Quais as Leis da Cibersegurança e Por Que São Importantes?
Com o avanço da tecnologia ao longo dos anos, o mundo teve que se adaptar e estruturar processos e leis para regulamentação das atividades digitais. No Brasil, não existe apenas uma “Lei da Cibersegurança”, mas sim diversas leis, decretos e normas que garantem aos usuários da Internet a segurança adequada e o direito à privacidade dos seus dados.
De acordo com a IBM/Instituto Ponemon, o prejuízo médio de um ataque cibernético é de 1,35 milhão de dólares. Além disso, frequentemente ocorrem vazamentos de dados que causam grandes prejuízos para a reputação da empresa.
Portanto, é importante que o profissional da segurança da informação conheça as leis que regulamentam o uso correto dos dados dos usuários. Afinal, o profissional estará sempre sujeito a estas normas, o que as tornam tão importantes quanto o conhecimento prático das ferramentas de segurança cibernética.
Nesse sentido, a CECyber reuniu a explicação de várias leis, normas e decretos da cibersegurança para te ajudar a entender a importância de cada uma.
O Marco Civil da Internet
O Marco Civil da Internet constitui uma norma legal que delimita o uso da Internet no Brasil, impondo o princípio da proteção da privacidade e dos dados pessoais.
A lei se divide em três princípios fundamentais: a neutralidade da rede, a liberdade de expressão e a privacidade.
Neutralidade da Rede
Este princípio garante que os provedores de Internet não podem interferir no conteúdo que o usuário acessa. Assim, não pode haver o bloqueio nem a restrição de qualquer conteúdo por parte dos provedores.
Sem este princípio, as redes de Internet poderiam ser usadas para impedir que o usuário tivesse acesso aos conhecimentos disponíveis na Internet.
Liberdade de Expressão
Por sua vez, este princípio garante um dos direitos previstos na Constituição Federal, que é a livre manifestação do pensamento. Assim, não se permite a censura na Internet.
No entanto, qualquer abuso da liberdade de expressão está sujeito às consequências cíveis e penais proporcionais aos danos que causou.
Privacidade dos Dados
Por fim, este princípio garante outro direito previsto na Constituição Federal, que diz que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas. Assim, os dados coletados e armazenados na Internet não podem ser divulgados de forma irregular.
Trata-se, portanto, do princípio mais importante do Marco Civil da Internet para os profissionais da segurança da informação. Para garantir este direito, contamos com as normas ISOs da Cibersegurança.
Conheça as Principais ISOs Que Compõem a Lei da Cibersegurança
A ISO (Organização Internacional de Normalização) é uma organização formada para desenvolver normas regulamentadoras de procedimentos em todos os campos. Atualmente, 162 países estão sujeitos às normas da ISO.
Elaboradas com o objetivo de prevenir danos que acarretam grandes prejuízos financeiros, as ISOs da cibersegurança garantem a qualidade da Internet por meio de procedimentos preventivos.
As principais normas que dizem respeito à segurança cibernética são as seguintes:
ISO 27001
Esta ISO especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação no contexto da organização.
Além disso, a ISO 27001 inclui requisitos para avaliação e tratamento de riscos de segurança da informação adaptados às necessidades da organização.
ISO 27002
Por sua vez, a ISO 27002 fornece um conjunto de referência de controles genéricos de segurança da informação, incluindo orientação de implementação. Desenvolvida para ser usada por organizações:
- No contexto de um sistema de gestão de segurança da informação baseado na ISO 27001;
- Pela implementação de controles de segurança da informação com base nas melhores práticas reconhecidas internacionalmente;
- Para o desenvolvimento de diretrizes de gerenciamento de segurança da informação específicas da organização.Quebra de Página
ISO 27005
Já a ISO 27005 suporta os conceitos gerais especificados na ISO 27001. Auxilia a implementação satisfatória da segurança da informação com base em diretrizes para gerenciamento de riscos.
Esta norma é aplicável a todos os tipos de organizações que pretendam gerenciar riscos que possam comprometer a segurança da informação da organização.
ISO 27035
A ISO 27035 fornece diretrizes para resposta a incidentes de segurança da informação em operações de segurança. Primeiramente, esta norma cobre os aspectos operacionais nas operações de segurança de Tecnologia da Informação de uma perspectiva de pessoas, processos e tecnologias.
Em seguida, ela se concentra ainda mais na resposta a incidentes de segurança da informação em operações de segurança de TI, incluindo detecção, relatório, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão de incidentes de segurança da informação.
ISO 27701
Este documento especifica os requisitos e fornece orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS) na forma de uma extensão da ISO 27001 e da ISO 27002.
ISO 31000
Por fim, a ISO 31000 fornece diretrizes sobre o gerenciamento de riscos enfrentados pelas organizações. A aplicação dessas diretrizes pode ser customizada para qualquer organização e seu contexto.
A norma pode ser utilizada ao longo da vida da organização e pode ser aplicada a qualquer atividade, incluindo a tomada de decisões em todos os níveis.
Portanto, esta norma é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos.
Decreto E-Ciber do Governo Federal
A Estratégia Nacional de Segurança Cibernética, ou E-Ciber, é um conjunto de ações estratégicas do governo federal relacionadas à área de segurança cibernética.
Seu objetivo é proteger e fornecer informações necessárias para a proteção legal de todo e qualquer usuário de Internet, seja cidadão comum ou empresa.
LGPD e os Direitos do Consumidor
A LGPD (Lei Geral de Proteção de Dados) estabelece limites para a aquisição e manipulação de dados pessoais e empresariais. A lei, vigente desde setembro de 2020, defende os direitos de livre formação da personalidade de cada indivíduo e os direitos fundamentais de autonomia e a privacidade.
Esta lei implica, para as empresas, em um maior investimento na área da segurança cibernética. Isso porque, para garantir a privacidade dos dados, as empresas devem evitar e combater ataques e invasões aos seus bancos de dados, sistemas de informação e infraestruturas de rede e cloud computing.
Por outro lado, as empresas que estão adequadas aos preceitos da LGPD ganham mais credibilidade e confiança do que empresas que não se comprometem com a segurança dos dados de seus clientes. Portanto, respeitar esta lei é necessário para todas as empresas que estão presentes no meio digital.
Além disso, a LGPD faz parte do direito do consumidor, ramo do direito que fornece um conjunto de regras e princípios jurídicos que trata das relações existentes entre o consumidor e o fornecedor de bens ou de serviços.
Além do direito à privacidade dos dados, outros direitos do consumidor são:
- Proibição de venda casada;
- Prazos de garantia;
- Direito à desistência de compras pela Internet;
- Direito de troca ou devolução do produto, entre outros.
Um profissional de cibersegurança precisa entender os princípios por trás destes direitos e exercê-los segundo as normas, para proteger o usuário e agir de acordo com as melhores práticas do mercado.
Por Que o Profissional de Cibersegurança Deve Conhecer e Entender Todas Essas Leis, Decretos e ISOs?
O trabalho de um profissional de cibersegurança se parece com o de um esquadrão antibombas. Nas duas profissões, falhas geram perdas massivas.
Por isso, as leis, decretos e normas de cibersegurança trabalham com os princípios de prevenir e responder a incidentes cibernéticos, exigindo que o profissional demonstre zelo pela qualidade de seu serviço.
Portanto, é muito importante que o profissional conheça e aplique as normas da segurança da informação no seu dia a dia. Assim, com mais foco nas atividades de prevenção, resposta e mitigação de ataques cibernéticos, as empresas terão a capacidade de reduzir os prejuízos com ameaças hackers e melhorar a sua resiliência cibernética.
Comments are closed.