2008 PPP Advogados. Todos os ...§… · 2008 PPP Advogados. Todos os direitos reservados . 2 PPP Advogados • Somos um escritório especializado em Direito Digital, Segurança da

1

2008 PPP Advogados. Todos os direitos reservados.WWW.PPPADVOGADOS.COM.BR 1

2


PPP Advogados

• Somos um escritório especializado em Direito Digital, Segurança da Informação e Gestão de Riscos (operacionais e eletrônicos) .

• Possuímos escritório em São Paulo, com 10 advogados especialistas , e assessoramos aproximadamente 127 clientes no Brasil (São Paulo, Rio de Janeiro, Brasília, Belo Horizonte, Curitiba) e em âmbito internacional (especialmente América Latina, EUA e Europa).

• Já treinamos mais de 10.500 profissionais de diversas empresas em questões relacionadas a Segurança da Informação.

• Nosso principal diferencial é que somos ADVOGADOS QUE ENTENDEM DE TECNOLOGIA!

3


Resumo Perfil Dra. Patricia Peck Pinheiro

•sócia fundadora da PPP Advogados;•formada em Direito pela Universidade de São Paulo;•especialização em negócios pela Harvard Business School;•MBA em marketing pela Madia Marketing School;•Autora do livro “Direito Digital” pela Editora Saraiva;•Co-autoria dos livros e-Dicas, Internet Legal e Direito e Internet II;•Professora da pós-graduação da Senac-SP, IMPACTA, IBTA e FATEC;•Experiência internacional de Direito e Tecnologia nos EUA, Portugal e Coréia;•Iniciou sua carreira como programadora aos 13 anos;•Colunista do IDG Now e articulista da Gazeta Mercantil, Valor Econômico, O Dia, Estadão, Veja, Revista Executivos Financeiros, Info Exame, Info Corporate, About, Revista do Anunciante, Revista Marketing;

•Ministra treinamentos em parceria com a ABA – Associação Brasileira de Anunciantes, Relatório Bancário, ABBC – Associação Brasileira de Bancos Comerciais e Febraban.

4


“Tudo na vida é gerenciamento de risco , não sua eliminação”

Walter Wriston

O papel do Jurídico é conhecer os riscos, analisar os mesmos, explicar

adequadamente quais são e ajudar no processo de decisão.

5


Quais os impactos da abertura de capital na cultura da empresa?

Em geral, há muito o que fazer para abrir o capital em bolsa, mas o que deve ser feito e implementado após a abertura?

Como construir uma cultura de segurança da informação com

blindagem jurídica no dia a dia dos executivos, e alcançar, inclusive, os

terceirizados e fornecedores?

6


• Já há tecnologias protetivas implementadas...

• Já há processos formalizados...• Já há workflow definido...• Já há normas implementadas...• As normas devem ser cumpridas...• As normas foram feitas para mitigar

riscos...• Mas falta criar ainda cultura interna de

segurança da informação em companhia aberta em bolsa nacional ou estrangeira?

7


Cenário Atual

�A informação precisa ser acessível!�A mobilidade já é um requisito na

agenda das empresas e de seus executivos.

�Como de fato garantir o cumprimento de regras legais que exigem a proteção do sigilo do fato relevante até que ele seja informado à Comissão de Valores Mobiliários (CVM) e aos acionistas?

8


• O que fazer ANTES, DURANTE e DEPOIS da oferta pública de ações?

• A governança corporativa passa pela implementação de controles, pela documentação de relações e pela garantia à transparência.

MAS ACIMA DE TUDO, POR CONSTRUÇÃO DE CULTURA E

COMPLIANCE!

Cenário Atual

9


• Como fica o papel do RI?

• Como fica a questão de denúncia anônima?

É preciso padronizar os procedimentos inclusive para evitar responsabilidade

legal.

Cenário Atual

10


Como fazer gestão de riscos operacionais sem conhecer os riscos envolvidos (especialmente os eletrônicos – que são muito mais comportamentais)?

