Crimes cibernéticos podem causar prejuízo de até US$ 8 tri para empresas

Os crimes cibernéticos podem causar prejuízos de até US$ 8 trilhões para empresas no mundo todo nos próximos cinco anos. Os cálculos constam do estudo Global Risks Report 2018, produzido pelo World Economic Forum (WEF), com o apoio da seguradora suíça Zurich. O montante equivale ao Produto Interno Bruto (PIB) do Reino Unido, França e Alemanha juntos.

Prevenir, prevenir

A saída para conter a escala dos custos é a adoção de medidas que incorporem o risco cibernético no dia a dia das organizações, segundo a corretora de seguros Aon. Para 2018, a consultoria prevê uma exposição ainda maior do mundo corporativo graças à convergência de três tendências: dependência crescente da tecnologia nas empresas; foco intensificado das agências reguladoras em proteger dados dos consumidores e o valor crescente de ativos intangíveis.

Fonte: Estadão

Agora é crime!

Crime-cibernetico

Desde a zero hora de hoje, dia 02 de abril de 2013, é crime “invadir dispositivo informático alheio”. Até ontem às 24:00hs não era crime. Porém a Lei 12.737/2012 é bem explicita quando indica “mediante violação indevida de mecanismo de segurança”. Isto significa que organizações e pessoas precisam implantar mecanismo de segurança. Mas o que seria mecanismos de segurança? Simples: qualquer controle, qualquer ação que indique ou impeça o acesso indevido. Quer dizer, não dá para o (potencial) criminoso dizer: “Eu não sabia que não podia entrar! Não tem nada impedindo nem informando!”

O Gestor Organizacional, o Executivo ou o Dono da Informação deve exercer suas funções com “cuidado e diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios”, Código Civil, Artigo 1.011.

Mas, para uma organização parece confuso. Que medidas deveria implantar. Novamente simples. Há vários anos, existe a Norma internacional ISO/IEC, que foi publicada no Brasil pela ABNT como NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação.

Em resumo, a organização precisa ter um Processo Organizacional de Segurança da Informação sob risco de seus administradores serem acusados de negligência profissional.

Independentemente de seu porte e do seu tipo de negócio, cada organização têm condições de ter um processo estruturado de segurança da informação. Evidentemente a rigidez da implementação dos controles será diferente para cada tipo de organização. Mas todos os controles existirão. Desde um escritório de um profissional autônomo, que ele próprio leva a cópia de segurança para casa, até uma grande corporação que possui cópias de segurança em vários locais com quilômetros de distância.

Como pessoas precisamos ter mais cuidado e também colocar mecanismos de proteção. Exemplo: senha no celular. Se você não tiver uma senha na entrada do celular, caso outra pessoa acesse as suas informações, pela Lei, ela não estará cometendo crime ao entrar. Se tiver uma senha e esta pessoa conseguir quebrar ou adivinhar a senha, estará cometendo o crime de invadir dispositivo informático.

A Lei está longe de ser perfeita. Os operadores do Direito têm várias críticas e muito bem fundamentadas. Mas, é a Lei existente.

Rigorosamente as organizações já deveriam ter proteção da informação antes da lei. Afinal, proteção da informação é para evitar situações que prejudiquem a organização pelo mau uso, pelo erro ou pela má fé de pessoas. Depois do impacto ter acontecido, a organização já sofreu. A Lei permite uma culpabilidade, uma penalização. Mas, o que queremos é que as organizações (e as pessoas) protejam as suas informações.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Canaltech