Aspectos jurídicos da Política de Segurança da Informação

1.327 visualizações

Publicada em

0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.327
No SlideShare
0
A partir de incorporações
0
Número de incorporações
34
Ações
Compartilhamentos
0
Downloads
52
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Aspectos jurídicos da Política de Segurança da Informação

  1. 1. Efetividade e Aspectos Jurídicos da Política de Segurança da Informação Alexandre Atheniense
  2. 2. Alexandre Atheniense <ul><li>Advogado especialista em Direito Digital </li></ul><ul><li>Sócio de Aristoteles Atheniense Advogados </li></ul><ul><li>Coordenador da Pós Graduação em Direito </li></ul><ul><li>de Tecnologia da Informação na ESA OAB-SP </li></ul>
  3. 3. www.alexandreatheniense.com www.atheniense.com.br @atheniense @aaadvogados www.linkedin.com/atheniense www.facebook.com/ atheniense www.facebook.com/ aaadvogados
  4. 7. Por que este assunto tem se tornado cada vez mais relevante ?
  5. 9. Aumento da oferta de serviços online
  6. 10. Expansão dos ativos das empresas em bits
  7. 11. Por que as empresas estão se tornando cada vez mais vulneráveis ?
  8. 12. Aumento do tamanho das mídias digitais
  9. 13. … mas velocidade de acesso aos discos não cresce na mesma proporção ... Os Hd’s dobram de tamanho entre 18 a 24 meses “ Lei de Kryder”
  10. 14. Pesquisa comparativa Estrutura TI nos Bancos Anos 2008/2009 Fonte: Febraban Discos Rígidos - Aumento 48% Mainframes aumento 5%
  11. 15. Aumento das Fontes de dados
  12. 16. Aumentos das sessões de Rede
  13. 17. Acessos Remotos
  14. 18. Aumento do Registro de Logs
  15. 19. Aumento dos dispositivos móveis de comunicação
  16. 20. Aumento dos dispositivos móveis de comunicação
  17. 21. Novos sistemas operacionais e padrões de conectividade
  18. 22. Empresa Digital Empresa Papel
  19. 25. A sua empresa está preparada para lidar com incidentes relacionados à TI?
  20. 29. Estudo feito com 25 empresas americanas com faturamento bilionário:
  21. 32. TI Jurídico RH
  22. 33. <ul><li>Mais de 40% das empresas brasileiras desejam contratar um CSO (Chief Secutiry Officer) </li></ul>Fonte: Estudo Global Information Security, conduzido pela consultoria PricewaterhouseCoopers, em parceria com as revistas CIO e CSO.
  23. 34. <ul><li>Análise de conformidade legal de contratos, termos, políticas, etc.; </li></ul><ul><li>Atuação preventiva; </li></ul><ul><li>Consultoria e assessoramento; </li></ul><ul><li>Revisão constante das normas e processos; </li></ul>
  24. 35. <ul><li>Educação e treinamento; </li></ul><ul><li>Conscientização e mudança de cultura; </li></ul><ul><li>Trabalho constante e contínuo; </li></ul><ul><li>Informação quanto à mudança de cargos – demissões – admissões; </li></ul>
  25. 37. <ul><li>Constante análise de conformidade das regras e de seu cumprimento pelos envolvidos </li></ul>
  26. 38. <ul><li>Durante: </li></ul><ul><li>Tratamento e resposta ao incidente de maneira segura e juridicamente válida </li></ul><ul><li>Preservação e coleta de provas e evidências </li></ul><ul><li>Minimização dos danos e Plano de Contingência </li></ul>
  27. 39. <ul><li>Depois: </li></ul><ul><li>Análise do incidente </li></ul><ul><li>Revisão dos processos e questões envolvidas </li></ul><ul><li>Aplicação das correções necessárias </li></ul>
  28. 41. <ul><li>Armazenamento (quando, onde, como, quais, por quanto tempo, etc.) </li></ul><ul><li>Segurança (backup, padrões de segurança, etc.) </li></ul><ul><li>Questões envolvendo portabilidade e mobilidade </li></ul><ul><li>Documentos pessoais x documentos corporativos </li></ul><ul><li>Descarte, troca e manutenção de equipamentos </li></ul><ul><li>Provas eletrônicas </li></ul><ul><li>Demissão de funcionários </li></ul>
  29. 42. <ul><li>Perda ou vazamento de dados e informações confidenciais </li></ul><ul><li>Impossibilidade de resgate de provas ou provas eletrônicas sem validade legal </li></ul><ul><li>Armazenamento de conteúdo ilícito pelos usuários (imagens, áudio, etc.) </li></ul>
  30. 43. <ul><li>Classificação das informações segundo sua importância (confidencial, pública, restrita, etc.) </li></ul><ul><li>Política de Gestão de Documentos em sintonia com aspecto jurídico </li></ul><ul><li>Regras sobre uso de documentos pessoais e dispositivos móveis </li></ul><ul><li>E-Discovery – resgate de documentos eletrônicos </li></ul>
  31. 44. <ul><li>Regras sobre eliminação de dados em dispositivos descartados </li></ul><ul><li>Regras sobre acesso a documentos por usuário demitido </li></ul><ul><li>Sistema de DLP (Data Loss Prevention) </li></ul><ul><li>Backup protegido </li></ul>
