www.conexxoes.com.br (71) 3176-3388 I (61) 4063-9530 Todos os direitos reservados | 1 Doutrinadora - Judiciário STJ, REsp n.º 1308830/RS, Ministra Nancy Andrighi, terceira turma, 08/05/2012, DJE 18/05/2012 “(...) Patrícia Peck comunga dessa ideia e apresenta exemplo que se amolda perfeitamente à hipótese dos autos. A autora considera “tarefa hercúlea e humanamente impossível” que “a empresa GOOGLE monitore todos os vídeos postados em seu sítio eletrônico 'youtube', de maneira prévia”, mas entende que “ao ser comunicada, seja por uma autoridade, seja por um usuário, de que determinado vídeo/texto possui conteúdo eventualmente ofensivo e/ou ilícito, deve tal empresa agir de forma enérgica, retirando-o imediatamente do ar, sob pena de, daí sim, responder de forma solidária juntamente com o seu autor ante a omissão praticada (art. 186 do CC)” (Direito digital. 4ª ed. São Paulo: Saraiva, 2010, p. 401).” (STJ, REsp 1308830/RS, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 08/05/2012, DJE 18/05/2012). STJ, REsp n.º 1,186.616/MG, Ministra Nancy Andrighi, terceira turma, 31/08/2011 “APELAÇÃO CÍVEL - INFORMAÇÕES OFENSIVAS POSTADAS NO INTERNET - RESPONSABILIDADE DO PROVEDOR - RETIRADA IMEDIATA DA PÁGINA DO AR APÓS COMUNICAÇÃO - AUSÊNCIA DANOS MORAIS CONFIGURADOS - INCIDÊNCIA DO CÓDIGO DE DEFESA DO CONSUMIDOR. - A exploração comercial da internet configura relação de consumo e está sujeita aos dispositivos previstos na Lei nº 8.078/90. - “Como afirma Patricia Peck, a fiscalização prévia, pelo provedor de conteúdo, do teor das informações postadas na web por cada usuário não é atividade intrínseca ao serviço prestado, de modo que não se pode reputar defeituoso, nos termos do art. 14 do CDC, o site que não examina e filtra os dados e imagens nele inseridos. O dano moral decorrente de mensagens com conteúdo ofensivo inseridas no site pelo usuário não constitui risco inerente à atividade dos provedores de conteúdo, de modo que não se lhes aplica a responsabilidade objetiva prevista no art. 927, parágrafo único, do CC/02. Ao ser comunicado de que determinado texto ou imagem possui conteúdo ilícito, deve o provedor agir de forma enérgica, retirando o material do ar imediatamente, sob pena de responder solidariamente com o autor direto do dano, em virtude da omissão praticada" (STJ, REsp. 1.186.616 - MG, Rel. Min. Nancy Andrighi, 31/08/2011). Siga Twitter: @patriciapeckadv Todos direitos reservados Todos osos direitos reservados 2 |8 Doutrinadora - Judiciário STJ, REsp n.º 1.193.764 - SP, Ministra Nancy Andrighi, 14/12/2010 “Patrícia Peck comunga dessa ideia e apresenta exemplo que se amolda perfeitamente à hipótese dos autos. A autora considera “tarefa hercúlea e humanamente impossível” que “a empresa GOOGLE monitore todos os vídeos postados em seu sítio eletrônico 'youtube', de maneira prévia”, mas entende que, “ao ser comunicada..” TJ-MG, Apelação Cível n.º 0456532-68.2010.8.13.0024, Relator José Marcos Vieira, 11/05/2011 “Mais uma vez, importante a lição de PATRÍCIA PECK PINHEIRO, sobre responsabilidade civil no direito digital: Considerando apenas a Internet, que é mídia e veículo de comunicação, seu potencial de danos indiretos é muito maior que de danos diretos, e a possibilidade de causar prejuízo a outrem, mesmo que sem culpa, é real. Por isso, a teoria do risco atende às questões virtuais e a soluciona de modo mais adequado devendo estar muito bem associada à determinação legal de quem é o ônus da prova em cada caso.” TJ-SP, Agravo de Instrumento 584.783.4/7-00, Relator Egidio Giacoia, 02/12/2008 “Aqui, vale transcrevermos as lições de PATRÍCIA PECK PINHEIRO "in" Direito Digital, Saraiva, 2a Ed./2001, p. 123, sobre os provedores de hospedagem.” TRT 2ª, Acórdão n.º2006 0395367, Relator: Dr. Valdir Florindo, 09/06/2006 “Para se ter uma ideia da repercussão do site ‘orkut’, bem como de seus males, válido transcrever o posicionamento de Patrícia Peck, autora do livro ‘Direito Digital’, em seu artigo ‘Os males do Orkut e outros males da Tecnologia’: "A internet não é simplesmente uma rede de computadores, é sim uma rede de pessoas, e como tal, está sujeita às leis vigentes nos países nos quais as pessoas se encontram. Como toda e qualquer tecnologia, pode ser usada para o bem, ou para o mal. A questão da ética e da legalidade, no uso das tecnologias é antiga no Direito.” Todos os direitos reservados 3 | 6 Doutrinadora - Judiciário Recente decisão do Tribunal de Justiça de São Paulo versando sobre as transações bancárias feitas pela internet “Ainda, oportuno