2010 ppp advogados. todos os direitos reservados. 1 © ppp advogados. este documento está...

2010 PPP Advogados. Todos os direitos reservados.2010 PPP Advogados. Todos os direitos reservados.WWW.PPPADVOGADOS.COM.BR 1© PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados.

© PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados.

www.pppadvogados.com.brwww.pppadvogados.com.br

Dra. Patricia [email protected]

06/04/2010

Aspectos Legais da Prevenção a Perda de dados

2010 PPP Advogados. Todos os direitos reservados.2010 PPP Advogados. Todos os direitos reservados.WWW.PPPADVOGADOS.COM.BR 2

• Sócia fundadora do escritório Patricia Peck Pinheiro Advogados;

• Formada em Direito pela Universidade de São Paulo;• Especialização em negócios pela Harvard Business School;• MBA em marketing pela Madia Marketing School;• Formada pelo Centro de Inteligência do Exércio;• Condecorada com a Medalha do Pacificador pelo Exército

Brasileiro (2009);

Dra. Patricia Peck Pinheiro – Sócia Fundadora

• Condecorada com o prêmio “A Nata dos profissionais de Segurança da Informação (2006 e 2008);

• Condecorada com Prêmio Excelência Acadêmica – Melhor Docente – FIT Impacta São Paulo• Iniciou sua carreira como programadora aos 13 anos;• Autora do livro “Direito Digital” pela Ed. Saraiva (3ª.Ed);• Co-autora do Audio-livro e pocket book “Direito Digital no dia-a-dia” pela Ed. Saraiva (2009);• Co-autora do Audio-Livro Eleições na Internet pela Ed. Saraiva (2010);• Co-autora dos livros “e-Dicas”, “Internet Legal” e “Direito e Internet II”;• Lecionou em diversos cursos de pós-graduação (Senac-SP, IMPACTA, IBTA, FATEC);• Lecionou para Adm Publica (TST, EMAG SP, TRF 3ª e 2ª Região, TJSC, MPSC, TContas);• Experiência internacional de Direito e Tecnologia nos EUA, Portugal e Coréia;• Colunista do IDG Now, Revista Visão Jurídica, Revista Partner Sales, e articulista da Revista

Executivos Financeiros, Jornal Valor Econômico, outros.


- Patrícia Peck Pinheiro Advogados -

• Foco de Atuação: Direito Digital, Segurança da Informação e Gestão de Riscos Eletrônicos

• Equipe: 20 Profissionais• Matriz: São Paulo – Brasil• Regionais: Brasília, Curitiba, Fortaleza, Belo

Horizonte e Rio de Janeiro.• Atuação: Consultivo, Contencioso Capacitação• Categoria: ALTAMENTE ESPECIALIZADO

Java Technology

Nosso Diferencial:

ADVOGADOS QUE ENTENDEM DE TECNOLOGIA!


Patrícia Peck Pinheiro Advogados - Credenciais

Advogados - Matriz São Paulo:Advogados - Matriz São Paulo:

Equipe regionalEquipe regional Equipe AdministrativaEquipe Administrativa


5

Tudo o que você precisa ouvir sobre Direito Digit@l no dia-a-diaPINHEIRO, Patricia Peck e SLEIMAN, Cristina. Saravia 2009.

Áudio Livros Pocket Book

Publicações

PINHEIRO, Patricia Peck. Direito Digital. São Paulo: Saraiva, 2009.

Livro 3ª. Edição

PINHEIRO, Patricia Peck e Bissoli, Leandro Saraiva 2010.

Contato Saraiva: Antônio Tocca – Tel: (11) 3613-3224 email: [email protected]


O PRESENTE MATERIAL TEM FINALIDADE ACADÊMICA E DE CAPACITAÇÃO DE

PROFISSIONAIS, SENDO ASSIM, TODA A MENÇÃO DE EMPRESAS E/OU MARCAS TEM PROPÓSITO ÚNICO E

EXCLUSIVAMENTE ILUSTRATIVO.


““Quem pensa para vocQuem pensa para você a lei que ainda não ê a lei que ainda não foi escrita?foi escrita?””

Patricia Peck Pinheiro AdvogadosPatricia Peck Pinheiro Advogados


A EMPRESA ESTÁ PREPARADA PARA A EMPRESA ESTÁ PREPARADA PARA PROTEGER SEUS DADOS COM UMA PROTEGER SEUS DADOS COM UMA

VISÃO MAIS HOLÍSTICAVISÃO MAIS HOLÍSTICA??

Ima

ge

m: h

ttp://the

gold

gu

ys.blo

gsp

ot.co

m/


Por que Data Loss Prevention se tornou tão relevante em 2010?

