Por que todo mundo fala sobre o Marco Civil da Internet

e o que sua empresa tem a ver com isso?

Wolmer Godoi, CISSP Vice-Presidente da Aker Security Solutions

O que fazer diante de um Incidente?

Toda ação no mundo virtual deixa rastro.

O que fazer diante de um Incidente?

Existem vestígios?

O corpo está para a Medicina legal assim como a máquina está para a Informática Forense.

O que fazer diante de um Incidente?

O que fazer para preservar as evidências?

1. Registre os acessos (log é importante);

2. Coleta inicial: print screen da tela;

3. Ata Notarial;

4. Notifique o provedor para que preserve a prova;

5. Procure uma delegacia especializada.

Existem leis específicas?

Lei dos Crimes Cibernéticos (12.737/2012)

Lei Carolina Dieckmann

Lei dos Direitos e Deveres na Internet (12.965/2014)

Marco Civil da Internet

Lei 12.737/2012

Lei dos Crimes Cibernéticos

Altera o Código Penal artigos 154A,B, 266 e 298 incluindo:

• a invasão de computadores;

• o roubo de senhas e de conteúdos de e-mail;

• a disseminação de vírus de computador ou códigos maliciosos para roubo de senhas;

• a derrubada proposital de sites;

• uso de dados de cartões de débito e crédito sem autorização do titular;

• violação de equipamentos e sistemas - conectados ou não à Internet - com intenção de destruir dados ou informações ou instalar vulnerabilidades;

• mecanismo de segurança.

A Lei 12.965/2014

Marco Civil da Internet

“Estabelece princípios, garantias, direitos e deveres para o uso

da internet no Brasil e determina as diretrizes para atuação da

União, dos Estados, do Distrito Federal e dos Municípios em

relação à matéria.”

A Lei 12.965/2014

Marco Civil da Internet

• um corte transversal na rede, desde infraestrutura de telecomunicações até aplicações e conteúdo, no que tange a neutralidade;

• uma contextualização na aplicação de direitos, como responsabilização adequada e proteção à privacidade;

• um orientador sobre a forma de aplicação da legislação existente na Internet;

• um balizador para eventual legislação futura;

• uma garantia de preservação das características originais, valores e conceitos da rede.

O que é?

A Lei 12.965/2014

Marco Civil da Internet

O que não é? • não é uma forma de impedir ilícitos na Internet, mas tenta disciplinar o uso;

• não se trata de “modelos de negócio” na Internet;

• não objetiva temas estritamente técnicos na rede, dado o dinamismo e a obsolescência rápida de tecnologias;

• reconhece a complementaridade e colaboração dos diversos órgãos da sociedade: Anatel, CGI, Procon, Idec, etc.;

• não se trata da Internet do Brasil e sim da Internet no Brasil.

A Lei 12.965/2014

3 pilares principais do Marco Civil da Internet

Liberdade Neutralidade Privacidade

A Lei 12.965/2014

• O princípio de proteção aos dados pessoais

(Art. 3º, Inc. III);

• Obrigatoriedade de regras mais claras nas

relações de uso: (Art. 7º, Inc. VII, Inc. VIII,

Inc. IX, Inc. X);

• Neutralidade de rede - (Art. 9º);

Qual é o impacto na vida do cidadão?

Positivo

A Lei 12.965/2014

• Soberania e datas centers - (Art. 11) em

qualquer operação de coleta, armazenamento,

guarda e tratamento de registros, dados

pessoais ou de comunicações por provedores de

conexão e de aplicações em que pelo pelos um

desses atos ocorram em território nacional,

deverá ser respeitada a nossa legislação.

Qual é o impacto na vida do cidadão?

Positivo

A Lei 12.965/2014

Qual é o impacto na vida do cidadão? Negativo

• Art. 13 - obrigação do provedor de conexão em manter os registros de conexão,

sob sigilo, pelo prazo de um ano.

• Art. 15 – obrigação do provedor de aplicação em manter os registros de acesso, sob

sigilo, pelo prazo de seis meses.

• Ambos os prazos podem ser majorados cautelarmente por autoridades policial, administrativa ou o Ministério Público.

A Lei 12.965/2014

Em Resumo

• “Constituição da Internet” (é melhor uma regra do que nenhuma regra?)

• Inviolabilidade de dados (somente com ordem judicial ou autorização)

• Inviolabilidade de comunicações (somente com ordem judicial)

• Neutralidade da rede

• Determina a guarda de registros de conexão por 1 ano Concessão de acesso sem fio (você guarda os registros?)

• Determina a guarda de registros de aplicativos

Definições de Papéis

Direitos sobre os "dados pessoais"

(= identificável, indivíduo vivo) exerce controle sobre o uso de seus "dados pessoais"

"Controladores de dados“

(“Uma pessoa que controla os conteúdos e uso de dados pessoais")

"Processadores de dados"

("Uma pessoa que trata os dados pessoais em nome de um controlador de dados")

O ciclo de vida da informação

Manuseio: Local onde se iniciou o ciclo e onde a informação é manipulada.

