Importância Jurídica da Política de Segurança da Informação        Laine Moraes Souza                @lainesouza          ...
Introdução   Por que me preocupar com Política de Segurança da Informação (PSI)?   O que é Informação?   Segurança da I...
TST – Fotos publicadas em rede social                             provocam demissão por justa causa12/06/2012 -  Por unani...
JFSP – Internauta é condenada por publicar                                mensagem preconceituosa16 de maio de 2012A estud...
TRT18 diz que empregador pode monitorar                                  mensagens de MSN06/03/2012O empregador poderá exe...
TJMG – Empresa é obrigada a indenizar                                      Microsoft03/02/2012 -O TJMG aumentou o valor da...
TRT3 – Empresa deve arcar com pagamento                        de conta de telefone utilizado em serviço07/12/2011 - O TRT...
TST – Trabalhadora não recebe indenização                           por e-mails contundentes da chefia18/11/2011 - Ex-empr...
TST – Acusada de envio de e-mail sigiloso                    consegue reverter demissão por justa causa 1/203/11/2011 –Ex-...
TST – Acusada de envio de e-mail sigiloso                      consegue reverter demissão por justa causa 2/2(...)A perita...
TRT15 Condena Empresa que Monitorava e-mail                      Corporativo do Reclamante a pagar indenização 1/3Trabalha...
TRT15 Condena Empresa que Monitorava e-mail                     Corporativo do Reclamante a pagar indenização 2/3O magistr...
TRT15 Condena Empresa que Monitorava e-mail                       Corporativo do Reclamante a pagar indenização 3/3Legisla...
TRT3 – Empregado que teve dívida cobrada por                      e-mail coletivo receberá indenização por danos          ...
TRT 1 – Empresa não pode repassar os e-mails                        corporativos do ex-funcionário para o novo            ...
TRT4 – Demissão por justa causa por envio de                      mensagens de conteúdo sexual em computador              ...
Mensagem no Twitter acarreta demissãoDurante a partida de futebol ocorrida no ultimo domingo, dia 28/03/2010, umfuncionári...
STJ – IPs podem ser obtidos pelo Juízo Cível por                       não se caracterizar quebra de sigilo telefônicoAÇÃO...
E Agora?!
Segurança da InformaçãoInformação = Tudo ↔ o cérebro e o coração da sociedade atual, denominada de                        ...
Segurança da Informação    .
O que é informação?Pública   Particular               Confidencial
Confidencialidade das InformaçõesConfidencial. Acesso restritoParticular. Informações de natureza pessoal que se destinam ...
Política de SegurançaAs políticas de segurança são instruções claras que fornecem as orientações decomportamento das pesso...
Política de SegurançaO objetivo de um programa de conscientização sobre a segurança é a comunicaçãoda importância das polí...
Política de Segurança                           Etapas do Desenvolvimento:Um programa de segurança da informação abrangent...
Política de Segurança      PCN – Plano de Continuidade de Negócio
Política de SegurançaÉ essencial que a Gerência/Diretoria adote e suporte com firmeza odesenvolvimento de políticas de seg...
Política de SegurançaOs empregados devem ser aconselhados sobre as consequências do não-cumprimento das políticas e dos pr...
Política de SegurançaAtributos:• não podem ser inflexíveis e nem muito flexível;• Implementação das novas tecnologias de s...
Procedimento de Verificação e AutorizaçãoSolicitação por pessoa verificada – deve-se analisar se a pessoa é realmentefunci...
Política de GerenciamentoClassificação de Dados;    confidencialidade das informações    quem pode ter acessoDivulgação de...
Política da Tecnologia da InformaçãoO departamento de informática/tecnologia da informação deve possuir umconjunto especia...
Política para Recursos HumanosO departamento de recursos humanos têm a responsabilidade de protegeros empregados contra as...
Uso do AtivoAtivo são todos os bens e informações que agregam e geram valor a empresa.Estão incluídos como ativos, as info...
Uso do Ativo                                    HardwareAlteração das configurações pré-instaladas do computador (descanso...
Uso do Ativo                                       Softwareinstalar, reparar ou desinstalar software.           Não se pod...
