Certificação dos sistemas de gestão de segurança da informação: o diferencial em risco
fonte: Opice Blum Advogados Associados - 30/Jan/2008
autor: Renato Opice Blum e Camilla do Vale Jimene


No cenário mercadológico atual, empresas que possuem certificados emitidos pela ISO (The International Organization for Standardization) são referência em seu campo de atuação e conseqüentemente destacam-se no mercado, como aconteceu no Brasil com a ISO 9001 que certifica a qualidade das companhias.

Nesse sentido, a ISO editou a norma mundial 27001 para a certificação de sistemas de gestão para segurança da informação, com enfoque especial para a questão da segurança das informações corporativas, tornando-a requisito essencial para o sucesso de estratégias de negócio.

Referida norma é reconhecida mundialmente, sendo que, no Brasil, foi publicada pela Associação Brasileira de Normas Técnicas (ABNT) e mais, a primeira empresa no mundo que obteve seus Sistemas de Gestão de Segurança da Informação certificados foi uma empresa genuinamente nacional, o que trouxe para um futuro muito próximo a concorrência no mercado brasileiro por empresas que possuem este nível de excelência.

A norma 27001 prevê a consideração de requisitos legais e/ou regulamentares, bem como obrigações de segurança contratuais. É nesse ponto que surge a necessidade da "declaração de aplicabilidade", documento que formalizará os objetivos e controles aplicáveis e pertinentes à cada companhia que pretenda obter a certificação de seus Sistemas de Gestão de Segurança da Informação.

A peculiaridade do assunto é que tal documento deve ser desenvolvido por advogados, visto que é intrinsecamente ligado à questões jurídicas. Isto porque o art. 4° da Lei n.° 8.906/94, reputa nulos os atos privativos do advogado, definindo, em seu art. 1°, II, como atividades privativas, as relacionadas à consultoria e assessoria jurídica, sendo exatamente este o escopo da declaração de aplicabilidade, quanto à seção 15 da Norma ABNT ISO/IEC 17799:2005.

É nesse cenário que os riscos legais surgem, pois as companhias buscam a certificação como um diferencial. Porém deixando de observar o requisito de formalidade essencial da Lei n.° 8.906/94, o que pode trazer implicações legais que impeçam a efetividade da certificação dos Sistemas de Gestão de Segurança da Informação, tão respeitado no mercado mundial.

SOBRE OS AUTORES:

Renato Opice Blum é sócio da Opice Blum Advogados Associados. Advogado e economista, também é professor da FGV, PUC, IBMEC/IBTA (convidado) e outras, além de árbitro da Câmara de Mediação e Arbitragem de São Paulo (FIESP).

Camilla do Vale Jimene é advogada do mesmo escritório e professora de Direito Eletrônico.

voltar