mencionar a doutrina de Patrícia Peck Pinheiro, in “Direito Digital”, com a qual comungo integralmente: ‘Para nós está claro que no mundo virtual as instituições bancárias têm de ter a mesma segurança, solidez e credibilidade perante os seus clientes que no mundo real - ou até mais, pelas características da rede. O custo de cada operação feita por clientes em uma agência bancária é cerca de duas vezes maior do que o custo da mesma operação feita por telefone e dez vezes maior que a feita por Internet. Se a extensão virtual de um banco representa tamanha redução de custos para esse banco, é justo esperar que reverta também em grandes investimentos na segurança do cliente virtual. O banco é integralmente responsável por qualquer dano ao cliente enquanto este estiver em seu espaço virtual. Um roubo virtual sofrido por um cliente quando operava no site de um banco é de responsabilidade desse banco. Por isso mesmo, as operações financeiras virtuais devem, obrigatoriamente, estar cobertas por seguro total’.” (TJSP, Apelação nº 005743331.2010.8.26.0577, julgada em 08/05/2013, Relatora Ana de Lourdes Coutinho Silva) Todos os direitos reservados | 8 Todos os direitos reservados | 5 NÃO EXISTE diferença entre REAL & DIGITAL Todos os direitos reservados | 3 Você já se imaginou sem Internet? https://www.flickr.com/photos/icofuma/ https://www.flickr.com/photos/60309568@N05/ Todos os direitos reservados | 7 A face da Terra é desenhada com dados e conexões Cada pessoa, empresa e instituição é um ponto nesse imenso mapa das mídias sociais Todos os direitos reservados | 8 Era uma vez uma rede... O PASSADO Arpanet O PRESENTE World Wide Web O FUTURO... Todos os direitos reservados | 9 Todos os direitos reservados | 10 Qual a primeira coisa que uma pessoa da era digital faz quando acorda? 62% checa o celular! (antes de ir ao banheiro e de escovar os dentes!) Todos os direitos reservados | 11 Na sociedade contemporânea o celular está em todo lugar, das salas de atendimento às igrejas. Todos os direitos reservados | 12 A Instituição está onde está a informação Todos os direitos reservados | 13 A informação publicada se perpetua no tempo e pode ser vista em diversos contextos https://www.flickr.com/photos/dr/ Todos os direitos reservados | 14 “Os homens criam as ferramentas, as ferramentas recriam os homens" Marshall McLuhan Uma Nova Cultura Digital Todos os direitos reservados O QUE É A OPEN SOCIETY (SOCIEDADE ABERTA)? Todos os direitos reservados | 13 Para Don Tapscott, um dos maiores especialistas em Geração Digital, há 4 pilares que viabilizam a “Sociedade Aberta” (“Open Society”): Colaboração (“Collaboration”) através de Redes de inteligência (“networked intelligence”) Transparência (“Transparency”) Compartilhamento de Conteúdos e sua Propriedade Intelectual (“Sharing”) Mobilização (“Empowerment”) Todos os direitos reservados | 14 Segundo pesquisa encomendada pela CISCO e realizada pela “Economist”, há uma grande tendência de até 2020 vivenciarmos uma sociedade completamente sem papel, em mobilidade, com uso de nuvens computacionais sem fronteiras, máxima acessibilidade digital e desmaterialização completa da moeda como a conhecemos. http://www2.warwick.ac.uk/fac/soc/csgr/green/foresight/economy/the _economist_intelligence_unit_full_report.pdf Todos os direitos reservados | 15 DIREITO DIGITAL EM EVIDÊNCIA Compliance: novas leis brasileiras: Lei n.º12.965/2014 (Marco Civil da Internet) - EM VIGOR Decreto nº 8135/2013 (Segurança Nacional das Informações e comunicações de dados) Lei n.º 12.846/2013 (Lei Anti-Corrupção) Lei nº 12.850/2013 (Provas Eletrônicas) Decreto n.º 7962/2013 (Lei do Comércio Eletrônico) Leis de nº 12.735 e 12.77/2012 (Crimes Eletrônicos) Decreto n.º 7.845/2012 (Lei de Tratamento da Informação Classificada) Lei nº 12.551/2011 (Lei Home Office e Teletrabalho) Lei nº 12.527/2011 (LAI) Lei nº 9.610/1998 (Lei de Direitos Autorais) Lei nº 9.609/1998 (Lei de Software) Lei n.