Uso do Ativo                                 E-mail•   Cuidado com o e-mail recebido•   Cuidado ao enviar e-mail•   Não ab...
Uso do Ativo                                  Internet•   Cada usuário possui código e senha de acesso•   Uso consciente d...
Penalidades      Advertência      SuspensãoDemissão por justa causa
Aspectos JurídicosA Constituição da República Federativa do Brasil de 1988                        e Você
Aspectos Jurídicos                       Direitos Personalíssimos (art. 5º, X, CF)  São invioláveis a intimidade, a vida p...
Aspectos Jurídicos                      Liberdade de Expressão (art. 5º, IX, CF)É livre a expressão da atividade intelectu...
Aspectos Jurídicos           Manifestação do Pensamento (art. 5º, IV, CF)É livre a manifestação de pensamento, sendo vedad...
Aspectos Jurídicos                       Direito de Resposta (art. 5º, V, CF)É assegurado o direito de resposta, proporcio...
Aspectos Jurídicos                       Sigilo de Correspondência (art. 5º, XII, CF)É inviolável o sigilo da correspondên...
Aspectos Jurídicos                              Código Penal Brasileiro                 Decreto-Lei nº 2.848. de 07 de dez...
Obrigada                    Laine Moraes Souza                                Advogada             Especialista em TI e Te...
Próximos SlideShares
Carregando em…5
×

BHack - Aspectos Jurídicos da Política de Segurança da Informaçao

1.005 visualizações

Publicada em

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.005
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
15
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

BHack - Aspectos Jurídicos da Política de Segurança da Informaçao

  1. 1. Importância Jurídica da Política de Segurança da Informação Laine Moraes Souza @lainesouza Belo Horizonte 15 de junho de 2012
  2. 2. Introdução Por que me preocupar com Política de Segurança da Informação (PSI)? O que é Informação? Segurança da Informação Política de Segurança Confidencialidade das Informações Política da Tecnologia da Informação Uso do Ativo (Informação, Maquinário, etc) Penalidades Aspectos Jurídicos
  3. 3. TST – Fotos publicadas em rede social provocam demissão por justa causa12/06/2012 - Por unanimidade, o TST negou provimento ao agravo de umaenfermeira da Unidade de Tratamento Intensivo (UTI), demitida por justa causaapós postar, numa rede social, fotos da equipe de trabalho durante o expediente. “(...) a reclamante postou, no Orkut, fotos que registram seu ambiente detrabalho e pessoas com quem convivia no seu dia a dia. As fotografias foram feitasdurante o expediente, (...), expondo a imagem da recorrente e de outrosfuncionários, eis que visível no fardamento dos empregados a logomarca dohospital, sem qualquer consentimento ou conhecimento por parte doempregador.” “Evidente que tal divulgação macula a imagem daqueles que compõem oquadro funcional do hospital, quando expõe a conhecimento público que, duranteo horário de trabalho, as enfermeiras da UTI ficavam brincando e posando parafotos impróprias, ao invés de estar observando os pacientes em estado grave.” “Assim, a empresa utilizou-se de exercício regular de um direito (dedespedir) dentro dos limites da razoabilidade. “Processo: AIRR - 5078-36.2010.5.06.0000
  4. 4. JFSP – Internauta é condenada por publicar mensagem preconceituosa16 de maio de 2012A estudante universitária, que postou em sua página no Twitter mensagempreconceituosa e de incitação à violência contra nordestinos foi condenada a 1ano, 5 meses e 15 dias de reclusão (pena convertida em prestação de serviçocomunitário e pagamento de multa), em sentença proferida pela 9ª Vara FederalCriminal em São Paulo/SP.Ação Penal n.º 0012786-89.2010.403.6181
  5. 5. TRT18 diz que empregador pode monitorar mensagens de MSN06/03/2012O empregador poderá exercer o controle tecnológico sobre seus empregados,desde que atenda a estritos critérios de idoneidade, necessidade eproporcionalidade. Esse foi o entendimento do TRT de Goiás que reconheceu ajusta causa de empregado que utilizava o MSN pessoal como ferramenta detrabalho. No julgamento, a Turma entendeu que a fiscalização das informaçõessigilosas que tramitam no âmbito da empresa “é perfeitamente aceitável” para aprevenção de prejuízos. O acórdão considerou que o objeto principal do negócio é odesenvolvimento e licenciamento de programas de computador, e ainda, que oMSN do empregado era utilizado com a finalidade de atender às suas atividadeslaborais, não vendo qualquer violação à garantia da intimidade do reclamante. A Turma acrescentou que ao utilizar o MSN para fins laborais, oempregado não se importou com o procedimento fiscalizatório da empresa,assumindo os riscos de sua conduta. Por fim, considerou grave a conduta doempregado, em razão dos prejuízos sofridos pela empresa, mantendo a sentença.Processo: RO – 0164500-12.2009.5.18.0012