Cenário Atual

11


Como estamos protegendo as informações?É fácil ou difícil descobrir uma informação na empresa neste exato momento?E através de um terceirizado?

12


Mídias portáteis à disposição, senha exposta, chaves acessíveis.

Fax confidencial e relação de chamadas expostas. Bebidas próximas à máquina.

Notebook e celular sem dispositivos de controle de acesso. Notas fiscais disponíveis.

Documentos abertos. Não há bloqueio de tela.

Manter o local arrumado é essencial para segurança!

13


Os velhos e os novos meios de cometer crimes!

Mudamos a arma do crimeMudamos a arma do crime

14


As testemunhas são as máquinas!

Toda ação no mundo virtual deixa um rastro..

15


• Devemos proteger nosso negócio de riscos, o uso de TI (tecnologia da

Informação) cada vez mais na empresa envolve 3 níveis de vulnerabilidades:

1.Vulnerabilidades Físicas;2.Vulnerabilidades Lógicas;

3.Vulnerabilidades Comportamentais.

• Para todos os níveis a REGRA TEM QUE ESTAR CLARA (Normatização) e tem que

Conscientizar (Educação)!15

16


Quais são os riscos mais bQuais são os riscos mais b áásicos, comuns e graves? sicos, comuns e graves? •Alguém com segregação de funções empresta a senha p ara outro colega da área ou da empresa?•A secretária saber a senha do gestor?•Portar dados sensíveis, confidenciais, que sejam relacionados a fato relevante, especialmente os fin anceiros e jurídicos em em pen drives, notebooks, smartphone s sem qualquer proteção? •Quando alguém circula com celular com câmera e as máquinas estão abertas (sem bloqueio de tela)?•Quando permitimos o uso de aparelho MP3 com portas USB liberadas?•Quando executivos e fornecedores fazem uso de acess o remoto que não se desconecta por inatividade?

17


Quais os maiores desafios para aplicar as Boas Práticas da Segurança da

Informação?�ANONIMATO�INGENUIDADE�NEGLIGÊNCIA

�FALTA DE CULTURA INTERNA�PENSAR QUE ISSO NUNCA VAI

ACONTECER COM VOCÊ!

18


Quem aqui ontem ànoite deixou aporta de casa aberta para hoje de manhã não ter que abrir de novo?

19


Agora, alguém aqui tem o hábito de deixar seu computador ligado e logado e se ausentar? Com sua senha nele, com email aberto?

20


Qual a possibilidade de alguém aproveitar que sua máquina estáligada, logada e aberta para pegar dados da empresa que só sua senha vai permitir em nível de autenticação de usuário na rede? E se a pessoa tirar isso pela sua porta USB?Quem será o principal suspeito?

21


Por que não temos uma conduta segura quando se trata de uso de informações e ferramentas tecnológicas?

22


Na maioria dos casos, por falta de conhecimento dos riscos e conseqüências.

23


Somos responsáveis tanto por nossa ação como por omissão(negligência, imperícia e imprudência).

24


Res. Bacen 3.380• Determinar às instituições financeiras a

implementação de estrutura de gerenciamento do risco operacional.

• A estrutura deve ser compatível com a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas da instituição.

• Define-se como risco operacional a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos .

25


Risco OperacionalEntre os eventos de risco operacional, incluem-

se:• fraudes internas;• fraudes externas;• demandas trabalhistas e segurança deficiente do local de trabalho; • práticas inadequadas relativas a clientes, produtos e serviços;• danos a ativos físicos próprios ou em uso pela instituição;• aqueles que acarretem a interrupção das atividades da instituição;• falhas em sistemas de tecnologia da informação;• falhas na execução, cumprimento de prazos e gerenciamento

das atividades na instituição.

26


INSTRUÇÃO CVM Nº 358, DE 3 DE JANEIRO DE 2002.

