www.conexxoes.com.br
(71) 3176-3388 I (61) 4063-9530
Todos os direitos reservados
| 1
Doutrinadora - Judiciário
STJ, REsp n.º 1308830/RS, Ministra Nancy Andrighi, terceira turma, 08/05/2012, DJE 18/05/2012
“(...) Patrícia Peck comunga dessa ideia e apresenta exemplo que se amolda perfeitamente à hipótese dos
autos. A autora considera “tarefa hercúlea e humanamente impossível” que “a empresa GOOGLE
monitore todos os vídeos postados em seu sítio eletrônico 'youtube', de maneira prévia”, mas entende que
“ao ser comunicada, seja por uma autoridade, seja por um usuário, de que determinado vídeo/texto possui
conteúdo eventualmente ofensivo e/ou ilícito, deve tal empresa agir de forma enérgica, retirando-o
imediatamente do ar, sob pena de, daí sim, responder de forma solidária juntamente com o seu autor ante
a omissão praticada (art. 186 do CC)” (Direito digital. 4ª ed. São Paulo: Saraiva, 2010, p. 401).” (STJ, REsp
1308830/RS, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 08/05/2012, DJE
18/05/2012).
STJ, REsp n.º 1,186.616/MG, Ministra Nancy Andrighi, terceira turma, 31/08/2011
“APELAÇÃO CÍVEL - INFORMAÇÕES OFENSIVAS POSTADAS NO INTERNET - RESPONSABILIDADE
DO PROVEDOR - RETIRADA IMEDIATA DA PÁGINA DO AR APÓS COMUNICAÇÃO - AUSÊNCIA DANOS MORAIS CONFIGURADOS - INCIDÊNCIA DO CÓDIGO DE DEFESA DO CONSUMIDOR. - A
exploração comercial da internet configura relação de consumo e está sujeita aos dispositivos previstos na
Lei nº 8.078/90. - “Como afirma Patricia Peck, a fiscalização prévia, pelo provedor de conteúdo, do teor
das informações postadas na web por cada usuário não é atividade intrínseca ao serviço prestado, de
modo que não se pode reputar defeituoso, nos termos do art. 14 do CDC, o site que não examina e filtra
os dados e imagens nele inseridos. O dano moral decorrente de mensagens com conteúdo ofensivo
inseridas no site pelo usuário não constitui risco inerente à atividade dos provedores de conteúdo, de
modo que não se lhes aplica a responsabilidade objetiva prevista no art. 927, parágrafo único, do CC/02.
Ao ser comunicado de que determinado texto ou imagem possui conteúdo ilícito, deve o provedor agir de
forma enérgica, retirando o material do ar imediatamente, sob pena de responder solidariamente com o
autor direto do dano, em virtude da omissão praticada" (STJ, REsp. 1.186.616 - MG, Rel. Min. Nancy
Andrighi, 31/08/2011).
Siga Twitter: @patriciapeckadv
Todos
direitos
reservados
Todos osos
direitos
reservados
2
|8
Doutrinadora - Judiciário
STJ, REsp n.º 1.193.764 - SP, Ministra Nancy Andrighi, 14/12/2010
“Patrícia Peck comunga dessa ideia e apresenta exemplo que se amolda perfeitamente à hipótese
dos autos. A autora considera “tarefa hercúlea e humanamente impossível” que “a empresa GOOGLE
monitore todos os vídeos postados em seu sítio eletrônico 'youtube', de maneira prévia”, mas entende
que, “ao ser comunicada..”
TJ-MG, Apelação Cível n.º 0456532-68.2010.8.13.0024, Relator José Marcos Vieira,
11/05/2011
“Mais uma vez, importante a lição de PATRÍCIA PECK PINHEIRO, sobre responsabilidade civil no direito
digital: Considerando apenas a Internet, que é mídia e veículo de comunicação, seu potencial de danos
indiretos é muito maior que de danos diretos, e a possibilidade de causar prejuízo a outrem, mesmo que
sem culpa, é real. Por isso, a teoria do risco atende às questões virtuais e a soluciona de modo mais
adequado devendo estar muito bem associada à determinação legal de quem é o ônus da prova em cada
caso.”
TJ-SP, Agravo de Instrumento 584.783.4/7-00, Relator Egidio Giacoia, 02/12/2008
“Aqui, vale transcrevermos as lições de PATRÍCIA PECK PINHEIRO "in" Direito Digital, Saraiva, 2a
Ed./2001, p. 123, sobre os provedores de hospedagem.”
TRT 2ª, Acórdão n.º2006 0395367, Relator: Dr. Valdir Florindo, 09/06/2006
“Para se ter uma ideia da repercussão do site ‘orkut’, bem como de seus males, válido transcrever o
posicionamento de Patrícia Peck, autora do livro ‘Direito Digital’, em seu artigo ‘Os males do Orkut e outros
males da Tecnologia’: "A internet não é simplesmente uma rede de computadores, é sim uma rede de
pessoas, e como tal, está sujeita às leis vigentes nos países nos quais as pessoas se encontram. Como
toda e qualquer tecnologia, pode ser usada para o bem, ou para o mal. A questão da ética e da legalidade,
no uso das tecnologias é antiga no Direito.”