  6. 6. TJMG – Empresa é obrigada a indenizar Microsoft03/02/2012 -O TJMG aumentou o valor da indenização fixada em 1ª instância econdenou a empresa a compensar a Microsoft pela utilização de softwares semlicença.A 9ª Vara Cível de Belo Horizonte considerou que “a perícia demonstrou a existênciade softwares pertencentes à Microsoft que vinham sendo utilizados pela empresasem a devida licença, o que caracterizaria a prática de ato ilícito denominadocontrafação, gerando direito à indenização.”. Desta forma, o juiz condenou aempresa a pagar o dobro do valor de todos os programas à Microsoft.A Microsoft Corporation recorreu e o relator do recurso, entendeu que “aquele queutiliza de software sem licença deve ser obrigado ao ressarcimento dos prejuízoseconômicos bem como indenizar o titular do direito de propriedade intelectual porofensa ao seu direito autoral”. Assim, ele reformou a sentença, aumentando o valorda indenização para cinco vezes o valor atual de mercado de softwares, a serapurado em liquidação de sentença.Processo n°: 7109987-25.2009.8.13.0024
  7. 7. TRT3 – Empresa deve arcar com pagamento de conta de telefone utilizado em serviço07/12/2011 - O TRT-MG condenou uma empresa a restituir valores pagos por umatrabalhadora a título de telefone celular. É que a linha, fornecida pela empresa, erautilizada em serviço, contrariando a regra prevista no artigo 2º da CLT, pelo qual asdespesas do negócio devem ser suportadas pelo empregador.O telefone celular era fornecido aos empregados para uso exclusivo em serviço.Entretanto, para evitar a conferência de contas, a empregadora custeava a despesaaté R$100,00 e cobrava o excedente do empregado.“A previsão contratual é que a empregada ficaria responsável pela totalidade daconta, até o limite R$100,00. Mas sendo o equipamento fornecido para usoexclusivo em serviço, nos termos da contestação, essa cláusula não tem amparolegal, pois as despesas decorrentes da atividade econômica não podem sertransferidas ao empregado (artigo 2º da CLT), sendo do empregador os riscos donegócio”.Com esses fundamentos, o relator confirmou a sentença, que deferiu à reclamantea restituição dos valores indevidamente descontados a título de celular, no que foiacompanhado pela Turma.(0001019-81.2010.5.03.0034 ED )
  8. 8. TST – Trabalhadora não recebe indenização por e-mails contundentes da chefia18/11/2011 - Ex-empregada não conseguiu provar na Justiça do Trabalho que os e-mails recebidos da chefia da empresa eram ofensivos à sua honra e imagem a pontode caracterizar assédio moral e, em consequência, motivar o recebimento deindenização por danos morais.De acordo com o TRT, nenhum dos e-mails apresentados registrou ameaça dedispensa na hipótese de as metas estabelecidas não serem alcançadas.A cobrança em relação ao cumprimento de metas representa pressão sobre osempregados. Contudo, embora a forma de abordagem nos e-mails não fosse a maisapropriada, não havia rigor excessivo que pudesse ser entendido como assédiomoral, porque os e-mails não se destinavam a determinado empregado, e sim atoda equipe. Um dos e-mails, por exemplo, tinha o seguinte conteúdo: “nossaprodução está baixíssima (…) vamos juntos construir uma nova sucursal” e outroconclamava: “o grupo tem que entender que ou vocês se unem e viram este jogo ouirão morrer todos abraçados”.Em nenhum momento ficou caracterizada a violação da honra e da imagem daempregada que pudesse dar causa à indenização pretendida.Processo: RR-223400-61.2008.5.12.0053
  9. 9. TST – Acusada de envio de e-mail sigiloso consegue reverter demissão por justa causa 1/203/11/2011 –Ex-empregada acusada de enviar e-mail com informações sigilosas daempregadora conseguiu o reconhecimento de dispensa imotivada e o pagamentodas verbas rescisórias.Os depoimentos confusos do preposto e das testemunhas da empresa sobre ajornada da autora e o uso do computador e senha de acesso à conta de correioeletrônico utilizada para envio das informações fizeram a Justiça do Trabalho doParaná reverter a demissão por justa causa.A trabalhadora foi demitida sob a acusação de ter enviado a um ex-funcionário daempresa um e-mail com o anexo de um relatório contendo dados restritosreferentes às funções desempenhadas por funcionários da empresa, informaçõesconsideradas sigilosas.(...)