• Dispõe sobre a divulgação e uso de informações sobre ato ou fato relevante relativo às companhias abertas, disciplina a divulgação de informações na negociação de valores mobiliários e na aquisição de lote significativo de ações de emissão de companhia aberta, estabelece vedações e condições para a negociação de ações de companhia aberta na pendência de fato relevante não divulgado ao mercado

27


Fato RelevanteConsidera-se relevante, qualquer decisão de acionista controlador, deliberação da assembléia geral ou dos órgãos de administração da companhia aberta, ou qualquer outro ato ou fato de caráter político-administrativo, técnico, negocial ou econômico-financeiro ocorrido ou relacionado aos seus negócios que possa influir de modo ponderável:

1. na cotação dos valores mobiliários de emissão da co mpanhia aberta ou a eles referenciados;

2. na decisão dos investidores de comprar, vender ou man ter aqueles valores mobiliários;

3. na decisão dos investidores de exercer quaisquer direitos inerentes à condição de titular de valores mobiliários e mitidos pela companhia ou a eles referenciados.

28


DEVER DE GUARDAR SIGILOCumpre aos acionistas controladores,diretores, membros do conselho de administração, do conselho fiscal e de quaisquer órgãos com funções técnicas ou consultivas, criados por disposição estatutária, e empregados da companhia, guardar sigilo das informações relativas a ato ou fato relevante às qu ais tenham acesso privilegiado em razão do cargo ou posição que ocupam, até sua divulgação ao mercado, bem como zelar para que subordinados e terceiros de sua confiança também o façam, RESPONDENDO SOLIDARIAMENTE com estes na hipótese de descumprimento.

29


Como estão estes nossos indicadores

Vamos passar agora a apresentar os incidentes mais comuns, através de

estudo de casos e em seguida as recomendações.

30


Caso 1

INCIDENTE COM PORTABILIDADE

NOTEBOOK E MÍDIAS MÓVEISPerda de dados e vazamento de informação

confidencial seja no uso ou no descarte.

INCIDENTE COM INCIDENTE COM PORTABILIDADE PORTABILIDADE

NOTEBOOK E MNOTEBOOK E MÍÍDIAS MDIAS MÓÓVEISVEISPerda de dados e vazamento de informaPerda de dados e vazamento de informaçção ão

confidencial seja no uso ou no descarte.confidencial seja no uso ou no descarte.

31


Estudo de Caso - JurisprudênciaSegurança da Informação – Vazamento de Dados

• Caso 1 : Empresa invadida por suposto funcionário que a pretexto de consertar computador copiou num pen drive informações sigilosas.

• “A subsidiária local da Kroll, consultoria de gerenciamento de riscos, foi contratada no ano passado por uma empresa do ramo imobiliário em São Paulo para investigar um caso de roubo de dados usando a memória portátil. Um suposto técnico entrou na empresa com o pretexto de consertar os computadores da secretária e do diretor-geral, conectou o pen drive e em menos de 25 minutos já havia copiado planilhas com dados bancários, informações financeiras e documentos da empresa. (...)”(Fonte: http://portalexame.abril.com.br, reportagem de Camila Fusco, em 27/06/2008)

• Desfecho : Somente ao final do dia a empresa percebeu que não se tratava de um funcionário seu.

32


Estudo de Caso - JurisprudênciaSegurança da Informação

• Caso 2 : Venda de HD pela seguradora contendo as informações do cliente segurado.

“EMENTA: SEGURADORA. ENTREGA DE HD DO COMPUTADOR. DANO MORAL CONFIGURADO. FALTA DE DEVER DE CUIDADO AO VENDER O BEM SEM APAGAR AS INFORMAÇÕES PESSOAIS DO SEGURADO. Tendo a seguradora não diligenciado de forma correta ao efetuar a venda do HD sinistrado entregue pelo autor para o recebimento da indenização, sem apagar seus dados pessoais, expondo sua privacidade perante terceiros , faz jus à indenização extrapatrimonial . Recurso do autor parcialmente provido para majorar o valor da indenização (...).” (Tribunal de Justiça do Rio Grande do Sul, Relator João Pedro Cavalli Junior, Recurso Cível nº 71001199744, Julgado em 26/04/2007)

• Desfecho : Seguradora condenada a pagar R$3.000,00 de indenização.

