550 likes | 694 Views
DIREITO DIGITAL CORPORATIVO Evento ICT SOFTSUL Painel Desafios Política Segurança da Informação. Patricia Peck Pinheiro. @patriciapeckadv http://www.youtube.com/pppadvogados Blog: http://idgnow.uol.com.br/blog/digitalis Blog: http://www.itweb.com.br/blogs/blog.asp?cod=153
E N D
DIREITO DIGITAL CORPORATIVO Evento ICT SOFTSUL PainelDesafiosPolíticaSegurança da Informação Patricia Peck Pinheiro @patriciapeckadv http://www.youtube.com/pppadvogados Blog: http://idgnow.uol.com.br/blog/digitalis Blog: http://www.itweb.com.br/blogs/blog.asp?cod=153 Email: patriciapeck@pppadvogados.com.br www.pppadvogados.com.br © PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados.
Advogada Escritora Professora Consultora Premiada Medalha Pacificadora Exército Casada Mãe Empresária Programadora
ApresentaçãoCredenciais – a solução é Direito Digital PATRICIA PECK PINHEIRO ADV • 7 anos de existência (setembro/2004) • 470 clientesempresariais já atendidos • 42 clientes da lista 100 Maiores e Melhores Empresas • 30 profissionais (equipe multidisciplinar) • Matriz em São Paulo • Atuação: Consultivo,Contencioso e Capacitação ADVOGADOS QUE ENTENDEM DE TECNOLOGIA INOVAÇÃO e GESTÃO DE RISCOS!
ApresentaçãoCredenciais – a solução é Direito Digital • Mercado Financeiro (Bancos, Corretoras, Bolsa de Valores, etc.) • Bens de Consumo • Construção • Educação • Eletrônicos • Energia • Farmacêutico • Governo • Agências de Publicidade • Mídia e Entretenimento • Mineração • Produtos Químicos e Petróleo • Saúde • Seguros • Automotivo • Serviços de Informática • Serviços Profissionais • Varejo • Siderurgia • Turismo e Transporte • Aeronáutico e Aviação • Têxtil 22 Segmentos atendidos. Permite termos uma visão de Riscos Sistêmicos. Experiência em atender tanto a iniciativa Privada como a Pública. 4
Apresentação Credenciais – Nossos Clientes – Iniciativa Privada
Apresentação Credenciais – Administração Pública e Associações
Qual a nova moeda do Cibercrime? Capital intelectual corporativo Fonte: Estudo Symantec – ISTRA – Abril 2011. Imagem: http://www.flickr.com/photos/epsos/5394616925/
Evolução do Crime Eletrônico • A primeira geração de criminosos eletrônicos nos anos 80 tinha como foco: • Invasão • Ataque • Indisponibilidade (derrubar os sistemas)
Evolução do Crime Eletrônico • Já estamos na segunda geração de criminosos digitais que buscam brechas de dentro (vulnerabilidades humanas): • InsiderThreat; • Outsourcing Threat; • Social Threat.
Como está a SEGURANÇA JURÍDICA da sua Segurança da Informação?
Pesquisa: • Quem a empresa já tem a PSI implementada completamente?; • Quem a PSI já tem 2 anos ou mais (feita ate 2009)?; • Quem já fez campanha de conscientização ?; • Quem conseguiu envolver e sensibilizar a alta-direção e os gestores participaram da campanha?; • Quem tem Comitê de SI efetivo, com reuniões perióicas (min. 3 por ano)?; • Quem a PSI está em conformidade legal (vai conseguir proteger a empresa em caso de incidente ou judicial)?