  10. 10. TST – Acusada de envio de e-mail sigiloso consegue reverter demissão por justa causa 2/2(...)A perita da empresa, informou que, por não ter senha de acesso ao e-mail, pediu aoutro funcionário, que trabalhava no computador e tinha a senha, para abrir ocorreio eletrônico e verificar as mensagens recebidas. Nesse momento, elaconstatou que uma das mensagens fora devolvida, e deduziu ter sido a ex-empregada que o encaminhara. Segundo ela, no dia anterior tinha visto a ex-empregada utilizando aquele computador fora de seu horário de expediente (das8h às 17h), e o e-mail foi enviado às 17h40, quando o empregado que usava aquelecomputador já havia ido embora.Em seu depoimento, porém, o preposto disse que a engenheira tinha a senha deacesso àquele endereço eletrônico.Processo: RR – 2735700-54.2007.5.09.0029
  11. 11. TRT15 Condena Empresa que Monitorava e-mail Corporativo do Reclamante a pagar indenização 1/3Trabalhador contratado para aprimorar o processo de preparação do creme delevedura de cana para um determinado cliente, montou um seminário para serministrado aos colaboradores do grupo da empresa. Confirmou que as informaçõesdo seminário foram repassadas por e-mail a um ex-empregado da empresa, quetrabalhava num outro grupo econômico do mesmo ramo. O outro trabalhadorprecisava das informações para melhorar o processo de preparação do cremeproduzido naquele grupo.O Trabalhador foi demitido por justa causa, acusado de fornecer informaçõessigilosas da empresa em que trabalhava. Ele admitiu que celebrou contrato de sigilocom a reclamada e que, quando o assinou, entendeu do que se tratava, “mas que,com o passar dos anos, acabou se esquecendo dos seus termos”. Houve, inclusive,instauração de um termo circunstanciado para apurar o crime previsto no artigo154, do Código Penal (“Revelar alguém, sem justa causa, segredo, de que temciência em razão de função, ministério, ofício ou profissão, e cuja revelação possaproduzir dano a outrem”).O TRT afirmou que é “inválida a prova produzida nos autos a fim de comprovar ajusta causa aplicada ao obreiro, isso porque a prova é fruto da invasão daprivacidade do reclamante – fato esse que vicia as ulteriores provas produzidas nosautos”.