Todos os direitos reservados
3
| 6
Doutrinadora - Judiciário
Recente decisão do Tribunal de Justiça de São Paulo versando sobre as transações
bancárias feitas pela internet
“Ainda, oportuno mencionar a doutrina de Patrícia Peck Pinheiro, in “Direito Digital”,
com a qual comungo integralmente: ‘Para nós está claro que no mundo virtual as
instituições bancárias têm de ter a mesma segurança, solidez e credibilidade perante
os seus clientes que no mundo real - ou até mais, pelas características da rede. O custo
de cada operação feita por clientes em uma agência bancária é cerca de duas vezes maior do
que o custo da mesma operação feita por telefone e dez vezes maior que a feita por Internet.
Se a extensão virtual de um banco representa tamanha redução de custos para esse banco, é
justo esperar que reverta também em grandes investimentos na segurança do cliente virtual.
O banco é integralmente responsável por qualquer dano ao cliente enquanto este estiver em
seu espaço virtual. Um roubo virtual sofrido por um cliente quando operava no site de um
banco é de responsabilidade desse banco. Por isso mesmo, as operações financeiras virtuais
devem, obrigatoriamente, estar cobertas por seguro total’.” (TJSP, Apelação nº 005743331.2010.8.26.0577, julgada em 08/05/2013, Relatora Ana de Lourdes Coutinho Silva)
Todos os direitos reservados
| 8
Todos os direitos reservados
| 5
NÃO EXISTE
diferença entre
REAL
&
DIGITAL
Todos os direitos reservados
| 3
Você já se imaginou sem Internet?
https://www.flickr.com/photos/icofuma/
https://www.flickr.com/photos/60309568@N05/
Todos os direitos reservados
| 7
A face da Terra é desenhada com dados e conexões
Cada pessoa, empresa e instituição é um ponto
nesse imenso mapa das mídias sociais
Todos os direitos reservados
| 8
Era uma vez
uma rede...
O PASSADO
Arpanet
O PRESENTE
World Wide Web
O FUTURO...
Todos os direitos reservados
| 9
Todos os direitos reservados
| 10
Qual a primeira coisa que uma
pessoa da era digital faz quando
acorda?
62% checa o celular!
(antes de ir ao banheiro e de
escovar os dentes!)
Todos os direitos reservados
| 11
Na sociedade contemporânea o celular está em
todo lugar, das salas de atendimento às igrejas.
Todos os direitos reservados
| 12
A Instituição está
onde está a informação
Todos os direitos reservados
| 13
A informação publicada se perpetua no tempo
e pode ser vista em diversos contextos
https://www.flickr.com/photos/dr/
Todos os direitos reservados
| 14
“Os homens
criam as
ferramentas,
as
ferramentas
recriam os
homens"
Marshall
McLuhan
Uma Nova Cultura Digital
Todos os direitos reservados
O QUE É A OPEN SOCIETY
(SOCIEDADE ABERTA)?
Todos os direitos reservados
| 13
Para Don Tapscott, um dos maiores especialistas em Geração Digital, há
4 pilares que viabilizam a “Sociedade Aberta” (“Open Society”):
Colaboração (“Collaboration”) através de
Redes de inteligência (“networked intelligence”)
Transparência (“Transparency”)
Compartilhamento de Conteúdos e sua
Propriedade Intelectual (“Sharing”)
Mobilização (“Empowerment”)
Todos os direitos reservados
| 14
Segundo pesquisa encomendada pela CISCO e
realizada pela “Economist”, há uma grande
tendência de até 2020 vivenciarmos uma
sociedade completamente sem papel, em
mobilidade, com uso de nuvens computacionais
sem fronteiras, máxima acessibilidade digital e
desmaterialização completa da moeda como a
conhecemos.
http://www2.warwick.ac.uk/fac/soc/csgr/green/foresight/economy/the
_economist_intelligence_unit_full_report.pdf
Todos os direitos reservados
| 15
DIREITO DIGITAL EM EVIDÊNCIA
Compliance: novas leis brasileiras:
 Lei n.º12.965/2014 (Marco Civil da Internet) - EM VIGOR
 Decreto nº 8135/2013 (Segurança Nacional das Informações e comunicações de
dados)
 Lei n.º 12.846/2013 (Lei Anti-Corrupção)
 Lei nº 12.850/2013 (Provas Eletrônicas)
 Decreto n.º 7962/2013 (Lei do Comércio Eletrônico)
 Leis de nº 12.735 e 12.77/2012 (Crimes Eletrônicos)
 Decreto n.º 7.845/2012 (Lei de Tratamento da Informação Classificada)
 Lei nº 12.551/2011 (Lei Home Office e Teletrabalho)
 Lei nº 12.527/2011 (LAI)
 Lei nº 9.610/1998 (Lei de Direitos Autorais)
 Lei nº 9.609/1998 (Lei de Software)
 Lei n.º 9.296/1996 (Lei de Interceptação)
 Lei nº 9.279/1996 (Lei de Propriedade Industrial)
 ECA – Estatuto da Criança e do Adolescente e nova Lei de Pornografia Infantil
(241 – A e B)
Todos os direitos reservados
| 16
Novos Paradigmas
Novos Riscos
Todos os direitos reservados
A Segurança
na internet é
uma questão
de ordem
pública ou
privada?