33


1º Passo – O Comunicado a Mercado e a Imprensa (qual o valor da informação?);2º. Passo – A investigação;3º. Passo – A preservação das Partes Envolvidas (sigilo);4ª. Passo – A preservação e coleta das evidências;5º. Passo – O diagnóstico e o aprendizado.

34


Preparo do terreno:Preparo do terreno:

1.Temos uma Norma de Uso de Dispositivos Móveis?

2.Ela trata sobre a portabilidade de dados de forma segura?

3.Ela determina o uso de alguma ferramenta de cript ografia ou biometria?

4.Ela determina o que fazer em caso de perda ou fur to?

5.Está alinhada com a questão trabalhista?

6.Há uma norma de descarte seguro? Como é a troca de máquinas? Limpa-se o HD com algum software?

35


Principais questões e desafios das empresas hoje:

�Como proteger a informação confidencial contra vazamento e/ou uso privilegiado?

�Como implementar os devidos controles de segurança da informação em conformidade com as leis?

�Como conscientizar o usuário em geral e disseminar uma cultura de segurança através dos gestores como agen tes replicadores?

�Como garantir o cumprimento da Política de Seguranç a da Informação de cima para baixo (vem todo mundo menos o chefe)?

�Como alcançar os terceirizados, com quem compartilhamos a informação?

36


A Resposta à incidentes exige estudo de cenários

e preparo do terreno antecipadamente .

37


Resposta à incidentes exige tomada de decisão rápida e equilíbrio entre CONTENÇÃO E REAÇÃO.

(ex. puxar da tomada)

38


Qual o nível da segurança jurídica

da sua segurança da informação?

39


Em um cenário de Sociedade:

1. Em tempo real;

2. Com Testemunhas-máquinas;

3. Onde os documentos originais que representam manifestação de vontade jurídica são os eletrônicos.

40


Riscos Corporativos

Riscos Operacionais

Riscos Eletrônicos

Riscos Jurídico, Financeiro e Institucional

41


Governança Corporativa

Transparência

Processos e Documentação

ControlesSerá que temos

os controles necessários? Eles estão corretos e operantes?

Será que temos os controles necessários? Eles estão corretos e operantes?

42


Qual o maior desafio de gestão?

ESTAMOS EM TEMPO REAL, CONECTADOS, UM EMAIL,

UMA NOTÍCIA, UM COMENTÁRIO EM BLOG OU COMUNIDADE PODE GERAR

IMPACTO PROFUNDO EM EMPRESA ABERTA EM BOLSA.

43


10 itens básicos para blindagem legal:

1. Criação de controles mais rígidos na área de Recursos Humanos;

2. Guarda das provas eletrônicas e garantir trilha de auditoria;

3. A aplicação do Princípio de Segregação de função (Chinese Wall);

4. Criação de uma Política de Negociação;5. Elaboração de um sistema de classificação

da informação;6. Elaboração de uma Norma de Resposta a

Incidentes (com procedimentos claros);

44


7. Programas de Conscientização . O treinamento dos colaboradores em Segurança da Informação é um dos pontos principais para implementação de sistema de Segurança da Informação consistente e eficaz;

8. Análise e Revisão de Contratos – Matriz de Risco e inserção de cláusula específica sobre fato relevante;

9. Proteção dos Ativos Intangíveis – cada vez mais tem que estar claro nos contratos;

10. Monitoramento para dentro (insider) e para fora (web).

45


Cuidado especial com a Classificação da Informação tendo em vista as Instruções Normativas da CVM:

• INSTRUÇÃO CVM nº 31, de 8 de fevereiro de 1984: dispõe acerca da divulgação e do uso de informações sobre ato ou fato relevante relativo às companhias abertas.

• INSTRUÇÃO CVM nº 69, de 08 de setembro de 1987: disciplina a divulgação de informações na aquisição de ações com direito a voto de companhia aberta.

• INSTRUÇÃO CVM Nº 207, de 1º de fevereiro de 1994: dispõe sobre publicações adicionais às ordenadas pela LEI Nº 6.404, de 15 de dezembro de 1976.

