A lei 12.846 – Anticorrupção e a Segurança da Informação

24 de fevereiro de 2014
Compartilhe

Em janeiro de 2014 entrou em vigor a Lei 12.846 assinada em 1 de agosto de 2013 pela Presidente Dilma Rousseff, conhecida como Lei Anticorrupção. Uma organização envolvida em situações de acusação de corrupção precisará ter um bom Processo Organizacional de Segurança da Informação para minimizar os seus problemas, seja ela culpada ou inocente.

Todas as atividades de uma organização que utiliza a informação, seja no ambiente computacional e/ou no ambiente convencional, precisa ter controles adequados de proteção desta informação. A versão 2013 da Norma NBR ISO/IEC 27002 apresenta 114 (cento e quatorze) controles básicos para a existência da segurança da informação.

Tomando por base a Lei 12.846, gostaria de destacar três itens que indicam claramente (para aqueles que querem ouvir) a necessidade de controles de segurança da informação. Vejamos:

a) Art. 3o – A responsabilização da pessoa jurídica não exclui a responsabilidade individual de seus dirigentes ou administradores ou de qualquer pessoa natural, autora, coautora ou partícipe do ato ilícito.

A novidade desta lei é a possibilidade de penalização da pessoa jurídica. Porém, este artigo terceiro indica que este fato não exclui a responsabilidade individual. Para se ter registrado as ações individuais, é necessário que quando do uso da informação (Sistemas ou correio eletrônico) exista:

–  identificação individual intransferível;

– autenticação do usuário que garanta que o usuário é realmente ele mesmo;

– registro do que o usuário realizou com a informação, com os sistemas de informação e com os recursos de informação;

– autorização do uso da informação por outro usuário que tenha autoridade e   responsabilidade para a esta autorização;

– guarda destas informações para permitir a auditabilidade do que foi realizado.

b) Art. 5º. I – prometer, oferecer ou dar, direta ou indiretamente, vantagem indevida a agente público, ou a terceira pessoa a ele relacionada; (Ato lesivo).

A comunicação de pessoas utiliza fortemente o correio eletrônico. E, com certeza, em uma situação de investigação este serviço será analisado. A organização precisa ter políticas de uso do Correio Eletrônico, uso individual, definição de guarda das mensagens, responsabilidades claras e comunicadas aos usuários. Em algumas organizações são utilizadas (não recomendado nunca pela segurança) contas de correio eletrônico onde a identificação é o cargo e não uma identificação de pessoa. Isto facilita alguns procedimentos, mas complica a responsabilização e também exige regras mais complicadas para o uso da ferramenta de correio eletrônico nestas situações.

c) Art.5º. – V – dificultar atividade de investigação ou fiscalização de órgãos, entidades ou agentes públicos (Ato lesivo).

Se um órgão de investigação solicitar da organização a trilha de auditoria de acesso a sistemas ou uso de ferramentas tipo correio eletrônico e se esta organização não tiver os registros de auditoria gravados e guardados com as identificações individuais e outros controles, com certeza poderá ser interpretada pelo judiciário como um empecilho para as investigações. Não ter cópias de segurança de informações e outros controles, recomendados pela Norma NBR ISO/IEC 27002, poderá custar uma decisão judicial não favorável à organização, e ter seu nome enquadrado na Lista Negra das organizações que praticam corrupção.

Estes três itens da lei são mais explícitos em relação aos controles de segurança da informação. Porém, com certeza, uma organização que segue os normativos internacionais e aceitos no Brasil em relação à segurança da informação ajudará em um possível problema neste tema ou em outras situações.

Processo Organizacional de Segurança da Informação – não tenha uma organização sem ele. Um dia, a Justiça pode lhe cobrar certos controles.

 

*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

Últimas Notícias
STARTUP ONE MBA 2024 – 1° SEMESTRE: CONHEÇA O TOP 10 Leia mais
PROFESSORES DA FIAP PARTICIPAM DA III BUSINESS WEEK DA MUST UNIVERSITY Leia mais
MBA em Product Management é opção para transição de carreira Leia mais
NEXT 2023: FIAP PREMIA MAIS DE 80 PROJETOS DOS ALUNOS DA GRADUAÇÃO Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.