@num3ro5
@lindinha19
@player01
@maluka
@surfista2013
@meninaS2
Na Internet,
@sk8er0
tudo é rastreável
Todos os direitos reservados
http://olhardigital.uol.com.br/noticia/hacker-rouba-2-milhoes-de-senhas-de-usuarios-de-google-efacebook/39188 Acessado em 15.07.2014 às 15:04.
Senhas mais
comuns:
123456
123456789
1234
password
http://www.missaopraiadacosta.com.br/up/wp-content/uploads/2012/07/gafetrabalho.jpg Acessado em 18.01.2013 às 17:07.
Todos os direitos reservados
| 19
O prejuízo final calculado
pela SONY foi de 171
milhões de dólares
http://g1.globo.com/tecnologia/noticia/2011/04/vazamento-de-dados-da-psn-e-considerado-o-5-maior-da-historia.html
Todos os direitos reservados
| 20
Vazamento de informação
Antes
era assim
Hoje
é assim
Todos os direitos reservados
Como saber se o celular está livre de ameaças?
http://www.superdownloads.com.br/materias/falso-antivirus-android-rouba-senhas-de-banco.html
http://www.securelist.com/en/blog/208193604/Android_Security_Suite_Premium_New_ZitMo
Todos os direitos reservados
| 22
Todos os direitos reservados
| 26
https://www.flickr.com/photos/ervins_strauhmanis/
Como não
sair ferido
Segurança
Cibernética!
Quem proteje o
cidadão na internet?
Todos os direitos reservados
O que é segurança cibernética?
A Internet criou um novo ambiente para os
criminosos atuarem;
A segurança cibernética trata de conter
essas ameaças.
http://www.nationaldefensemagazine.org/archive/2012/August/PublishingImages/shield_revised.jpg
Todos os direitos reservados
| 28
Informação
Instituição
Ativos
tangíveis
Pessoas
Ativos
intangíveis
Todos os direitos reservados
| 29
Informação
Instituição
Ativos
tangíveis
Pessoas
Ativos
intangíveis
Hackers
Internet
Frauda
dores
Deep
web
Todos os direitos reservados
| 30
Benchmark
Países que possuem órgãos administrativos que regulam e
atuam como uma Secretaria de Segurança Pública Digital:
Austrália
Canadá
Estônia
União Europeia
França
Polônia
Países Baixos
Alemanha
Japão
Nova Zelândia
Rússia
Reino Unido
República Tcheca
EUA
África do Sul
Todos os direitos reservados
31
| 35
Todos os direitos reservados
Fonte: http://defesacibernetica.ime.eb.br/
Decreto no 6.703, de 18 de
dezembro de 2008, estabelece a
Estratégia Nacional de Defesa.
Hoje temos o CDCiber.
| 32
Como chegamos na segurança
cibernética?
A segurança cibernética vai além de
proteger a informação;
Ela protege todos os ativos e as
pessoas envolvidas em sua criação e
manipulação.
Todos os direitos reservados
| 33
O que é a Consumerização?
 É o fenômeno que descreve o
aumento da aquisição de
dispositivos tecnológicos
pelas pessoas.
 Assim passa a ser inevitável o
ingresso deles nas atividades
institucionais, além do
armazenamento e
compartilhamento de
informações na nuvem e nas
mídias sociais.
http://www.informsistemas.com.br/wp-content/uploads/2012/12/consumerizacao.jpg Acessado em 25.02.2013 às 13:47.
Todos os direitos reservados
| 34
Todos os direitos reservados
| 31
MOBILIDADE DE PESSOAS E DADOS
Todos os direitos reservados
| 31
Segredo
Privacidade
Público
Compartilhado
http://www.informacaopublica.org.br/sites/default/files/sigilo.jpg
Todos os direitos reservados
| 37
Todos os direitos reservados
| 38
Todos os direitos reservados
| 39
Todos os direitos reservados
| 40
35
O que é o Bring Your Own Device (BYOD)?
Ocorre quando o colaborador utiliza seu
próprio equipamento para acesso e manuseio
das
informações
da
instituição,
no
desenvolvimento de sua atividade.
http://3.bp.blogspot.com/-DTs0pK7l5_c/TxlX-zHiguI/AAAAAAAAAdc/tmNwfcMm5Uw/s1600/duvida.jpg
Todos os direitos reservados
| 41
Fraudes em smartphones
•
Falhas na implementação do SSL podem
comprometer a segurança da transmissão de dados
críticos do cliente;
•
Não faltam aplicativos mal-intencionados, que
http://www.purebreak.com.br/noticias/falso-aplicativo-da-copa-roubava-dados-de-tabletsprometem
serviços diversos, e monitoram essa
e-smartphones-cuidado/4692
comunicação em busca de informações relevantes.
Todos os direitos reservados
| 42
A segurança das informações e da infraestrutura
tecnológica da empresa é um dos grandes desafios
no BYOD
Todos os direitos reservados
| 43
Não importa de quem
é o dispositivo,
Mas sim de quem
é a informação
Todos os direitos reservados
Quantos celulares na cena?
E quanto à privacidade do paciente?
Todos os direitos reservados
| 45
Lei 12.527/2011
Lei de Acesso à Informação
Portaria n.º 25, de 15 de maio de 2012
Respeite os rótulos de Sigilo das
elenca os documentos considerados sigilosos para
informações!
garantir a segurança da sociedade e a sua
Ultrassecreta, Secreta, Reservada,
imprescritibilidade.
