Aspectos jurídicos da Política de Segurança da Informação

Efetividade e Aspectos Jurídicos da Política de

Segurança da Informação

Alexandre Atheniense

Alexandre Atheniense

• Advogado especialista em Direito Digital

• Sócio de Aristoteles Atheniense Advogados

• Coordenador da Pós Graduação em Direito

• de Tecnologia da Informação na ESA OAB-SP

www.alexandreatheniense.com www.atheniense.com.br

@atheniense @aaadvogados

www.linkedin.com/atheniense

www.facebook.com/ atheniensewww.facebook.com/ aaadvogados

Por que este assunto tem se tornado cada vez mais relevante ?

Aumento da oferta de serviços

online

Expansão dos ativos das

empresas em bits

Por que as empresas estão se

tornando cada vez mais

vulneráveis ?

Aumento do tamanho das

mídias digitais

…mas velocidade de acesso aos discos não cresce na mesma

proporção ...

Os Hd’s dobram

de tamanho

entre 18 a 24 meses

“Lei de Kryder”

Pesquisa comparativa Estrutura TI nos Bancos

Anos 2008/2009Fonte: Febraban

Discos Rígidos - Aumento 48%

Mainframes aumento 5%

Aumento das Fontes de dados

Aumentos das sessões de Rede

Acessos Remotos

Aumento do Registro de Logs

Aumento dos dispositivos móveis de comunicação

Aumento dos dispositivosmóveis de comunicação

Novos sistemas operacionais e padrões de conectividade

Empresa Empresa DigitalDigital

Empresa Empresa PapelPapel

A sua empresa está A sua empresa está preparada para lidar com preparada para lidar com incidentes relacionados à incidentes relacionados à

TI?TI?

Estudo feito com 25 Estudo feito com 25 empresas americanas com empresas americanas com

faturamento bilionário:faturamento bilionário:

TI TI

Jurídico Jurídico

RH RH

• Mais de 40% das empresas brasileiras Mais de 40% das empresas brasileiras desejam contratar um CSO (Chief Secutiry desejam contratar um CSO (Chief Secutiry Officer)Officer)

Fonte: Estudo Global Information Security, conduzido pela consultoria PricewaterhouseCoopers, em parceria com as revistas CIO e CSO.

• Análise de conformidade Análise de conformidade legal de contratos, termos, legal de contratos, termos, políticas, etc.; políticas, etc.;

• Atuação preventiva;Atuação preventiva;

• Consultoria e Consultoria e

assessoramento;assessoramento;

• Revisão constante das Revisão constante das normas e processos;normas e processos;

• Educação e treinamento;Educação e treinamento;

• Conscientização e mudança Conscientização e mudança de cultura;de cultura;

• Trabalho constante e Trabalho constante e

contínuo;contínuo;

• Informação quanto à Informação quanto à mudança de cargos – mudança de cargos – demissões – admissões;demissões – admissões;

• Constante análise Constante análise de conformidade de conformidade das regras e de seu das regras e de seu cumprimento pelos cumprimento pelos envolvidosenvolvidos

Durante:Durante: •Tratamento e resposta ao incidente Tratamento e resposta ao incidente de maneira segura e juridicamente de maneira segura e juridicamente válidaválida

•Preservação e coleta de provas e Preservação e coleta de provas e

evidênciasevidências

•Minimização dos danos e Plano de Minimização dos danos e Plano de Contingência Contingência

Depois:Depois:

•Análise do incidenteAnálise do incidente

•Revisão dos processos e questões Revisão dos processos e questões envolvidas envolvidas

•Aplicação das correções necessáriasAplicação das correções necessárias

•Armazenamento (quando, onde, como, Armazenamento (quando, onde, como, quais, por quanto tempo, etc.)quais, por quanto tempo, etc.)

•Segurança (backup, padrões de Segurança (backup, padrões de segurança, etc.)segurança, etc.)