Atenção às cláusulas e a rotulagem!

46


Caso 2

INCIDENTE COM SENHASegregação de Funções

Senha de funcionário e/ou colaborador

INCIDENTE COM SENHAINCIDENTE COM SENHASegregaSegregaçção de Funão de Funççõesões

Senha de funcionSenha de funcionáário e/ou colaboradorrio e/ou colaborador

47


Sua senha é a SUA IDENTIFICAÇÃO!

� Como está este CONTROLE?

� Como autenticação apenas ou como IDENTIDADE DIGITAL?

� Estão vinculados: log in , máquina e periodicidade (tempo)?

Do que adianta haver segregação de funções se todos compartilham a mesma SENHA???!!!

48


Primeira questão fundamental :

• Você já emprestou sua senha do e-mail ou de usuário da rede da empresa para alguém?

• Você já teve que usar a senha de outra pessoa emprestada?

49


Pense bem...

Nem por prova de amor?

50


Preparo do terrenoPreparo do terreno:

1.Temos uma Norma de Identidade Digital completa (que já esteja em conformidade para ter máxima prova de autoria?) Ou apenas uma norma de autenticação?

2. Os termos de responsabilidadeassinados pelas equipes são segmentados em alçadas e poderes ou é um igual pra todos?

3.Guardamos os logs de acesso à rede? Quais e por quanto tempo?

51


SUA SENHA É SUA IDENTIDADE DIGITAL

O login com a senha determinam AUTORIA!Se alguém utilizar sua senha para fazer algo de errado em ambiente eletrônico, como retirar conteúdos da rede ou enviar uma mensagem ofensiva, o principal suspeito é você!

Além disso, você pode incorrer no crime de “falsa identidade”, como prevê o código penal. (art. 307 e 308)

Além disso, você pode incorrer no crime de “falsa identidade” , como prevê o código penal. (art. 307 e 308)

52


Caso 3

INSIDER E ESPIONAGEM INDUSTRIAL

Vazamento de informação

Divulgação de Segredo – Concorrência Desleal

INSIDER E ESPIONAGEM INSIDER E ESPIONAGEM INDUSTRIALINDUSTRIAL

Vazamento de informaVazamento de informaççãoão

DivulgaDivulgaçção de Segredo ão de Segredo –– Concorrência DeslealConcorrência Desleal

53


Espionagem Industrial

InsiderInsider

IndivIndiv ííduo que obtduo que obt éém m informainforma çções confidenciais da ões confidenciais da empresa indevidamente, por empresa indevidamente, por conta de privilconta de privil éégiosgios (acesso interno à empresa, contato

com informações e pessoas, etc).

� Funcionário, colaborador, prestador de serviços.

54


Espionagem IndustrialCRIMES:• Concorrência desleal – art. 195, lei 9279/96;• Violação de direito autoral – art. 184, CP;• Violação segredo profissional – 154, CP;• Art. 90 – Lei 8666/93 - Frustrar ou fraudar,

mediante ajuste, combinação ou qualquer expediente, o caráter competitivo do procedimento licitatório, com o intuito de obter, para si ou para outrem, vantagem decorrente da adjudicação do objeto da licitação

55


Estudo de Caso - JurisprudênciaIncidente – Espionagem Industrial – E.U.A.

Executivo Executivo éé condenado por roubar dados da IBM para a HP condenado por roubar dados da IBM para a HP

Atul Malhotra, que foi viceice --presidente de servipresidente de servi çços de imagem e os de imagem e impressão da HPimpressão da HP foi condenado por roubo de segredos comerciais foi condenado por roubo de segredos comerciais da IBMda IBM . Seu julgamento ocorrerá em outubro, e ele pode pegar dez anos de prisão, multa de US$ 250 mil e três anos de liberdade assistida.

