Aspectos Legais da Prevenção a
Perda de dados
Dra. Patricia Peck
[email protected]
06/04/2010
www.pppadvogados.com.br
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
© PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados.
1
Dra. Patricia Peck Pinheiro – Sócia Fundadora
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Sócia fundadora do escritório Patricia Peck Pinheiro
Advogados;
Formada em Direito pela Universidade de São Paulo;
Especialização em negócios pela Harvard Business School;
MBA em marketing pela Madia Marketing School;
Formada pelo Centro de Inteligência do Exércio;
Condecorada com a Medalha do Pacificador pelo Exército
Brasileiro (2009);
Condecorada com o prêmio “A Nata dos profissionais de Segurança da Informação (2006 e
2008);
Condecorada com Prêmio Excelência Acadêmica – Melhor Docente – FIT Impacta São Paulo
Iniciou sua carreira como programadora aos 13 anos;
Autora do livro “Direito Digital” pela Ed. Saraiva (3ª.Ed);
Co-autora do Audio-livro e pocket book “Direito Digital no dia-a-dia” pela Ed. Saraiva (2009);
Co-autora do Audio-Livro Eleições na Internet pela Ed. Saraiva (2010);
Co-autora dos livros “e-Dicas”, “Internet Legal” e “Direito e Internet II”;
Lecionou em diversos cursos de pós-graduação (Senac-SP, IMPACTA, IBTA, FATEC);
Lecionou para Adm Publica (TST, EMAG SP, TRF 3ª e 2ª Região, TJSC, MPSC, TContas);
Experiência internacional de Direito e Tecnologia nos EUA, Portugal e Coréia;
Colunista do IDG Now, Revista Visão Jurídica, Revista Partner Sales, e articulista da Revista
Executivos Financeiros, Jornal Valor Econômico, outros.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
2
- Patrícia Peck Pinheiro Advogados • Foco de Atuação: Direito Digital, Segurança da
Informação e Gestão de Riscos Eletrônicos
• Equipe: 20 Profissionais
• Matriz: São Paulo – Brasil
• Regionais: Brasília, Curitiba, Fortaleza, Belo
Horizonte e Rio de Janeiro.
• Atuação:
Consultivo,
Contencioso
Capacitação
• Categoria: ALTAMENTE ESPECIALIZADO
Java Technology
Nosso Diferencial:
ADVOGADOS QUE ENTENDEM DE TECNOLOGIA!
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
3
Patrícia Peck Pinheiro Advogados - Credenciais
Advogados - Matriz São Paulo:
Equipe regional
WWW.PPPADVOGADOS.COM.BR
Equipe Administrativa
2010 PPP Advogados. Todos os direitos reservados.
4
Publicações
Livro 3ª. Edição
PINHEIRO, Patricia Peck. Direito
Digital. São Paulo: Saraiva, 2009.
Áudio Livros
PINHEIRO, Patricia Peck e
Bissoli, Leandro Saraiva 2010.
Pocket Book
Tudo o que você precisa ouvir sobre Direito
Digit@l no dia-a-dia
PINHEIRO, Patricia Peck e SLEIMAN, Cristina.
Saravia 2009.
5
Contato
Saraiva: Antônio Tocca – Tel: (11) 3613-3224 email: [email protected]
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
5
O PRESENTE MATERIAL TEM FINALIDADE
ACADÊMICA E DE CAPACITAÇÃO DE PROFISSIONAIS,
SENDO ASSIM, TODA A MENÇÃO DE EMPRESAS E/OU
MARCAS TEM PROPÓSITO ÚNICO E
EXCLUSIVAMENTE ILUSTRATIVO.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
6
“Quem pensa para você a lei que ainda não
foi escrita?”
Patricia Peck Pinheiro Advogados
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
7
Imagem: http://thegoldguys.blogspot.com/
A EMPRESA ESTÁ PREPARADA PARA
PROTEGER SEUS DADOS COM UMA
VISÃO MAIS HOLÍSTICA?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
8
Por que Data Loss Prevention se tornou tão
relevante em 2010?
• Devido ao cenário de perda de dados em 2009 (provocado por
incidentes relacionados a Crise Financeira);
•Devido a retomada de projetos que não ocorreram em 2009 por
conta da crise (Cloud Computing, Paper Less, Fusões e
Aquisições, Abertura na Bolsa, outros);
•Devido ao crescimento de uso de mobilidade em toda a empresa;
•Devido a exposição demasiada de colaboradores, parceiros e
executivos em Redes Sociais;
•Devido ao crescimento do uso de terceirizados;
•Devido ao aumento da responsabilidade do executivo no tocante
a culpa relacionada a perdas de dados para empresas
(considerando já a perda de dado como um dano material e
também moral – atinge reputação).
