Está na hora de o TJRS cumprir a Política de Segurança e Informação


PSI para os íntimos - ou Política de Segurança da Informação para todos - é um documento formal que as empresas adotam com as práticas que irão executar quando ocorrerem situações relativas a incidentes de segurança. Deverá haver definições de procedimentos, e as pessoas responsáveis terão que ser claramente nominadas - entre outras peculiaridades.

O Conselho Nacional de Justiça, por meio da Portaria nº 47/2017, instituiu a sua PSI, com algumas regras claras e importantes. Dela destaco alguns pontos para análise: 

Art. 2º Para efeitos desta Política, ficam estabelecidos os seguintes conceitos:

VII – incidente de segurança: evento ou conjunto de eventos de segurança da informação, indesejados ou inesperados, confirmados ou sob suspeita, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;

Art. 15. Fica instituída a Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais do Conselho Nacional de Justiça (ETIRCNJ), composta inicialmente pelos servidores da unidade responsável pela gestão de segurança da informação do Departamento de Tecnologia da Informação e Comunicação.

Parágrafo único. A ETIR-CNJ poderá solicitar apoio multidisciplinar abrangendo as áreas de tecnologia da informação, jurídica, pesquisas judiciárias, comunicação, controle interno, dentre outras necessárias para responder aos incidentes de segurança de maneira adequada e tempestiva.

Art. 16. A ETIR-CNJ tem autonomia compartilhada, ou seja, participará do resultado da decisão recomendando os procedimentos a serem executados ou as medidas de recuperação durante a identificação de uma ameaça e debaterá as ações a serem tomadas, seus impactos e a repercussão caso as recomendações não forem seguidas.

Parágrafo único. O Comitê Gestor de Segurança da Informação é o fórum para aprovar as ações decorrentes de um incidente ou ameaça de segurança que afetem a imagem institucional ou a confidencialidade das informações do Conselho Nacional de Justiça.

Art. 17. O funcionamento da ETIR-CNJ é regulado por documento formal de constituição, publicado no sítio eletrônico do Conselho Nacional de Justiça na Internet, devendo constar, no mínimo, os seguintes pontos: definição da missão, público alvo, modelo de implementação, canal de comunicação de incidentes de segurança e os serviços que serão prestados.

Cristalino que o Conselho Nacional de Justiça estabeleceu que os incidentes de comunicação devem ser reportados a um comitê gestor próprio, que visa precaver e - em caso de incidentes - dar respostas às questões atinentes ao fato.

De outro lado, em 27 de novembro de 2013 o TJRS protocolou no CNJ a sua PSI com 294 páginas (que se encontram indisponíveis para consulta...) frente à instabilidade de muitas páginas do portal do tribunal, após o ataque de crackers.

Ou seja, quatro anos antes da Portaria nº 47, o TJRS já possuía estas ideias de segurança, que anos depois uma consolidação própria do CNJ foi transformada em portaria. Nesta, restam claros os deveres de divulgar incidentes, ter comitês gestores e tratar do assunto de forma diáfana e transparente.

Além dos representantes do Comitê de Segurança da Informação, é cabível questionar o papel do encarregado (DPO) do TJRS perante a Lei Geral de Proteção de Dados. Ele tem o dever – diante dos fatos que são públicos e notórios - de informar e reportar não apenas os incidentes de segurança, mas igualmente o que aconteceu com os dados dos respectivos titulares.

Na realidade, estamos encontrando, atualmente, diversas informações divergentes, desconexas e sem nenhum tipo de prazo de solução sobre a investida criminosa contra o TJ gaúcho.

Sabemos que um ataque nunca é simples ou fácil de ser resolvido. Todavia, quem já vem debatendo o tema no mínimo há oito anos - e que em setembro de 2020 instituiu o encarregado/DPO do próprio do TJRS – ainda não está proporcionando aos cidadãos e à advocacia as informações precisas e relevantes sobre o enfrentamento. Nem os prazos efetivos para a solução adequada...

A advocacia – que já amarga as dificuldades de uma pandemia, fechamento de escritórios, processos parados, entre tantas outras celeumas – se vê num ato como este mais penalizada pela impossibilidade de emissão de alvarás para o saque de dinheiro já depositado nos autos judiciais. Audiências seguem agendadas sem suspensão (apesar de os prazos estarem suspensos) sem a fixação de um novo dia definido. A cada dia surge novo prazo de suspensão disto ou daquilo, sem precisão e clareza do todo.  

A conjunção é de afronta ao acesso do jurisdicionado à justiça e, obviamente, do seu representante legal, o advogado.

Assim, o TJRS precisa desde já, e agora:

a)  Priorizar a retomada da rotina dos processos, com a expedição imediata dos alvarás (situação alimentar para a advocacia);

b) Ser claro nas definições acerca de prazos e designação de audiências.

Somente com a verdade e ciência de todos os envolvidos é que poderemos, todos os operadores do Direito, visualizar um caminhar efetivo para a solução que derrube o ataque infame.