Entre 1997 e 2006, Malhotra, de 42 anos, trabalhou na IBM como diretorde desenvolvimento de negócios e vendas em Santa Barbara (EUA). Um mês antes de sair da companhia, ele pediu e recebeu um documento chamado CC Calibration Metrics , um arquivo de preços marcado como confidencial . E foi advertido por um coordenador da área de preços a não redistribuir a informação .

Em julho/2006, ele enviou o documento confidencial da IBM, por Em julho/2006, ele enviou o documento confidencial da IBM, por ee--mail, a colegas da HPmail, a colegas da HP ..

Fonte: IT Web – 15/07/2008

56


Secretária roubava segredos industriais da Coca-Cola

04/02/07 - Secretária é condenada por tentar vender segre do da Coca-Cola à Pepsi. Um júri americano considerou Joya William s, 41 anos, que trabalhou como secretária da Coca-Cola, culpada po r roubar segredos empresariais da companhia, os quais planejava vender àrival Pepsi por US$ 1,5 milhão. Ela vai pegar uma pena de dez anos de prisão , mas ainda não foi fixada uma data para a sentença começar a ser cumprida. A advogada de Williams, Janice Singer, a firmou que sua cliente está "decepcionada" com a decisão e que vai recorrer da sentença. O júri, formado por sete mulheres e cinco ho mens, deliberou durante três dias antes de tornar público seu veredicto. Williams foi despedida do cargo de secretária da diret oria da marca global da Coca-Cola, em Atlanta, nos Estados Unidos , depois que o esquema foi revelado.

57


EsquemaA ex-funcionária da multinacional declarou que, embora copiasse de forma rotineira documentos e os levasse para casa, não fazia parte do plano para roubar e vender informação confidencial de sua antiga empresa. Williams sustentou que foi vítima do plano de Ibrahim Dimson e Edmund Duhaney, outros dois acusados que se declararam culpados em outubro. Duhaney testemunhou que Williams iniciou o estratagema e permitiu o acesso a documentos confidenciais e amostras de produtos que planejavam vender à Pepsi.O esquema foi descoberto em maio de 2006, quando a PepsiCo divulgou uma carta afirmando que um alto executivo da rival lhe ofereceu informações confidenciais sobre a fórmula da bebida.Fonte: CNN

58


Caso 5

INCIDENTEUso indevido de email corporativo

INCIDENTEINCIDENTEUso indevido de email corporativoUso indevido de email corporativo

59


Redação de emails – objetividade e cautela

Tudo o que se escreve em um email corporativo está sendo assinado pela empresa também.

É preciso ter cuidado com a redação de emails para evitar uso de termos subjetivos, ofensivos, conteúdo íntimo ou que exponha a vida pessoal do usuário quando no uso como ferramenta de trabalho.

(ex: email de “De Acordo”)

60


Uso do e-mail para fins pessoais

Assuntos internos tratados com indiscrição

Riscos envolvendo e-mail corporativo

61


Concorrência desleal

Riscos envolvendo e-mail corporativo

Lei nº 9279/96 (Propri

edade Industria

l)

Art. 195. Comete crime de

concorrên

cia deslea

l quem:

III -emprega meio f

raudulento, para d

esviar, em

proveito

próprio

ou alheio, clientela

de outrem

;

IX - dá ou promete d

inheiro ou outra u

tilidade a

empregado d

e

concorrente, para q

ue o empreg

ado, falta

ndo ao dever

do emprego

,

lhe proporc

ione vantagem;

X - recebe din

heiro ou outra u

tilidade, ou acei

ta promessa de p

aga

ou recompensa, pa

ra, faltando ao

dever de

empregado,

proporcio

nar vantagem a co

ncorrente do

empregador

;

XI - divulga, explor

a ou utiliza-se,

sem autorização

, de

conhecim

entos, inform

ações ou

dados con

fidenciais

, utilizáveis

na indústria, com

ércio ou presta

ção de ser

viços, exc

luídos aque

les que

sejam de c

onhecimento

público ou q

ue sejam evid

entes para u

m técnico n

o

assunto, a

que teve ace

sso mediante re

lação contratu

al ou

empregatícia, mesmo apó

s o término do

contrato;