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
9
Estudo revela que 25% dos funcionários roubariam dados
corporativos
Quem aqui a mamãe disse:
“Não pegue o que não é seu”
Um entre quatro trabalhadores de escritório roubaria dados da companhia
Pesquisa realizada pela Cyber-Ark aponta que 40% dos entrevistados já
pegaram informações corporativas: pen drive é o meio preferido.
se soubesse que isso ajudaria um amigo ou parente a manter um emprego,
segundo estudo da Cyber-Ark Software.
E
quem
ouviu
a
mamãe
dizer:
O estudo da empresa também revelou que quatro em cada dez trabalhadores
já pegaram dados
da companhia,
e que C
o meio
preferido
de
transportar
“nem
dê
CTRL
CTRL
V
no
informações é por meio de memória flash USB.
conteúdo alheio”.
(...)“Não há desculpa para os trabalhadores que estão dispostos a
comprometer a sua ética para salvar o trabalho, mas grande parte da
responsabilidade de proteger dados de clientes é do empregador”, disse o
vice-presidente de produtos e estratégia da Cyber-Ark, Adam Bosnian.
(...)
http://idgnow.uol.com.br/seguranca/2009/11/24/estudo-revela-que-25-dos-funcionarios-roubariam-dados-corporativos. Acesso em:
24/11/2009.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
10
Funcionários levam informações da Empresa!
Há características peculiares
A Symantec e o Instituto Ponemon, uma empresa de pesquisa líder em
gerenciamento da
de informação
e privacidade,
realizaram que
pesquisa junto a
cultura
brasileira
trabalhadores que perderam ou deixaram seus empregos em 2008 e
constataram em relaçãofavorecem
às informações da empresa:
isso:
 79% copiaramAmericanos
informações sem autorização
do empregador. Utilizaram
e Europeus
CD/DVD, Drive USB ou conta pessoal de correio eletrônico. Na opinião
deles, 59% eram
informações confidenciais.
tendem
a só fazer o que
 61% relataram ter uma
visão desfavorável
do seu antigo empregador.
estiver
autorizado.
 82% disse Brasileiros
que seu empregador tendem
não realizou uma
auditoria ou uma
a fazer
revisão dos papéis ou documentos eletrônicos antes que ele/ela deixasse
o emprego.
tudo que não esteja proibido.
24% tiveram acesso ao sistema ou rede de computadores de empregador
após a saída da empresa.
Fonte: http://www.constatti.com.br/?tag=engenharia-social. Acessado em: 26/02/2010.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
11
A prevenção a perda de dados exige
tratar a informação como:
 ativo estratégico;
 em um contexto de mobilidade
crescente;
em cenários de riscos relacionados a
níveis de acesso diferenciados;
 em permanente mudança.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
12
Nossas regras de TI estão claras,
documentadas e em uso?
1. Nossas equipes sabem usar senha de forma segura? E os
certificados digitais?
2. Permitimos uso de webmail no ambiente de trabalho?
3. E acesso a sites de web 2.0?
4. E o uso de MSN ou outros comunicadores?
5. E o uso de VoIP?
6. E acesso remoto (VPN)?
7. E a entrada com dispositivos com câmeras e aparelhos de
MP3?
8. E as portas USB, estão liberadas? Pode-se baixar ou
instalar qualquer coisa nas máquinas?
9. A segurança está andando junto com os dados?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
13
Qual o nível da segurança da
informação na empresa?
Para fazer a gestão de riscos operacionais
é necessário conhecer as situações de
risco, sobretudo aquelas
comportamentais.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
14
Aumentam incidentes em redes sociais
COMUNICADO IMPORTANTE
30 de março de 2010
A Locaweb, líder em infraestrutura de hosting no Brasil, comunica
que Alex Glikas não faz mais parte do quadro de executivos da
companhia. Em razão do recente incidente envolvendo a companhia
e o São Paulo Futebol Clube, o executivo decidiu, em comum acordo
com a diretoria da Locaweb, desligar-se de suas funções.
A Locaweb mais uma vez lamenta o ocorrido e reforça que a opinião do executivo
não condiz com o posicionamento corporativo da companhia. A Locaweb reforça
que fechar uma parceria com o São Paulo e expor sua marca na camisa de um
dos times de maior prestígio do País é motivo de orgulho.