  12. 12. TRT15 Condena Empresa que Monitorava e-mail Corporativo do Reclamante a pagar indenização 2/3O magistrado ressaltou ainda que, no caso concreto, não há prova robusta de que oautor foi devidamente cientificado da possibilidade do monitoramento, e em quecondições isso ocorreria.Quanto à possibilidade de monitoramento do e-mail corporativo do empregadopelo empregador, o acórdão destacou que “os que entendem que isso é possível,lembram que os computadores, os provedores e tudo o mais para o acesso, paraque os obreiros possam navegar e passar e receber e-mails, são de propriedade dodador de serviço, ao que acrescentam que, se o trabalhador enviar uma mensagemindevida, isso pode acarretar consequências ao empregador, além do que, aprodutividade do empregado, quer visitando sites, quer enviando e recebendo e-mails estranhos ao serviço, poderá diminuir, além do que a rede ficarásobrecarregada, e o risco de vírus infestando os aparelhos será grande”. (poderdiretivo do empregador”).Entretanto, “Há os que defendem que uma tal postura acaba por magoar adignidade do trabalhador”, rebate o acórdão, destacando que, “antes de ser umEmpregado”, ele é um cidadão, e tem o direito fundamental à sua privacidade, à suaintimidade de cidadão-trabalhador.
  13. 13. TRT15 Condena Empresa que Monitorava e-mail Corporativo do Reclamante a pagar indenização 3/3Legislação: Grupo de Protecção de Dados, instituído pelo art. da Directiva 95/46/CEdo Parlamento Europeu e do Conselho, de 24 de outubro de 1995: “Ostrabalhadores não abandonam o seu direito à privacidade e à proteção dos dados,todas as manhãs, à porta do trabalho”.O acórdão reconheceu que “a disputa é acirrada, com argumentos de peso deambos os lados”, porém, apesar de deixar claro que não defende a“irresponsabilidade obreira no uso do e-mail corporativo”, posicionou-se no sentidode que “não há ser tolerado monitore o empregador o e-mail corporativo de seusempregados, pois tenho que, conquanto o dador de serviço tenha todo o direito dedisciplinar a questão da utilização do e-mail no ambiente de trabalho, visandosalvaguardar seus interesses, isso não lhe confere o direito de vasculhar acorrespondência eletrônica de seus empregados.Por isso concluiu que “o procedimento da empregadora atingiu duramente o moraldo empregado, lesando-o psicologicamente”.Em conclusão, a 6ª Câmara decidiu “afastar a justa causa, considerar a dispensacomo imotivada e condenar a reclamada no pagamento das verbas rescisórias, alémde indenização por dano moral no valor de R$ 40 mil.(Processo 0047400-68.2008.5.15.0072)
  14. 14. TRT3 – Empregado que teve dívida cobrada por e-mail coletivo receberá indenização por danos morais21/06/2011 -Um empregado pediu a condenação da reclamada ao pagamento deindenização por danos morais, em razão do constrangimento sofrido, ao sercobrado por dívida contraída com banco do mesmo grupo econômico de suaempregadora. O problema foi a forma utilizada pela empresa, que enviou e-mailcomum a todos os empregados devedores, especificando o nome e o valor dadívida de cada um. Para a Turma, a conduta da reclamada violou a honra e adignidade do trabalhador, além de atentar contra o Código de Defesa doConsumidor. Por isso, a indenização foi deferida.Agindo dessa forma, a reclamada afrontou o próprio código de ética, como osartigos 42 e 71, do Código de Defesa do Consumidor. O primeiro estabelece que oconsumidor inadimplente não poderá ser exposto ao ridículo, nem ser submetido aconstrangimento ou ameaça. Já o segundo prevê a pena de detenção de três mesesa um ano e multa para aquele que utilizar, na cobrança de dívidas, ameaça, coação,constrangimento, ou qualquer procedimento que exponha o consumidor ao ridículoou interfira em seu trabalho, descanso ou lazer.Com esses fundamentos a reclamada foi condenada ao pagamento de indenizaçãopor danos morais, no valor de R$1.000,00 (mil reais).001721-57.2010.5.03.0024 RO
  15. 15. TRT 1 – Empresa não pode repassar os e-mails corporativos do ex-funcionário para o novo contratadoA profissional é jornalista e havia criado, através do e-mail corporativo, uma rede decontatos e fontes que viabilizava seu trabalho diário.É ilícito encaminhar, sem consentimento, as mensagens eletrônicas de um ex-funcionário.A profissional havia criado, através do e-mail corporativo, uma rede de contatos efontes que viabilizava seu trabalho em jornal diário.Apesar do endereço eletrônico ter sido criado pelo empregador, ele equivale aqualquer outra fonte de correspondência pessoal, “sendo abusiva a invasão doconteúdo, bem como a recusa em permitir o acesso da ex-empregada àsmensagens eletrônicas recebidas naquele sítio”.Para o desembargador, ao repassar a outra jornalista o cadastro de fontes daautora, a ré invadiu a privacidade da reclamante e comprometeu o sigilo de fontes aque todo jornalista tem direito.“O contrato de trabalho não poderá constituir um título legitimador de recortes noexercício dos direitos fundamentais”, concluiu o relator.A 7ª Turma confirmou o valor da condenação por dano moral em R$26.465,00, querepresenta cinco vezes a última remuneração da autora.