62


Uso indevido de eUso indevido de e --mail corporativo mail corporativo éé motivo para dispensa por justa causamotivo para dispensa por justa causa

O uso de mensagens de e-mail corporativo como prova de má conduta de empregado não fere o artigo 5º (incisos X, XII e LVI) da Constituição Federal , que garante ao cidadão o direito àprivacidade e sigilo de correspondências. O e-mail corporativo não pode ser comparado às correspondências postais e telefônicas, que possuem cunho pessoal. Ao contrário, trata-se de ferramenta disponibilizada pelo empregador - titular do poder diretivo e proprietário dos equipamentos e sistemas operados - ao empregado, para uso profissional.

Esse é o entendimento da Primeira Turma do TRT da 10ª região, que confirmou sentença da lavra do juiz Cristiano Siqueira de Abreu Lima.

Uma atendente telefônica recorreu à Justiça do Trabalho com o objetivo de impugnar a dispensa por justa causa que lhe foi imputada pela empresa na qual trabalhava. A alegação era de que a empresa teria usado cópias de e-mails para justificar a dispensa, procedimento que seria proibido pela Constituição Federal.Segundo o relator do processo, juiz Ricardo Alencar Machado, as mensagens juntadas aos autos evidenciam que a atendente de forma reiterada descumpria ordens gerais da empresa - inclusive quanto ao uso do e-mail corporativo para fins pessoais, que era proíbido - trabalhava com extrema desídia e desrespeitava os clientes da empresa. “Procedimentos que justificam a aplicação da pena de demissão motivada - a justa causa”, ressaltou.

Para o magistrado, o e-mail corporativo não é um benefício contratual ind ireto. Portanto não há como reconhecer a existência de direito à priv acidade na utilização de equipamentos concebidos para a execução de funções geradas por contrato de trabalho . Os juízes da Primeira Turma concluíram que a utilização das mensagens como prova élegítima e ratificaram a demissão por justa causa.

Fonte: AGEIA DENSI Brasil (http://www.densi.com.br/) em 29 de fevereiro de 2008

63


Mau uso de eMau uso de e --mail justifica demissão, diz TRTmail justifica demissão, diz TRT --SP SP

SÃO PAULO - O Tribunal Regional do Trabalho de São Paulo (TRT-SP) confirmou decisão anterior em que interpreta como j usto o direitconfirmou decisão anterior em que interpreta como j usto o direit o das o das empresas de vigiar eempresas de vigiar e --mails corporativos de seus funcionmails corporativos de seus funcion áários e rios e demitidemiti --los caso os trabalhadores falos caso os trabalhadores fa ççam mau uso de sua conta am mau uso de sua conta eletrônicaeletrônica . A decisão foi tomada por ocasião de um processo trabalhista movido por uma ex-empregada da Nestlé, que acusou a empresa de violar sua correspondência eletrônica e, com base em informações trocadas por e-mail, demiti-la. Os juízes da 9ª Turma do Tribunal Regional do Trabalho da 2ª Região (TRT-SP) negaram o pedido de indenização da trabalhadora. Para a Justiça, o e-mail corporativo é uma ferramenta de trabalho, que pertence àempresa e não ao funcionário, o que justificaria o direito da empresa monitorar estas contas. A exA ex --funcionfuncion áária foi acusada de repassar informaria foi acusada de repassar informa çções corporativas a ões corporativas a outros funcionoutros funcion áários que não deveriam ter acesso a tais dados e, po r rios que não deveriam ter acesso a tais dados e, po r isso, demitida por justa causa. isso, demitida por justa causa. A defesa da NestlA defesa da Nestl éé argumentou que a funcionargumentou que a funcion áária tinha conhecimento ria tinha conhecimento da polda pol íítica interna de uso dos etica interna de uso dos e --mails corporativos, que a proibia de mails corporativos, que a proibia de repassar informarepassar informa çções restritas a colegas não autorizadosões restritas a colegas não autorizados.