Esta, inclusive, não foi a primeira ação da companhia ligada ao SPFC. Por quatro
anos a Locaweb manteve um camarote no estádio do Morumbi, que foi utilizado
em diversas ações de relacionamento.
Publicado por Claudio Gora, Marketing na categoria
(http://blog.locaweb.com.br/)
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
15
Riscos e Consequencias Legais pelo excesso de exposiçao
dos executivos e profissionais em redes sociais
Conduta Digital
Usar logo ou marcas de empresa em sites,
comunidades ou em outros materiais, sem
autorização do titular; ou imitá-las de modo
que possa induzir à confusão.
Enviar ou publicar informações para
concorrentes de mercado que sejam
confidenciais.
Enviar email a terceiros contendo informação
considerada confidencial.
Legislação
Penalidade
Art. 189, Lei 9279/96 Crime Detenção, de 3 meses a 1
contra a propriedade industrial ano.
Divulgar informações confidenciais
referentes ao seu trabalho, através de emails, chats, comunidades, etc.
Art. 154, Cód. Penal Violação
de segredo profissional
Detenção, de 3 meses a 1
ano, ou multa.
Causar danos devido a quebra de sigilo
profissional, abuso do direito de liberdade de
expressão, comentários ofensivos ou
agressivos sobre empresa ou pessoa.
Divulgar informação financeira da empresa
em comunidades, palestras internas de
resultados no Youtube, antes de formalizar
junto a CVM e investidores.
Arts. 187, 927, 1016 do Código
Civil – Danos e indenização
Pagar indenização
relacionada a danos morais
e materiais causados.
WWW.PPPADVOGADOS.COM.BR
Art. 195, Lei 9279/96 Crime de
concorrência desleal
Detenção, de 3 meses a 1
ano, ou multa.
Art. 153, Cód. Penal Divulgação Detenção, de 1 a 6 meses,
de segredo
ou multa.
Infração a Instrução CVM 358 – Penalidades previstas pela
Fato Relevante
CVM, que incluem multa
elevada
2010 PPP Advogados. Todos os direitos reservados.
16
A Perda do Dado pode ocasionar:
Indisponibilidade completa (ex: furto de
dados – Ctrl X)
Disponibilidade não autorizada mas sem
tornar indisponível o dado (ex: furto de
dados – Ctrl C Ctrl V muito comum de
envolver ilícito da concorrência desleal)
Disponibilidade total e exposição absoluta
(ex: vazamento de informação, quebra de
sigilo profissional)
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
17
QUAL O MAIOR FATOR DE NEGLIGÊNCIA EM SI?
TEMPO
POR FALTA DE TREINAMENTO
(CONHECIMENTO)
O QUE É MAIS CERTO SOBRE A INFORMAÇÃO É
QUE ELA SERÁ REVELADA!
É NECESSÁRIO MUITO TREINAMENTO PARA EVITAR ESSE
COMPORTAMENTO NATURAL.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
18
NOSSOS EXECUTIVOS DE MAIS ALTO
ESCALÃO E ACESSO A INFORMAÇÃO
PRIVILEGIADA, SENSÍVEL E
CONFIDENCIAL...
REALMENTE SABEM
PROTEGER A INFORMAÇÃO?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
19
Check-List Capacitação do Executivo:
1. Ele sabe qual a postura que ele deve ter no uso das
informações, tecnologias e marcas da empresa?
2. Ele sabe o conceito de prova eletrônica;
3. Ele sabe como guardar um email original;
4. Ele sabe portar dados seguros em mobilidade (mobilidade é
comum em executivos);
5. Ele possui as ferramentas de data protection com ele e foi
treinado (prevenção);
6. Ele nunca empresta a senha, nem pela pressa ou para
pessoas de sua mais alta confiança – pois é infração de
norma interna e também crime de falsa identidade (art. 307 e
308 Código Penal Brasileiro);
7. Se acontecer um incidente ele sabe qual medida tomar?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
20
http://www.airforcetimes.com/xml/news/2008/03/airforce_cyber_structure_032108w/cyber_command_800.JPG
Vivemos já uma
guerra cibernética
corporativa!
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
21
INTELIGÊNCIA – BUSCAR/ACESSAR
INFORMAÇÃO.
CONTRA-INTELIGÊNCIA – MEDIDAS
PARA QUE ISSO NÃO OCORRA
(Proteção contra: espionagem,
sabotagem, terrorismo, vazamento, uso
privilegiado, conflito de interesses).