Confidencial, Interna e Pública
Todos os direitos reservados
| 46
Art. 325, do Código Penal:
Violação de Sigilo Funcional
Revelar fato de que tem ciência em razão do cargo e que
deva permanecer em segredo, ou facilitar-lhe a revelação:
Pena - detenção, de seis meses a dois anos, ou multa,
se o fato não constitui crime mais grave.
§ 1º Nas mesmas penas deste artigo incorre quem:
I – permite ou facilita, mediante atribuição,
fornecimento e empréstimo de senha ou qualquer outra
forma, o acesso de pessoas não autorizadas a sistemas de
informações ou banco de dados da Administração Pública.
Todos os direitos reservados
| 47





Senha de bloqueio
Bloqueio automático por
inatividade
Antivírus/Antispyware
App Apagamento Remoto
Backup em Nuvem Segura
Todos os direitos reservados
http://4.bp.blogspot.com/-f0o8J4Gw-j8/TpGw6sRZLNI/AAAAAAAAAD8/qk_89fxFeS8/s1600/exclamation2.gif Acessado em 11.06.2013 às
11:19.
Quais os requisitos de Segurança
Cibernética para o BYOD?
| 48
http://imoveis.culturamix.com/blog/wp-content/gallery/4-197/o-que-e-checklist-5.jpg Acessado em 03.06.2014 às 18:12.
Impactos do BYOD – Bring Your own Device

Dificuldade de integração
entre os diversos tipos
dispositivos e a infraestrutura
tecnológica

 Impactos trabalhistas


Vazamento de Informação
Furto, roubo e perda dos
dispositivos móveis
Sigilo Bancário

Acesso não
autorizado às
informações
corporativas


Riscos
à
infraestrutura
tecnológica
Dificuldade no controle de
jornada – 24x7
Todos os direitos reservados
| 49
Para fotografar, filmar e marcar
colegas, ou a empresa, é preciso
autorização!
http://www.em.com.br/app/noticia/gerais/2013/11/18/interna_gerais,471297/justica-mantem-demissao-de-vigilante-que-postou-fotos-da-empresa-em-rede-social.shtml
http://www.baguete.com.br/noticias/18/02/2014/marcacao-sem-nocao-causa-demissao.
http://atarde.uol.com.br/noticias/enfermeira-e-demitida-apos-dar-risada-de-neymar-em-video-1603961 Acessado em 16.07.2014 às 09:40
.
Todos os direitos reservados
| 50
http://jovempan.uol.com.br/esportes/futebol/nacional/clubes/santos/torcedora-gremistaflagrada-chamando-aranha-de-macaco-e-identificada.html
http://blogdojuca.uol.com.br/2014/08/prendam-esta-mulher/
Todos os direitos reservados
| 51
http://varelanoticias.com.br/internautas-argentinos-se-revoltam-com-derrota-e-publicam-ofensas-racistas-contra-brasileiros/ Acessado em 16.07.2014 às 09:50.
Todos os direitos reservados
| 52
http://www.jn.pt/PaginaInicial/Tecnologia/Interior.aspx?content_id=3942771
http://www.publico.pt/mundo/noticia/direito-ao-esquecimento-esquece-o-que-privacidade-ou-liberdade-de-expressao-1637145
http://oglobo.globo.com/sociedade/tecnologia/cerca-de-100-mil-pedidos-de-esquecimento-foram-enviados-google-13394843
Todos os direitos reservados
| 53
Gafes públicas nas redes sociais
Todos os direitos reservados
| 54
Nas eleições, todo cuidado é pouco
Todos os direitos reservados
| 55
O que são repositórios digitais?
São plataformas de
armazenamento na
Internet, os exemplos
mais comuns são o
Google Drive, OneDrive,
Dropbox, iCloud, Box e
SugarSync.
http://blogs-images.forbes.com/emc/files/2014/02/Cloud-Computing-cap.jpg Acessado em 04.06.2014 às 12:00,
Todos os direitos reservados
| 56
http://pplware.sapo.pt/apple/ataque-ao-icloud-mostra-na-web-fotos-de-celebridades-nuas/
Todos os direitos reservados
| 57
Não somos responsáveis pela exatidão,
integridade, adequação ou legalidade de
arquivos, tópicos de usuários ou qualquer
outra informação à qual você possa ter
acesso ao usar os Serviços.
Pense bem o que compartilhará ou deixará
publicamente acessível. O Dropbox não é
responsável por essa atividade.
Todos os direitos reservados
| 58
Os aplicativos sociais possibilitam a troca de
mensagens de maneira instantânea por meio
do uso da internet, a exemplo de Whatsapp,
Snapchat, Chaton, Telegram e Viber.
http://noticias.r7.com/tecnologia-e-ciencia/fotos/video-intimo-vaza-no-whatsapp-e-menina-semata-no-piaui-21112013#!/foto/1 Acessado em 04.06.2014 às 11:26.
http://g1.globo.com/sao-paulo/noticia/2014/04/jovem-nega-estupro-e-policia-vai-apurardivulgacao-de-fotos-de-sexo.html Acessado em 04.06.2014 às 11:27.
http://idgnow.com.br/mobilidade/2014/03/12/whatsapp-falha-critica-permite-roubode-historico-de-mensagens/ Acessado em 04.06.2014 às 11:28.