• Devido ao cenário de perda de dados em 2009 (provocado por incidentes relacionados a Crise Financeira);•Devido a retomada de projetos que não ocorreram em 2009 por conta da crise (Cloud Computing, Paper Less, Fusões e Aquisições, Abertura na Bolsa, outros);•Devido ao crescimento de uso de mobilidade em toda a empresa;•Devido a exposição demasiada de colaboradores, parceiros e executivos em Redes Sociais;•Devido ao crescimento do uso de terceirizados;•Devido ao aumento da responsabilidade do executivo no tocante a culpa relacionada a perdas de dados para empresas (considerando já a perda de dado como um dano material e também moral – atinge reputação).


Estudo revela que 25% dos funcionários roubariam dados corporativos

Pesquisa realizada pela Cyber-Ark aponta que 40% dos entrevistados já pegaram informações corporativas: pen drive é o meio preferido.

Um entre quatro trabalhadores de escritório roubaria dados da companhia se soubesse que isso ajudaria um amigo ou parente a manter um emprego, segundo estudo da Cyber-Ark Software.

O estudo da empresa também revelou que quatro em cada dez trabalhadores já pegaram dados da companhia, e que o meio preferido de transportar informações é por meio de memória flash USB.

(...)“Não há desculpa para os trabalhadores que estão dispostos a comprometer a sua ética para salvar o trabalho, mas grande parte da responsabilidade de proteger dados de clientes é do empregador”, disse o vice-presidente de produtos e estratégia da Cyber-Ark, Adam Bosnian.(...)

http://idgnow.uol.com.br/seguranca/2009/11/24/estudo-revela-que-25-dos-funcionarios-roubariam-dados-corporativos. Acesso em: 24/11/2009.

Quem aqui a mamãe disse: “Não pegue o que não é seu”

E quem ouviu a mamãe dizer: “nem dê CTRL C CTRL V no

conteúdo alheio”.


Funcionários levam informações da Empresa!Funcionários levam informações da Empresa!

A Symantec e o Instituto Ponemon, uma empresa de pesquisa líder em gerenciamento de informação e privacidade, realizaram pesquisa junto a trabalhadores que perderam ou deixaram seus empregos em 2008 e constataram em relação às informações da empresa:

79% copiaram informações sem autorização do empregador. Utilizaram CD/DVD, Drive USB ou conta pessoal de correio eletrônico. Na opinião deles, 59% eram informações confidenciais.

61% relataram ter uma visão desfavorável do seu antigo empregador.

82% disse que seu empregador não realizou uma auditoria ou uma revisão dos papéis ou documentos eletrônicos antes que ele/ela deixasse o emprego.

24% tiveram acesso ao sistema ou rede de computadores de empregador após a saída da empresa.

A Symantec e o Instituto Ponemon, uma empresa de pesquisa líder em gerenciamento de informação e privacidade, realizaram pesquisa junto a trabalhadores que perderam ou deixaram seus empregos em 2008 e constataram em relação às informações da empresa:

79% copiaram informações sem autorização do empregador. Utilizaram CD/DVD, Drive USB ou conta pessoal de correio eletrônico. Na opinião deles, 59% eram informações confidenciais.

61% relataram ter uma visão desfavorável do seu antigo empregador.

82% disse que seu empregador não realizou uma auditoria ou uma revisão dos papéis ou documentos eletrônicos antes que ele/ela deixasse o emprego.

24% tiveram acesso ao sistema ou rede de computadores de empregador após a saída da empresa.

Fonte: http://www.constatti.com.br/?tag=engenharia-social. Acessado em: 26/02/2010.Fonte: http://www.constatti.com.br/?tag=engenharia-social. Acessado em: 26/02/2010.

Há características peculiares da cultura brasileira que

favorecem isso: Americanos e Europeus tendem a só fazer o que

estiver autorizado.Brasileiros tendem a fazer

tudo que não esteja proibido.


A prevenção a perda de dados exige tratar a informação como:

ativo estratégico; em um contexto de mobilidade crescente;

em cenários de riscos relacionados a níveis de acesso diferenciados; em permanente mudança.


1. Nossas equipes sabem usar senha de forma segura? E os certificados digitais?

2. Permitimos uso de webmail no ambiente de trabalho?3. E acesso a sites de web 2.0?4. E o uso de MSN ou outros comunicadores?5. E o uso de VoIP?6. E acesso remoto (VPN)?7. E a entrada com dispositivos com câmeras e aparelhos de

MP3?8. E as portas USB, estão liberadas? Pode-se baixar ou

instalar qualquer coisa nas máquinas?9. A segurança está andando junto com os dados?

