informação. É uma norma ISO, publicada em vários países e também publicada em português no Brasil pela ABNT.
A recente legislação do Comércio Eletrônico (Decreto 7.963/2013) destaca a necessidade de garantia da segurança da informação. Neste caso a legislação dá ênfase a guarda dos dados pessoais. Mas podemos extrapolar muito bem: o SPED é um ambiente de comércio eletrônico entre o Estado e as empresas. Apenas não existe compras, mas prestação de contas.
Mas, vamos retomar às necessidades das organizações que precisam executar o SPED.
Primeiramente devemos nos lembrar que com o SPED a informação registrada na mídia papel deixa de existir e fica valendo a informação registrada na mídia digital. Muda-se do Ambiente Físico para o Ambiente Digital. Muda-se do átomo para o bit/byte. E no Ambiente Digital os controles sobre a informação são implementados de maneira diferente. Não podemos guardar a informação na gaveta. Não podemos assinar e mandar o mensageiro entregar a documentação. Agora o executivo da organização assina digitalmente e transmite instantaneamente. E o armazenamento fica em discos que teoricamente podem ser mais indevidamente acessados do que um armário trancado com chave em uma sala também protegida de acesso físico. Além do que, no Ambiente Digital o roubo da informação pode acontecer e a informação roubada continua onde estava.
Porém, apesar de estarmos no Ambiente Digital, as empresa e seus executivos continuam com responsabilidades, como “manter sob sua guarda e responsabilidade os livros e documentos na forma e prazos previstos na legislação aplicável”, Artigo 6º do Decreto 7979/2013. E este armazenamento de informação será do Ambiente Digital da empresa. O fator disponibilidade é exigido pela legislação em função dos prazos que as empresas têm que cumprir. Não cumpriu, a empresa será penalizada e entendo que não dá para se desculpar indicando que o computador quebrou. Quando do fornecimento de uma informação incorreta também haverá penalidades para a empresa. E neste caso entendo que não se pode se desculpar indicando que alguém (por erro ou por má fé) acessou o sistema com a identificação e senha do chefe, porque o mesmo deixava identificação-senha anotada em um papel destro da caixinha de clips. Ou, simplesmente porque o próprio chefe passou a sua identificação e senha para o funcionário. Em resumo, a empresa precisa tomar atitudes profissionais para a proteção da informação.
O executivo-gestor da empresa precisa seguir a orientação do Código Civil que no seu Artigo 1011 declara: “O Gestor Organizacional, o Executivo deve exercer suas funções com cuidado e diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios”. O Gestor Organizacional é responsável por implantar ou aprimorar o processo Organizacional de Segurança da Informação, baseada na Norma ISO/IEC 27002.
Para facilitar, no meu Livro Praticando a Segurança da Informação, Editora Brasport, eu aglutino os 133 controles definidos da Norma ISO/IEC 27002, em um conjunto de Dimensões de Segurança. A efetividade da proteção da informação na sua empresa valerá na medida em que a sua organização tratar em conjunto todas estas dimensões. E lhe tranquilizo, estes conceitos valem para qualquer porte de organização. A implementação dos controles que se referem a cada dimensão é que será diferente.
Explicito abaixo os objetivos das principais Dimensões da Segurança da Informação:
a. Políticas e normas
=> Define as regras da organização para o uso da sua informação. Sem a existência de políticas e normas o processo de segurança da informação não existirá de maneira efetiva.
b. Acesso à informação
=> Implementa as regras de como o acesso à informação será autorizado, registrado e como o usuário será identificado e autenticado.
c. Planos de continuidade de negócio
=> Garante procedimentos alternativos para situações de desastres que impeçam o acesso normal à informação, garantindo que mesmo nestas situações a organização cumprirá seus compromissos legais e funcionará em um padrão mínimo mas atendendo ao negócio.
d. Treinamento e conscientização de usuários.
=> Treina os usuários para o entendimento das políticas e normas possibilitando que exista um padrão de comportamento que garantirá uma proteção adequada da informação.
e. Cópias de Segurança
=> Garante a existência de cópias alternativas de informações, para as situações em que as informações do Ambiente Digital e/ou Ambiente Físico forem perdidas ou em situação de recuperação de cópias históricas.
f. Desenvolvimento e aquisição de sistemas.
=> Estabelece cuidados e regras quando do desenvolvimento ou aquisição de sistemas aplicativos.
g. Classificação da informação
=> Identifica o padrão de sigilo de uma informação ou grupo de informação. Somente com esta classificação ações em relação à proteção desta informação pode ser feita. Exemplo: as informações confidenciais devem ser destruídas após o seu uso em papel. Mas, se não classificarmos a informação como confidencial, não será possível fazer este descarte de maneira adequada.
f. Ambiente físico e infraestrutura
=> Implementa controles para que os recursos físicos que suportam a informação no Ambiente Digital e/ou no Ambiente Físico estejam protegidos adequadamente.
h. Tratamento de incidente e combate à fraude
=> Implementa controles para garantir um efetivo tratamento de incidente e de gestão de combate a fraudes.
i. Gestão de riscos em segurança da informação.
=> Implementa a atividade contínua de gestão de riscos para os recursos de informação no ambiente digital, seguindo a Norma NBR/ISO 27005:2008 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos em segurança da informação.
O primeiro passo para uma organização implantar ou aprimorar o seu Processo Organizacional de Segurança da Informação é identificar como ela está na gestão da proteção da informação.
Você sabe como está a maturidade em segurança da informação?
Uma avaliação deve ser feita para em seguida ser elaborado o Plano de Ações em Segurança da Informação com destaque para o Ambiente SPED.
Não ter uma segurança da informação estruturada é tratar o assunto SPED de maneira amadora e confiar exclusivamente na sorte. As obrigações legais que o SPED define para a empresa e para os seus gestores exigem uma abordagem profissional para o uso da informação. Exigem um Processo Organizacional de Segurança da Informação.
Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.
edison@pobox.com