  16. 16. TRT4 – Demissão por justa causa por envio de mensagens de conteúdo sexual em computador da empresaCaracteriza-se como justa causa para a despedida o procedimento do empregadoconsistente em enviar e receber mensagens de conteúdo sexual no horário detrabalho e através do computador fornecido pela empresa.O reclamante pretendia a desconstituição da sentença que reconheceu motivospara a despedida por justa causa, alegando que a empresa verificavaperiodicamente a correspondência eletrônica, o que caracterizaria a hipótese de operdão tácito. Para o relator, os documentos juntados revelam a utilização dosistema de envio e recebimento instantâneo de mensagens pelo computador(MSN), através do qual o reclamante combinava encontros sexuais, inclusive comconteúdo pornográfico e que o autor ainda utilizava o nome da empresa, o qual eraacrescentado ao final do seu próprio nome. “A situação revela-se grave e configurajusta causa, conforme art. 482, “b”, da CLT, por mau procedimento do empregado”,diz em seu voto.Da decisão cabe recurso.00359-2008-023-04-00-4 RO
  17. 17. Mensagem no Twitter acarreta demissãoDurante a partida de futebol ocorrida no ultimo domingo, dia 28/03/2010, umfuncionário da Locaweb enviou pelo Twitter da empresa diversas mensagensofensivas a torcida e ao time do São Paulo Futebol Clube. Após a partida, ofuncionário deletou as mensagens e pediu desculpas a torcida. Entretanto, referidasmensagens já haviam sido “retwittadas” por diversas pessoas.A locaweb é uma empresa que apoia o esporte no Brasil e, atualmente, estapatrocinando o São Paulo Futebol Clube. Segundo a assessoria de imprensa daLocaweb, a empresa acredita e respeita no time e na torcida do SPFC e a opinião dofuncionário não se coaduna com o posicionamento da empresa.Em razão do ocorrido o funcionário da Locaweb, em comum acordo, resolveu sedesligar da empresa. A Locaweb divulgou o ocorrido em seu blog
  18. 18. STJ – IPs podem ser obtidos pelo Juízo Cível por não se caracterizar quebra de sigilo telefônicoAÇÃO CAUTELAR DE EXIBIÇÃO. FORNECIMENTO DE ELEMENTOS IDENTIFICADORES DOUSUÁRIO DE COMPUTADOR. UTILIZAÇÃO INTERNET. DANOS. NULIDADE DA CITAÇÃO.INCOMPETÊNCIA DO JUÍZO CÍVEL. IMPOSSIBILIDADE JURÍDICA DO PEDIDO. NÃO OCORRÊNCIA.VIOLAÇÃO A DISPOSITIVOS LEGAIS, FALTA PREQUESTIONAMENTO. RECURSO ESPECIALIMPROVIDO. (...)4.- É competente o Juízo Cível para o processamento e julgamento de ação cautelarque pede informação a respeito do nome do responsável pelo envio de e-maildifamatório, que pode ser obtida por meio do IP (Internet Protocol) do computadordo usuário, uma vez que não se caracteriza quebra de sigilo por meio deinterceptação telefônica, não se enquadrando, pois, na Lei 9.296/96. 5.- É juridicamente possível o pedido à empresa de telefonia de exibição do nomedo usuário de seus serviços que, utiliza-se da internet para causar danos a outrem,até por ser o único modo de o autor ter conhecimento acerca daqueles queentende ter ferido a sua reputação.Processo: REsp 879181 / MA; RECURSO ESPECIAL: 2006/0182739-1; Relator(a): MinistroSIDNEI BENETI (1137); Órgão Julgador: T3 – TERCEIRA TURMA; Data do Julgamento:08/06/2010; Data da Publicação/Fonte: DJe 01/07/2010
  19. 19. E Agora?!
