Neste artigo tratarei sobre o papel da Auditoria Interna de Tecnologia da Informação no contexto do Marco Civil da Internet, destacando os principais pontos da Lei que devem compor um programa de testes. Importa dizer que alertar sobre a necessidade de estar aderente ao Marco Civil da Internet não deve ser um papel apenas da área jurídica ou uma ação proativa da própria área de TI. A Auditoria Interna também tem o dever de alertar sobre o tema, pois cada vez mais é exigido dos auditores uma atuação com abordagem de parceria e que fomente de maneira gradativa a melhoria contínua dos processos internos e da governança de TI. Desse modo, por que esperar uma recomendação jurídica se podemos agir preventivamente?
A Lei Nº 12.965 de 2014, intitulada de Marco Civil da Internet (MCI), trata do comportamento dos usuários e das empresas na Rede Mundial de Computadores (Internet), destacando os direitos e deveres de cada um para com o funcionamento da internet em segurança, privacidade e neutralidade, respeitando os direitos e garantias individuais presentes em nossa Constituição Federal.
Sem a intenção de esgotar todos os 32 artigos presentes na Lei, nos interessa abordar aqui os principais pontos de atenção para testes de Auditoria Interna de TI. Quais sejam:
O artigo 7º, inciso VIII, impõe que as informações acerca da privacidade dos usuários sejam expressas de forma clara e completa em contratos de prestação de serviços ou em termos de uso de aplicações de internet. O inciso IX expõe, também, que os provedores (em sentido amplo) deverão assegurar aos usuários o direito de consentir expressamente, de forma destacada das demais cláusulas contratuais, sobre a coleta, uso, armazenamento e tratamento de dados pessoais. Além disso, o inciso XI do mesmo artigo 7º determina que as políticas de uso dos provedores tenham publicidade e clareza.
Aqui vai minha primeira sugestão de teste. Solicite à área de TI de sua empresa uma relação com todas as aplicações (sites e aplicativos mobile) mantidas pela corporação que estejam publicadas na internet. A depender do tamanho e seguimento de atuação da empresa na qual trabalhe, essa relação poderá ser bem extensa, o que refletirá no consumo de horas do projeto. Dica: solicite a relação ainda em período de planejamento do projeto – isso lhe dará mais assertividade quanto ao orçamento de horas na execução.
Com a relação em mãos, inicie uma análise do conteúdo de cada aplicação. Identifique nelas as portas de coleta de dados dos usuários, que podem ocorrer, por exemplo, por meio de cookies, formulários diversos, cadastros, SAC, comentários em matérias/artigos, dentre outros. Importa dizer que você, enquanto auditor, não precisa, necessariamente, identificar todas as portas de coleta de dados nas aplicações. Identifique o máximo que puder e registre evidências, por exemplo, por meio de prints de tela. Caso esse teste torne-se um ponto de auditoria do seu relatório final, caberá à área de TI a identificação de todas as possíveis portas de coleta de dados pessoais dos usuários das aplicações. Não esqueça que a função de auditor requer um conhecimento generalista dos processos auditados e, no caso desse teste, a identificação da coleta de dados por meio de cookies exigirá um conhecimento mais específico que, caso não esteja documentado, apenas os técnicos/analistas da área auditada possuirão.
Para as aplicações nas quais foram identificadas as coletas de dados dos usuários, verifique a existência de uma “Política de Privacidade e/ou Termo de Uso” onde estejam informados de modo explícito e claro todos os dados que serão coletados, como serão utilizados e se, por exemplo, serão compartilhados com outras empresas parceiras. Esse documento deve ser de fácil acesso ao usuário.
A “Política de Privacidade e/ou Termo de Uso” é a primeira e mais básica forma de proteção contra questionamentos legais referentes às aplicações da corporação. Esse documento é de fundamental importância para garantir que os princípios da proteção da privacidade, proteção dos dados pessoais, preservação da segurança da rede, dentre outros, sejam observados, atendendo ao disposto na Lei.