Nossas regras de TI estão Nossas regras de TI estão clarasclaras, , documentadasdocumentadas e e em usoem uso??


Qual o nível da segurança da informação na empresa?

Para fazer a gestão de riscos operacionais é necessário conhecer as situações de

risco, sobretudo aquelas comportamentais.


Aumentam incidentes em redes sociais

COMUNICADO IMPORTANTE 30 de março de 2010

A Locaweb, líder em infraestrutura de hosting no Brasil, comunica que Alex Glikas não faz mais parte do quadro de executivos da companhia. Em razão do recente incidente envolvendo a companhia e o São Paulo Futebol Clube, o executivo decidiu, em comum acordo com a diretoria da Locaweb, desligar-se de suas funções.A Locaweb mais uma vez lamenta o ocorrido e reforça que a opinião do executivo não condiz com o posicionamento corporativo da companhia. A Locaweb reforça que fechar uma parceria com o São Paulo e expor sua marca na camisa de um dos times de maior prestígio do País é motivo de orgulho.Esta, inclusive, não foi a primeira ação da companhia ligada ao SPFC. Por quatro anos a Locaweb manteve um camarote no estádio do Morumbi, que foi utilizado em diversas ações de relacionamento.Publicado por Claudio Gora, Marketing na categoria (http://blog.locaweb.com.br/)


Conduta Digital Legislação PenalidadeUsar logo ou marcas de empresa em sites, comunidades ou em outros materiais, sem autorização do titular; ou imitá-las de modo que possa induzir à confusão.

Art. 189, Lei 9279/96 Crime contra a propriedade industrial

Detenção, de 3 meses a 1 ano.

Enviar ou publicar informações para concorrentes de mercado que sejam confidenciais.

Art. 195, Lei 9279/96 Crime de concorrência desleal

Detenção, de 3 meses a 1 ano, ou multa.

Enviar email a terceiros contendo informação considerada confidencial.

Art. 153, Cód. Penal Divulgação de segredo

Detenção, de 1 a 6 meses, ou multa.

Divulgar informações confidenciais referentes ao seu trabalho, através de e-mails, chats, comunidades, etc.

Art. 154, Cód. Penal Violação de segredo profissional

Detenção, de 3 meses a 1 ano, ou multa.

Causar danos devido a quebra de sigilo profissional, abuso do direito de liberdade de expressão, comentários ofensivos ou agressivos sobre empresa ou pessoa.

Arts. 187, 927, 1016 do Código Civil – Danos e indenização

Pagar indenização relacionada a danos morais e materiais causados.

Divulgar informação financeira da empresa em comunidades, palestras internas de resultados no Youtube, antes de formalizar junto a CVM e investidores.

Infração a Instrução CVM 358 – Fato Relevante

Penalidades previstas pela CVM, que incluem multa elevada

Riscos e Consequencias Legais pelo excesso de exposiçao dos executivos e profissionais em redes sociais

Riscos e Consequencias Legais pelo excesso de exposiçao dos executivos e profissionais em redes sociais


A Perda do Dado pode ocasionar:

Indisponibilidade completa (ex: furto de dados – Ctrl X)

Disponibilidade não autorizada mas sem tornar indisponível o dado (ex: furto de dados – Ctrl C

Ctrl V muito comum de envolver ilícito da concorrência desleal)

Disponibilidade total e exposição absoluta (ex: vazamento de informação, quebra de sigilo

profissional)


QUAL O MAIOR FATOR DE NEGLIGÊNCIA EM SI?

TEMPO POR FALTA DE TREINAMENTO (CONHECIMENTO)

O QUE É MAIS CERTO SOBRE A INFORMAÇÃO É QUE ELA SERÁ REVELADA!

É NECESSÁRIO MUITO TREINAMENTO PARA EVITAR ESSE COMPORTAMENTO NATURAL.

O QUE É MAIS CERTO SOBRE A INFORMAÇÃO É QUE ELA SERÁ REVELADA!

É NECESSÁRIO MUITO TREINAMENTO PARA EVITAR ESSE COMPORTAMENTO NATURAL.


NOSSOS EXECUTIVOS DE MAIS ALTO ESCALÃO E ACESSO A INFORMAÇÃO

PRIVILEGIADA, SENSÍVEL E CONFIDENCIAL...

REALMENTE SABEM PROTEGER A INFORMAÇÃO?