  32. 45. <ul><li>Compartilhamento de senhas – estagiário, secretário, colega, etc. </li></ul><ul><li>Computador logado – usuário ausente </li></ul><ul><li>Senha mestre em poder de terceirizados </li></ul><ul><li>Senhas anotadas em papéis ou documentos de fácil acesso </li></ul><ul><li>Senhas de fábrica (padrão) </li></ul>
  33. 46. <ul><li>Identidade Digital – Prova de Autoria </li></ul><ul><li>Acessos não autorizados, vazamento de informações e espionagem industrial </li></ul><ul><li>Responsabilização do Gestor do Sistema ou do usuário errado </li></ul><ul><li>Cobrança de horas-extras indevidas </li></ul>
  34. 47. <ul><li>PSI com regras claras sobre responsabilidad pelo uso da senha </li></ul><ul><li>Adoção de senha como forma de Identidade Digital e não como mera autenticação </li></ul><ul><li>Conscientização do usuário </li></ul><ul><li>Disclaimers e Avisos Legais </li></ul>
  35. 48. <ul><li>Regras de acesso específico para cada usuário </li></ul><ul><li>Normas sobre troca periódica de senhas </li></ul><ul><li>Logout por inatividade de acesso </li></ul><ul><li>Suspensão de acesso em férias e feriados </li></ul><ul><li>Uso de certificação digital </li></ul>
  36. 49. <ul><li>Quais os limites legais? </li></ul><ul><li>Privacidade </li></ul><ul><li>Interceptação de dados </li></ul><ul><li>Quem e como monitorar? </li></ul>
  37. 52. <ul><li>Monitoramento dentro dos limites da legalidade </li></ul><ul><li>Regras claras e explícitas sobre o monitoramento </li></ul><ul><li>Avisos Legais e Disclaimers </li></ul>
  38. 53. <ul><li>Ciência formal (eletrônica e física) do empregado </li></ul><ul><li>Contrato de Trabalho alinhado às regras de Segurança da Informação </li></ul><ul><li>Códigos de Ética e Termos de Conduta com previsão de sanções </li></ul>
  39. 54. <ul><li>Reputação da Empresa no Meio Eletrônico </li></ul><ul><li>Regularidade de Softwares e Propriedade Intelectual </li></ul><ul><li>Conformidade de Contratos </li></ul>
  40. 56. Art. 932. São também responsáveis pela reparação civil: III - o empregador ou comitente, por seus empregados , serviçais e prepostos , no exercício do trabalho que lhes competir, ou em razão dele; Art. 933. As pessoas indicadas nos incisos I a V do artigo antecedente, ainda que não haja culpa de sua parte , responderão pelos atos praticados pelos terceiros ali referidos. Art. 1.016. Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções .
  41. 57. <ul><li>Concorrência Desleal – art. 195 Lei 9279/96 </li></ul><ul><li>Violação de Direito Autoral – art. 184 CP </li></ul><ul><li>Violação de Segredos Profissionais art. 194 CP </li></ul><ul><li>Crime de Falsa Identidade art. 307 CP </li></ul>
  42. 58. <ul><li>Ilícitos cíveis </li></ul><ul><li>Dever de reparação de danos </li></ul><ul><li>Pagamento de multas contratuais </li></ul><ul><li>Demissões por justa causa (art. 482 CLT) </li></ul>
  43. 59. <ul><li>Política de Segurança da Informação (PSI) </li></ul><ul><li>Termos de Confidencialidade e Sigilo </li></ul><ul><li>Código de Ética e Conduta </li></ul>
  44. 60. <ul><li>Regras de classificação da importância da informação </li></ul><ul><li>Política de Gestão Documental (PGD) </li></ul><ul><li>Utilização de Service Level Agreements (SLA’s) </li></ul>
  45. 61. <ul><li>Legislação Brasileira </li></ul><ul><li>ISO 27001/27002 </li></ul><ul><li>Sarb-Ox (Sarbanes-Oxley - SOX) </li></ul><ul><li>Basel II –Riscos operacionais </li></ul>
  46. 62. <ul><li>As regras existem para serem cumpridas por todos os usuários - inclusive os chefes </li></ul><ul><li>Devem existir sanções graduais e proporcionais para os casos de descumprimento </li></ul>
  47. 63. 1. Cuidado com o excesso de regras!
  48. 64. 2. Proibir, bloquear e restringir acesso não é a solução. 3. É preciso monitorar constantemente se as regras estão sendo cumpridas – e punir caso não estejam 4. O sucesso de uma PSI passa obrigatoriamente pela mudança de cultura na empresa, ou seja, o usuário deve ser educado e conscientizado de sua importância.
  49. 66. <ul><li>&quot;A primeira regra de qualquer tecnologia </li></ul><ul><li>utilizada em um negócio é que a automação aplicada a uma operação eficiente irá ampliar a eficiência. </li></ul><ul><li>A segunda é que a automação aplicada a uma operação ineficiente irá ampliar a ineficiência&quot; </li></ul><ul><li>Bill Gates </li></ul>
  50. 67. Conclusão <ul><li>Efetive a Política de Segurança da Informação </li></ul><ul><li>A inexistência ou inaplicabilidade revelará as vulnerabilidades dos seus ativos digitais </li></ul>

×