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
22
Há 3 Grandes motivos para perda/furto
de dados corporativos:
(1) FALTA DE FERRAMENTA
(2) FALTA DE TREINAMENTO
(CONHECIMENTO COMO USAR)
(3) FALTA DE TEMPO
(caso manobrista)
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
23
• Situações Vazamento de Informação (precisa haver procedimentos
claros de resposta a incidentes – Prevenção, Contenção, Reação):
•Quebra de sigilo profissional em Rede Social;
•Perda de dados devido a furto de notebook ou outro dispositivo (pen drive
e smartphone são até mais comuns);
•Retirada de informação pela porta USB;
•Retirada de informação pela VPN;
•Cumprimento de Ordem Judicial – busca e apreensão de HD, Servidor,
Proxy, outros;
•Compartilhamento de dados com terceirizado que freqüenta perímetro
físico ou lógico portando dispositivos para coleta de dados (seja uso de
câmera ou aparelho de MP3, outros);
•Desligamento de profissional (permitimos tirar dados, pode ter pasta
particular no C ou na rede, ainda mais com nova Lei de Pedofilia?);
•Acesso autenticado com uso de senha em período de férias de
profissional;
•Acesso autenticado além do autorizado – empréstimo de senha
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
24
95% dos dados são ostensivos - estão
abertos e públicos - ex: na web
Dados não estruturados
(falta organização e propósito)
Apenas 5% dos dados são obtidos por
inteligência, necessitam serem buscados
em ambientes de acesso restrito
(protegidos por contra-inteligência).
Não é proteger tudo de todos… e sim
algumas coisas de alguns.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
25
As Fases de uma Ordem:
 Cumprimento – ocorre imediatamente;
 Relaxamento – ocorre a partir de 48 horas;
 Esquecimento – ocorre a partir de 5 dias.
Qualquer recomendação com prazo acima de 5 dias
e exigência de conduta reiterada está tendente a
não ser cumprida – precisa de muita ferramenta e
muito treinamento!
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
26
Como lidar com estes 2 tipos de usuários
problemáticos?
OS “SEM NOÇÃO”
OS DE “MÁ FÉ”
Qual a porcentagem dos “com noção + treinados +
capacitados com ferramentas + com cultura de uso
seguro das informações” temos em nossa
empresa?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
27
Metodologia:
• Regra Clara – tem que ter políticas, normas,
procedimentos, termos, formulários
(documentação);
• Tecnologia (a proteção deve acompanhar os
dados e não apenas os dispositivos – princípio
do canivete suíço)
–
–
–
–
–
Software para controle porta USB;
Software para monitoramento notebook;
Servidor de logs com preparo jurídico;
Autenticação forte (Sou, Sei, Tenho);
Criptografia e Esteganografia
• Treinamento – estamos capacitando?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
28
• Treinamento atual de SI nas empresas:
– 30 minutos na integração;
– Semana de SI – palestras 1 vez por ano;
OBS: alcança a empresa inteira? (e as que têm
mais de 1.000 funcionários fazem como?)
ISSO É CAPACITAR? (3 HORAS ANO?)
- Alcança o alto escalão?
- Alcança os terceirizados?
Tem que ser um processo de
Educação Continuada!
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
29
E a equipe técnica está
capacitada para Resposta a
Incidentes de Segurança da
Informação?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
30
• Check-list de capacitação equipe técnica?
– Faz-se Monitoramento com conformidade legal;
– Compreende-se Princípio da Ordem de Volatilidade em Computação;
– Há Preservação do Ambiente de Incidente (profissional pode continuar
usando a máquina envolvida?);
– Sabe-se fazer a coleta adequada das provas (espelhar HD, gerar imagem
para análise – nunca usar o original, solicitar preservação de provas em
terceiros – notificação de provedores);
– Há procedimento implementado para usar ata notarial;
– Todos aplicam cadeia de custódia para proteção das evidências
eletrônicas;
– É prática documentar tudo – passo a passo (para conseguir refazer a
perícia em ambiente de auditoria ou judicial se necessário);
– Sabe-se o limite, até onde se pode ir em uma investigação (aplicação do
princípio da Legítima Defesa Digital – arts. 23 e 25 do Código Penal);
– Há um código de ética e um termo de responsabilidade específicos
assinados com esta equipe de TI e SI?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
31
Metodologia – 5 passos:
1º. Análise do ambiente (SWOT – é o estudo
de Situação (fase mais importante);
2º. O que fazer (traçar cenários prospectivos);
3º. Como fazer (análise de riscos – traçar
linhas de ação com base em vulnerabilidade,
probabilidade, impacto);
4º. Plano de Acompanhamento (monitorar,
auditar);
5º. Correção – análise dinâmica e
aprendizado.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
32
Contexto de Gestão de Riscos
a) Proteger o que? (infra-estrutura crítica)
-
Instalação física;
Áreas;
Pessoas;
Tecnologia da Informação;
Serviços;
Processos Críticos;
Bens tangíveis e intangíveis (Marca,
Bancos de Dados, Patentes, Códigos
Fontes, Acervo Histórico, Reputação).
