Lei de Crimes de Delitos Informáticos. Mas a Organização precisa de Segurança da Informação.

Author Photo
9:51 am - 14 de agosto de 2013

No próximo dia 02 de Abril a Lei 12.737/2012 começa a vigorar. O que não era crime, agora será. Com esta lei o Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal, fica acrescido do crime: ?Invasão de dispositivo informático?

De uma maneira simples, com definições de dicionários mais utilizados temos:
Invasão: Ato de invadir. Entrar à força. Entrar sem permissão.
Dispositivo: Qualquer peça ou mecanismo de uma máquina destinados a uma função especial.
Informático. Referente a Informática que é o tratamento automático da informação.

Porém a lei coloca uma condição para o crime:
Art. 154-A.  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

É necessário a existência de mecanismos de segurança. Ou utilizando a terminologia da Norma NBR ISO/IEC 27002:2005, é necessário a existência de um conjunto de controles de segurança da informação.

As Organizações precisam desenvolver e implantar (cada uma) o seu Processo Organizacional de Segurança da Informação, que será composto pelas Dimensões de Segurança, amparadas pelas Normas da Família ISO 27000. A Lei define o crime, mas as Organizações (e pessoas) precisam e proteger estruturadamente para que se configure o crime.

Esta lei explicita a responsabilidade que os gestores e executivos das Organizações têm (quer queiram, quer não queiram) descrita no Código Civil no seu Art. 1.011: ?O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.?

Seguir boas práticas é uma ação do bom administrador que deve ser diligente nas suas atividades e decisões. Se a Organização não possuir um processo efetivo de segurança da informação, o administrador da sociedade será responsabilizado.

Para ter um Processo Organizacional de Segurança da Informação é necessária uma abordagem estruturada, organizada, planejada e executada com profissionalismo. Organização de qualquer porte pode ter o seu processo de segurança da informação. O tamanho das ações é que serão diferentes. Toda organização precisa de cópias de segurança. A forma como será feita é que será diferente para um escritório de um profissional e secretária e uma Organização de 150 mil colaboradores. Mas, tem que ter cópias de segurança.

A Lei servirá para facilitar a punição para os crimes. Mas, o Processo Organizacional de Segurança da Informação protegerá a Organização para que os crimes não aconteçam ou para a minimização da ocorrência de crimes.

Apesar do crime chamar atenção, o processo de segurança também evita ou minimiza os erros cometidos quando da utilização da informação. As diversas estatísticas apontam para 80% o percentual de impacto causados por erros. Somente o restante seriam impactos provocados por ações de má fé.

Que venha a Lei. Não é o melhor texto, como muitos advogados criticam. Mas, independentemente da lei sua Organização precisa proteger a informação. E esta necessidade de proteção é uma lei de mercado e de sobrevivência. Para proteger a informação é necessário um processo estruturado baseado na Norma NBR ISO/IEC 27002:2005. Não aposte na sorte nem no amadorismo: as consequências podem ser fatais!

Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de Risco e Planos de Contingência.
[email protected]
www.nucleoconsult.com.br

 

 

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.