º 9.296/1996 (Lei de Interceptação) Lei nº 9.279/1996 (Lei de Propriedade Industrial) ECA – Estatuto da Criança e do Adolescente e nova Lei de Pornografia Infantil (241 – A e B) Todos os direitos reservados | 16 Novos Paradigmas Novos Riscos Todos os direitos reservados A Segurança na internet é uma questão de ordem pública ou privada? @num3ro5 @lindinha19 @player01 @maluka @surfista2013 @meninaS2 Na Internet, @sk8er0 tudo é rastreável Todos os direitos reservados http://olhardigital.uol.com.br/noticia/hacker-rouba-2-milhoes-de-senhas-de-usuarios-de-google-efacebook/39188 Acessado em 15.07.2014 às 15:04. Senhas mais comuns: 123456 123456789 1234 password http://www.missaopraiadacosta.com.br/up/wp-content/uploads/2012/07/gafetrabalho.jpg Acessado em 18.01.2013 às 17:07. Todos os direitos reservados | 19 O prejuízo final calculado pela SONY foi de 171 milhões de dólares http://g1.globo.com/tecnologia/noticia/2011/04/vazamento-de-dados-da-psn-e-considerado-o-5-maior-da-historia.html Todos os direitos reservados | 20 Vazamento de informação Antes era assim Hoje é assim Todos os direitos reservados Como saber se o celular está livre de ameaças? http://www.superdownloads.com.br/materias/falso-antivirus-android-rouba-senhas-de-banco.html http://www.securelist.com/en/blog/208193604/Android_Security_Suite_Premium_New_ZitMo Todos os direitos reservados | 22 Todos os direitos reservados | 26 https://www.flickr.com/photos/ervins_strauhmanis/ Como não sair ferido Segurança Cibernética! Quem proteje o cidadão na internet? Todos os direitos reservados O que é segurança cibernética? A Internet criou um novo ambiente para os criminosos atuarem; A segurança cibernética trata de conter essas ameaças. http://www.nationaldefensemagazine.org/archive/2012/August/PublishingImages/shield_revised.jpg Todos os direitos reservados | 28 Informação Instituição Ativos tangíveis Pessoas Ativos intangíveis Todos os direitos reservados | 29 Informação Instituição Ativos tangíveis Pessoas Ativos intangíveis Hackers Internet Frauda dores Deep web Todos os direitos reservados | 30 Benchmark Países que possuem órgãos administrativos que regulam e atuam como uma Secretaria de Segurança Pública Digital: Austrália Canadá Estônia União Europeia França Polônia Países Baixos Alemanha Japão Nova Zelândia Rússia Reino Unido República Tcheca EUA África do Sul Todos os direitos reservados 31 | 35 Todos os direitos reservados Fonte: http://defesacibernetica.ime.eb.br/ Decreto no 6.703, de 18 de dezembro de 2008, estabelece a Estratégia Nacional de Defesa. Hoje temos o CDCiber. | 32 Como chegamos na segurança cibernética? A segurança cibernética vai além de proteger a informação; Ela protege todos os ativos e as pessoas envolvidas em sua criação e manipulação. Todos os direitos reservados | 33 O que é a Consumerização? É o fenômeno que descreve o aumento da aquisição de dispositivos tecnológicos pelas pessoas. Assim passa a ser inevitável o ingresso deles nas atividades institucionais, além do armazenamento e compartilhamento de informações na nuvem e nas mídias sociais. http://www.informsistemas.com.br/wp-content/uploads/2012/12/consumerizacao.jpg Acessado em 25.02.2013 às 13:47. Todos os direitos reservados | 34 Todos os direitos reservados | 31 MOBILIDADE DE PESSOAS E DADOS Todos os direitos reservados | 31 Segredo Privacidade Público Compartilhado http://www.informacaopublica.org.br/sites/default/files/sigilo.jpg Todos os direitos reservados | 37 Todos os direitos reservados | 38 Todos os direitos reservados | 39 Todos os direitos reservados | 40 35 O que é o Bring Your Own Device (BYOD)? Ocorre quando o colaborador utiliza seu próprio equipamento para acesso e manuseio das informações da instituição, no desenvolvimento de sua atividade. http://3.bp.blogspot.com/-DTs0pK7l5_c/TxlX-zHiguI/AAAAAAAAAdc/tmNwfcMm5Uw/s1600/duvida.jpg Todos os direitos reservados | 41 Fraudes em smartphones • Falhas na implementação do SSL podem comprometer a segurança da transmissão de dados críticos do cliente; • Não faltam aplicativos mal-intencionados, que http://www.purebreak.com.br/noticias/falso-aplicativo-da-copa-roubava-dados-de-tabletsprometem serviços diversos, e monitoram essa e-smartphones-cuidado/4692 comunicação em busca de informações relevantes. Todos os direitos reservados | 42 A segurança das informações e da infraestrutura tecnológica da empresa é um dos grandes desafios no BYOD Todos os direitos reservados | 43 Não importa de quem é o dispositivo, Mas sim de quem é a informação Todos os direitos reservados Quantos celulares na cena? E quanto à privacidade do paciente? Todos os direitos reservados | 45 Lei 12.527/2011 Lei de Acesso à Informação Portaria n.