Todos os direitos reservados
| 59
Todos os direitos reservados
| 60
Não basta apenas gerenciar o uso dos
dispositivos móveis....
É preciso lembrar que
a
segurança
da
informação também
deve
existir
em
aplicativos de troca
de mensagens!
http://culturageekradiocom.fatcow.com/wp-content/uploads/2014/02/whatsapp-bloqueo-seguridad-cultura-geek.jpg Acessado em 04.06.2014 às 15:53.
Todos os direitos reservados
| 61
http://g1.globo.com/politica/noticia/2010/09/tcu-aponta-falhas-na-seguranca-de-dados-de-65-dos-orgaos-federais.html
http://www1.folha.uol.com.br/poder/2014/09/1513022-pf-abre-inquerito-para-apurar-vazamento-de-informacoes-do-ex-diretor-da-petrobras.shtml
http://democraciapolitica.blogspot.com.br/2014/06/juizes-e-policiais-vendem-vazamentos.html
Todos os direitos reservados
| 62
Os pilares da Segurança Cibernética
Cultura de
segurança
digital
Segurança
Cibernética
(holística)
Melhores
práticas e
normas
técnicas
Legislação
nacional
Todos os direitos reservados
| 66
Como implementar um Plano
Estratégico?
Implementação
Cibernética
das
Políticas
de
Segurança
Formação de um Comitê de Segurança
Cibernética (Multidisciplinar e integrando várias
Autoridades Públicas)
Implementação das regras de Segurança
Cibernética e centralização da Inteligência Digital
e das Provas eletrônicas
Realização de Campanhas de Conscientização
Públicas sobre Segurança Cibernética
Todos os direitos reservados
| 67
Segurança Digital exige Educação Continuada e
não apenas campanhas de conscientização:
- Regras Claras
- Exemplo tem que vir de cima
- Capacitação Contínua com conteúdos
educativos
- Monitoração e Coleta de Provas
- Resposta Rápida aos Incidentes
- Penalização
Todos os direitos reservados
| 65
Cartilhas e Materiais Educativos
 Inserir senha de bloqueio e portar com segurança;
 Manter software segurança atualizado e fazer
backup;
 Ter apagamento remoto;
 Fazer manutenção e conserto;
 Relatar eventual furto ou roubo;
 Não fazer uso software pirata para manusear
informação corporativa;
 Responder por todo conteúdo no dispositivo;
 Autorizar monitoração e inspeção;
 Fazer uso ético, seguro e legal.
Todos os direitos reservados
| 66
Sempre tenha
senha de
bloqueio
nos dispositivos
Todos os direitos reservados
Não deixe
seu wireless aberto
Todos os direitos reservados
Ao sair,
feche a porta.
Sempre.
Inclusive a
DIGITAL!
Todos os direitos reservados
Todos os direitos reservados
| 70
Quem cala
consente
digitalmente
https://www.flickr.com/photos/shyald/
Todos os direitos reservados
| 71
Leia os termos de uso!
Todos os direitos reservados
| 72
Jamais voltam:
A pedra foto
A palavra
...uma
atirada
dita
publicada...
A ocasião
perdida
O tempo
passado
(Provérbio Chinês)
Todos os direitos reservados
Qual o nosso MAIOR Desafio?
CULTURAL!
Todos os direitos reservados
| 74
A melhor forma de garantir o cumprimento
das regras é DAR O EXEMPLO!
http://4.bp.blogspot.com/_xsExyAm0lRs/TThuLcUNQ5I/AAAAAAAABDY/cZFdbORxr3M/s1600/educacao021.jpg
Todos os direitos reservados
| 75
Recomendações
Temos a missão de EDUCAR a próxima
geração em SEGURANÇA DIGITAL!
TEM QUE EXERCER AUTORIDADE
E RECEBER OBEDIÊNCIA
Artigo 1.634 do Código Civil: Compete aos pais, quanto à
pessoa dos filhos menores:
VII – exigir que lhes prestem obediência, respeito e os
serviços próprios de sua idade e condição.
Todos os direitos reservados
| 76
https://farm7.staticflickr.com/6138/6030598996_17fa26814f_b_d.jpg
Todos os direitos reservados
| 77
“Se não
pode com
eles,
junte-se a
eles...”
Vamos
gerenciar!
http://3.bp.blogspot.com/_l_YnETeLj3E/THV8dnw5CQI/AAAAAAAADbc/a9YK0ju1MZM/s1600/fears.jpg Acessado em 03.06.2014 às 18:19.
Todos os direitos reservados
| 78
Riscos Digitais mais comuns
Uso indevido de marca, imagem e reputação da
Instituição
Roubo da identidade digital
Divulgação não autorizada de conhecimento
Vazamento de informação
Exposição de intimidade
Fraude e crimes digitais – da invasão ao phishing
Todos os direitos reservados
| 79
Crimes na Web: 64% das
empresas brasileiras perderam
dados para hackers
Custo médio de um ataque criminoso virtual
varia entre US$100.000 e quase US$300.000 por
incidente de segurança.
35% das empresas brasileiras recebem entre 26
e 50 ataques por semana.