Gostaria de fazer um adendo a esse tópico: em agosto de 2020, caso não exista nova prorrogação, entrará em vigor a Lei 13.709/2018 intitulada Lei Geral de Proteção de Dados Pessoais (LGPD). Ela prevê que os dados pessoais somente poderão ser coletados se atendido pelo menos um dos dez requisitos que legitimarão a coleta, sendo o consentimento do titular dos dados um deles. Nesse sentido, uma Política de Privacidade auxiliará sua empresa no cumprimento do que está disposto também na LGPD.
O Marco Civil da Internet estabelece no art. 13º que na provisão de conexão à internet cabe ao administrador do sistema o dever de manter os registros de conexão sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano a partir do evento que o gerou.
Toda empresa, independentemente de ser ou não do seguimento de provimento de internet (em sentido estrito), ao receber e administrar endereços IP e disponibilizar aos colaboradores o acesso à rede externa, passa a configurar-se como provedora de conexão (em sentido amplo), podendo inclusive responder judicialmente por atos ilícitos ocorridos por meio de sua rede interna.
A guarda desses registros é necessária para atender eventuais notificações judiciais que poderão solicitar essas informações na intenção de elucidar investigações sobre ações ilícitas cometidas por meio dos links de internet da corporação. Aqui temos uma polêmica, pois há quem defenda que esse ponto da Lei aplica-se apenas a provedores de internet propriamente ditos como, por exemplo, GVT, VIVO, EMBRATEL e outros. Particularmente prefiro a prudência de orientar a área de TI que guarde os registros de conexão de seus usuários de rede interna pelo tempo estabelecido na Lei (um ano). Desse modo, não corremos o risco de ficar à mercê da interpretação da Lei em uma possível ação judicial. Além disso, dependendo do quão competente e experiente for o perito do juiz, é quase certo que o processo judicial caminhará para a aplicação do artigo 13o, independentemente da atividade fim da empresa.
Entendida a importância de manter os registros de conexão conforme determina a Lei, surge o seguinte questionamento: como podemos fazer esse teste de auditoria? Para realizá-lo criaremos um cenário fictício no qual você acessará um conteúdo ilícito. Mas calma, NÃO estou dizendo que você precisa acessar de fato algo ilícito. Faça o download de um arquivo qualquer, pois queremos apenas simular que um colaborador, por meio da rede interna da empresa, acessou um conteúdo “ilícito”. Compreende? Então, vamos lá. Por meio da rede interna da empresa, utilizando um computador do parque da corporação, efetue o download do “PDF ilícito” e registre as seguintes evidências: endereço IP público que estava conectado à internet; endereço IP interno e Hostname; URL acessada; data e hora do download; nome do usuário e pessoa responsável pelo mesmo; além de localização física do computador nas dependências da empresa.
Com esse teste temos dois objetivos. O primeiro é verificar se a equipe de TI conseguirá identificar o responsável pelo acesso “indevido de conteúdo ilícito”, e o segundo é se ela mantém os registros pelo tempo que a Lei determina. É de suma importância que o download e o registro das evidências ocorra com pelo menos 11 meses de antecedência da execução da auditoria pois, desse modo, teremos condições de constatar se os registros são armazenados, ou não, pelo tempo adequado. Não deixe para solicitar que a equipe de TI identifique o responsável pelo download muito próximo dos 12 meses do teste porque, dependendo das prioridades da área auditada, pode ocorrer do período da Lei passar, e com ele a obrigatoriedade de armazenamento dos registros. Dica: em novembro, quando geralmente consolida-se o plano anual das auditorias do ano posterior, realize esse download e registre as evidências. Insira, no plano anual em elaboração, a execução dessa auditoria para o mês de setembro ou outubro do ano seguinte.
Passados os 11 meses, solicite à TI as seguintes informações evidenciadas por relatórios, printsou outra forma que lhe atenda: endereço IP do computador que acessou o site informado; nome de usuário e pessoa responsável pelo mesmo; e localização física do computador nas dependências da empresa. É importante destacar na solicitação realizada à TI que, em um caso real de investigação criminal, a disponibilização dessas informações precisa ocorrer de forma rápida para que se diminua ao máximo a possibilidade de perca de evidências no com computador a ser periciado na investigação.
