Perguntas Frequentes

Há inúmeras definições sobre informação, tanto na esfera pública e privada quanto no governo e no meio acadêmico. Mas, no âmbito do Governo Federal, o ideal é adotar definições que constam de textos legais ou regulamentares, pois são os textos que norteiam ações de segurança da informação de órgãos e entidades federais. Quanto a isso, a Lei nº 12.527, de 18 de novembro de 2011, popularmente conhecida como Lei de Acesso à Informação - LAI, assim define informação:

Art. 4º Para os efeitos desta Lei, considera-se: (...) IV – informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.

É a mesma definição encontrada na Portaria GSI/PR nº 93, de 26 de setembro de 2019, que aprovou o Glossário de Segurança da Informação:

INFORMAÇÃO - dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato; 

Também aqui, o ideal é adotar as definições que constam de textos legais ou regulamentares. Sendo assim, a já mencionada Portaria GSI/PR nº 93, de 2019, definiu a segurança da informação como “ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações”. Quanto a isso, vale destacar também que o Decreto nº 9.637, de 26 de dezembro de 2018, que instituiu a Política Nacional de Segurança da Informação – PNSI, considerou (incisos I a IV do art. 2º) que a segurança da informação abrange a segurança cibernética; a defesa cibernética; a segurança física e a proteção de dados organizacionais; e as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.

São dois conceitos interligados, porém, não necessariamente iguais. As principais diferenças entre ambos dizem respeito à sua finalidade e aos órgãos e entidades a quem incumbem. Quanto à finalidade, pode-se dizer, em linhas gerais, que a segurança cibernética visa a fins preventivos, ao passo que a defesa cibernética visa a fins bélicos. Daí por que os órgãos e entidades responsáveis por cada uma delas são também diferentes: no Governo Federal, a segurança cibernética fica a cargo do Gabinete de Segurança Institucional da Presidência da República – GSI/PR, enquanto que a defesa cibernética incumbe ao Ministério da Defesa - MD.

Quanto a isso, a Portaria GSI/PR nº 93, de 2018, define segurança cibernética como “ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis”.

Já a defesa cibernética é definida pelo mesmo Glossário como sendo “ações realizadas no espaço cibernético, no contexto de um planejamento nacional de nível estratégico, coordenado e integrado pelo Ministério da Defesa, com as finalidades de proteger os ativos de informação de interesse da defesa nacional, obter dados para a produção de conhecimento de inteligência e buscar superioridade sobre os sistemas de informação do oponente”. 

Dizer que uma informação está “disponível” significa dizer que ela é acessível quando, onde, por quem e como seja necessária, sem nenhum tipo de obstáculo ou impedimento, independentemente de quando, onde, por quem e como ela venha a ser necessária (exceto quando confidencial, como se verá a seguir). Assim, se a pessoa pode acessar determinada informação a qualquer hora do dia ou da noite, seja do seu computador pessoal ou do computador do trabalho, seja de seu “smartphone”, considera-se que essa informação está disponível. Porém, se algo impede que a informação que deveria estar disponível possa ser acessada – por exemplo, a destruição ocasionada por ataque de “hackers” da informação armazenada em banco de dados de determinada empresa –, diz-se que a informação está indisponível.

A Lei nº 12.527, de 2011, define disponibilidade da seguinte forma:

Art. 4º Para os efeitos desta Lei, considera-se: (...) VI – disponibilidade: qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas autorizados;

Já a Portaria GSI/PR nº 93, de 2018, define disponibilidade nos seguintes termos:

DISPONIBILIDADE - propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;

Dizer que uma informação é “íntegra” significa dizer que a informação produzida pelo remetente é exata e precisamente a mesma informação recebida pelo destinatário, não tendo sido alterada ou destruída, intencionalmente ou não, nem na origem, nem no trânsito, nem no destino. Para ilustrar isso, basta lembrar da brincadeira do “telefone sem fio”: dificilmente, a palavra ou frase escolhida pelo primeiro participante da brincadeira é exata e precisamente a mesma palavra ou frase que será anunciada enfim a todos os demais pelo último participante da brincadeira. Em outras palavras, em algum momento durante o “telefone sem fio”, a informação produzida, transmitida e recebida perdeu sua integridade. 

Posto isso, em termos legais, a Lei nº 12.527, de 2011, define integridade da seguinte forma:

Art. 4º Para os efeitos desta Lei, considera-se: (...) VIII – integridade: qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino.

A Portaria GSI/PR nº 93, de 2018, define integridade em termos parecidos:

INTEGRIDADE - propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

Dizer que a informação é “autêntica” significa dizer que ela se origina de quem diz originar-se; foi modificada por quem diz que a modificou; foi enviada da forma pela qual se diz que a enviaram; e recebida por quem diz tê-la recebido. É o exemplo de uma carta pessoal alegadamente escrita por uma personalidade histórica e enviada para um familiar seu: ela se torna autêntica quando se verifica que efetivamente foi escrita pela personalidade que se supõe tê-la escrito e enviada realmente para quem se alega que teria sido enviada; e – importante também – contém aquilo que se diz que ela contém.

No Brasil, a Lei nº 12.527, de 2011, define autenticidade da seguinte forma:

Art. 4º Para os efeitos desta Lei, considera-se: (...) VII – autenticidade: qualidade da informação que tenha sido produzida, expedida, recebida ou modificada por determinado indivíduo, equipamento ou sistema;

Já a Portaria GSI/PR nº 93, de 2018, define autenticidade nos termos a seguir:

AUTENTICIDADE - propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;

A Portaria GSI/PR nº 93, de 2018, traz a seguinte definição:

INCIDENTE DE SEGURANÇA - qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

Como a definição acima abrange tanto a hipótese de o evento adverso ter sido efetivamente confirmado como um incidente de segurança quanto a hipótese de apenas suspeitar-se de que tenha ocorrido, esteja ocorrendo ou possa vir a ocorrer um incidente de segurança, recomenda-se enfaticamente comunicar o quanto antes o CSI/MAPA para que eventuais providências sejam tempestivamente tomadas.

Necessário esclarecer também que, nos termos da lei, todas as comunicações receberão o devido tratamento a fim de garantir a preservação da identidade do comunicante e dos demais envolvidos.

A comunicação poderá ser feita das seguintes formas:

Agentes públicos do MAPA (servidores e empregados públicos, colaboradores terceirizados, estagiários, etc.): encaminhar e-mail para aeci.gm@agricultura.gov.br

Público externo (cidadãos em geral): protocolar manifestação na Plataforma Integrada de Ouvidoria e Acesso à Informação (Sistema FalaBR).