2016 06-11 - palestra - aspectos juridicos da si
TRANSCRIPT
| Ano 2016
ASPECTOS JURÍDICOS DA SEGURANÇA DA INFORMAÇÃO
Frederico FélixFaculdade Promove – 11/06/2016
• Bacharel em Direito pela Faculdade Milton Campos
• Pós-graduado em Direito e Tecnologia da Informação pela
Fundação Getúlio Vargas
• Mestre em Direito Empresarial pela Faculdade Milton
Campos
• Master of Laws (LL.M) em Propriedade Intelectual pela
Santa Clara University (Califórnia)
• Advogado, Professor e Autor
Meu Background
INFORMAÇÃO
ATIVO CADA VEZ MAIS VALIOSO
Contexto
POR QUE ESTE ASSUNTO TEM SE TORNADO
CADA VEZ MAIS RELEVANTE?
Contexto
INFORMAÇÃO CADA VEZ MAIS DIGITAL
Contexto
AUMENTO DA OFERTA DE SERVIÇOS ONLINE
Contexto
EXPANSÃO DOS ATIVOS EM BITS
Contexto
POR QUE AS EMPRESAS ESTÃO SE TORNANDO
CADA VEZ MAIS VULNERÁVEIS?
Contexto
AUMENTO DA CAPACIDADE DE
ARMAZENAMENTO DAS MÍDIAS DIGITAIS
Contexto
AUMENTO DAS FONTES DE DADOS
Contexto
AUMENTO DAS SESSÕES DE REDE
Contexto
ACESSOS REMOTOS
Contexto
AUMENTO DOS REGISTROS DE LOGS
Contexto
AUMENTO DOS DISPOSITIVOS MÓVEIS
Contexto
NOVOS SISTEMAS OPERACIONAIS E PADRÕES
DE CONECTIVIDADE
Contexto
FENÔMENO “BYOD”
Contexto
CONVERGÊNCIA DIGITAL
Contexto
NOVOS RISCOS!
NOVOS PROBLEMAS!
NOVOS INCIDENTES!
Contexto
INCIDENTES MAIS COMUNS... Fraudes Eletrônicas
Vazamento de dados confidenciais
Invasão de dispositivos informáticos;
Sequestro de dados – ransomware
Incidentes na área de SI
Fraudes Eletrônicas
Vazamento de dados confidenciais
Vazamento de dados confidenciais
Invasão de dispositivo
Sequestro de dados
Como enfrentar juridicamente os incidentes?
Preservar a prova;
Identificar a autoria;
Tomar as medidas jurídicas adequadas no menor tempo
possível.
Enfrentamento de incidentes
Marco Civil da Internet
Lei “Carolina Dieckmman” – Crimes Cibernéticos
Lei de Propriedade Industrial
Lei de Interceptação telemática
Futuro Próximo...
Projeto de Lei - Proteção de Dados Pessoais
Principais marcos regulatórios na área de SI
Estrutura Investigativa
Na grande maioria dos crimes digitais, em que a vítima não é
administradora do ativo informático utilizado para a prática de
um crime ou do ativo atacado, para que se apure a autoria do
delito faz-se indispensável a cooperação de terceiros, que
geralmente administram e oferecem serviços, aplicações ou
hosts utilizados para a prática de delitos ou que serviram de
ambiente para o crime digital.
Marco Civil da Internet
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
Marco Civil da Internet
Consentimento “livre, expresso e informado”
Para o caso de empresas, é necessária a adoção de uma Política de Segurança da Informação. Porém, não basta ter, é necessária a coleta da assinatura do funcionário, bem como a realização de treinamentos que visem garantir a efetividade das normas previstas na PSI.
Marco Civil da Internet
Guarda de logs de acesso à Internet e aplicações
Somente por ordem “judicial” os provedores serão obrigados a disponibilizar os registros e informações que permitam a identificação de algum usuário.
Autoridades administrativas, como Polícia e Ministério Público, devem ingressar com requerimento judicial específico.
Marco Civil da Internet
Guarda de logs de acesso à Internet e aplicações
• Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento.
• Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
Marco Civil da Internet
Guarda de logs de acesso à Internet e aplicações
Decreto nº 8.771 de 2016 (Regulamenta o Marco Civil)
Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:
I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
Marco Civil da Internet
Guarda de logs de acesso à Internet e aplicações
Decreto 8.771 de 2016 (Regulamenta o Marco Civil)
III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014; e
IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.
Marco Civil da Internet
LEI Nº 12.737 de 2012 (“Lei Carolina Dieckmann”)
Alterou o Código Penal
Art. 154-A: Invadir dispositivo informático alheio, conectado ou não à rede de
computadores, mediante violação indevida de mecanismo de segurança e com o fim
de obter, adulterar ou destruir dados ou informações sem autorização expressa ou
tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem
ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
Invasão de dispositivo
LEI Nº 9.279 de 1996 (“Lei de Propriedade Industrial”)
Art. 195. Comete crime de concorrência desleal quem:
XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;
XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude; ou
Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa.
Invasão de dispositivo
LEI Nº 9.296 de 1996 (“Lei de Interceptação telemática”)
Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.
Invasão de dispositivo
CONCLUSÕES
AS AÇÕES REATIVAS AOS INCIDENTES DE FORMA
TARDIA E INADEQUADA PODERÃO PROVOCAR
PREJUÍZOS GRAVES.
CONTAR COM UMA ASSESSORIA JURÍDICA
ESPECIALIZADA
Enfrentamento de incidentes
DÚVIDAS
OBRIGADO!
Frederico Félix
@fredericofg
Frederico Félix, LL.M