Fonte: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=30672&sid=18#.U8bGdfldWT8
Todos os direitos reservados
| 80
Cibercriminosos podem ter
desviado bilhões de sistema
brasileiro de pagamentos
 A RSA estima que os fraudadores
procuraram desviar quase 8,6 bilhões de
reais de mais de 192 mil contas.
Fonte: http://blogs.estadao.com.br/link/cibercriminosos-podem-ter-desviado-bilhoes-de-sistema-brasileiro-de-pagamentos/
Todos os direitos reservados
| 81
http://www.tecmundo.com.br/ataque-hacker/57856-hackers-iniciam-onda-ataques-sites-relacionados-copa.htm
Todos os direitos reservados
| 82
Polícia extrai dados de celular de suspeitos
A Polícia Metropolitana britânica está
implementando um sistema para
extrair dados de telefones celulares
dos suspeitos detidos em custódia. E já
está em funcionamento em diversas
localidades de Londres.
Os dados extraídos são os históricos de
chamadas, textos, contatos. Antes os
celulares eram levados para a perícia e
levava muito tempo.
Quando um suspeito é preso e encontrado com um celular agora a polícia realiza
uma varredura no aparelho para verificar se o aparelho foi utilizado para ajudar a
praticar o crime.
Todos os direitos reservados
| 86
Britain on high alert during Olympics with terror threat classified as
'severe'
Britain's security services will be on high alert during the Olympics with the terror
threat to be classified at 'severe' despite the level being downgraded by the
Government
this
week.
E o Brasil, como está se preparando
para olimpíadas 2016?
Home Secretary Theresa May announced that the assessment of a terrorist attack
had been lowered to 'substantial' which means that the risk of an attack is
considered a strong possibility and could occur without further warning.
Olympics Minister Hugh Robertson said Tuesday that the planning assumption for
the Games remains that the threat will be at severe - the second highest
classification,
meaning
an
attack
is
highly
likely.
Earlier this month Police began testing Olympic venues against all potential
terrorist threats, including from Irish dissidents and Islamists
http://www.dailymail.co.uk/sport/olympics/article-2013843/LONDON-2012-OLYMPICS-Terror-threat-classified-severe-Games.html Acessado em 24.03.2014 às 17:19.
Todos os direitos reservados
84
| 87
Decreto n.°4.394, de 26 de Setembro de 2002.
Promulga a Convenção Internacional sobre a Supressão de Atentados
Terroristas com Bombas, com reserva ao parágrafo 1 do art. 20
Artigo 2
1. Comete um delito no sentido desta Convenção qualquer pessoa que
ilícita e intencionalmente entrega, coloca, lança ou detona um artefato
explosivo ou outro artefato mortífero em, dentro ou contra um
logradouro público, uma instalação estatal ou governamental, um
sistema de transporte público ou uma instalação de infra-estrutura:
a) Com a intenção de causar morte ou grave lesão corporal; ou
b) Com a intenção de causar destruição significativa desse lugar,
instalação ou rede que ocasione ou possa ocasionar um grande
prejuízo econômico.
2. Também constitui delito a tentativa de cometer qualquer dos delitos
enumerados no parágrafo 1.
Todos os direitos reservados
| 878
Decreto n.°4.394, de 26 de Setembro de 2002.
Promulga a Convenção Internacional sobre a Supressão de Atentados
Terroristas com Bombas, com reserva ao parágrafo 1 do art. 20
Artigo 2
3. Também constitui delito:
a) Participar como cúmplice nos delitos enunciados nos parágrafos 1
ou 2; ou
b) Organizar e dirigir outros na perpetração dos delitos enunciados nos
parágrafos 1 e 2; ou
c) Contribuir de qualquer outra forma na perpetração de um ou mais
dos delitos enunciados nos parágrafos 1 ou 2 por um grupo de pessoas que
atue com um propósito comum; essa contribuição deverá ser intencional e
ocorrer seja com a finalidade de colaborar com a atividade ou o propósito
delitiva genérico do grupo, seja com o conhecimento da intenção do grupo
de cometer o delito ou delitos de que se trate.
Todos os direitos reservados
86
| 89
Decreto n.°5.639, de 26 de Dezembro de 2005.
Promulga a Convenção Interamericana contra o
Terrorismo, assinada em Barbados, em 3 de junho de
2002
Artigo 1- Objeto e fins
Esta Convenção tem por objeto prevenir, punir e eliminar o
terrorismo. Para esses fins, os Estados Partes assumem o
compromisso de adotar as medidas necessárias e fortalecer
a cooperação entre eles, de acordo com o estabelecido
nesta Convenção.
Todos os direitos reservados
87
| 90
O que fazer ao detectar um incidente?
1-) Registrar a ocorrência conforme sua natureza.
2-) Realizar a guarda de provas adequadamente.
3-) Identificar a criticidade da ocorrência.
4-) Iniciar a fase de gestão de crises.
5-) Monitorar a situação para buscar novos focos
do incidente ou respingos do ocorrido.
Todos os direitos reservados
| 91
Legítima Defesa Digital
Conceito de legítima defesa retirado do Código
Penal Brasileiro:
Art. 25 - Entende-se em legítima defesa quem,
usando moderadamente dos meios necessários,
repele injusta agressão, atual ou iminente, a direito
seu ou de outrem.