Check-List Capacitação do Executivo:

1. Ele sabe qual a postura que ele deve ter no uso das informações, tecnologias e marcas da empresa?

2. Ele sabe o conceito de prova eletrônica;

3. Ele sabe como guardar um email original;

4. Ele sabe portar dados seguros em mobilidade (mobilidade é comum em executivos);

5. Ele possui as ferramentas de data protection com ele e foi treinado (prevenção);

6. Ele nunca empresta a senha, nem pela pressa ou para pessoas de sua mais alta confiança – pois é infração de norma interna e também crime de falsa identidade (art. 307 e 308 Código Penal Brasileiro);

7. Se acontecer um incidente ele sabe qual medida tomar?


Vivemos já uma Vivemos já uma guerra cibernética guerra cibernética

corporativa!corporativa!

Vivemos já uma Vivemos já uma guerra cibernética guerra cibernética

corporativa!corporativa!

htt

p://

ww

w.a

irfo

rce

time

s.co

m/x

ml/n

ews/

200

8/0

3/a

irfo

rce

_cy

ber_

stru

ctu

re_

03

210

8w

/cyb

er_

com

ma

nd

_80

0.J

PG


INTELIGÊNCIA – BUSCAR/ACESSAR INFORMAÇÃO.

CONTRA-INTELIGÊNCIA – MEDIDAS PARA QUE ISSO NÃO OCORRA (Proteção contra:

espionagem, sabotagem, terrorismo, vazamento, uso privilegiado, conflito de interesses).


Há 3 Grandes motivos para perda/furto de dados corporativos:

(1) FALTA DE FERRAMENTA

(2) FALTA DE TREINAMENTO (CONHECIMENTO COMO USAR)

(3) FALTA DE TEMPO

(caso manobrista)


• Situações Vazamento de Informação (precisa haver procedimentos claros de resposta a incidentes – Prevenção, Contenção, Reação):

•Quebra de sigilo profissional em Rede Social;•Perda de dados devido a furto de notebook ou outro dispositivo (pen drive e smartphone são até mais comuns);

•Retirada de informação pela porta USB;•Retirada de informação pela VPN;•Cumprimento de Ordem Judicial – busca e apreensão de HD, Servidor, Proxy, outros;•Compartilhamento de dados com terceirizado que freqüenta perímetro físico ou lógico portando dispositivos para coleta de dados (seja uso de câmera ou aparelho de MP3, outros);

•Desligamento de profissional (permitimos tirar dados, pode ter pasta particular no C ou na rede, ainda mais com nova Lei de Pedofilia?);

•Acesso autenticado com uso de senha em período de férias de profissional;•Acesso autenticado além do autorizado – empréstimo de senha


95% dos dados são ostensivos - estão abertos e públicos - ex: na web

Dados não estruturados

(falta organização e propósito)

Apenas 5% dos dados são obtidos por inteligência, necessitam serem buscados

em ambientes de acesso restrito (protegidos por contra-inteligência).

Não é proteger tudo de todos… e sim algumas coisas de alguns.

.


As Fases de uma Ordem:

Cumprimento – ocorre imediatamente;

Relaxamento – ocorre a partir de 48 horas;

Esquecimento – ocorre a partir de 5 dias.

Qualquer recomendação com prazo acima de 5 dias e exigência de conduta reiterada está tendente a não ser cumprida – precisa de muita ferramenta e

muito treinamento!


Como lidar com estes 2 tipos de usuários problemáticos?

Qual a porcentagem dos “com noção + treinados + capacitados com ferramentas + com cultura de uso

seguro das informações” temos em nossa empresa?

OS “SEM NOÇÃO”OS “SEM NOÇÃO” OS DE “MÁ FÉ”OS DE “MÁ FÉ”


Metodologia:• Regra Clara – tem que ter políticas, normas, procedimentos,

termos, formulários (documentação);• Tecnologia (a proteção deve acompanhar os dados e não

apenas os dispositivos – princípio do canivete suíço)– Software para controle porta USB;

– Software para monitoramento notebook;

– Servidor de logs com preparo jurídico;

– Autenticação forte (Sou, Sei, Tenho);

– Criptografia e Esteganografia

• Treinamento – estamos capacitando?


• Treinamento atual de SI nas empresas:– 30 minutos na integração;– Semana de SI – palestras 1 vez por ano;

OBS: alcança a empresa inteira? (e as que têm mais de 1.000 funcionários fazem como?)

ISSO É CAPACITAR? (3 HORAS ANO?)- Alcança o alto escalão?- Alcança os terceirizados?

Tem que ser um processo de

Educação Continuada!


E a equipe técnica está capacitada para Resposta a Incidentes de Segurança da

Informação?