TCU: falta política de segurança da informação em 65% dos órgãos Segundo um relatório aprovado pelo Tribunal de Contas da União (TCU), em 2010, 65% dos órgãos da administração pública federal não possuem política corporativa de segurança da informação. De acordo com o levantamento, a situação é "preocupante" e não foi notada evolução na área, em relação a outro estudo feito em 2007. O relatório foi elaborado pela Secretaria de Fiscalização de Tecnologia da Informação do TCU, com base em um questionário respondido por 265 órgãos da administração pública federal, que recebem 79% do orçamento destinado pela Lei de Diretrizes Orçamentárias à Tecnologia da Informação. Um outro ponto preocupante apontado pelo relatório, em relação à segurança, é o de que em 6% dos órgãos pesquisados, as informações são controladas por servidores não comissionados ou terceiros. Segundo o relatório, "em 2007 a situação já se mostrava preocupante", e não houve melhora nos processos de segurança da informação da administração pública federal em 2010. De acordo com a secretaria responsável pelo relatório, em termos de governança de tecnologia da informação, 57% das instituições ainda estão em estágio inicial, 38% em estágio intermediário, e 5% em estagio aprimorado. Fonte:http://noticias.terra.com.br/brasil/noticias/0,,OI4667913-EI306,00TCU+falta+politica+de+seguranca+da+informacao+em+dos+orgaos.html
Desafios SI para Conformidade Legal 2011: • MOBILIDADE (com efeito da consumerização); • REDES SOCIAIS (com efeito equipes Geração Y); • CLOUD COMPUTING (com efeito de precisar autenticação mais forte); • MONITORAMENTO MAIS INTRUSIVO (DLP); • DATA LOSS PREVENTION (com o efeito de ter monitoramento mais intrusivo); • GUARDA PROVAS ELETRÔNICAS (com efeito de ter que planejar redundância, PCN, backup para conseguir achar no prazo legal);
PROTEÇÃO DE INFORMAÇÕES SINGIFICA: PROTEÇÃO DE PATRIMÔNIO E DE REPUTAÇÃO Devemos monitorar as Informações, onde quer que elas estejam (isso não significa monitorar pessoas)!
TI e SI têm que estar em • CONFORMIDADE LEGAL! • Para isso precisa: • Ter Regras CLARAS e PRÉVIAS; • Aviso das regras no meio de uso da tecnologia (“vacinas legais nas interfaces gráficas”); • Autenticação Forte com coleta da ciência e guarda dos logs (prova de autoria); • Inserir cláusulas de SI nos contratos e SLAs (alcançar terceirizados); • Resposta a incidentes com integração técnica-jurídica (tem que ter time preparado).
POR QUE TER UMA PSI? • atender requisito de governança corporativa; • atender indicador de auditoria; • estar em conformidade com ISOs (27001, 27002); • para gerar prevenção e servir de diretriz comportamental (evitar incidentes); • para evitar interpretação pessoal que pode responsabilizar o gestor (alegação de perseguição, discriminação, invasão de privacidade); • para gerar proteção jurídica e que o documento possa ser usado se necessário para punir infrator e para defesa no judiciário.
CASO:Demissão por justa causa, ENVIO DE DOCUMENTO DA EMPRESA PARA CORREIO ELETRÔNICO PESSOAL. Cláusula de confidencialidade. Incorre nas hipóteses de justa dispensa o empregado que conscientemente transgride cláusula contratual que impede a retirada de documentos do âmbito da empresa sem expressa autorização, colocando em risco o sistema de segurança adotado. [...] o reclamante transgrediu o regulamento interno da empresa ao remeter para seu endereço eletrônico particular arquivos contendo o desenvolvimento de projetos de propriedade da demandada, sem autorização. (TRT 2º, Recurso Ordinário, ACÓRDÃO Nº20090369100, Ana Maria Contrucci Brito Silva, data 12/05/2009)
Premissas para Blindagem legal PSI 2011 : • É um documento técnico-jurídico – precisa ser elaborado ou revisado por um advogado especialista em segurança da informação; • Deve ter uma redação simples e objetiva; • Deve evitar qualquer subjetividade (ex: etc, outros); • Deve delimintar o uso correto claramente e evitar palavras que geram risco jurídico (ex: evitar expressões como “uso pessoal”, “uso moderado”, “uso com bom senso”, “uso racional”).
Blindagem legal PSI 2011 : • Identidade Digital • Propriedade dos Recursos e Informações • Uso Profissional • Confidencialidade e sigilo profissional • Classificação da Informação • Descarte Seguro • Cópias de Segurança • Mobilidade • Redes Sociais • Plano de Continuidade • Monitoramento e Inspeção Física de Equipamentos • Confidencialidade (assinar NDA e inserir cláusulas SI) • Guarda Provas Eletrônicas • Infrações e Tentativa de burla • Proteção Propriedade Intelectual • Restrição Conteúdos (ílícitos, anti-éticos, imorais) • Colaboração com Autoridades • Dever de reportar incidentes de SI • Regime de Exceção • Seleção • Conscientização SI (dever educar) • Constituição Comitê e Gestão
Principais Políticas: • Política de Segurança da Informação (atualizada para atender mobilidade); • Política de Classificação da Informação (atualizada para tratar DLP); • Política de Gestão Documental (atualizada para guarda provas eletrônicas); • Política de Proteção de Propriedade Intelectual (atualizada proteção ativos intangíveis); • Política de Postura em Redes Sociais (atualizada para orientar Geração Y).