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
33
Contexto de Gestão de Riscos
b) Proteger de quem?
-
Organizações criminosas;
Apagão energia;
Sabotagem contra instalações;
Atentado terrorista;
Apagão aéreo;
Bug (do milênio ou outros);
Epidemia ou Pandemia (dengue, febre, gripe
suína);
Apagão de Comunicação (Tecnológico);
Insider (usuário próprio ou de terceirizado).
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
34
Contexto de Gestão de Riscos
c) Quando? (fazer estudo situação –
consciência situacional)
-
-
Anualmente;
Após incidentes;
Novas ameaças;
Resultados de Auditorias;
Determinação de superiores;
Iniciativa própria;
Inclusão de novos ativos (instalação ou
equipamentos);
Permanentemente (holítico).
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
35
• O que fazer se houver suspeita de um
colaborador estar vazando dados
intencionalmente:
–
–
–
–
–
Como coletar as evidências de autoria?
Como preservar o ambiente de incidente?
Deve-se falar com ele ou não?
Ele pode continuar usando a máquina?
Está claro que a empresa pode retirar a qualquer tempo o
equipamento da pessoa (ou esta conduta repentina da TI
geraria melindre e risco de dano moral)?;
– Onde colocar as provas enquanto houver instauração do
processo administrativo interno (como evitar que o
colaborador diga que a empresa plantou a prova?).
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
36
Incidente em Redes Sociais
ex: Caso Twitter
O que fazer?
1.
2.
3.
4.
Preservação das evidências (coleta inicial e solicitação para que o
provedor do ambiente as guarde também);
Fazer denúncia ao Twitter pelo canal de contato com base no Termo
de Uso (tem que ser em inglês se a pessoa não possuem perfil enviar
para
[email protected]
e
se
possui
http://twitter.zendesk.com/forums/26257/entries)
Em não sendo atendido, enviar notificação extrajudicial ao Twitter via
email (ex: Comprova.com) e/ou via courrier (para o endereço deles
nos EUA para o endereço 539 Bryant St., Suite 402, San Francisco,
CA 94107, At. Law Enforcement / Copyright – com a referência de
“Cease and Desist Letter – Identity Thief and Copyright Abuse – Fake
Screen Name and Account);
No entanto, o Twitter não consegue impedir que ocorra de novo.
Apenas uma ação judicial contra o verdadeiro autor (infrator) e/ou
contra o próprio Twitter (responsabilidade objetiva).
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
37
NOSSO PCN PREVÊ O RISCO DE BUSCA E
APREENSÃO (E A INDISPONIBILIDADE...)
A EMPRESA ESTÁ PREPARADA SE
LEVAREM O SERVIDOR EMBORA?
Previsão:
arts. 798, 839, 840 e 842 (em especial o §3º) do Código de
Processo Civil;
arts. 13 e 14 da Lei do Software (Lei 9.609/98).
“MEDIDA CAUTELAR - Busca e apreensão - Programas de computador
- Suposta violação de direitos autorais - Liminar indeferida para tal
providência - Presença do fumus boni júris e do periculum in mora.
Inteligência da Lei n. 9.609/98 - Decisão reformada - Recurso provido.”
(TJSP, Rel. Joaquim Garcia, Agravo de Instrumento nº 577.646-4/6, julg.
02/03/2009).
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
38
Nesse contexto então
CLOUD COMPUTING
É PROBLEMA OU SOLUÇÃO?
DEPENDE, TEM QUE SER SEGURA.
E Segurança não está na nuvem, está na
informação!!!
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
39
Principais Fatores de Análise de Risco:
1.Autenticação e Controle de Acesso;
2.Disponibilidade;
3.Confidencialidade;
Ou seja - Segurança da Informação de um
modo geral (caso incidente EUA).
