PachecoV1: Lei Carolina Dieckmann. Já atualizou sua política?

Primeiramente, devo agradecer ao Casal Leandro e Danyelle Pereira que apoiaram na revisão do texto. O Leandro sendo um Administrador de Redes Sênior validou os temas técnicos de TI. Sua esposa, a Dra. Danyelle, nos apoiou com os termos e conotações jurídicas. Espero que o texto possa aclarar um pouco mais sobre esta nova lei.

Foi sancionada por nossa Presidente a Lei 12.737/2012, mais conhecida como a lei “Lei Carolina Dieckmann”. Sendo a primeira lei orientada a crimes na internet, esta foi criada pelo Deputado Paulo Teixeira (PT/SP). Há alguns itens polêmicos no texto, entretanto a legislação não traz detalhamentos profundos e técnicos no conceito de segurança da informação. Diante deste cenário, abrangeremos de forma sucinta o principal aspecto da Lei, quais sejam “Política e Governança” dos processos de TI – Tecnologia da Informação.

Primeiramente, vejamos o que realmente a lei visualiza como ato criminoso:

”Art.154-A – Invadir dispositivo de Informática alheio, conectado ou não a rede de computadores, mediante a violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagens ilícitas.

Pena: detenção, de 3(três) meses a 1 (um)ano, e multa

Art. 154-A.3 – Se da Invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais, ou industriais, informações sigilosas, assim definidas em Lei ou controle de remoto não autorizado do dispositivo invadido.” ¹

Esclareço, desde já, que não sou Advogado, mas lendo o texto publicado em uma coluna da UOL o autor da lei, deixa claro que:

"Se um documento confidencial, por exemplo, não for guardado com o devido cuidado [e for deixado exposto em cima de uma mesa], a lei não protegerá o titular deste documento e não considerará o documento como confidencial. Por conseguinte, a pessoa que tiver acesso não será considerada detratora." ²

Ótimo, pelo texto acima não temos responsabilidade nisso... Será?

Na prática, a área de TI é responsável pelos dados e consequentemente pelas informações corporativas ou até mesmo pessoais que estão armazenadas na companhia. Pode ocorrer de fato de não invadirmos informações ou sermos os “criminosos virtuais”. É válido uma atenção e ajustes nas políticas de suporte ou segurança da informação. Citarei alguns serviços ou situações que podem ser calibradas.

Vamos partir desta premissa:

“Até que você prove que não é culpado, você é o suspeito”....

Significa que, os dados estão sob a gestão da área de TI ou de um determinado analista. Se alguém por algum motivo adquiri as informações e as usufrui de maneira indevida e não registra “logs” ou evidências que comprove que foi ele o executor, o acusado neste momento torna-se o analista ou a TI, que é a detentora das informações.

Política de Segurança da Informação – Antes de ingressarmos nos itens mais técnicos do dia-dia, temos que pensar se sua empresa possui uma política de segurança da informação e se já a possui, validar seu processo de atualização. Para as empresas de Outsourcing ou prestadores de serviços alocados, sempre fica uma dúvida, se o prestador de serviço deve seguir as políticas do cliente somente ou da empresa no qual ele é contratado. No caso, devemos seguir as duas.

As políticas servem como um elo entre a camada estratégica e operacional, gerando principalmente consistência operacional na entrega do serviço. Os profissionais devem registrar sua leitura e compreensão com regularidade.

Os contratos de prestação de serviços(Outsourcing) – É válido que os contratos de prestação de serviço já venham com alguma seção validando principalmente as informações e dados em que o cliente é responsável e aqueles que o prestador de serviço é responsável pela segurança.

Exemplos: Os dados de backup de informações dos clientes:

· Onde serão armazenadas?

· Quem é responsável pela gestão dos acessos?

· Possui Log para rastrear ações neste diretório.

· Processo e política de Backup. Possuem responsáveis e log para consultar ações de consultas nos Backups?

· Quais os cuidados para o armazenamento das informações.

É comum ver dados de clientes sendo armazenados em mídias como “Storages” móveis, HD externo ou máquinas sem a devida políticas de acessos. Todavia, nestes casos devemos rever os conceitos e analisar qual a melhor forma de diminuir as chances da responsabilização criminal abordada pela Lei aos profissionais de TI. Para tanto, convidamos você leitor a refletir sobre os pontos abaixo relacionados:

Acesso Remoto - Todas as suas ferramentas de acesso remoto possuem a opção onde o cliente atua autorizando a conexão? Não podemos esquecer que existem ferramentas de acesso remotas silenciosas, se existe esta modalidade de suporte, ela guarda logs?

Check-list – É comum que os analistas de “field support” tenham um “check-list” para que o colaborador valide o suporte fornecido. Mas esta validação de fato ocorre após os acessos as informações. Pelo texto, é importante que tenhamos uma autorização prévia do acesso. Esta autorização pode estar expressa na política, contrato, chamado ou até mesmo no check-list.

Estoque e armazenamento das mídias de backup – Como dissemos acima, é comum visualizar analistas armazenando as informações em mídias que muitas delas são móveis ou sem qualquer tipo de restrição. Neste caso, apontamos que o mais crítico de tudo é a rastreabilidade. Expomos isto, porque, podemos ser os mais honestos da companhia e repudiarmos qualquer tipo de processo antiético, mas se realizarmos o backup do cliente em um HD externo e deixarmos em cima da mesa no final do turno e . O que acontece, se uma outra pessoa com má fé adquiri e subtrai estes dados e usufrui de forma indevida? Pergunta: conseguiremos comprovar que não fomos nós os causadores da má ação?

Assim, sugerimos que a política para backup de dados, tenha sempre que possível, orientações para armazenar os dados em servidores com acessos restritos.

Há outros cuidados e temas técnicos que poderíamos discutir neste artigo, mas o que devemos nos preocupar principalmente é o ajuste nas políticas e uma conscientização geral da equipe sobre os cuidados das informações no suporte do dia-dia, ainda mais nos dias de hoje em que as pessoas possuem maior liberdade para guardar arquivos pessoais em dispositivos corporativos e arquivos corporativos em dispositivos pessoais.