Postura em Redes Sociais Fonte: http://oglobo.globo.com/pais/mat/2011/03/29/twitter-da-secretaria-de-cultura-de-sp-comete-gafe-com-morte-de-alencar-924118115.asp acesso em 28/04/2011 às 16h00m
Jurisprudência A ex funcionária cria comunidade no ORKUT com o nítido objetivo de OFENDER A EX–EMPREGADORA. Foi condenada a indenizar a empresa. É incontroverso que a ex-empregada criou a página, como também que por ali foram manifestadas várias agressões [...] [...] O empregado, criador e moderador de comunidade em sítio de relacionamento (Orkut), que permite a veiculação de conteúdo com potencial ofensivo contra o empregador, está sujeito a responsabilidade civil. (TRT02, Rel. Rafael e. Pugliese Ribeiro, Processo nº: 00266-2007-022-02-00-3, julgado em 30/03/2010).
Principais tipos de impacto uso REDES SOCIAIS: • Produtividade (ex: uso maciço de rede social não relacionada a trabalho durante o expediente); • Segurança da Informação (ex:vazamento de informação); • Reputacional (ex: exposição de opinião associada à marca não condizente com os valores da empresa); • Danos à empresa e/ou Danos à terceiros que impactem a empresa (ex: uso não autorizado de imagem de demais colaboradores ou de terceiros); • Danos à mercado (ex: infração a regulamentação da CVM – 358 fato relevante); • Prática de Crime previsto no ordenamento jurídico brasileiro (ex: difamação de outro colaborador, concorrência desleal).
As situações de mau uso ou de abuso por parte dos colaboradores devem ser divididas em 2 grupos: • Infração de comportamento da lista recomendada: nada a fazer (postura geral) • Infração de comportamento da lista obrigatória: verificação de impacto para definição da penalidade de mera advertência, suspensão ou bloqueio de uso do recurso de dentro da empresa até demissão sem justa causa ou demissão por justa causa (postura em âmbito corporativo).
Tipos de Severidade – Impactos (ResInc) • Severidade leve: impacto seja restrito ou limitado, sem que sejam gerados riscos para reputação, enseja advertência com solicitação de retificação de conduta e retirada do conteúdo publicado quando aplicável; • Severidade media: impacto gere riscos de reputação ou segurança da informação que possam ser contornados, sem que tenha havido infração de norma legal em vigor, enseja advertência com suspensão do uso do recurso de Redes Sociais a partir de acesso da empresa, solicitação de retificação de conduta e retirada do conteúdo publicado quando aplicável; • Severidade grave: impacto gere elevados riscos de reputação, ou segurança da informação, ou financeiros, ou jurídicos, em que há infração legal, pratica de ilícito ou crime e enseja desligamento ou rescisão contratual, com apuração eventual dos danos causados para ressarcimento dos mesmos.
Comportamentos Obrigatórios (acesso Corporativo): • Fazer acesso autenticado e publicação de conteúdo identificado ou identificável quando utilizar recurso da empresa para participar do ambiente de Redes Sociais; • Publicar opiniões baseadas nos princípios da boa-fé, e em conformidade legal; • Somente utilizar conteúdos que tenha legitimidade ou que seja autor ou que tenha tido autorização das demais partes envolvidas previamente; • Somente publicar informações corporativas classificadas como públicas, que tenha certeza que podem ser expostas de forma aberta na Internet, havendo dúvida deve evitar publicação; • Somente associar a marca da empresa quando estiver participando do canal oficial da mesma estabelecido nas Redes Sociais; • Utilizar linguagem e vocabulários adequados, de modo a evitar qualquer tipo de opinião que possa ser considerada ambígua, subjetiva, agressiva, hostil, discriminatória, vexatória, ridicularizante ou que de algum modo possa ferir a imagem da empresa de seus colaboradores, parceiros, fornecedores e clientes; • Evitar o uso de apelidos para fazer menção a demais colaboradores; • Evitar abordagem a terceiro, que seja funcionário de concorrente direto, que possa configurar qualquer tipo de conduta de concorrência desleal; • Evitar publicação de conteúdos ou opiniões não condizentes com seu cargo ou função. As respostas à terceiros, como consumidores, devem ser feitas apenas pela área competente para tanto; • Não publicar informações de sua rotina de trabalho, bem como conteúdos relacionados às atividades que desempenha e que tenha tido acesso devido ao seu cargo ou função, cumprindo com seu compromisso de sigilo profissional; • Zelar pela proteção da reputação da empresa e informar à área competente qualquer situação ou informação que identificar como relacionada a empresa quando estiver participando nas Redes Sociais em geral, mesmo que fora do canal oficial; • Denunciar à área de Segurança da Informação imediatamente qualquer situação de exposição de conteúdo que tenha tido acesso em Redes Sociais que possa ser considerada como um possível incidente de vazamento de informações da empresa.
