No próximo dia 02 de Abril a Lei 12.737/2012 começa a vigorar. O que não era crime, agora será. Com esta lei o Art. 2º do Decreto-Lei nº 2.848, de 07 de dezembro de 1940 – Código Penal, fica acrescido do crime: “Invasão de dispositivo informático”.
De uma maneira simples, com definições de dicionários mais utilizados temos:
Invasão: Ato de invadir. Entrar à força. Entrar sem permissão.
Dispositivo: Qualquer peça ou mecanismo de uma máquina destinada a uma função especial.
Informático: Referente à informática que é o tratamento automático da informação.
Porém a lei coloca uma condição para o crime:
Art. 154-A: Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.
É necessário a existência de mecanismos de segurança. Ou utilizando a terminologia da Norma NBR ISO/IEC 27002:2005, é necessário a existência de um conjunto de controles de segurança da informação.
As Organizações precisam desenvolver e implantar (cada uma) o seu Processo Organizacional de Segurança da Informação, que será composto pelas Dimensões de Segurança, amparadas pelas Normas da Família ISO 27000. A Lei define o crime, mas as Organizações (e pessoas) precisam e proteger estruturadamente para que se configure o crime.
Esta lei explicita a responsabilidade que os gestores e executivos das Organizações têm (quer queiram, quer não queiram) descrita no Código Civil no seu Art. 1.011: “O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios”.
Seguir boas práticas é uma ação do bom administrador que deve ser diligente nas suas atividades e decisões. Se a Organização não possuir um processo efetivo de segurança da informação, o administrador da sociedade será responsabilizado.
Para ter um Processo Organizacional de Segurança da Informação é necessária uma abordagem estruturada, organizada, planejada e executada com profissionalismo. Organização de qualquer porte pode ter o seu processo de segurança da informação. O tamanho das ações é que serão diferentes. Toda organização precisa de cópias de segurança. A forma como será feita é que será diferente para um escritório de um profissional e secretária e uma Organização de 150 mil colaboradores. Mas, tem que ter cópias de segurança.
A Lei servirá para facilitar a punição para os crimes. Mas, o Processo Organizacional de Segurança da Informação protegerá a Organização para que os crimes não aconteçam ou para a minimização da ocorrência de crimes.
Apesar do crime chamar atenção, o processo de segurança também evita ou minimiza os erros cometidos quando da utilização da informação. As diversas estatísticas apontam para 80% o percentual de impacto causado por erros. Somente o restante seriam impactos provocados por ações de má fé.
Que venha a Lei. Não é o melhor texto, como muitos advogados criticam. Mas, independentemente da Lei, sua Organização precisa proteger a informação. E esta necessidade de proteção é uma Lei de mercado e de sobrevivência. Para proteger a informação é necessário um processo estruturado baseado na Norma NBR ISO/IEC 27002:2005. Não aposte na sorte nem no amadorismo: as consequências podem ser fatais!