Sobre guarda de registros de acesso à internet, é importante reforçar com a TI de sua empresa as seguintes recomendações:
As empresas, ao disponibilizarem na internet aplicações (sites ou aplicativos mobile), configuram-se como “Provedoras de Aplicação”. No exercício dessa função a instituição enquadra-se nos termos do artigo 15º do MCI, onde está estabelecido que os provedores devem manter os respectivos registros de acesso a aplicações de internet pelo prazo de seis meses, prazo esse contado do evento que gerou os registros.
A guarda desses dados é necessária para atender eventuais notificações judiciais que poderão solicitar essas informações para elucidar ações ilícitas cometidas por meio das aplicações da empresa na internet. A execução desse teste dependerá muito do tipo de aplicação que sua empresa possuir na rede mundial de computadores. Para facilitar o entendimento, vamos supor que sua empresa possua um site que permita aos usuários o registro de comentários em matérias/artigos. Partindo dessa premissa, nosso teste ocorrerá de modo parecido ao realizado no Teste 2. Criaremos um cenário fictício no qual você publicará no site da empresa “comentário difamatório” contra uma figura pública. Novamente ratifico que NÃO é necessário comentar nada ilícito. Comente algo relacionado à matéria/artigo postado, pois queremos apenas simular que um usuário da aplicação publicou um conteúdo “ilícito”. Ao publicar o comentário, registre as seguintes evidências: endereço IP público que estava conectado à internet; URL onde o comentário foi registrado; data, hora e fuso horário do momento em que registrou o comentário; e print da tela com o comentário postado.
Temos, aqui, três objetivos. O primeiro é verificar se a equipe de TI conseguirá identificar o endereço IP público de onde partiu o “comentário difamatório”; o segundo será analisar se ela mantém esse registro pelo tempo que a Lei determina; e o terceiro se ela possui condições técnicas para remover o conteúdo ilícito.
É de suma importância que o “comentário difamatório” e o registro das evidências ocorra pelo menos cinco meses antes da execução da auditoria pois, desse modo, teremos condições de constatar se os registros são armazenados, ou não, pelo tempo adequado. Também é importante que você não deixe para solicitar que a equipe de TI identifique o IP público de origem com muita proximidade dos seis meses pois, dependendo das prioridades da área auditada, pode ocorrer do período da Lei passar e com ele a obrigatoriedade de armazenamento dos registros.
Passados os cinco meses, solicite à TI as seguintes ações evidenciadas por relatórios, print ou outra forma que lhe atenda:
Sobre a guarda de registros de acesso a aplicações de internet, é importante reforçar com a TI de sua empresa as seguintes recomendações:
Concluo esse artigo reforçando a importância da atuação estratégica da Auditoria Interna na verificação da aderência ao Marco Civil da Internet. Com a execução dos testes sugeridos podemos nos antecipar a casos reais de atos ilícitos cometidos por usuários dos recursos tecnológicos da empresa, sejam eles usuários da rede interna ou externa.
Para os testes que gerarem pontos de auditoria, é importante garantir que os planos de ação possuam efetividade e que os devidos ajustes sejam realizados. Desse modo, a empresa possuirá condições de eximir-se de atos ilícitos cometidos por terceiros ou de, pelo menos, contribuir com o poder judiciário na elucidação de casos em investigação.
Profissional de Tecnologia da Informação, associado ao Instituto dos Auditores Internos do Brasil (IIA Brasil), a Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) e articulista esporádico. Graduado em Redes de Computadores, Pós-Graduado em Administração e Segurança de Sistemas Computacionais, com MBA em Auditoria. Possui formação complementar em Perícia Computacional Forense, Privacidade e Proteção de Dados, Compliance Digital e Segurança da Informação. Possui certificação em ISFS, PDPF, ITIL e NCS. E-mail: elromao@gmail.com Site: www.elvisromao.com.br Instagram: @auditoresdeti
You must be logged in to post a comment.