Comportamentos Recomendados (Redes Sociais Geral): • Evitar exposição excessiva de vida íntima; • Fazer uso apenas fotos ou imagens que tenha legitimidade ou autorização; • Emitir declarações apenas em nome próprio, evitando associar qualquer tipo de opinião pessoal à marca da empresa em que trabalha; • Cadastrar-se nas Redes Sociais em nome próprio evitando gerar vínculo direto a empresa em que trabalha; • Evitar comentar rotinas do seu dia-a-dia que podem gerar algum risco de segurança, tais como horários, trajetos, agendas, local de residência; • Fazer a gestão dos conteúdos associados ao seu nome, zelando por sua reputação no meio digital; • Realizar backups preventivos para evitar a perda de todo o seu conteúdo em situação de apagão digital ou indisponibilidade do ambiente de Redes Sociais em que participa; • Orientar filhos e/ou familiares sobre o uso ético, seguro e legal das Redes Sociais, inclusive sobre a necessidade de cautela e proteção das informações da família, para evitar vazamento de informações financeiras, relacionadas a conta bancária, cartão de crédito, senhas, remuneração, patrimônio; • Sempre verificar a veracidade das informações que irá postar ou utilizar para evitar qualquer risco de publicação de boato ou inverdade; • Evitar interações que possam eventualmente prejudicar sua carreira profissional, visto que o conteúdo publicado em Redes Sociais perpetua-se no tempo, pode ser lido fora de contexto e tem alcance global; • Cumprir com as leis em vigor e manter-se sempre atualizado nas melhores práticas de uso ético, seguro e legal das novas tecnologias.
DESAFIOS TÉCNICOS... JURÍDICOS... COMPORTAMENTAIS... MUDAR USOS E COSTUMES!!
Como fazer a Campanha de Conscientização dar RESULTADO! 1º. Conhecer o seu público! Informação dirigida (criar clusters de usuários – gestores, TI, Terceirizados, Aprendizes).
…Existem dois Grupos Sociais em conflito: Nativo Digital Nascido depois1980 Colonizador Digital Nascido antes 1980 • Web; • Redes Sociais; • MSN; • Notebook; • Celular; • iPad; • Google. • Rua; • Baile; • Clube; • Papel e Lápis; • Quadro a giz; • Carta; • Biblioteca.
Redes Sociais 25% dos bebês tem perfis na web antes de nascerem! Fonte: http://tecnoblog.net/43297/25-dos-bebes-tem-perfis-na-web-antes-de-nascerem/
Usuário 1.0 Usuário 2.0 Usuário 3.0 Usuário 4.0 Usuário 5.0 Com Segurança http://www.flickr.com/photos/ildestudio/4618984934/
Como fazer a Campanha de Conscientização dar RESULTADO! 2º. Trazer alguém de fora para falar! Precisa conseguir envolver a alta-direção!
CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Conheça o curso online MOTORISTA VIRTUAL, uma solução desenvolvida em formato de jogo e linguagem de fácil compreensão para a capacitação de qualquer usuário sobre o uso ético, seguro e legal da web, das informações e recursos de TI. Acesse agora www.motoristavirtual.com.br login: motorista Senha: T3$t3
Como fazer a Campanha de Conscientização dar RESULTADO! 3º. Usar conteúdo prático, que mostre situações do dia-a-dia (VIDA DIGITAL) e contextualize Riscos e Consequências! Precisa provocar HÁBITO para gerar CULTURA DE SEGURNÇA!
+20 anos de uso do celular Quem tem celular ou smartphone? Com senha de bloqueio? http://exame.abril.com.br/assets/pictures/18281/size_590_Celular_-_aplicativos.jpg
12 anos do reconhecimento do uso indevido de e-mail corporativo pelo Poder Judiciário Quem aqui já mandou email para a pessoa errada? Fonte: STF, Mandado de Segurança n.º 23514, Relator Ministro Maurício Corrêa, julgado em 03/11/1999 Imagem: http://www.migalhas.com.br/mostra_noticia_articuladas.aspx?cod=107850
Os fins não justificam os e-mails ( nem posts, twitts)! Art. 187 do Código Civil Brasileiro. Liberdade exige responsabilidade e cautela! http://www.multiwebdigital.com.br/recorte-digital/wp-content/uploads/2010/09/email-marketing.jpg
Desconhecimento das Leis (Temosconhecer a REGRA DO JOGO): • O brasileiro em geral NÃO conhece as leis! • Kit Basico: • Constituição Federal de 1988; • Código Civil; • Código Penal; • Código de Defesa do Consumidor; • Estatuto da Criança e do Adolescente; • Adicional: Lei de Direitos Autorais, Lei de Propriedade Industrial, • Consolidação das Leis do Trabalho, outras; • Adm Publica Geral: Lei 8.112/90, 8.666/93, 8.027/90. Atenção: Art. 21, Código Penal: “O desconhecimento da lei é inescusável.” Fonte : educadororganizacional.blogspot.com Imagem: http://www.google.com.br/images?um=1&hl=pt-BR&rlz=1T4SNNT_en___BR358&biw=1579&bih=623&tbs=isch%3A1&sa=1&q=gera%C3%A7%C3%A3o+Z&aq=f&aqi=g1&aql=&oq=&gs_rfai=
Mais responsabilidade pelo Código Civil Art.1011. O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligencia que todo homem ativo e probo costuma empregar na administração de seus próprios negócios. Art.1016. Os administradoresrespondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções.