º 25, de 15 de maio de 2012 Respeite os rótulos de Sigilo das elenca os documentos considerados sigilosos para informações! garantir a segurança da sociedade e a sua Ultrassecreta, Secreta, Reservada, imprescritibilidade. Confidencial, Interna e Pública Todos os direitos reservados | 46 Art. 325, do Código Penal: Violação de Sigilo Funcional Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação: Pena - detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave. § 1º Nas mesmas penas deste artigo incorre quem: I – permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública. Todos os direitos reservados | 47 Senha de bloqueio Bloqueio automático por inatividade Antivírus/Antispyware App Apagamento Remoto Backup em Nuvem Segura Todos os direitos reservados http://4.bp.blogspot.com/-f0o8J4Gw-j8/TpGw6sRZLNI/AAAAAAAAAD8/qk_89fxFeS8/s1600/exclamation2.gif Acessado em 11.06.2013 às 11:19. Quais os requisitos de Segurança Cibernética para o BYOD? | 48 http://imoveis.culturamix.com/blog/wp-content/gallery/4-197/o-que-e-checklist-5.jpg Acessado em 03.06.2014 às 18:12. Impactos do BYOD – Bring Your own Device Dificuldade de integração entre os diversos tipos dispositivos e a infraestrutura tecnológica Impactos trabalhistas Vazamento de Informação Furto, roubo e perda dos dispositivos móveis Sigilo Bancário Acesso não autorizado às informações corporativas Riscos à infraestrutura tecnológica Dificuldade no controle de jornada – 24x7 Todos os direitos reservados | 49 Para fotografar, filmar e marcar colegas, ou a empresa, é preciso autorização! http://www.em.com.br/app/noticia/gerais/2013/11/18/interna_gerais,471297/justica-mantem-demissao-de-vigilante-que-postou-fotos-da-empresa-em-rede-social.shtml http://www.baguete.com.br/noticias/18/02/2014/marcacao-sem-nocao-causa-demissao. http://atarde.uol.com.br/noticias/enfermeira-e-demitida-apos-dar-risada-de-neymar-em-video-1603961 Acessado em 16.07.2014 às 09:40 . Todos os direitos reservados | 50 http://jovempan.uol.com.br/esportes/futebol/nacional/clubes/santos/torcedora-gremistaflagrada-chamando-aranha-de-macaco-e-identificada.html http://blogdojuca.uol.com.br/2014/08/prendam-esta-mulher/ Todos os direitos reservados | 51 http://varelanoticias.com.br/internautas-argentinos-se-revoltam-com-derrota-e-publicam-ofensas-racistas-contra-brasileiros/ Acessado em 16.07.2014 às 09:50. Todos os direitos reservados | 52 http://www.jn.pt/PaginaInicial/Tecnologia/Interior.aspx?content_id=3942771 http://www.publico.pt/mundo/noticia/direito-ao-esquecimento-esquece-o-que-privacidade-ou-liberdade-de-expressao-1637145 http://oglobo.globo.com/sociedade/tecnologia/cerca-de-100-mil-pedidos-de-esquecimento-foram-enviados-google-13394843 Todos os direitos reservados | 53 Gafes públicas nas redes sociais Todos os direitos reservados | 54 Nas eleições, todo cuidado é pouco Todos os direitos reservados | 55 O que são repositórios digitais? São plataformas de armazenamento na Internet, os exemplos mais comuns são o Google Drive, OneDrive, Dropbox, iCloud, Box e SugarSync. http://blogs-images.forbes.com/emc/files/2014/02/Cloud-Computing-cap.jpg Acessado em 04.06.2014 às 12:00, Todos os direitos reservados | 56 http://pplware.sapo.pt/apple/ataque-ao-icloud-mostra-na-web-fotos-de-celebridades-nuas/ Todos os direitos reservados | 57 Não somos responsáveis pela exatidão, integridade, adequação ou legalidade de arquivos, tópicos de usuários ou qualquer outra informação à qual você possa ter acesso ao usar os Serviços. Pense bem o que compartilhará ou deixará publicamente acessível. O Dropbox não é responsável por essa atividade. Todos os direitos reservados | 58 Os aplicativos sociais possibilitam a troca de mensagens de maneira instantânea por meio do uso da internet, a exemplo de Whatsapp, Snapchat, Chaton, Telegram e Viber. http://noticias.r7.com/tecnologia-e-ciencia/fotos/video-intimo-vaza-no-whatsapp-e-menina-semata-no-piaui-21112013#!/foto/1 Acessado em 04.06.2014 às 11:26. http://g1.globo.com/sao-paulo/noticia/2014/04/jovem-nega-estupro-e-policia-vai-apurardivulgacao-de-fotos-de-sexo.html Acessado em 04.06.2014 às 11:27. http://idgnow.com.br/mobilidade/2014/03/12/whatsapp-falha-critica-permite-roubode-historico-de-mensagens/ Acessado em 04.06.2014 às 11:28. Todos os direitos reservados | 59 Todos os direitos reservados | 60 Não basta apenas gerenciar o uso dos dispositivos móveis.... É preciso lembrar que a segurança da informação também deve existir em aplicativos de troca de mensagens! http://culturageekradiocom.fatcow.com/wp-content/uploads/2014/02/whatsapp-bloqueo-seguridad-cultura-geek.jpg Acessado em 04.06.2014 às 15:53. Todos os direitos reservados | 61 http://g1.globo.com/politica/noticia/2010/09/tcu-aponta-falhas-na-seguranca-de-dados-de-65-dos-orgaos-federais.html http://www1.folha.uol.com.br/poder/2014/09/1513022-pf-abre-inquerito-para-apurar-vazamento-de-informacoes-do-ex-diretor-da-petrobras.shtml