• Check-list de capacitação equipe técnica?– Faz-se Monitoramento com conformidade legal;– Compreende-se Princípio da Ordem de Volatilidade em Computação;– Há Preservação do Ambiente de Incidente (profissional pode continuar usando a máquina

envolvida?);– Sabe-se fazer a coleta adequada das provas (espelhar HD, gerar imagem para análise –

nunca usar o original, solicitar preservação de provas em terceiros – notificação de provedores);

– Há procedimento implementado para usar ata notarial;– Todos aplicam cadeia de custódia para proteção das evidências eletrônicas;– É prática documentar tudo – passo a passo (para conseguir refazer a perícia em ambiente

de auditoria ou judicial se necessário);– Sabe-se o limite, até onde se pode ir em uma investigação (aplicação do princípio da

Legítima Defesa Digital – arts. 23 e 25 do Código Penal);– Há um código de ética e um termo de responsabilidade específicos assinados com esta

equipe de TI e SI?


Metodologia – 5 passos:1º. Análise do ambiente (SWOT – é o estudo de Situação (fase mais importante);2º. O que fazer (traçar cenários prospectivos);3º. Como fazer (análise de riscos – traçar linhas de ação com base em vulnerabilidade, probabilidade, impacto);4º. Plano de Acompanhamento (monitorar, auditar);5º. Correção – análise dinâmica e aprendizado.


Contexto de Gestão de Riscos

a) Proteger o que? (infra-estrutura crítica)- Instalação física;- Áreas;- Pessoas;- Tecnologia da Informação;- Serviços;- Processos Críticos;- Bens tangíveis e intangíveis (Marca, Bancos de

Dados, Patentes, Códigos Fontes, Acervo Histórico, Reputação).


Contexto de Gestão de Riscosb) Proteger de quem?

- Organizações criminosas;- Apagão energia;- Sabotagem contra instalações;- Atentado terrorista;- Apagão aéreo;- Bug (do milênio ou outros);- Epidemia ou Pandemia (dengue, febre, gripe suína);- Apagão de Comunicação (Tecnológico);- Insider (usuário próprio ou de terceirizado).


Contexto de Gestão de Riscosc) Quando? (fazer estudo situação –

consciência situacional)- Anualmente;- Após incidentes;- Novas ameaças;- Resultados de Auditorias;- Determinação de superiores;- Iniciativa própria;- Inclusão de novos ativos (instalação ou equipamentos);- Permanentemente (holítico).


• O que fazer se houver suspeita de um colaborador estar vazando dados intencionalmente:– Como coletar as evidências de autoria?– Como preservar o ambiente de incidente?– Deve-se falar com ele ou não?– Ele pode continuar usando a máquina?– Está claro que a empresa pode retirar a qualquer tempo o

equipamento da pessoa (ou esta conduta repentina da TI geraria melindre e risco de dano moral)?;

– Onde colocar as provas enquanto houver instauração do processo administrativo interno (como evitar que o colaborador diga que a empresa plantou a prova?).


Incidente em Redes Sociaisex: Caso TwitterO que fazer?

1. Preservação das evidências (coleta inicial e solicitação para que o provedor do ambiente as guarde também);

2. Fazer denúncia ao Twitter pelo canal de contato com base no Termo de Uso (tem que ser em inglês se a pessoa não possuem perfil enviar para [email protected] e se possui http://twitter.zendesk.com/forums/26257/entries)

3. Em não sendo atendido, enviar notificação extrajudicial ao Twitter via email (ex: Comprova.com) e/ou via courrier (para o endereço deles nos EUA para o endereço 539 Bryant St., Suite 402, San Francisco, CA 94107, At. Law Enforcement / Copyright – com a referência de “Cease and Desist Letter – Identity Thief and Copyright Abuse – Fake Screen Name and Account);

4. No entanto, o Twitter não consegue impedir que ocorra de novo. Apenas uma ação judicial contra o verdadeiro autor (infrator) e/ou contra o próprio Twitter (responsabilidade objetiva).


NOSSO PCN PREVÊ O RISCO DE BUSCA E APREENSÃO (E A INDISPONIBILIDADE...)

A EMPRESA ESTÁ PREPARADA SE LEVAREM O SERVIDOR EMBORA?

Previsão: arts. 798, 839, 840 e 842 (em especial o §3º) do Código de Processo Civil;arts. 13 e 14 da Lei do Software (Lei 9.609/98).

“MEDIDA CAUTELAR - Busca e apreensão - Programas de computador - Suposta violação de direitos autorais - Liminar indeferida para tal providência - Presença do fumus boni júris e do periculum in mora. Inteligência da Lei n. 9.609/98 - Decisão reformada - Recurso provido.” (TJSP, Rel. Joaquim Garcia, Agravo de Instrumento nº 577.646-4/6, julg. 02/03/2009).


Nesse contexto então

CLOUD COMPUTING

É PROBLEMA OU SOLUÇÃO?

DEPENDE, TEM QUE SER SEGURA.

E Segurança não está na nuvem, está na informação!!!