Legislação Argentina • A Argentina possui legislação que trata especificamente da proteção de dados pessoais e conta com um órgão específico para defender os direitos dos cidadãos que sofreram alguma violação de seus dados. • Também, possui tipificados os crimes de violação de dados, sua divulgação indevida e a inserção ilícita de informações em algum banco de dados. • Leis que abrangem a matéria de Proteção aos Dados: • Lei 25.326/2000: Lei de Proteção aos dados pessoais • Decreto 1528/2001: Regulamentação da Lei 25.326/2000
Legislação Chilena • O Chile possui legislação específica e bem definida a respeito da proteção de dados, determinando requisitos de proteção e segurança a serem atendidos para determinadas operações. • É uma nação com diversos tratados de livre comércio e cooperação com os principais blocos econômicos mundiais, o que demandou pesquisa acerca de alguma disposição estabelecida sobre proteção, compartilhamento e segurança aplicada aos dados pessoais. • Leis que abrangem a matéria de Proteção aos Dados: • Lei 19.628/1999: Proteção da Vida Privada e Proteção de dados de cunho pessoal; • Tratado de Livre Comércio com os Estados Unidos da América; • Tratado de Livre Comércio com a Comunidade Européia; • Tratado de Livre Comércio com a Austrália; • Lei 20.406/2009: Quebra de sigilo bancário para fins tributários.
Legislação Uruguaia • O Uruguai possui uma legislação bastante completa a respeito da Proteção de Dados e das operações possíveis de serem realizadas a partir deles; • Também há previsão legal de sanções pela utilização ou compartilhamento indevidos dos dados e informações registradas; • É possível determinar que, dentre os países pesquisados, o Uruguai possui o sistema mais rígido de Proteção de Dados, pois, além de um órgão destinado a fiscalizar e fazer cumprir as determinações da legislação que cuida do tema, a saber Unidad Reguladora y de Control de Datos Personales (Órgão Regulador do Controle de Dados Pessoais) possuiumalegislação bastante completa e analítica. • Leis que abrangem a matéria de Proteção aos Dados: • Código Penal Uruguaio • Lei 17.838/2004: Tratamento de dados; • Lei 17.930/2005: Diretivas de Governo e controle tributário; • Lei 18.331/2008: Proteção de dados e Habeas Data;
CUIDADO PARA CONDUTA DIGITAL DESCUIDADA NAO CONFIGURAR NEGLIGÊNCIA OU CONIVÊNCIA! ist1_12736008-oops-sign_negligencia
TI e SI estão responsáveis pelo processo de MUDANÇA e INOVAÇÃO (o que envolve quebra de paradigmas e criação de uma nova cultura interna) que tem implicações: • 1o. Nível: Jurídico – tudoprecisaestarendossado em termoslegaisparagarantirlegitimidade e segurançajurídica da segurança da informação (parapermitirexigir a conduta do usuário, agir em caso de incidente e punirquandonecessário); • 2o. Nível: Humano (pessoas) – é essencialinvestir em duasabordagens: capacitação (treinar no procedimentoseguro) e conscientizar (fazer com que o aprendizadosejaaplicadonapráticadiária), queiráelevar o nível de Prevenção e diminuirincidentes (devealcançartambémterceirizados); • 3o. Nível: Tecnológico– deve-se investir em soluçõesquepermitamprevenção, disponibilidade, mobilidade, monitoração e resposta a incidentes.
A SEGURANÇA DA INFORMAÇÃO TEM QUE PASSAR A SER SEGURANÇA INTEGRADA Para ser: HOLÍSTICA SUSTENTÁVEL Precisa aceitar a vocação da MOBILIDADE SEM FRONTEIRAS da GERAÇÃO Y, Z e demais que estão por vir!