http://democraciapolitica.blogspot.com.br/2014/06/juizes-e-policiais-vendem-vazamentos.html Todos os direitos reservados | 62 Os pilares da Segurança Cibernética Cultura de segurança digital Segurança Cibernética (holística) Melhores práticas e normas técnicas Legislação nacional Todos os direitos reservados | 66 Como implementar um Plano Estratégico? Implementação Cibernética das Políticas de Segurança Formação de um Comitê de Segurança Cibernética (Multidisciplinar e integrando várias Autoridades Públicas) Implementação das regras de Segurança Cibernética e centralização da Inteligência Digital e das Provas eletrônicas Realização de Campanhas de Conscientização Públicas sobre Segurança Cibernética Todos os direitos reservados | 67 Segurança Digital exige Educação Continuada e não apenas campanhas de conscientização: - Regras Claras - Exemplo tem que vir de cima - Capacitação Contínua com conteúdos educativos - Monitoração e Coleta de Provas - Resposta Rápida aos Incidentes - Penalização Todos os direitos reservados | 65 Cartilhas e Materiais Educativos Inserir senha de bloqueio e portar com segurança; Manter software segurança atualizado e fazer backup; Ter apagamento remoto; Fazer manutenção e conserto; Relatar eventual furto ou roubo; Não fazer uso software pirata para manusear informação corporativa; Responder por todo conteúdo no dispositivo; Autorizar monitoração e inspeção; Fazer uso ético, seguro e legal. Todos os direitos reservados | 66 Sempre tenha senha de bloqueio nos dispositivos Todos os direitos reservados Não deixe seu wireless aberto Todos os direitos reservados Ao sair, feche a porta. Sempre. Inclusive a DIGITAL! Todos os direitos reservados Todos os direitos reservados | 70 Quem cala consente digitalmente https://www.flickr.com/photos/shyald/ Todos os direitos reservados | 71 Leia os termos de uso! Todos os direitos reservados | 72 Jamais voltam: A pedra foto A palavra ...uma atirada dita publicada... A ocasião perdida O tempo passado (Provérbio Chinês) Todos os direitos reservados Qual o nosso MAIOR Desafio? CULTURAL! Todos os direitos reservados | 74 A melhor forma de garantir o cumprimento das regras é DAR O EXEMPLO! http://4.bp.blogspot.com/_xsExyAm0lRs/TThuLcUNQ5I/AAAAAAAABDY/cZFdbORxr3M/s1600/educacao021.jpg Todos os direitos reservados | 75 Recomendações Temos a missão de EDUCAR a próxima geração em SEGURANÇA DIGITAL! TEM QUE EXERCER AUTORIDADE E RECEBER OBEDIÊNCIA Artigo 1.634 do Código Civil: Compete aos pais, quanto à pessoa dos filhos menores: VII – exigir que lhes prestem obediência, respeito e os serviços próprios de sua idade e condição. Todos os direitos reservados | 76 https://farm7.staticflickr.com/6138/6030598996_17fa26814f_b_d.jpg Todos os direitos reservados | 77 “Se não pode com eles, junte-se a eles...” Vamos gerenciar! http://3.bp.blogspot.com/_l_YnETeLj3E/THV8dnw5CQI/AAAAAAAADbc/a9YK0ju1MZM/s1600/fears.jpg Acessado em 03.06.2014 às 18:19. Todos os direitos reservados | 78 Riscos Digitais mais comuns Uso indevido de marca, imagem e reputação da Instituição Roubo da identidade digital Divulgação não autorizada de conhecimento Vazamento de informação Exposição de intimidade Fraude e crimes digitais – da invasão ao phishing Todos os direitos reservados | 79 Crimes na Web: 64% das empresas brasileiras perderam dados para hackers Custo médio de um ataque criminoso virtual varia entre US$100.000 e quase US$300.000 por incidente de segurança. 35% das empresas brasileiras recebem entre 26 e 50 ataques por semana. Fonte: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=30672&sid=18#.U8bGdfldWT8 Todos os direitos reservados | 80 Cibercriminosos podem ter desviado bilhões de sistema brasileiro de pagamentos A RSA estima que os fraudadores procuraram desviar quase 8,6 bilhões de reais de mais de 192 mil contas. Fonte: http://blogs.estadao.com.br/link/cibercriminosos-podem-ter-desviado-bilhoes-de-sistema-brasileiro-de-pagamentos/ Todos os direitos reservados | 81 http://www.tecmundo.com.br/ataque-hacker/57856-hackers-iniciam-onda-ataques-sites-relacionados-copa.htm Todos os direitos reservados | 82 Polícia extrai dados de celular de suspeitos A Polícia Metropolitana britânica está implementando um sistema para extrair dados de telefones celulares dos suspeitos detidos em custódia. E já está em funcionamento em diversas localidades de Londres. Os dados extraídos são os históricos de chamadas, textos, contatos. Antes os celulares eram levados para a perícia e levava muito tempo. Quando um suspeito é preso e encontrado com um celular