Com Lei do Cibercrime e consumerização, administrador de rede é ainda mais exposto

O administrador de rede é o profissional mais importante da empresa. A afirmação foi feita por Rogério Reis, vice-presidente da Arcon, ao comentar o desvio de informações corporativas e as penalidades que esse profissional pode sofrer com a aprovação do Projeto de Lei 2793/11, que inclui crimes cibernéticos no Código Penal. ?Esse colaborador tem grande relevância porque  tem acesso a informações estratégicas da empresa que muitos diretores, por serem divididos por áreas, não?, ponderou o executivo.

O texto, que agora segue para o Senado, prevê prisão de seis meses a dois anos para quem obtiver informações confidenciais por meio de invasão de computadores. A pena também vale para o controle remoto não autorizado do dispositivo invadido. Essa pena poderá ser aumentada, de um terço a dois terços, se houver divulgação, comercialização ou transmissão a terceiro dos dados obtidos.

Para o crime de ?devassar dispositivo informático alheio? com o objetivo de mudar ou destruir dados ou informações, instalar vulnerabilidades ou obter vantagem ilícita, o texto atribui pena de três meses a um ano de detenção e multa. Conforme a determinação, será enquadrado no mesmo crime aquele que produzir, oferecer, distribuir, vender ou difundir programa de computador destinado a permitir o crime de invasão de computadores ou de dispositivos como smartphone e tablets.

De acordo com o especialista, a revisão do código civil já trouxe obrigações ao CIO e sua equipe com o trato dos dados corporativos. Contudo, a penalidade, neste caso, se dava na esfera civil, e não na criminal, como ocorrerá caso o PL, que agora segue para o Senado, seja aprovado nesta segunda etapa e passe, incólume, pela sanção presidencial. O crime é um risco, e o administrador de rede deve ficar atento especialmente com o processo de consumerização, que é o uso da rede corporativa por dispositivos como tablets, smartphones e laptops, do próprio funcionário. E entram não somente questões relativas a projetos e números confidenciais da empresa, mas, também, a arquivos pessoais do usuário que ficam acessíveis a esses profissionais com a flexibilização da infraestrutura com a consumerização.

Via de regra, quando um colaborador coloca um arquivo pessoal no equipamento da empresa, caso o administrador da rede tenha acesso a ele e faça uso dele com consentimento da direção da empresa, não há nada de errado. É como se o funcionário cedesse esse arquivo para companhia.

Por outro lado, se o aparelho é de uso pessoal e o funcionário o empreste à corporação para prestar um serviço, fazendo, com isso, uso da rede, o administrador alcança arquivos de uso pessoal. E então nasce o problema, no caso de perda ou mal uso desses documentos. ?Há várias questões novas que o texto [PL] não engloba. As mudanças são muito dinâmicas e, com a consumerização, há essa mistura do que é meu e do que é da empresa?, ponderou o executivo.

Claro que, segundo Reis, é considerada a intenção quando ocorre um julgamento: se, em um exemplo hipotético, o profissional de TI tiver a intenção de prejudicar alguém fazendo o uso de seus arquivos pessoais, a condenação é justa. Mas se isso ocorre por uma falha ou engano, há uma avaliação mais acurada, com base em fatos e provas. Neste caso, a lei determina que o acusador forneça provas contra o acusado: é preciso comprovar a ação e a intenção, por meio de fatos e relatos. De qualquer forma, os cuidados, para a própria proteção do profissional que administra do ambiente de redes, devem ser redobrados.

Saiba mais:

Lei do Cibercrime: texto não contempla cloud computing, diz especialista

Cibercrime dá menos dinheiro do que o esperado

Câmara aprova PL que determina crimes cibernéticos

Dia mundial da internet: saiba como se proteger de ameaças online