Principais Fatores de Análise de Risco:

1.Autenticação e Controle de Acesso;

2.Disponibilidade;

3.Confidencialidade;

Ou seja - Segurança da Informação de um modo geral (caso incidente EUA).

É essencial ter bons contratos, SLAs e Plano de Disaster Recover, Contingência e Continuidade.


Apagão pode comprometer dados das empresas

A queda de energia, que ocorreu a partir das 22h13, ainda não teve sua causa definida, mas pode servir de alerta às pequenas, médias e grandes empresas que não possuem sistema de recuperação de desastres.Segundo Paulo Prado, gerente de marketing de produto da Symantec para a América Latina, os dois principais problemas detectados são a interrupção da gravação e escrita de arquivos e os danos físicos que podem afetar os sistemas.O executivo também chama a atenção para a questão da virtualização, que prevê diversos serviços virtuais servidores rodando em apenas um servidor físico. Se ele for danificado, a média de recuperação pode variar entre 3 e 4 horas.Para Bruno Ricardo, gerente de treinamento e pré-vendas da F-Secure Brasil, os usuários devem prestar atenção na hora de contratar os serviços de virtualização. “Existem diversos pacotes de serviços e armazenamento de dados em nuvem. É preciso analisar os contratos cuidadosamente para ver quais soluções são oferecidas”, diz. [...]Segundo o relatório da Symantec sobre recuperação de desastres, problemas com o fornecimento de energia elétrica estão entre as principais preocupações das empresas, seguidos das falhas de hardware e ameaças como vírus.

11-11-2009Fonte:http://www.planeta-informatica.com/apagao-pode-comprometer-dados-das-empresas/

É NOTÍCIA ...É NOTÍCIA ...


Segurança da Informação X Segurança da Informação X Anonimato!Anonimato!

É essencial É essencial autenticação forteautenticação forte. . Somente a pessoa certa Somente a pessoa certa

acessar o mínimo de acessar o mínimo de informação necessária!informação necessária!


Notícia: As prioridades de investimentos em segurança no próximo ano

Segundo pesquisa das revistas norte-americanas CIO e CSO, os orçamentos voltados à proteção de dados serão concentrados em controle de acesso por meio de biometria, filtragem de conteúdos web, criptografia de mídias removíveis, entre outros CIO/EUA – 16/10/2009.

Pesquisa realizada pelas revistas norte-americanas CIO e CSO e coordenada pela consultoria PricewaterhouseCoopers indica quais serão os focos de investimento em segurança da informação no próximo ano. Para o estudo, foram ouvidos cerca de 7.300 gestores de TI de todo o mundo, os quais são atuantes nos segmentos finanças, saúde, serviços, varejo e governo. [...]O estudo mostra que, embora a proteção de informações seja regulamentada por agências reguladoras em muitos setores, os CIOs ainda não acham que os processos e ferramentas utilizados atualmente são suficientes para blindar as companhias contra as ameaças internas e externas.

Nesse contexto – e por meio dos comentários dos gestores que participaram da pesquisa – foi possível elaborar o ranking das questões de segurança que receberão mais investimentos em 2009:

1. Biometria – para gerenciamento de acesso a dados sigilosos2. Filtros para barrar conteúdos inadequados da web3. Processos de proteção de informações secretas4. Senhas seguras – obtidas por meio de tokens5. Ferramentas de proteção dos sistemas de voz sobre IP6. Monitoramento da web 2.07. Gerenciamento de identidades8. Criptografia de mídias removíveis

Disponível em: http://cio.uol.com.br/tecnologia/2009/10/16/as-prioridades-de-investimentos-em-seguranca-no-proximo-ano/. Acesso em: 02/02/2010Disponível em: http://cio.uol.com.br/tecnologia/2009/10/16/as-prioridades-de-investimentos-em-seguranca-no-proximo-ano/. Acesso em: 02/02/2010


UF Legislação UF Legislação

ACRE Não há PARÁ Não há

ALAGOAS Lei nº. 6.891/2007 PARAÍBALei nº.8.134/2006

AMAPÁ Lei nº. 1.047/2006 PARANA Não há

AMAZONASLei nº. 3.173/2007/ Leinº. 3.351/2008

PERNAMBUCOProjeto de Lei(PL 143/2007)

BAHIAProjeto de Lei (PL17.362/2007) PIAUÍ

Lei nº.5.747/2008

CEARÁ Não há RIO DE JANEIROLei nº.5.132/2007

DISTRITO FEDERALLei Distrital nº.3.437/04

RIO GRANDE DONORTE

Não há

ESPÍRITO SANTO Lei nº. 8.777/2007 RIO GRANDE DOSUL

Lei nº.12.698/2007

GOIÁS Não há RONDONIA Não há

MARANHÃO Não há SANTA CATARINA

Não há

MATO GROSSO Lei nº. 8.502/2006 SÃO PAULOLei nº.12.228/2006

MATO GROSSO DO SUL Lei nº. 3.103/2005 SERGIPE Não há

MINAS GERAISProjeto de Lei (PL1.720/2007) TOCANTINS Não há

Prefeitura do Rio de Janeiro lança Wi-Fi gratuito em

Copacabana....não há qualquer autenticação de usuário! Inclusão

Digital sem pensamento estratégico de Segurança da

Informação gera RISCOS SISTÊMICOS!