agora a polícia realiza uma varredura no aparelho para verificar se o aparelho foi utilizado para ajudar a praticar o crime. Todos os direitos reservados | 86 Britain on high alert during Olympics with terror threat classified as 'severe' Britain's security services will be on high alert during the Olympics with the terror threat to be classified at 'severe' despite the level being downgraded by the Government this week. E o Brasil, como está se preparando para olimpíadas 2016? Home Secretary Theresa May announced that the assessment of a terrorist attack had been lowered to 'substantial' which means that the risk of an attack is considered a strong possibility and could occur without further warning. Olympics Minister Hugh Robertson said Tuesday that the planning assumption for the Games remains that the threat will be at severe - the second highest classification, meaning an attack is highly likely. Earlier this month Police began testing Olympic venues against all potential terrorist threats, including from Irish dissidents and Islamists http://www.dailymail.co.uk/sport/olympics/article-2013843/LONDON-2012-OLYMPICS-Terror-threat-classified-severe-Games.html Acessado em 24.03.2014 às 17:19. Todos os direitos reservados 84 | 87 Decreto n.°4.394, de 26 de Setembro de 2002. Promulga a Convenção Internacional sobre a Supressão de Atentados Terroristas com Bombas, com reserva ao parágrafo 1 do art. 20 Artigo 2 1. Comete um delito no sentido desta Convenção qualquer pessoa que ilícita e intencionalmente entrega, coloca, lança ou detona um artefato explosivo ou outro artefato mortífero em, dentro ou contra um logradouro público, uma instalação estatal ou governamental, um sistema de transporte público ou uma instalação de infra-estrutura: a) Com a intenção de causar morte ou grave lesão corporal; ou b) Com a intenção de causar destruição significativa desse lugar, instalação ou rede que ocasione ou possa ocasionar um grande prejuízo econômico. 2. Também constitui delito a tentativa de cometer qualquer dos delitos enumerados no parágrafo 1. Todos os direitos reservados | 878 Decreto n.°4.394, de 26 de Setembro de 2002. Promulga a Convenção Internacional sobre a Supressão de Atentados Terroristas com Bombas, com reserva ao parágrafo 1 do art. 20 Artigo 2 3. Também constitui delito: a) Participar como cúmplice nos delitos enunciados nos parágrafos 1 ou 2; ou b) Organizar e dirigir outros na perpetração dos delitos enunciados nos parágrafos 1 e 2; ou c) Contribuir de qualquer outra forma na perpetração de um ou mais dos delitos enunciados nos parágrafos 1 ou 2 por um grupo de pessoas que atue com um propósito comum; essa contribuição deverá ser intencional e ocorrer seja com a finalidade de colaborar com a atividade ou o propósito delitiva genérico do grupo, seja com o conhecimento da intenção do grupo de cometer o delito ou delitos de que se trate. Todos os direitos reservados 86 | 89 Decreto n.°5.639, de 26 de Dezembro de 2005. Promulga a Convenção Interamericana contra o Terrorismo, assinada em Barbados, em 3 de junho de 2002 Artigo 1- Objeto e fins Esta Convenção tem por objeto prevenir, punir e eliminar o terrorismo. Para esses fins, os Estados Partes assumem o compromisso de adotar as medidas necessárias e fortalecer a cooperação entre eles, de acordo com o estabelecido nesta Convenção. Todos os direitos reservados 87 | 90 O que fazer ao detectar um incidente? 1-) Registrar a ocorrência conforme sua natureza. 2-) Realizar a guarda de provas adequadamente. 3-) Identificar a criticidade da ocorrência. 4-) Iniciar a fase de gestão de crises. 5-) Monitorar a situação para buscar novos focos do incidente ou respingos do ocorrido. Todos os direitos reservados | 91 Legítima Defesa Digital Conceito de legítima defesa retirado do Código Penal Brasileiro: Art. 25 - Entende-se em legítima defesa quem, usando moderadamente dos meios necessários, repele injusta agressão, atual ou iminente, a direito seu ou de outrem. Todos os direitos reservados | 92 Como construir uma área de Gestão de Riscos Qual a melhor solução de organograma? Importante é ter autonomia, independência e capacidade de resposta. Gestão de Riscos Todos os direitos reservados | 90 Metodologias de governança ISO/IEC 27000; ITTL v3; CoBIT 5. Todos os direitos reservados | 91 Metodologia de gestão de risco Método mais comum de gestão de risco segue o padrão PDCA; Plan, Do, Check, Act (Planejar, Executar, Verificar e Agir); Com ele a instituição deve planejar-se para os riscos de seu