Todos os direitos reservados
| 92
Como construir uma área de
Gestão de Riscos
Qual a melhor solução de organograma?
Importante é ter autonomia,
independência e capacidade de resposta.
Gestão de
Riscos
Todos os direitos reservados
| 90
Metodologias de governança
ISO/IEC 27000;
ITTL v3;
CoBIT 5.
Todos os direitos reservados
| 91
Metodologia de gestão de risco
 Método mais comum de gestão de risco
segue o padrão PDCA;
 Plan, Do, Check, Act (Planejar, Executar,
Verificar e Agir);
 Com ele a instituição deve planejar-se para
os riscos de seu negócio, identificá-los,
mitigá-los, monitorá-los e atualizar esses
planos.
Todos os direitos reservados
| 92
Metodologia de gestão de risco
Planejar:
•
•
•
Identificação do risco;
Análise do risco;
Sugestão de tratamento.
Agir:
•
•
Executar:
Ações corretivas;
Previsão de atualização
de novos planos.
•
Implementação do
tratamento e operação.
Verificar:
•
•
Revisão tratamento e
gestão do risco;
Monitoramento do
tratamento.
Todos os direitos reservados
| 93
PDCA LEGAL - Blindagem de TIC
Regras Claras
Políticas, Normas,
Procedimentos
Vacinas Legais
Vigilância
Monitoramento e
Documentação das
evidências
Resposta a Incidentes e
Penalização
Educação
Capacitação e
Conscientização
Todos os direitos reservados
| 94
PDCA LEGAL - Blindagem de TIC
TI
Deixar fornecer
recurso
(equipamento)
para Soluções
Ferramentas
TI
Conter e
Responder ao
Incidente,
fornecer os
relatórios para o
Comitê SI ou
Riscos
Jurídico
Elaborar as
regras de uso
dos recursos,
informações
colaborador e
terceirizado
TI
Backup e
Storage dos
Logs de
Identidade e
autenticação
guarda provas
Jurídico
Elaborar
tabela de
temporalidade
a cadeia de
custódia legal
das provas
Jurídico
Penalizar junto
com RH com
base Tabela
padrão
(incidenteseveridadeconsequencia)
TI
Implementar
campanhas
educativas
(presencial,
EAD, interface)
Jurídico
Elaborar
conteúdo
Conscientizaçã
o e Vacinas
Legais
Todos os direitos reservados
| 95
Metodologia de tratamento de
incidentes
Identificação
Declaração
Resposta
Conclusão
Todos os direitos reservados
| 96
Etapa 1: Identificação
Atividade
suspeita
Investigação
Não
É um
incidente?
Sim
Todos os direitos reservados
| 97
Etapa 2: Declaração
Identifi
cação
Declaração e
designação
da equipe
responsável
Comunicação à
área afetada
Respos
ta
Todos os direitos reservados
| 98
Etapa 3: Resposta
Declaração
Elaboração do
relatório inicial do
incidente
Elaboração do
plano de resposta
Contenção e
resolução do
incidente
Conclu
são
Todos os direitos reservados
| 99
Etapa 4: Conclusão
Respos
ta
Elaboração do
plano de
remediação
Mitigação dos
riscos
Incidente
concluído
Elaboração do
relatório de
resposta
SIM
Ação legal
necessária?
NÃO
Todos os direitos reservados
| 100
Etapa 4’: Coleta de evidências
Conclu
são
Incidente
concluído
Coleta de
evidências
Elaboração do
relatório de
resposta
Contato
com as
autoridades
Todos os direitos reservados
| 101
Matriz de incidentes e responsabilidades
LEVE
INCIDENTE
MÉDIO
GRAVE
RESPONSABILIDADE
Infração ética (não há norma)
GRAVÍSSIMO
CONSEQUÊNCIA
Advertência
Infração normativa (há regra na
Repreensão
instituição a respeito)
Penalidade de suspensão,
Infração normativa com impactos na
ou destituição de função,
imagem da empresa, ou reincidente
se reincidente
Infração legal, definida como ato Demissão e instauração de
ilícito ou tipificada como crime
sindicância.
Todos os direitos reservados
| 102
Matriz de incidentes e responsabilidades
INCIDENTE
GRAVIDADE
Compartilhar senha na rede
Apagar dados usando credencial de colega com
acessos privilegiados
Envio de e-mail para o destinatário errado
Tirar foto do ambiente da empresa e
publicar na rede social
Portar, transmitir ou transportar dados sensíveis sem
proteção
Divulgar dados de cidadãos a empresas não autorizadas
Todos os direitos reservados
| 103
Como integrar a equipe de
Gestão de Riscos
 Criação de políticas e procedimentos;
 Desenvolvimento de um sistema de gerenciamento de
casos;
 Construção de um modelo de cobertura global;.
 Treinamento de funcionários e gerência em detecção e
prevenção;
 Compartilhamento de alertas de crise;
Todos os direitos reservados
| 104
Todos os direitos reservados
| 105
Phishing
Remetente
Anexos
Links
Informação
• O remetente é desconhecido ou de alguma
empresa com que você nunca tratou?
• Existe algum anexo executável no e-mail?
• Existem links no e-mail para que você
continue com algum processo?
• A mensagem pede suas informações
pessoais?