Sobre o assunto, o Senado Federal aprovou em Senado Federal aprovou em 05/11/2009 o PLS 296/200805/11/2009 o PLS 296/2008, que obriga os estabelecimentos que oferecem serviços de conexão à rede mundial de computadores a coletarem e guardarem os dados cadastrais do usuário pelo prazo de 03 anos em 05/11, remetendo-o à Câmara dos Deputadremetendo-o à Câmara dos Deputados para apreciação.

PLS 296/2008

E A NOSSA REDE DA EMPRESA PERMITE ANONIMATO?

GUARDAMOS OS LOGS DE ACESSO (Servidor de logs com guarda histórica sem

sobrescrever por um período pré-estabelecido?)Se ocorrer um incidente temos PROVA DE

AUTORIA (CONFORMIDADE LEGAL DA TI)?


TRANSPARÊNCIATRANSPARÊNCIAGOVERNANÇA GOVERNANÇA

CONTROLECONTROLESEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO

EDUCAÇÃO e MONITORAMENTO

EDUCAÇÃO e MONITORAMENTO CONSCIENTIZAÇÃOCONSCIENTIZAÇÃO

PREVENÇÃO e GESTÃO DE RISCO

PREVENÇÃO e GESTÃO DE RISCO

Na contexto empresarial, a Sociedade Digital exige:Na contexto empresarial, a Sociedade Digital exige:

representarepresentasignificasignifica

exigeexigenecessitanecessita

significasignifica Tecnicamente...Tecnicamente...

2010 PPP Advogados. Todos os direitos reservados.2010 PPP Advogados. Todos os direitos reservados.WWW.PPPADVOGADOS.COM.BR 47 47

QUAL A RESPONSABILIDADE DO GESTOR?

Código Civil - 2002

Art.1011. O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligencia que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.

Art.1016 Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções.

Art. 927 – Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único: Haverá obrigação de reparar o dano, independente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida, pelo autor do dano implicar, por sua natureza, risco par os direitos de outrem.


Art. 932. São também responsáveis pela reparação civiltambém responsáveis pela reparação civil:

(...)

III - o empregador ou comitente, por seus empregados, serviçais e prepostos, no exercício do trabalho que lhes competir, ou em razão dele;

(...)

Art. 942. Os bens do responsável pela ofensa ou violação do direito de outrem ficam sujeitos à reparação do dano causado; e, se a ofensa tiver mais de um autor, todos responderão solidariamente pela reparação.

Parágrafo único. São solidariamente responsáveis com os autores os co-autores e as pessoas designadas no art. 932.

RESPONSABILIDADE SOLIDÁRIA DO EMPREGADOR RESPONSABILIDADE SOLIDÁRIA DO EMPREGADOR RESPONSABILIDADE SOLIDÁRIA DO EMPREGADOR RESPONSABILIDADE SOLIDÁRIA DO EMPREGADOR


Art. 21, Código Penal:Art. 21, Código Penal:

““O desconhecimento da lei é O desconhecimento da lei é inescusável.inescusável.”

Prevenção é essencial e exige ferramenta, regras claras e treinamento!


1.Precário controle de identidades na rede, ou seja, há mais usuários que pessoas, há usuários ativos de pessoas não mais legítimas, não há servidores de logs ou a guarda dos logs na rede não é adequada então não se consegue ter a tão necessária prova jurídica de autoria quando ocorre um incidente;

2.Falta de treinamento das equipes técnicas para resposta a incidentes e saber coletar as provas eletrônicas, que devem ser preservadas rapidamente bem como de orientação sobre postura, ou seja, de ter um “Código de Ética da TI” (quem vigia o vigia);

3.Falta de cultura interna de segurança da informação na alta cúpula e gestores , que acabam não dando o exemplo e geram uma situação de risco em cascata pois repercute nas equipes;

4.Falta de conhecimento e controle maior do que está nas máquinas e na rede, muitas vezes questiona-se o investimento em softwares de monitoramento e varredura, o que é um grande risco, principalmente com a nova lei de Pedofilia;

5.Falta de Normas e Procedimentos mais claros sobre Mobilidade (Mobile Office), ou seja, quais as regras para uso dispositivos de pendrive, notebook, smartphone, VPN, outros), o que inclui a falta de padrão e prática de uso de criptografia e controle de porta USB;

Diagnóstico Final – como está a Blindagem legal da TI?