negócio, identificá-los, mitigá-los, monitorá-los e atualizar esses planos. Todos os direitos reservados | 92 Metodologia de gestão de risco Planejar: • • • Identificação do risco; Análise do risco; Sugestão de tratamento. Agir: • • Executar: Ações corretivas; Previsão de atualização de novos planos. • Implementação do tratamento e operação. Verificar: • • Revisão tratamento e gestão do risco; Monitoramento do tratamento. Todos os direitos reservados | 93 PDCA LEGAL - Blindagem de TIC Regras Claras Políticas, Normas, Procedimentos Vacinas Legais Vigilância Monitoramento e Documentação das evidências Resposta a Incidentes e Penalização Educação Capacitação e Conscientização Todos os direitos reservados | 94 PDCA LEGAL - Blindagem de TIC TI Deixar fornecer recurso (equipamento) para Soluções Ferramentas TI Conter e Responder ao Incidente, fornecer os relatórios para o Comitê SI ou Riscos Jurídico Elaborar as regras de uso dos recursos, informações colaborador e terceirizado TI Backup e Storage dos Logs de Identidade e autenticação guarda provas Jurídico Elaborar tabela de temporalidade a cadeia de custódia legal das provas Jurídico Penalizar junto com RH com base Tabela padrão (incidenteseveridadeconsequencia) TI Implementar campanhas educativas (presencial, EAD, interface) Jurídico Elaborar conteúdo Conscientizaçã o e Vacinas Legais Todos os direitos reservados | 95 Metodologia de tratamento de incidentes Identificação Declaração Resposta Conclusão Todos os direitos reservados | 96 Etapa 1: Identificação Atividade suspeita Investigação Não É um incidente? Sim Todos os direitos reservados | 97 Etapa 2: Declaração Identifi cação Declaração e designação da equipe responsável Comunicação à área afetada Respos ta Todos os direitos reservados | 98 Etapa 3: Resposta Declaração Elaboração do relatório inicial do incidente Elaboração do plano de resposta Contenção e resolução do incidente Conclu são Todos os direitos reservados | 99 Etapa 4: Conclusão Respos ta Elaboração do plano de remediação Mitigação dos riscos Incidente concluído Elaboração do relatório de resposta SIM Ação legal necessária? NÃO Todos os direitos reservados | 100 Etapa 4’: Coleta de evidências Conclu são Incidente concluído Coleta de evidências Elaboração do relatório de resposta Contato com as autoridades Todos os direitos reservados | 101 Matriz de incidentes e responsabilidades LEVE INCIDENTE MÉDIO GRAVE RESPONSABILIDADE Infração ética (não há norma) GRAVÍSSIMO CONSEQUÊNCIA Advertência Infração normativa (há regra na Repreensão instituição a respeito) Penalidade de suspensão, Infração normativa com impactos na ou destituição de função, imagem da empresa, ou reincidente se reincidente Infração legal, definida como ato Demissão e instauração de ilícito ou tipificada como crime sindicância. Todos os direitos reservados | 102 Matriz de incidentes e responsabilidades INCIDENTE GRAVIDADE Compartilhar senha na rede Apagar dados usando credencial de colega com acessos privilegiados Envio de e-mail para o destinatário errado Tirar foto do ambiente da empresa e publicar na rede social Portar, transmitir ou transportar dados sensíveis sem proteção Divulgar dados de cidadãos a empresas não autorizadas Todos os direitos reservados | 103 Como integrar a equipe de Gestão de Riscos Criação de políticas e procedimentos; Desenvolvimento de um sistema de gerenciamento de casos; Construção de um modelo de cobertura global;. Treinamento de funcionários e gerência em detecção e prevenção; Compartilhamento de alertas de crise; Todos os direitos reservados | 104 Todos os direitos reservados | 105 Phishing Remetente Anexos Links Informação • O remetente é desconhecido ou de alguma empresa com que você nunca tratou? • Existe algum anexo executável no e-mail? • Existem links no e-mail para que você continue com algum processo? • A mensagem pede suas informações pessoais? Todos os direitos reservados | 106 Phishing Todos os direitos reservados | 107 Phishing Todos os direitos reservados | 108 Phishing Onde estão as evidências? Conteúdo em servidores e máquinas • A página maliciosa está no servidor do banco ou de outra instituição invadida; • Os dados roubados podem estar em outro servidor controlado pelos criminosos; • Transações de vendas das bases podem estar presentes em servidores de fóruns, mensagens e e-mails; • As mensagens falsas e transmissões podem ser recuperadas dos servidores de e-mail das vítimas ou de suas máquinas. Registro das comunicações • E-mails possuem cabeçalhos com informações sobre os servidores