Todos os direitos reservados
| 106
Phishing
Todos os direitos reservados
| 107
Phishing
Todos os direitos reservados
| 108
Phishing
Onde estão as evidências?
Conteúdo em servidores e máquinas
• A página maliciosa está no servidor do banco ou de outra instituição invadida;
• Os dados roubados podem estar em outro servidor controlado pelos criminosos;
• Transações de vendas das bases podem estar presentes em servidores de fóruns, mensagens e e-mails;
• As mensagens falsas e transmissões podem ser recuperadas dos servidores de e-mail das vítimas ou de
suas máquinas.
Registro das comunicações
• E-mails possuem cabeçalhos com informações sobre os servidores responsáveis pelo seu envio;
• Servidores invadidos podem conter registros (logs) com o endereço das máquinas que realizaram
operações dentro de seus ambientes lógicos.
Informações dos fraudadores ou laranjas
• Contas de destino de transferências fraudulentas;
• Informações sobre os receptores da compra de bens e serviços estão na fatura da operação.
Todos os direitos reservados
| 109
Phishing
Como buscar as evidências?
Conteúdo em servidores e máquinas
• A empresa que teve seus servidores comprometidos pode realizar busca cuidadosa e forense no
seu próprio sistema para obter o conteúdo;
• Conteúdo em máquinas de terceiros deve ser obtido através de pedidos judiciais ou acordos
para investigação do incidente.
Registro das comunicações
• O endereço IP listado em um registro pode ser associado à uma conexão de Internet, com
dados pessoais mais detalhados sobre essa pessoa junto ao provedor de acesso;
• Pedido deve ser feito pela via judicial (de acordo com o Marco Civil da Internet).
Informações dos fraudadores ou laranjas
• Outros bancos devem obedecer a Lei de Sigilo Bancário, dados das contas de transferência só
podem ser obtidos pela via judicial;
• Dados sobre os clientes de compras também devem ser obtidos pela via judicial.
Todos os direitos reservados
| 110
Phishing
Como evitar esse incidente?
•
A prática de phishing normalmente afeta pessoas
físicas, que entregam de boa-fé seus dados pessoais
para terceiros mal-intencionados;
•
As instituição que tem seus clientes afetados devem
investir na sua educação, lembrá-los de que não
pedem dados pessoais por vias inseguras ou a
observar práticas seguras.
Todos os direitos reservados
| 111
Perfil falso
Certificado
• Falta o atestado de autenticidade emitido
pela rede social?
Informação
• A página ou perfil apresenta informações
para contato diferentes das oficiais?
Interação
• O público de seguidores e a interação com a
rede é esparsa ou limitada?
Mensagens
• Mensagens do perfil pedem suas
informações pessoais?
Todos os direitos reservados
| 112
Perfil falso
Todos os direitos reservados
| 113
Perfil falso
Todos os direitos reservados
| 114
Perfil falso
Onde estão as evidências?
Conteúdo em servidores e máquinas
• Redes sociais mantem registros dos perfis criados em seus servidores, incluindo as comunicações que
realizou com outros usuários;
• Os dados roubados podem estar em outro servidor controlado pelos criminosos;
• Transações de vendas das bases podem estar presentes em servidores de fóruns, mensagens e e-mails;
Registro das comunicações
• Serviços de redes sociais mantém em seus registros os endereços IP usados para se conectar aos perfis
fraudulentos;
• Servidores invadidos podem conter registros (logs) com o endereço das máquinas que realizaram
operações dentro de seus ambientes lógicos.
Informações dos fraudadores ou laranjas
• Contas de destino de transferências fraudulentas;
• Informações sobre os receptores da compra de bens e serviços estão na fatura da operação.
Todos os direitos reservados
| 115
Perfil falso
Como buscar as evidências?
Conteúdo em servidores e máquinas
• Redes sociais liberam registros de atividade de perfis através de pedido judicial;
• Transações de vendas das bases podem estar presentes em servidores de fóruns,
mensagens e e-mails.
Registro das comunicações
• Da mesma forma que nos registros de atividade, as redes sociais mantém endereços
IP que acessaram os perfis falsos.
Informações dos fraudadores ou laranjas
• Outros bancos devem obedecer a Lei de Sigilo Bancário, dados das contas de
transferência só podem ser obtidos pela via judicial;
• Dados sobre os clientes de compras também devem ser obtidos pela via judicial.
Todos os direitos reservados
| 116
Perfil falso
Como evitar esse incidente?
•
Além da obtenção de informações sobre o perfil, é
importante eliminar esse canal de contato entre os
criminosos e os clientes;
•
Boa parte das redes sociais oferece mecanismos de denúncia,
que permitem desabilitar perfis falsos;
•
Com o Marco Civil (em vigor à partir de 23 de junho), a
remoção deve ocorrer mediante pedido judicial.
Todos os direitos reservados
| 117
E-mail anônimo
Intenção
• Mensagem oferece denúncia para um
suposto problema dentro da instituição?
Destino
• Não segue os procedimentos de denúncia e
endereça todos ou parte da instituição?
Remetente
• O remetente tem denominações vexatórias,
cômicas ou relacionada ao conteúdo?
Todos os direitos reservados
| 118
E-mail anônimo
Todos os direitos reservados
| 119
E-mail anônimo
Todos os direitos reservados
| 120