2016 06-11 - palestra - aspectos juridicos da si

| Ano 2016

ASPECTOS JURÍDICOS DA SEGURANÇA DA INFORMAÇÃO

Frederico FélixFaculdade Promove – 11/06/2016

• Bacharel em Direito pela Faculdade Milton Campos

• Pós-graduado em Direito e Tecnologia da Informação pela

Fundação Getúlio Vargas

• Mestre em Direito Empresarial pela Faculdade Milton

Campos

• Master of Laws (LL.M) em Propriedade Intelectual pela

Santa Clara University (Califórnia)

• Advogado, Professor e Autor

Meu Background

INFORMAÇÃO

ATIVO CADA VEZ MAIS VALIOSO

Contexto

POR QUE ESTE ASSUNTO TEM SE TORNADO

CADA VEZ MAIS RELEVANTE?

Contexto

INFORMAÇÃO CADA VEZ MAIS DIGITAL

Contexto

AUMENTO DA OFERTA DE SERVIÇOS ONLINE

Contexto

EXPANSÃO DOS ATIVOS EM BITS

Contexto

POR QUE AS EMPRESAS ESTÃO SE TORNANDO

CADA VEZ MAIS VULNERÁVEIS?

Contexto

AUMENTO DA CAPACIDADE DE

ARMAZENAMENTO DAS MÍDIAS DIGITAIS

Contexto

AUMENTO DAS FONTES DE DADOS

Contexto

AUMENTO DAS SESSÕES DE REDE

Contexto

ACESSOS REMOTOS

Contexto

AUMENTO DOS REGISTROS DE LOGS

Contexto

AUMENTO DOS DISPOSITIVOS MÓVEIS

Contexto

NOVOS SISTEMAS OPERACIONAIS E PADRÕES

DE CONECTIVIDADE

Contexto

FENÔMENO “BYOD”

Contexto

CONVERGÊNCIA DIGITAL

Contexto

NOVOS RISCOS!

NOVOS PROBLEMAS!

NOVOS INCIDENTES!

Contexto

INCIDENTES MAIS COMUNS... Fraudes Eletrônicas

Vazamento de dados confidenciais

Invasão de dispositivos informáticos;

Sequestro de dados – ransomware

Incidentes na área de SI

Fraudes Eletrônicas

Vazamento de dados confidenciais

Vazamento de dados confidenciais

Invasão de dispositivo

Sequestro de dados

Como enfrentar juridicamente os incidentes?

Preservar a prova;

Identificar a autoria;

Tomar as medidas jurídicas adequadas no menor tempo

possível.

Enfrentamento de incidentes

Marco Civil da Internet

Lei “Carolina Dieckmman” – Crimes Cibernéticos

Lei de Propriedade Industrial

Lei de Interceptação telemática

Futuro Próximo...

Projeto de Lei - Proteção de Dados Pessoais

Principais marcos regulatórios na área de SI

Estrutura Investigativa

Na grande maioria dos crimes digitais, em que a vítima não é

administradora do ativo informático utilizado para a prática de

um crime ou do ativo atacado, para que se apure a autoria do

delito faz-se indispensável a cooperação de terceiros, que

geralmente administram e oferecem serviços, aplicações ou

hosts utilizados para a prática de delitos ou que serviram de

ambiente para o crime digital.

Marco Civil da Internet

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;

III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;

VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

Marco Civil da Internet

Consentimento “livre, expresso e informado”

Para o caso de empresas, é necessária a adoção de uma Política de Segurança da Informação. Porém, não basta ter, é necessária a coleta da assinatura do funcionário, bem como a realização de treinamentos que visem garantir a efetividade das normas previstas na PSI.

Marco Civil da Internet

Guarda de logs de acesso à Internet e aplicações

Somente por ordem “judicial” os provedores serão obrigados a disponibilizar os registros e informações que permitam a identificação de algum usuário.

Autoridades administrativas, como Polícia e Ministério Público, devem ingressar com requerimento judicial específico.

Marco Civil da Internet

Guarda de logs de acesso à Internet e aplicações

• Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento.

• Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.

Marco Civil da Internet

Guarda de logs de acesso à Internet e aplicações

Decreto nº 8.771 de 2016 (Regulamenta o Marco Civil)

Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:

I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;

II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;

Marco Civil da Internet

Guarda de logs de acesso à Internet e aplicações

Decreto 8.771 de 2016 (Regulamenta o Marco Civil)

III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014; e

IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

Marco Civil da Internet

LEI Nº 12.737 de 2012 (“Lei Carolina Dieckmann”)

Alterou o Código Penal

Art. 154-A: Invadir dispositivo informático alheio, conectado ou não à rede de

computadores, mediante violação indevida de mecanismo de segurança e com o fim

de obter, adulterar ou destruir dados ou informações sem autorização expressa ou

tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem

ilícita:

Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

Invasão de dispositivo

LEI Nº 9.279 de 1996 (“Lei de Propriedade Industrial”)

Art. 195. Comete crime de concorrência desleal quem:

XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;

XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude; ou

Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa.

Invasão de dispositivo

LEI Nº 9.296 de 1996 (“Lei de Interceptação telemática”)

Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.

Invasão de dispositivo

CONCLUSÕES

AS AÇÕES REATIVAS AOS INCIDENTES DE FORMA

TARDIA E INADEQUADA PODERÃO PROVOCAR

PREJUÍZOS GRAVES.

CONTAR COM UMA ASSESSORIA JURÍDICA

ESPECIALIZADA

Enfrentamento de incidentes

DÚVIDAS

OBRIGADO!

Frederico Félix

@fredericofg

Frederico Félix, LL.M