responsáveis pelo seu envio; • Servidores invadidos podem conter registros (logs) com o endereço das máquinas que realizaram operações dentro de seus ambientes lógicos. Informações dos fraudadores ou laranjas • Contas de destino de transferências fraudulentas; • Informações sobre os receptores da compra de bens e serviços estão na fatura da operação. Todos os direitos reservados | 109 Phishing Como buscar as evidências? Conteúdo em servidores e máquinas • A empresa que teve seus servidores comprometidos pode realizar busca cuidadosa e forense no seu próprio sistema para obter o conteúdo; • Conteúdo em máquinas de terceiros deve ser obtido através de pedidos judiciais ou acordos para investigação do incidente. Registro das comunicações • O endereço IP listado em um registro pode ser associado à uma conexão de Internet, com dados pessoais mais detalhados sobre essa pessoa junto ao provedor de acesso; • Pedido deve ser feito pela via judicial (de acordo com o Marco Civil da Internet). Informações dos fraudadores ou laranjas • Outros bancos devem obedecer a Lei de Sigilo Bancário, dados das contas de transferência só podem ser obtidos pela via judicial; • Dados sobre os clientes de compras também devem ser obtidos pela via judicial. Todos os direitos reservados | 110 Phishing Como evitar esse incidente? • A prática de phishing normalmente afeta pessoas físicas, que entregam de boa-fé seus dados pessoais para terceiros mal-intencionados; • As instituição que tem seus clientes afetados devem investir na sua educação, lembrá-los de que não pedem dados pessoais por vias inseguras ou a observar práticas seguras. Todos os direitos reservados | 111 Perfil falso Certificado • Falta o atestado de autenticidade emitido pela rede social? Informação • A página ou perfil apresenta informações para contato diferentes das oficiais? Interação • O público de seguidores e a interação com a rede é esparsa ou limitada? Mensagens • Mensagens do perfil pedem suas informações pessoais? Todos os direitos reservados | 112 Perfil falso Todos os direitos reservados | 113 Perfil falso Todos os direitos reservados | 114 Perfil falso Onde estão as evidências? Conteúdo em servidores e máquinas • Redes sociais mantem registros dos perfis criados em seus servidores, incluindo as comunicações que realizou com outros usuários; • Os dados roubados podem estar em outro servidor controlado pelos criminosos; • Transações de vendas das bases podem estar presentes em servidores de fóruns, mensagens e e-mails; Registro das comunicações • Serviços de redes sociais mantém em seus registros os endereços IP usados para se conectar aos perfis fraudulentos; • Servidores invadidos podem conter registros (logs) com o endereço das máquinas que realizaram operações dentro de seus ambientes lógicos. Informações dos fraudadores ou laranjas • Contas de destino de transferências fraudulentas; • Informações sobre os receptores da compra de bens e serviços estão na fatura da operação. Todos os direitos reservados | 115 Perfil falso Como buscar as evidências? Conteúdo em servidores e máquinas • Redes sociais liberam registros de atividade de perfis através de pedido judicial; • Transações de vendas das bases podem estar presentes em servidores de fóruns, mensagens e e-mails. Registro das comunicações • Da mesma forma que nos registros de atividade, as redes sociais mantém endereços IP que acessaram os perfis falsos. Informações dos fraudadores ou laranjas • Outros bancos devem obedecer a Lei de Sigilo Bancário, dados das contas de transferência só podem ser obtidos pela via judicial; • Dados sobre os clientes de compras também devem ser obtidos pela via judicial. Todos os direitos reservados | 116 Perfil falso Como evitar esse incidente? • Além da obtenção de informações sobre o perfil, é importante eliminar esse canal de contato entre os criminosos e os clientes; • Boa parte das redes sociais oferece mecanismos de denúncia, que permitem desabilitar perfis falsos; • Com o Marco Civil (em vigor à partir de 23 de junho), a remoção deve ocorrer mediante pedido judicial. Todos os direitos reservados | 117 E-mail anônimo Intenção • Mensagem oferece denúncia para um suposto problema dentro da instituição? Destino • Não segue os procedimentos de denúncia e endereça todos ou parte da instituição? Remetente • O remetente tem denominações vexatórias, cômicas ou relacionada ao conteúdo? Todos os direitos reservados | 118 E-mail anônimo Todos os direitos reservados | 119 E-mail anônimo Todos os direitos reservados | 120