Desde a zero hora de hoje, dia 02 de abril de 2013, é crime “invadir dispositivo informático alheio”. Até ontem às 24h00 não era crime. Porém a Lei 12.737/2012 é bem explícita quando indica “mediante violação indevida de mecanismo de segurança”. Isto significa que organizações e pessoas precisam implantar mecanismo de segurança. Mas o que seria mecanismos de segurança? Simples: qualquer controle, qualquer ação que indique ou impeça o acesso indevido. Quer dizer, não dá para o (potencial) criminoso dizer: “Eu não sabia que não podia entrar! Não tem nada impedindo nem informando!”.
O Gestor Organizacional, o Executivo ou o Dono da Informação deve exercer suas funções com “cuidado e diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios”, Código Civil, Artigo 1.011.
Mas, para uma organização parece confuso. Que medidas deveriam implantar. Novamente simples. Há vários anos, existe a Norma Internacional ISO/IEC, que foi publicada no Brasil pela ABNT como NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão da Segurança da Informação.
Em resumo, a organização precisa ter um Processo Organizacional de Segurança da Informação sob risco de seus administradores serem acusados de negligência profissional.
Independentemente de seu porte e do seu tipo de negócio, cada organização têm condições de ter um processo estruturado de segurança da informação. Evidentemente a rigidez da implementação dos controles será diferente para cada tipo de organização. Mas todos os controles existirão. Desde um escritório de um profissional autônomo, que ele próprio leva a cópia de segurança para casa, até uma grande corporação que possui cópias de segurança em vários locais com quilômetros de distância.
Como pessoas precisamos ter mais cuidado e também colocar mecanismos de proteção. Exemplo: senha no celular. Se você não tiver uma senha na entrada do celular, caso outra pessoa acesse as suas informações, pela Lei, ela não estará cometendo crime ao entrar. Se tiver uma senha e esta pessoa conseguir quebrar ou adivinhar a senha, estará cometendo o crime de invadir dispositivo informático.
A Lei está longe de ser perfeita. Os operadores do Direito têm várias críticas e muito bem fundamentadas. Mas, é a Lei existente.
Rigorosamente as organizações já deveriam ter proteção da informação antes da Lei. Afinal, proteção da informação é para evitar situações que prejudiquem a organização pelo mau uso, pelo erro ou pela má fé de pessoas. Depois do impacto ter acontecido, a organização já sofreu. A Lei permite uma culpabilidade, uma penalização. Mas, o que queremos é que as organizações (e as pessoas) protejam as suas informações.
A propósito, sua organização tem um Processo de Segurança da Informação para o ambiente de tecnologia e para o ambiente convencional (pessoas, lixo, papel, e similar)?