É essencial ter bons contratos, SLAs e Plano
de Disaster Recover, Contingência e
Continuidade.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
40
É NOTÍCIA ...
Apagão pode comprometer dados das
empresas
A queda de energia, que ocorreu a partir das 22h13, ainda não teve sua causa definida, mas
pode servir de alerta às pequenas, médias e grandes empresas que não possuem
sistema de recuperação de desastres.
Segundo Paulo Prado, gerente de marketing de produto da Symantec para a América Latina,
os dois principais problemas detectados são a interrupção da gravação e escrita de
arquivos e os danos físicos que podem afetar os sistemas.
O executivo também chama a atenção para a questão da virtualização, que prevê diversos
serviços virtuais servidores rodando em apenas um servidor físico. Se ele for danificado, a
média de recuperação pode variar entre 3 e 4 horas.
Para Bruno Ricardo, gerente de treinamento e pré-vendas da F-Secure Brasil, os usuários
devem prestar atenção na hora de contratar os serviços de virtualização. “Existem diversos
pacotes de serviços e armazenamento de dados em nuvem. É preciso analisar os
contratos cuidadosamente para ver quais soluções são oferecidas”, diz. [...]
Segundo o relatório da Symantec sobre recuperação de desastres, problemas com o
fornecimento de energia elétrica estão entre as principais preocupações das
empresas, seguidos das falhas de hardware e ameaças como vírus.
11-11-2009
Fonte:http://www.planeta-informatica.com/apagao-pode-comprometer-dados-das-empresas/
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
41
Segurança da Informação X
Anonimato!
É essencial autenticação forte.
Somente a pessoa certa
acessar o mínimo de
informação necessária!
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
42
Notícia: As prioridades de investimentos em
segurança no próximo ano
Segundo pesquisa das revistas norte-americanas CIO e CSO, os orçamentos voltados à
proteção de dados serão concentrados em controle de acesso por meio de biometria, filtragem
de conteúdos web, criptografia de mídias removíveis, entre outros CIO/EUA – 16/10/2009.
Pesquisa realizada pelas revistas norte-americanas CIO e CSO e coordenada pela consultoria
PricewaterhouseCoopers indica quais serão os focos de investimento em segurança da informação
no próximo ano. Para o estudo, foram ouvidos cerca de 7.300 gestores de TI de todo o mundo, os
quais são atuantes nos segmentos finanças, saúde, serviços, varejo e governo. [...]
O estudo mostra que, embora a proteção de informações seja regulamentada por agências
reguladoras em muitos setores, os CIOs ainda não acham que os processos e ferramentas utilizados
atualmente são suficientes para blindar as companhias contra as ameaças internas e externas.
Nesse contexto – e por meio dos comentários dos gestores que participaram da
pesquisa – foi possível elaborar o ranking das questões de segurança que
receberão mais investimentos em 2009:
1. Biometria – para gerenciamento de acesso a dados sigilosos
2. Filtros para barrar conteúdos inadequados da web
3. Processos de proteção de informações secretas
4. Senhas seguras – obtidas por meio de tokens
5. Ferramentas de proteção dos sistemas de voz sobre IP
6. Monitoramento da web 2.0
7. Gerenciamento de identidades
8. Criptografia de mídias removíveis
Disponível em: http://cio.uol.com.br/tecnologia/2009/10/16/as-prioridades-de-investimentos-em-seguranca-no-proximo-ano/. Acesso em: 02/02/2010
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
43
UF
Legislação
UF
Legislação
ACRE
Não há
PARÁ
Não há
ALAGOAS
Lei nº. 6.891/2007
PARAÍBA
Lei
8.134/2006
AMAPÁ
Lei nº. 1.047/2006
PARANA
Não há
nº.
Lei nº.
Projeto de Lei
Prefeitura
do3.173/2007/
Rio deLeiJaneiro
lança
PERNAMBUCO
nº. 3.351/2008
(PL 143/2007)
Projeto
de
Lei
(PL
Wi-Fi gratuitoPIAUÍ
em
Lei
nº.
BAHIA
17.362/2007)
5.747/2008
Copacabana....não há qualquer Lei
nº.
CEARÁ
Não há
RIO DE JANEIRO
5.132/2007
autenticação
de
usuário!
Inclusão
Lei
Distrital
nº. RIO GRANDE DO
DISTRITO FEDERAL
Não há
3.437/04
NORTE
Digital sem pensamento
RIO GRANDE DO Lei
nº.
