Direito, Tecnologia e Sociedade da Informação



2 de agosto de 2015

Resiliência: novo componente na reparação de danos e no cenário contratual

 

 

A noção de resiliência vem ocupando espaço crescente na discussão sobre segurança de sistemas de processamento e de informações eletrônicas.

 

É uma noção, aliás, bastante interessante.

 

Interessante porque a ideia de segurança que até agora reinou em ambientes digitais sempre esteve mais objetivamente associada à proteção essencialmente técnica, prevenção de ataques, evitar riscos e afastar danos, algo que, como qualquer profissional da área sabe perfeitamente, é operacionalmente inviável e absolutamente impossível. Ataques, riscos e principamente danos, em sistemas de informação, não podem ser evitados. A única alternativa plausível para lidar com estes incidentes é planejar e administrar bem o contexto em que eles ocorrem e as circunstâncias de entorno, de modo a possibilitar o gerenciamento consistente e eficiente de consequências indesejáveis.

 

É nesta perspectiva que a ideia de resiliência começa, não a substituir, mas a complementar iniciativas de segurança. As organizações começam a perceber que concentrar preocupação apenas em colocar os seus pontos digitais de presença tecnicamente a salvo de ataques é um enorme risco para seu patrimônio material, imaterial e principalmente para a continuidade de suas atividades. Começam a compreender que igualmente importante, dado o grau de interconectividade e colaboração em que as instituições hoje funcionam, é se preparar para responder bem aos incidentes.

 

Mas o que a noção de resiliência traz de mais inovador para este novo panorama de enfrentamento de incidentes eletrônicos é a consciência de que a proteção técnica, estritamente falando, não é a sua componente mais importante. As instituições e organizações têm funções, desempenham atividades, e a continuidade destas funções e atividades, mais do que a invulnerabilidade ou a blindagem técnica de seus sistemas, deve ser a preocupação primordial. Ao incorporar esta percepção, muda-se o foco da proteção do aspecto técnico para o aspecto empresarial, dos meios para os fins da organização, amplia-se a responsabilidade do pessoal da tecnologia para incluir também os executivos de estratégia e de negócio, e isso tem consequências importantes na forma como se gerenciam riscos.

 

Aplicando a ideia de resiliência, a organização compreende que os riscos não são todos iguais, que há determinadas estruturas internas que são críticas, cujo abalo compromete sensivelmente a continuidade das operações essenciais, enquanto que outras são menos delicadas. Percebe que há riscos em escalas, origens e dirigidas a alvos distintos, que determinados riscos são até mesmo aceitáveis, que os níveis de proteção necessários para cada ativo da organização não são necessariamente os mesmos, e tudo isso ajuda a colocar em prática um planejamento mais adequado, alocar recursos de forma mais eficiente, de maneira a privilegiar a preservação das atividades essenciais em caso de ataque. É uma visão já amplamente difundida, a ponto do Forum Econômico Mundial ter acabado de divulgar, já agora em Janeiro de 2015, um estudo sobre resiliência, procurando uma forma de calcular o impacto de ameaças eletrônicas para as organizações, buscando inclusive desenvolver uma metodologia unificada para quantificar esses riscos para efeito de suporte à decisão em gerenciamento de riscos em empreendimentos.

 

São reorientações organizacionais que têm repercussão jurídica, mais visíveis nos campos da reparação de danos e dos contratos, embora evidentemente tenham desdobramentos também em outras áreas do direito. Instituições públicas ou privadas que coletam e processam informações, desenvolvem relações entre si ou com terceiros, prestando serviços, estão sujeitas a ter suas atividades comprometidas por tais ataques, que, registre-se, crescem a cada dia em quantidade e sofisticação. São incidentes passíveis de causar danos ou inadimplemento contratual, em que a forma como estas organizações se preparam para encarar os desafios desta nova realidade pode desempenhar papel jurídico importante. A própria circunstância de se admitir haver riscos mais e menos aceitáveis interfere na análise jurídica destas situações. Mesmo para os cada vez mais comuns casos de strict liability, sistemas de responsabilização objetiva, fundados no risco, em que a discussão sobre culpa perde espaço, uma organização que demonstra cautela técnica compatível com o estado-da-arte, e que portanto elimina os riscos reconhecidamente intoleráveis, caminha na direção de exoneração, ou pelo menos da atenuação de sua responsabilidade.

 

No ordenamento brasileiro, a tendência é que esta discussão ganhe corpo agora, com o aperfeiçoamento do microssistema introduzido pelo Marco Civil, cuja regulamentação está em andamento, e com o debate em paralelo sobre o sistema jurídico de Proteção de Dados Pessoais, que deverá ser aprovado em breve. O trabalho de regulamentação do Marco Civil, por exemplo, vai se debruçar agora sobre mecanismos como os do Artigo 7°, I e IV, como o do Artigo 10, §4°, e em discussões de interseção em relação a outros dispositivos, como os constantes da Seção III, que disciplina a responsabilidade por danos decorrentes de conteúdo gerado por terceiros, apenas para mencionar as situações mais evidentes. No Projeto de lei sobre Proteção de Dados Pessoais, que também se encontra sob consulta pública, a Seção III inteira trata apenas da segurança no tratamento de dados, introduzindo a obrigação jurídica de notificação de violação (breach notification) já bastante utilizada mundialmente, o dever de confidencialidade, delegando administrativamente a autoridade para adotar medidas de contenção e reparação, ao final remetendo os padrões técnicos também a um regulamento, a vir posteriormente.

 

Seja qual for a tendência a ser seguida por estas discussões legislativas, o caminho não pode se desviar muito da realidade: as plataformas digitais públicas e privadas atraem cada vez mais ataques, porque representam cada vez mais oportunidades de vantagens fáceis e indevidas para ofensores, e por isso têm a si associados riscos intrínsecos. Apenas a segurança técnica não responde mais às necessidades organizacionais, sendo necessário a preparação para lidar com estes ataques, antecipar riscos, gerenciá-los, alocar recursos de forma eficiente, minimizar as ameaças e principalmente os efeitos danosos que elas carregam consigo, com vistas à preservação da continuidade das atividades essenciais e à contenção de prejuízos.

 

Desenvolver estratégias de resiliência é fundamental nessa nova realidade, seja para atender diretamente a essas novas necessidades organizacionais, seja para contribuir no sentido de tornar dimensionável e principalmente suportável a repercussão jurídica desses riscos para as instituições.


Comentários


 
  • Conteúdo não comentado, seja o primeiro a comentar no formulário logo abaixo

Comentar 





Enviar

Buscar por:






Construção de sites, Criação de sites, Loja virtual, Fábrica de Software