Município do Rio de Janeiro avança com novos decretos de segurança de informação

O novo pacote de normas complementa a PSI - Política de Segurança da Informação do município do Rio de Janeiro, estabelecida pelo decreto Rio 53.700/23, e cria um ecossistema normativo que posiciona a capital fluminense como um referencial em proteção de dados e segurança cibernética no Brasil.

A iniciativa é uma resposta direta e necessária à crescente digitalização dos serviços e à sofisticação das ameaças virtuais. Para o cidadão, a mensagem é de confiança; para os agentes públicos e fornecedores, é de clareza e responsabilidade.

1. O decreto 53.700/23: A pedra angular da estrutura

Para compreender a força do novo pacote normativo, é preciso voltar ao seu ato fundador. O decreto 53.700/23 não foi apenas uma carta de intenções. Este decreto-base estabeleceu os pilares da governança, definindo princípios norteadores como publicidade, proporcionalidade, completude e privacidade, e, ao consagrar a privacidade, alinhou-se diretamente à LGPD - Lei Geral de Proteção de Dados, garantindo que a segurança da informação caminhe ao lado dos direitos fundamentais.

Além disso, distribuiu papéis claros entre a Secretaria da Casa Civil (normatização), a empresa pública, IplanRio (operação técnica) e a Controladoria Geral do município (auditoria), formando um ciclo de governança completo.

2. A regulamentação na prática: O pacote de decretos de 2025

Os novos decretos transformam os princípios do decreto 53.700 em regras técnicas e operacionais, abordando de forma granular os principais vetores de risco:

1. O fator humano e o uso dos recursos: Os decretos sobre uso da internet (56.642) e do correio eletrônico (56.643) traçam uma linha clara entre o profissional e o privado. Ao vedar o uso de e-mails pessoais para tratar de assuntos corporativos e proibir o acesso a conteúdos ilegais ou o download de softwares piratas, a prefeitura mitiga riscos e reforça o controle sobre o fluxo de dados, um ponto essencial para a conformidade com a LGPD.
2. Controle de acesso e credenciais: As normas de gestão de senhas (56.644) e controle de acesso (56.649) estabelecem um novo padrão de higiene digital. A exigência de senhas com no mínimo 10 caracteres, trocas obrigatórias a cada 60 dias e a formalização do ciclo de vida do acesso de um agente público são medidas que endereçam uma das vulnerabilidades mais exploradas por atacantes.
3. Proteção da infraestrutura tecnológica: O pacote demonstra sua modernidade ao regular o uso de redes sem fio (56.645), exigindo protocolos de segurança robustos como o WPA3; computação em nuvem (56.646), estabelecendo critérios rigorosos para a contratação de provedores; e backup (56.647), adotando a consagrada regra "3-2-1" para garantir a resiliência e a capacidade de recuperação de dados.
4. Defesa contra ameaças ativas: O decreto 56.641 versa sobre proteção contra códigos maliciosos e cria um protocolo claro de prevenção e resposta, orientando o servidor a não agir por conta própria em caso de infecção, mas acionar imediatamente o suporte técnico, evitando a propagação da ameaça.

3. Da norma à cultura: O desafio da capacitação

Neste contexto, a prefeitura do Rio de Janeiro demonstra compreender que a mera publicação de decretos, por mais robustos que sejam, não é suficiente para garantir a segurança. A eficácia de uma política de segurança reside na sua internalização cultural e na capacitação contínua de seus agentes.

Desta feita, a estrutura de governança prevê um passo além: a implementação de um plano de treinamento contínuo, focado em traduzir as novas regras em comportamentos seguros.

Nesta linha de raciocínio, os parágrafos do art. 16 da resolução CVL 216/23, que os programas permanentes de sensibilização e conscientização em segurança da informação deverão ser oferecidos aos agentes públicos que tenham acesso aos ativos da informação, bem como que os programas permanentes de treinamento em segurança da informação deverão ser oferecidos aos agentes públicos, compatíveis com suas atribuições profissionais.

Igualmente, há a previsão de que os programas permanentes de qualificação continuada no tema de segurança cibernética deverão ser oferecidos para as organizações usuárias de TIC da PCRJ.

Assim, o programa de capacitação deverá abranger desde o agente público na ponta, ensinando-o a identificar um e-mail de phishing e a reportar imediatamente a perda de um dispositivo, até os gestores e equipes técnicas, que serão treinados em metodologias de análise de risco, classificação de incidentes e nos procedimentos formais de comunicação.

Ao investir na capacitação, a gestão municipal ataca o elo mais crítico da corrente de segurança: o fator humano. Transforma o servidor de um potencial vetor de risco em um aliado e na primeira linha de defesa da informação pública.

4. Conclusão

Ao detalhar suas regras de forma tão específica e ao planejar a capacitação de seus quadros, o Rio de Janeiro não apenas cumpre seu dever em relação à LGPD e ao marco civil da internet, mas constrói um arcabouço de segurança jurídica e operacional que inspira confiança. A iniciativa estabelece um novo paradigma de governança digital no setor público, servindo de modelo para outras Administrações Públicas que buscam navegar com segurança e responsabilidade na era da informação.

______________________

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO No 53700 DE 8 DE DEZEMBRO DE 2023. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1013381/6101. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56641 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191969/7565 . Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56642 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191970/7565. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56643 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191971/7565. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56644 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191972/7565. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56645 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191973/7565. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56646 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191974/7565. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56647 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191975/7565. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56648 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191976/7565. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. DECRETO RIO Nº 56649 DE 25 DE AGOSTO DE 2025. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1191977/7565. Acesso em: 01 set. 2025.

BRASIL. PREFEITURA DO RIO DE JANEIRO. RESOLUÇÃO CVL Nº 216 DE 15 DE DEZEMBRO DE 2023. Disponível em: https://doweb.rio.rj.gov.br/apifront/portal/edicoes/imprimir_materia/1015778/6111. Acesso em: 01 set. 2025.