ESPÍRITO SANTO
Lei nº. 8.777/2007
SUL
estratégico de Segurança
da 12.698/2007
GOIÁS
Não há
RONDONIA
Não há
Informação gera RISCOS
SANTA
MARANHÃO
Não há
Não há
CATARINA
SISTÊMICOS!
Lei
nº.
AMAZONAS
MATO GROSSO
Lei nº. 8.502/2006
SÃO PAULO
MATO GROSSO DO SUL Lei nº. 3.103/2005
MINAS GERAIS
WWW.PPPADVOGADOS.COM.BR
Projeto de
1.720/2007)
Lei
12.228/2006
SERGIPE
Não há
TOCANTINS
Não há
(PL
2010 PPP Advogados. Todos os direitos reservados.
44
PLS 296/2008
Sobre o assunto, o Senado Federal aprovou em
05/11/2009
o PLS
296/2008,
que
obriga
os
estabelecimentos que oferecem serviços de conexão à
rede mundial de computadores a coletarem e guardarem
os dados cadastrais do usuário pelo prazo de 03 anos em
05/11, remetendo-o à Câmara dos Deputados para
apreciação.
E A NOSSA REDE DA EMPRESA PERMITE
ANONIMATO?
GUARDAMOS OS LOGS DE ACESSO
(Servidor de logs com guarda histórica sem
sobrescrever por um período pré-estabelecido?)
Se ocorrer um incidente temos PROVA DE
AUTORIA (CONFORMIDADE LEGAL DA TI)?
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
45
Na contexto empresarial, a Sociedade Digital exige:
TRANSPARÊNCIA
necessita
EDUCAÇÃO e
MONITORAMENTO
representa
GOVERNANÇA
SEGURANÇA DA
INFORMAÇÃO
significa
significa
exige
CONTROLE
CONSCIENTIZAÇÃO
Tecnicamente...
PREVENÇÃO e
GESTÃO DE RISCO
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
46
QUAL A RESPONSABILIDADE DO GESTOR?
Código Civil - 2002
Art.1011. O administrador da sociedade deverá ter, no exercício de
suas funções, o cuidado e a diligencia que todo homem ativo e probo
costuma empregar na administração de seus próprios negócios.
Art.1016 Os administradores respondem solidariamente perante a
sociedade e os terceiros prejudicados, por culpa no desempenho
de suas funções.
Art. 927 – Aquele que, por ato ilícito (arts. 186 e 187), causar dano a
outrem, fica obrigado a repará-lo. Parágrafo único: Haverá obrigação
de reparar o dano, independente de culpa, nos casos especificados em
lei, ou quando a atividade normalmente desenvolvida, pelo autor do
dano implicar, por sua natureza, risco par os direitos de outrem.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
47 47
RESPONSABILIDADE SOLIDÁRIA DO EMPREGADOR
Art. 932. São também responsáveis pela reparação civil:
(...)
III - o empregador ou comitente, por seus empregados, serviçais e
prepostos, no exercício do trabalho que lhes competir, ou em razão
dele;
(...)
Art. 942. Os bens do responsável pela ofensa ou violação do direito de
outrem ficam sujeitos à reparação do dano causado; e, se a ofensa
tiver mais de um autor, todos responderão solidariamente pela
reparação.
Parágrafo único. São solidariamente responsáveis com os
autores os co-autores e as pessoas designadas no art. 932.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
48
Art. 21, Código Penal:
“O desconhecimento
da lei é inescusável.”
Prevenção é essencial e
exige ferramenta, regras
claras e treinamento!
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
49
Diagnóstico Final – como está a Blindagem legal da TI?