Geralmente é composto por 4 etapas

Armazenamento: Momento em que a informação é

armazenada,

(pode ser em papel, em mídia CD, etc.).

Descarte: Momento em que a informação é eliminada, apagada (destruída de forma definitiva).

Transporte: Momento do envio ou transporte (pode ser

correio eletrônico, fax, sinais).

CRIAÇÃO

ARMAZENAMENTO

USO

COMPARTILHAMENTO

ARQUIVAMENTO

DESTRUIÇÃO

O ciclo de vida da informação

Início

Obtendo os

dados

Meio

Processando os

dados

Fim

Descartando os

dados

Informe e obtenha

o consentimento

Tenha uma razão para

tratar os dados

Responda aos

pedidos de acesso

Especifique o

propósito

Colete apenas o

que é necessário

Mantenha o

registro original

Mantenha-os seguros e

Descarte de forma segura

Divulgue apenas se

permitido/autorizado

Defina e mantenha uma

Política de Retenção

O ciclo de vida da informação

RoadMap para Segurança do Banco

DADOS

Direitos de Usuários

Estratégia de permissionamento

de objetos no Banco

Segregação de papéis do DBA

Criptografia dos dados

Controle de Recursos

Controle de acesso às Funções e

Procedures

Controle de acesso (Política de

senhas)

Conformidade (HIPAA, PCI, etc.)

CONFIGURAÇÃO DO

BANCO

Backup do Banco/Estratégia de

PCN

Gestão de Atualizações (Patches)

Estrutura de Diretórios e

Permissão de Acesso

Autenticação do Banco de Dados

Política de Auditoria

Configuração do Acesso Remoto

ENTRADA/SAÍDA DE

DADOS

Backup do Banco/Estratégia de

Segurança da Aplicação (OWASP)

Segurança de Interface

Segurança de Relatórios/BI

Segurança de Terceiros

SEGURANÇA DO

BANCO

Segurança do Host

Segregação de Função

REDE

Segurança da rede

Segregação do ambiente

SEGURANÇA FÍSICA

Segurança Física

Fonte: http://pvt.pt/Database_Security_Roadmap

Estratégia de implantação

Apenas portas 80 e

443 para Internet

Acesso apenas por VPN

e para manutenção

Acesso apenas por máquina

cadastrada

Qualquer outra porta

bloqueada

Apresentação (Firewall, IPS, WAF)

Aplicação (IIS, Apache, CMS)

Dados (Oracle, MSSQL, MySQL, PostgreSQL)

Storage

Aker Firewall UTM

Sistema completo de

Segurança Digital em sua mão.

Aker Report Center

Mais do que um centralizador de logs, um guia de estratégias corporativas.

Apoie-se nas informações certas.

Funcionalidades:

FILTRO DE LOGS

Os logs são processados de acordo

com os formatos conhecidos,

fazendo que cada arquivo de log seja

associado a um tipo de ativo.

AKER

REPORT

CENTER

Funcionalidades:

ARMAZENAMENTO DE LOGS

Com o Aker Report Center, você pode

definir o período durante o qual os

logs devem permanecer armazenados

e mantê-los em um banco de dados

para consulta.

AKER

REPORT

CENTER

Funcionalidades:

RECEBIMENTO DE LOGS

O Aker Report Center recebe logs via

protocolo syslog, FTP e SFTP, sendo

possível também criptografar os

dados via SSL/TLS.

AKER

REPORT

CENTER

Funcionalidades:

RELATÓRIOS CONSOLIDADOS E

DETALHADOS

Crie relatórios sem a necessidade de

programação. Pela interface gráfica,

pode-se definir quais ativos serão

monitorados, assim como o conteúdo

e o formato dos relatórios.

AKER

REPORT

CENTER

Funcionalidades:

AGENDAMENTO DE RELATÓRIOS

A emissão de relatórios pode ser

agendada. Assim, o documento é

depositado no próprio servidor ou em

servidores remotos, ou, ainda, enviado

por e-mail.

AKER

REPORT

CENTER

Funcionalidades:

GOVERNANÇA DE TI

Ao centralizar e analisar logs, o Aker Report

Center transforma dados em informações,

por meio de relatórios completos, que

ajudarão você a tomar as melhores decisões

sobre a infraestrutura de TI da sua empresa.

AKER

REPORT

CENTER

Screenshots:

AKER

REPORT

CENTER

Screenshots:

AKER

REPORT

CENTER

Screenshots:

AKER

REPORT

CENTER

Screenshots:

AKER

REPORT

CENTER

Screenshots:

AKER

REPORT

CENTER

Mais importante do que avançar é seguir na direção certa.

Obrigado!

Wolmer Godoi, CISSP Vice Presidente

Aker Security Solutions

wolmer@aker.com.br