Os parlamentos de hoje são muito distintos das instituições que se foram generalizando desde o século XIX. Às fundamentais funções de representação e legislativa, acresceu depois, a de fiscalização. De salientar, ainda mais recentemente, a maior abertura à sociedade e proximidade na relação com os cidadãos.

Ao longo dos seus 50 anos de atividade, a Assembleia da República, que nasce com o regime democrático de Abril, reflete bem esta evolução. 

Também ao nível da sua organização tem havido importantes mudanças, nomeadamente com a sua maior profissionalização, assim como com as transformações tecnológicas e as oportunidades que estas proporcionam. 

Neste contexto, foi criada, em 2018, a área de Segurança da Informação da Assembleia da República, com o objetivo de reforçar os instrumentos para responder às crescentes preocupações nesta matéria, nomeadamente as motivadas pelo aumento geral da cibercriminalidade.  

A nível interno, a Administração de Segurança da Informação (ASI) tem como um dos principais documentos enquadradores a resolução sobre Política Geral de Segurança da Informação da Assembleia da República. Daqui resulta a responsabilidade da ASI na implementação, manutenção e operação do Sistema de Gestão de Segurança da Informação e Privacidade da Assembleia da República (SGSIP-AR), que deve assegurar, designadamente: 

• A gestão de incidentes de segurança, de forma a limitar os danos causados e assegurar a correta e apropriada reação, bem como recolher informação para futuras medidas preventivas. São exemplos deste tipo de incidentes: i) perda, ou roubo de informação, ou equipamento informáticos; ii) infeção de sistemas com software malicioso (malware); iii) acesso, alteração ou eliminação não autorizada de informação; iv) intrusão não autorizada de um sistema, componente ou rede; v) perda da confidencialidade, integridade ou disponibilidade de informação; v) violação de dados pessoais.
• A execução periódica do processo de avaliação dos riscos de segurança. Com base em ameaças e vulnerabilidades da organização, é feita a identificação destes riscos, que podem ser de vários tipos, nomeadamente de software, de equipamentos informáticos (hardware), de rede, de pessoas ou da própria organização. A avaliação contínua dos riscos é fundamental para se poder definir os procedimentos de mitigação. Esta é uma realidade dinâmica por isso é importante que seja feita de forma regular, monitorizando o surgimento de eventuais novos riscos.
• A elaboração dos planos de formação relativos à segurança da informação. Para ser eficaz, todos os elementos da organização devem estar familiarizados com a política de segurança da informação, sendo a formação uma das componentes essenciais para este efeito.  De facto, mesmo com a implementação de tecnologias avançadas de segurança, as pessoas continuam a ser uma das principais linhas de defesa contra ameaças e ataques cibernéticos. Por outro lado, os ataques à segurança da informação passam, com frequência, pelo aproveitamento do erro e do desconhecimento humano, como acontece, por exemplo, com informação obtida através de métodos de engenharia social.

 

 

A ASI deve garantir que as normas internas e os procedimentos na AR se encontram atualizados relativamente à legislação nacional, bem como à da União Europeia e às mais recentes versões das normas de referência internacionais.

Desta forma, incumbe-lhe elaborar normas e procedimentos que promovam a adoção de standards e boas práticas de segurança da informação. 

Para o bom desempenho das suas funções, a ASI conta com a colaboração dos serviços da Assembleia da República na definição, implementação e controlo de aplicação das políticas e procedimentos de segurança. Em articulação com o Encarregado de Proteção de Dados, deve assegurar a boa execução do plano de implementação da política de segurança da informação da AR, nomeadamente quanto ao respeito pelo Regulamento Geral de Proteção de Dados (RGPD). 

A ASI desempenha igualmente um papel no âmbito da classificação e manuseamento da Informação na Assembleia da República, de acordo com o Regulamento sobre Política de Classificação e Manuseamento na Informação da AR. É neste âmbito que, por exemplo, é chamada a colaborar com as comissões parlamentares (e particularmente com as comissões de inquérito), para verificar o cumprimento das melhores práticas: i) como guardar, nos casos em que se justifique, documentação em cofre próprio; ii) garantir a existência de procedimentos e de salas seguras para a respetiva consulta física (onde a consulta da informação só possa ser feita por pessoas credenciadas,  podendo, por exemplo, ser proibida a entrada de dispositivos eletrónicos que permitam a sua reprodução) ou iii) a existência de programa informático adequado à consulta de documentação classificada.  

Em suma, a Segurança da Informação é, hoje, incontornável em qualquer organização moderna, pelo que também o é na AR. Como órgão de soberania e na sua missão de interesse público, esta matéria tem sido uma preocupação cimeira do Parlamento português, que conta, no dia a dia, com a colaboração – atenção, alerta e diligência – de todos para o seu sucesso.

 

Tiago Tibúrcio