1.Precário controle de identidades na rede, ou seja, há mais usuários que pessoas,
há usuários ativos de pessoas não mais legítimas, não há servidores de logs ou a
guarda dos logs na rede não é adequada então não se consegue ter a tão necessária
prova jurídica de autoria quando ocorre um incidente;
2.Falta de treinamento das equipes técnicas para resposta a incidentes e saber
coletar as provas eletrônicas, que devem ser preservadas rapidamente bem como de
orientação sobre postura, ou seja, de ter um “Código de Ética da TI” (quem vigia o
vigia);
3.Falta de cultura interna de segurança da informação na alta cúpula e gestores,
que acabam não dando o exemplo e geram uma situação de risco em cascata pois
repercute nas equipes;
4.Falta de conhecimento e controle maior do que está nas máquinas e na rede,
muitas vezes questiona-se o investimento em softwares de monitoramento e
varredura, o que é um grande risco, principalmente com a nova lei de Pedofilia;
5.Falta de Normas e Procedimentos mais claros sobre Mobilidade (Mobile
Office), ou seja, quais as regras para uso dispositivos de pendrive, notebook,
smartphone, VPN, outros), o que inclui a falta de padrão e prática de uso de
criptografia e controle de porta USB;
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
50
Diagnóstico atual de Blindagem legal da TI:
6. Falta de determinação de requisitos de segurança da informação para
terceirizados, tanto definido em cláusulas contratuais como em um Código de
Conduta do Terceirizado;
7. Falta de PCN ou o mesmo está incompleto, por exemplo, não prevê alguns
incidentes que são causados por questões jurídicas e podem gerar paralisação e
indisponibilidade, como a hipótese e se houver a busca e apreensão do servidor ou
do proxy da empresa, o que deve ser feito (o tempo mínimo em que o equipamento
fica a disposição da Justiça é de 3 meses);
8. Falta de definição clara sobre questões relacionadas a Redes Sociais, o que
pode ou não ser usado e feito, seja dentro do trabalho ou fora, com alerta para
prevenir situações de quebra de sigilo profissional, vazamento de informação, uso
indevido da marca da empresa, associação da marca da empresa com conteúdo
inadequados que podem repercutir negativamente na imagem da mesma
(especialmente para empresas abertas em bolsa);
9. Falta de documentação dos incidentes com padronização e metodologia que
permita criar uma base de dados de inteligência e assim identificar o “modus
operandi” de um incidente para evitar que ocorra de novo.
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
51
Dicas Monitoramento Legal

Evitar Subjetividade e/ou Generalizações;


Deixar claro o conceito de Identidade Digital 
(não apenas de senhas) e alinhar com alçadas e

poderes;

Deixar claro que há Monitoramento (e prever as
duas hipóteses tanto para fins de segurança 
como de produtividade);

Deixar claro que há inspeção Física de
equipamentos da empresa, particulares e/ou de

terceiros;
Deixar claro papéis e responsabilidades;
Definir Aplicabilidade;
Gerar assinatura física e/ou eletrônica do
Termo de Ciência;
Deixar claro que é a empresa que detém a
propriedade dos Recursos, bem como direitos
autorais das criações e demais proteções de
ativos intangíveis;
Reforçar dever de Confidencialidade e Sigilo;

Deixar claro que os recursos devem ser usados 
só para fins profissionais;
Determinar
Disciplinar;

Prever que a mera tentativa de Burlar também é 
uma infração as normas;

Deixar clara proibição de infração de direitos
autorais, prática de pirataria, pornografia,
pedofilia, guarda, manuseio de conteúdos 
ilícitos ou de origem duvidosa e que a empresa
vai colaborar com as autoridades;
Determinar requisito de inserção de cláusulas
específicas em contratos (se possível, atualizar
contrato
de
trabalho
para
prever
monitoramento);

Tratar sobre a má conduta (infração mais ética

do que jurídica);

Prever a divulgação da norma;
WWW.PPPADVOGADOS.COM.BR

possibilidade
de
Processo
Prever procedimento de Resposta a Incidentes
de SI (como coletar as provas sem cometer
infração
a
Privacidade
ou
crime
de
interceptação.
Tratar da questão da mobilidade;
Implementar vacinas legais
próprias interfaces gráficas.
(avisos)
2010 PPP Advogados. Todos os direitos reservados.
nas
52
Responsabilidade Social
Movimento de Responsabilidade Social Digital
CRIANÇA MAIS SEGURA NA INTERNET
www.criancamaissegura.com.br
Patrocinadores:
Cartilha
Vídeos
1 2 3 4 5
Dissemine essa idéia!
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
53
Referências - Site
WWW.PPPADVOGADOS.COM.BR
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
54
Entendemos que quando a sociedade muda, o DIREITO também deve
mudar, evoluir. Este direito que surge é interdisciplinar,
abrangendo todas as suas tradicionais áreas de atuação.
Nasce, então, o DIREITO DIGITAL.
NÃO FAÇA JUSTIÇA COM O PRÓPRIO MOUSE,
BUSQUE A AJUDA DE UM ESPECIALISTA
(5511) 3068-0777 - [email protected]
www.pppadvogados.com.br
WWW.PPPADVOGADOS.COM.BR
2010 PPP Advogados. Todos os direitos reservados.
© PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados.
55