  20. 20. Segurança da InformaçãoInformação = Tudo ↔ o cérebro e o coração da sociedade atual, denominada de sociedade da informação. Tecnologia = espinha dorsal da sociedade da informação.Segurança da Informação = preservação da confidencialidade, da integridade e da disponibilidade da informação.
  21. 21. Segurança da Informação .
  22. 22. O que é informação?Pública Particular Confidencial
  23. 23. Confidencialidade das InformaçõesConfidencial. Acesso restritoParticular. Informações de natureza pessoal que se destinam apenas ao uso dentroda organização.Interna. Informações fornecidas livremente para todas as pessoas empregadas pelaorganização.Pública. São informações que foram criadas especificamente para o público.
  24. 24. Política de SegurançaAs políticas de segurança são instruções claras que fornecem as orientações decomportamento das pessoas envolvidas para utilizar e guardar as informações, esão elementos fundamentais no desenvolvimento de controles efetivos paracontra-atacar as possíveis ameaças à segurança.Os controles efetivos de segurança são implementados pelo treinamento dosempregados, bem como por políticas e procedimentos bem documentados.A política visa minimizar os riscos de um ataque às informações da empresa a umnível aceitável de segurança.
  25. 25. Política de SegurançaO objetivo de um programa de conscientização sobre a segurança é a comunicaçãoda importância das políticas de segurança e o dano que a falha ou incorretautilização pode causar.Dada a natureza humana, os empregados às vezes ignoram ou sabotam as políticasque parecem ser injustificadas ou que demandam muito tempo.A gerência tem a responsabilidade de garantir que os empregados entendam aimportância das políticas e sejam motivados para atendê-las, e não tratá-las comoobstáculos a serem contornados.
  26. 26. Política de Segurança Etapas do Desenvolvimento:Um programa de segurança da informação abrangente começa com uma avaliaçãode risco que visa determinar:• Quais são as informações da empresa que precisam ser protegidas?• Quais ameaças específicas existem contra os ativos?• Qual dano seria causado às empresas se essas ameaças em potencial sematerializassem?
  27. 27. Política de Segurança PCN – Plano de Continuidade de Negócio
  28. 28. Política de SegurançaÉ essencial que a Gerência/Diretoria adote e suporte com firmeza odesenvolvimento de políticas de segurança e de um programa de segurança dasinformações.Os empregados precisam ter consciência de que a gerência acredita que asegurança das informações é vital para a operação da empresa, de que a proteçãodas informações comerciais da empresa é essencial para que ela continuefuncionando e de que o trabalho de cada empregado pode depender do sucesso doprograma.As políticas devem exigir o uso da tecnologia sempre que isso for eficaz em termosde custo, para auxiliar a tomada de decisão com base nas pessoas.
  29. 29. Política de SegurançaOs empregados devem ser aconselhados sobre as consequências do não-cumprimento das políticas e dos procedimentos de segurança.Um resumo das consequências da violação das políticas deve ser desenvolvido eamplamente divulgado.Deve-se criar um programa de recompensa para os empregados que demonstramboas práticas de segurança ou que reconhecem e relatam um incidente desegurança.Sempre que um empregado for recompensado por frustrar uma quebra desegurança, isso deve ser amplamente divulgado em toda a empresa, como porexemplo, em um artigo na circular da empresa.
  30. 30. Política de SegurançaAtributos:• não podem ser inflexíveis e nem muito flexível;• Implementação das novas tecnologias de segurança;• análise das vulnerabilidades;• processo de exame e atualização regular;• disponíveis por meio da intranet ou em pasta que esteja disponível para todos;• rapidez na resposta para todas as perguntas relacionadas com a segurança das informações;• Testes periódicos.