6. Falta de determinação de requisitos de segurança da informação para terceirizados, tanto definido em cláusulas contratuais como em um Código de Conduta do Terceirizado;

7. Falta de PCN ou o mesmo está incompleto, por exemplo, não prevê alguns incidentes que são causados por questões jurídicas e podem gerar paralisação e indisponibilidade, como a hipótese e se houver a busca e apreensão do servidor ou do proxy da empresa, o que deve ser feito (o tempo mínimo em que o equipamento fica a disposição da Justiça é de 3 meses);

8. Falta de definição clara sobre questões relacionadas a Redes Sociais, o que pode ou não ser usado e feito, seja dentro do trabalho ou fora, com alerta para prevenir situações de quebra de sigilo profissional, vazamento de informação, uso indevido da marca da empresa, associação da marca da empresa com conteúdo inadequados que podem repercutir negativamente na imagem da mesma (especialmente para empresas abertas em bolsa);

9. Falta de documentação dos incidentes com padronização e metodologia que permita criar uma base de dados de inteligência e assim identificar o “modus operandi” de um incidente para evitar que ocorra de novo.

Diagnóstico atual de Blindagem legal da TI:


Evitar Subjetividade e/ou Generalizações;

Deixar claro o conceito de Identidade Digital (não apenas de senhas) e alinhar com alçadas e poderes;

Deixar claro que há Monitoramento (e prever as duas hipóteses tanto para fins de segurança como de produtividade);

Deixar claro que há inspeção Física de equipamentos da empresa, particulares e/ou de terceiros;

Deixar claro que os recursos devem ser usados só para fins profissionais;

Prever que a mera tentativa de Burlar também é uma infração as normas;

Deixar clara proibição de infração de direitos autorais, prática de pirataria, pornografia, pedofilia, guarda, manuseio de conteúdos ilícitos ou de origem duvidosa e que a empresa vai colaborar com as autoridades;

Tratar sobre a má conduta (infração mais ética do que jurídica);

Prever a divulgação da norma;

Deixar claro papéis e responsabilidades;

Definir Aplicabilidade;

Gerar assinatura física e/ou eletrônica do Termo de Ciência;

Deixar claro que é a empresa que detém a propriedade dos Recursos, bem como direitos autorais das criações e demais proteções de ativos intangíveis;

Reforçar dever de Confidencialidade e Sigilo;

Determinar possibilidade de Processo Disciplinar;

Determinar requisito de inserção de cláusulas específicas em contratos (se possível, atualizar contrato de trabalho para prever monitoramento);

Prever procedimento de Resposta a Incidentes de SI (como coletar as provas sem cometer infração a Privacidade ou crime de interceptação.

Tratar da questão da mobilidade;

Implementar vacinas legais (avisos) nas próprias interfaces gráficas.

Dicas Monitoramento Legal


Responsabilidade Social

Movimento de Responsabilidade Social DigitalCRIANÇA MAIS SEGURA NA INTERNETCRIANÇA MAIS SEGURA NA INTERNET

www.criancamaissegura.com.br

Cartilha Vídeos

1 2 3 4 5

1 2 3 4 5

Dissemine essa idéia!Dissemine essa idéia!

Patrocinadores:Patrocinadores:


Referências - Site

WWW.PPPADVOGADOS.COM.BR


Entendemos que quando a sociedade muda, o DIREITO também deve mudar, evoluir. Este direito que surge é interdisciplinar,

abrangendo todas as suas tradicionais áreas de atuação. Nasce, então, o DIREITO DIGITAL.

Entendemos que quando a sociedade muda, o DIREITO também deve mudar, evoluir. Este direito que surge é interdisciplinar,

abrangendo todas as suas tradicionais áreas de atuação. Nasce, então, o DIREITO DIGITAL.



NÃO FAÇA JUSTIÇA COM O PRÓPRIO MOUSE,BUSQUE A AJUDA DE UM ESPECIALISTA

(5511) 3068-0777 - [email protected] www.pppadvogados.com.br

NÃO FAÇA JUSTIÇA COM O PRÓPRIO MOUSE,BUSQUE A AJUDA DE UM ESPECIALISTA

(5511) 3068-0777 - [email protected] www.pppadvogados.com.br

2010 ppp advogados. todos os direitos reservados. 1 © ppp advogados. este documento está...

Documents