Abaixo tenho a honra de compartilhar na íntegra a matéria elaborada pelo colega da ABSEG (Associação Brasileira dos Profissionais de Segurança), Edison Fontes, publicada em seu Blog (http://informationweek.itweb.com.br/blogs/), consultor em Segurança da Informação e que traz uma análise da Lei Federal 12.737/2012 que trata dos crimes de delitos cibenéticos.
Esse tema veio a tona quando a atriz Carolina Dieckman teve seu computador invadido e seu conteúdo divulgado publicamente.
Vamos à matéria:
Lei de Crimes de Delitos Informáticos. Mas a Organização precisa de Segurança da Informação.
Por Edison Fontes
28 de março de 2013 10:02
"No próximo dia 02 de Abril a Lei 12.737/2012 começa a vigorar. O que não era crime, agora será. Com esta lei o Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal, fica acrescido do crime: “Invasão de dispositivo informático”
De uma maneira simples, com definições de dicionários mais utilizados temos:
Invasão: Ato de invadir. Entrar à força. Entrar sem permissão.
Dispositivo: Qualquer peça ou mecanismo de uma máquina destinados a uma função especial.
Informático. Referente a Informática que é o tratamento automático da informação.
Invasão: Ato de invadir. Entrar à força. Entrar sem permissão.
Dispositivo: Qualquer peça ou mecanismo de uma máquina destinados a uma função especial.
Informático. Referente a Informática que é o tratamento automático da informação.
Porém a lei coloca uma condição para o crime:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
É necessário a existência de mecanismos de segurança. Ou utilizando a terminologia da Norma NBR ISO/IEC 27002:2005, é necessário a existência de um conjunto de controles de segurança da informação.
As Organizações precisam desenvolver e implantar (cada uma) o seu Processo Organizacional de Segurança da Informação, que será composto pelas Dimensões de Segurança, amparadas pelas Normas da Família ISO 27000. A Lei define o crime, mas as Organizações (e pessoas) precisam e proteger estruturadamente para que se configure o crime.
Esta lei explicita a responsabilidade que os gestores e executivos das Organizações têm (quer queiram, quer não queiram) descrita no Código Civil no seu Art. 1.011: “O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.”
Seguir boas práticas é uma ação do bom administrador que deve ser diligente nas suas atividades e decisões. Se a Organização não possuir um processo efetivo de segurança da informação, o administrador da sociedade será responsabilizado.
Para ter um Processo Organizacional de Segurança da Informação é necessária uma abordagem estruturada, organizada, planejada e executada com profissionalismo. Organização de qualquer porte pode ter o seu processo de segurança da informação. O tamanho das ações é que serão diferentes. Toda organização precisa de cópias de segurança. A forma como será feita é que será diferente para um escritório de um profissional e secretária e uma Organização de 150 mil colaboradores. Mas, tem que ter cópias de segurança.
A Lei servirá para facilitar a punição para os crimes. Mas, o Processo Organizacional de Segurança da Informação protegerá a Organização para que os crimes não aconteçam ou para a minimização da ocorrência de crimes.
Apesar do crime chamar atenção, o processo de segurança também evita ou minimiza os erros cometidos quando da utilização da informação. As diversas estatísticas apontam para 80% o percentual de impacto causados por erros. Somente o restante seriam impactos provocados por ações de má fé.
Que venha a Lei. Não é o melhor texto, como muitos advogados criticam. Mas, independentemente da lei sua Organização precisa proteger a informação. E esta necessidade de proteção é uma lei de mercado e de sobrevivência. Para proteger a informação é necessário um processo estruturado baseado na Norma NBR ISO/IEC 27002:2005. Não aposte na sorte nem no amadorismo: as consequências podem ser fatais!"
Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de Risco e Planos de Contingência.
Consultor em Segurança da Informação, Gestão de Risco e Planos de Contingência.
Nenhum comentário:
Postar um comentário