•Questões envolvendo portabilidade e Questões envolvendo portabilidade e mobilidademobilidade

•Documentos pessoais x documentos Documentos pessoais x documentos corporativoscorporativos

•Descarte, troca e manutenção de Descarte, troca e manutenção de equipamentosequipamentos

•Provas eletrônicasProvas eletrônicas

•Demissão de funcionáriosDemissão de funcionários

•Perda ou vazamento de dados e Perda ou vazamento de dados e informações confidenciaisinformações confidenciais

•Impossibilidade de resgate de provas ou Impossibilidade de resgate de provas ou provas eletrônicas sem validade legalprovas eletrônicas sem validade legal

•Armazenamento de conteúdo ilícito pelos Armazenamento de conteúdo ilícito pelos usuários (imagens, áudio, etc.)usuários (imagens, áudio, etc.)

• Classificação das informações segundo Classificação das informações segundo sua importância (confidencial, pública, sua importância (confidencial, pública, restrita, etc.) restrita, etc.)

•Política de Gestão de Documentos em Política de Gestão de Documentos em sintonia com aspecto jurídicosintonia com aspecto jurídico

• Regras sobre uso de documentos Regras sobre uso de documentos pessoais e dispositivos móveispessoais e dispositivos móveis

•E-Discovery – resgate de documentos E-Discovery – resgate de documentos eletrônicoseletrônicos

•Regras sobre eliminação de dados Regras sobre eliminação de dados em dispositivos descartadosem dispositivos descartados

•Regras sobre acesso a documentos Regras sobre acesso a documentos por usuário demitidopor usuário demitido

• Sistema de DLP (Data Loss Sistema de DLP (Data Loss Prevention)Prevention)

•Backup protegidoBackup protegido

•Compartilhamento de senhas – Compartilhamento de senhas – estagiário, secretário, colega, etc.estagiário, secretário, colega, etc.

•Computador logado – usuário ausenteComputador logado – usuário ausente

•Senha mestre em poder de terceirizadosSenha mestre em poder de terceirizados

•Senhas anotadas em papéis ou Senhas anotadas em papéis ou documentos de fácil acessodocumentos de fácil acesso

•Senhas de fábrica (padrão)Senhas de fábrica (padrão)

•Identidade Digital – Prova de AutoriaIdentidade Digital – Prova de Autoria

• Acessos não autorizados, vazamento de Acessos não autorizados, vazamento de informações e espionagem industrialinformações e espionagem industrial

•Responsabilização do Gestor do Sistema Responsabilização do Gestor do Sistema ou do usuário erradoou do usuário errado

•Cobrança de horas-extras indevidasCobrança de horas-extras indevidas

• PSI com regras claras sobre PSI com regras claras sobre responsabilidad pelo uso da senha responsabilidad pelo uso da senha

•Adoção de senha como forma de Adoção de senha como forma de Identidade Digital e não como mera Identidade Digital e não como mera autenticaçãoautenticação

• Conscientização do usuárioConscientização do usuário

•Disclaimers e Avisos Legais Disclaimers e Avisos Legais

•Regras de acesso específico para cada Regras de acesso específico para cada usuáriousuário

•Normas sobre troca periódica de senhasNormas sobre troca periódica de senhas

•Logout por inatividade de acessoLogout por inatividade de acesso

•Suspensão de acesso em férias e Suspensão de acesso em férias e feriadosferiados

•Uso de certificação digitalUso de certificação digital

•Quais os limites legais?Quais os limites legais?

•Privacidade Privacidade

•Interceptação de dadosInterceptação de dados

•Quem e como monitorar? Quem e como monitorar?

• Monitoramento dentro dos limites Monitoramento dentro dos limites da legalidade da legalidade

•Regras claras e explícitas sobre o Regras claras e explícitas sobre o monitoramentomonitoramento

•Avisos Legais e DisclaimersAvisos Legais e Disclaimers

•Ciência formal (eletrônica e física) do Ciência formal (eletrônica e física) do empregadoempregado

•Contrato de Trabalho alinhado às regras de Contrato de Trabalho alinhado às regras de Segurança da InformaçãoSegurança da Informação

•Códigos de Ética e Termos de Conduta com Códigos de Ética e Termos de Conduta com previsão de sançõesprevisão de sanções

•Reputação da Empresa no Meio Reputação da Empresa no Meio Eletrônico Eletrônico

•Regularidade de Softwares e Regularidade de Softwares e Propriedade IntelectualPropriedade Intelectual