  31. 31. Procedimento de Verificação e AutorizaçãoSolicitação por pessoa verificada – deve-se analisar se a pessoa é realmentefuncionário e/ou se o ativo pertence a empresa e se está autorizada a ter acesso àinformação ou ação requisitada.Solicitação por pessoa não verificada – pessoa que não se conhece pessoalmenteou não funcionário.• A verificação de que a pessoa é quem alega ser.• A determinação de que o solicitante está empregado no momento ou compartilha de um relacionamento com a empresa no qual ele precisa ter as informações.• A determinação de que a pessoa está autorizada a receber informações específicas ou ligar para pedir a ação.
  32. 32. Política de GerenciamentoClassificação de Dados; confidencialidade das informações quem pode ter acessoDivulgação de Informações;Administração de Telefone ePolíticas Diversas.
  33. 33. Política da Tecnologia da InformaçãoO departamento de informática/tecnologia da informação deve possuir umconjunto especial de políticas que o ajude a proteger os ativos deinformações da organização.Informação de Contato dos Funcionários (telefone, e-mail, etc)Solicitação de Suporte TécnicoHelp desk Atendimento remoto Senha (criando, redefinindo, desativando) Desativando porta e dispositivo de rede Instalação e Execução de programas
  34. 34. Política para Recursos HumanosO departamento de recursos humanos têm a responsabilidade de protegeros empregados contra as pessoas que tentam descobrir informaçõespessoais por intermédio do seu local de trabalho e, também têm aresponsabilidade de proteger sua empresa contra as ações dosempregados, ex-empregados e terceiros descontentes.
  35. 35. Uso do AtivoAtivo são todos os bens e informações que agregam e geram valor a empresa.Estão incluídos como ativos, as informações, os hardwares, os softwares, entreoutros. -Responsabilidade -Inventário -Uso aceitável
  36. 36. Uso do Ativo HardwareAlteração das configurações pré-instaladas do computador (descanso de tela, papel de parede, painel de controle, ambiente de rede, etc)Uso externoUso de equipamentos particulares – pen drive, webcam, mp3, celular, etcComputador de terceiros
  37. 37. Uso do Ativo Softwareinstalar, reparar ou desinstalar software. Não se pode copiar informações da empresa sem autorização
  38. 38. Uso do Ativo E-mail• Cuidado com o e-mail recebido• Cuidado ao enviar e-mail• Não abra anexos, a não ser que tenha sido solicitado e informado o seu recebimento• Não envie anexos muito grandes• O e-mail é de propriedade da empresa• Padronização de envio de e-mail
  39. 39. Uso do Ativo Internet• Cada usuário possui código e senha de acesso• Uso consciente da internet• Ferramentas da internet (mensagens instantâneas, etc)• Monitoramento da internet
  40. 40. Penalidades Advertência SuspensãoDemissão por justa causa
  41. 41. Aspectos JurídicosA Constituição da República Federativa do Brasil de 1988 e Você
  42. 42. Aspectos Jurídicos Direitos Personalíssimos (art. 5º, X, CF) São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas,assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação
  43. 43. Aspectos Jurídicos Liberdade de Expressão (art. 5º, IX, CF)É livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença;
  44. 44. Aspectos Jurídicos Manifestação do Pensamento (art. 5º, IV, CF)É livre a manifestação de pensamento, sendo vedado o anonimato
  45. 45. Aspectos Jurídicos Direito de Resposta (art. 5º, V, CF)É assegurado o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem
  46. 46. Aspectos Jurídicos Sigilo de Correspondência (art. 5º, XII, CF)É inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal
  47. 47. Aspectos Jurídicos Código Penal Brasileiro Decreto-Lei nº 2.848. de 07 de dezembro de 1940Crimes Contra a Honra - art. 138 (Calúnia) art. 139 (Difamação) art. 140 (Injúria)Divulgação de Segredo – art. 153Furto mediante Fraude – art. 155, §4ºEstelionato – art. 171
  48. 48. Obrigada Laine Moraes Souza Advogada Especialista em TI e Telecom 34 9142.0842 laine.souza@lainesouza.adv.br http://www.lainesouza.adv.br

×