•Conformidade de ContratosConformidade de Contratos

Art. 932. São também responsáveis pela Art. 932. São também responsáveis pela reparação civil:reparação civil:

III - o III - o empregadorempregador ou comitente, por seus ou comitente, por seus empregadosempregados, , serviçais e prepostosserviçais e prepostos, no exercício , no exercício do trabalho que lhes competir, ou em razão dele;do trabalho que lhes competir, ou em razão dele;

Art. 933. As pessoas indicadas nos incisos I a V do Art. 933. As pessoas indicadas nos incisos I a V do artigo antecedente, artigo antecedente, ainda que não haja culpa de ainda que não haja culpa de sua partesua parte, , responderão pelos atos praticados responderão pelos atos praticados pelos terceirospelos terceiros ali referidos. ali referidos.

Art. 1.016. Os Art. 1.016. Os administradoresadministradores respondem respondem solidariamente perante a sociedade e os terceiros solidariamente perante a sociedade e os terceiros prejudicados, prejudicados, por culpa no desempenho de suas por culpa no desempenho de suas funçõesfunções..

• Concorrência Desleal – art. 195 Lei Concorrência Desleal – art. 195 Lei

9279/969279/96

•Violação de Direito Autoral – art. 184 CPViolação de Direito Autoral – art. 184 CP

•Violação de Segredos Profissionais art. 194 Violação de Segredos Profissionais art. 194

CPCP

•Crime de Falsa Identidade art. 307 CPCrime de Falsa Identidade art. 307 CP

• Ilícitos cíveisIlícitos cíveis

•Dever de reparação de danosDever de reparação de danos

•Pagamento de multas contratuaisPagamento de multas contratuais

•Demissões por justa causa (art. Demissões por justa causa (art.

482 CLT)482 CLT)

•Política de Segurança da Política de Segurança da

Informação (PSI)Informação (PSI)

•Termos de Confidencialidade e Termos de Confidencialidade e

SigiloSigilo

•Código de Ética e CondutaCódigo de Ética e Conduta

•Regras de classificação da Regras de classificação da importância da informaçãoimportância da informação

•Política de Gestão Documental Política de Gestão Documental

(PGD)(PGD)

•Utilização de Service Level Utilização de Service Level Agreements (SLA’s)Agreements (SLA’s)

• Legislação Brasileira Legislação Brasileira

•ISO 27001/27002 ISO 27001/27002

•Sarb-Ox (Sarbanes-Oxley - SOX)Sarb-Ox (Sarbanes-Oxley - SOX)

•Basel II –Riscos operacionaisBasel II –Riscos operacionais

• As regras existem para serem As regras existem para serem cumpridas por todos os usuários - cumpridas por todos os usuários - inclusive os chefes inclusive os chefes

•Devem existir sanções graduais e Devem existir sanções graduais e proporcionais para os casos de proporcionais para os casos de descumprimentodescumprimento

1.1. Cuidado com o excesso de regras! Cuidado com o excesso de regras!

2.2. Proibir, bloquear e restringir acesso não Proibir, bloquear e restringir acesso não é a solução.é a solução.

3.3. É preciso monitorar constantemente se É preciso monitorar constantemente se as regras estão sendo cumpridas – e punir as regras estão sendo cumpridas – e punir caso não estejamcaso não estejam

4. 4. O sucesso de uma PSI passa O sucesso de uma PSI passa obrigatoriamente pela obrigatoriamente pela mudança de cultura na mudança de cultura na empresa, ou seja, o usuário empresa, ou seja, o usuário deve ser educado e deve ser educado e conscientizado de sua conscientizado de sua importância. importância.

"A primeira regra de qualquer tecnologiautilizada em um negócio é que a automação

aplicada a uma operação eficiente irá ampliar a eficiência.

A segunda é que a automação aplicada a uma operação ineficiente irá ampliar a

ineficiência"

Bill Gates

Conclusão

• Efetive a Política de Segurança da Informação

• A inexistência ou inaplicabilidade revelará as vulnerabilidades dos seus

ativos digitais