Fonte: Plantão Info – 11/07/06

64


TST REITERA LEGALIDADE DO MONITORAMENTO DE EMAIL C ORPORATIVO.TST REITERA LEGALIDADE DO MONITORAMENTO DE EMAIL C ORPORATIVO.

Uma decisão do Tribunal Superior do Trabalho (TST) re força a legalidade do monitoramento de contas corporativas de e-mail de fun cionários por parte das empresas. (...)Segundo o site do TSE, a determinação do Tribunal Supe rior do Trabalho foi uma resposta a um agravo de um trabalhador contra uma decisão do Tr ibunal Regional do Trabalho da 2ªregião, que já tinha mantido o parecer da 55ª Vara do Tr abalho de São Paulo a favor da demissão por justa causa.

O trabalhador foi demitido pela empresa MBM Recuperação de Ativos Financeiros S/C Ltda. A companhia acessou a caixa de mensagens eletrônicas do então funcionário para comprovar que havia motivo para de miti-lo por justa causa , jáque ele usava o equipamento para participar de salas de bate-papo, navegar no Orkut e trocar e-mails com fotos de mulheres nuas.

De acordo com o relator do agravo, ministro Ives Ga ndra Martins Filho, o e-mail corporativo não se enquadra nas hipóteses previstas nos incisos X e XII do artigo 5º da Constituição Federal , que tratam, respectivamente, da inviolabilidade d a intimidade e do sigilo da correspondência. Segundo o ministro, a conta corporativa de mensagens eletrônicas é uma ferramenta de trabalho.

Fonte: www.channelworld.com.br – 10/06/08

65


Uso indevido de e-mail

Correio eletrônico. Monitoramento. Legalidade. Não fere norma constitucional a quebra de sigilo de e-mail corporativo, sobretudo quando o empregador dá a seus empregados ciência prévia das normas de utiliz ação do sistema e da possibilidade de rastreamento e monitoramento de se u correio eletrônico.

(...) Comungo do entendimento a quo no sentido de afastar a alegada ofensa aos incisos X, XII, LVI do art. 5º constitucional, por não ferir norma constitucional a quebra de sigilo de e-mail fornecido pela empresa, sobretudo quando o empregador avisa a seus empregados acerca das normas de utilização do sistema e da possibilidade de rastreamento e monitoramento de seu correio eletrônico. Também o julgado recorrido consignou ter o empregador o legítimo direito de regular o uso dos bens da empresa, nos moldes do art. 2º da CLT, que prevê os poderes diretivo, regulamentar, fiscalizatório e disciplinar do empregado, inexistindo notícia acerca de excessiva conduta derivada do poder empresarial.

(TST, Ag. Instr. em RR nº 1130/2004-047-02-40, Rel. Min. Vieira de Mello Filho, jul. 31/10/2007).

66


Uso indevido de e-mail

“Endereço eletrônico fornecido pelo empregador se equipara a ferramenta de trabalho e não pode ter seu uso desvirtuado pelo empregado. Pertencendo a ferramenta ao empregador, a esse cabe o acesso irrestrito, já que o empregado detém apenas sua posse.”

(TRT 2, RO nº 01478.2004.067.02.00-6, Rel. Jane Gran zoto Torres da Silva, jul. 15/09/2006).

67


Acesso indevido à Internet

“...em face da prova oral, restou demonstrado o uso indevido dos equipamentos da empresa pelo reclamante em horário de trabalho, inclusive em prejuízo de sua atividade laboral, de modo que o procedimento se enquadraria nas hipóteses das alíneas “b” e “e” do art. 482 da CLT. (...) quando ele confirmou à depoente que tinha acessado à internet, e m relação aos sites pornográficos. (...) Assim, comprovada a falta grave imputada, o empregador estava autorizado a promover a despedida do empregado por justa causa. (...)”

(TRT 4, RO nº 01404-2004-281-04-00-1, Rel. José Felip e Ledur, jul. 25/01/2007).

68


Acesso indevido à Internet e Vazamento de Dados Sigi losos da Empresa

“A duas, os meios modernos de comunicação, fax, e-mails e outros, usados de forma errada podem ocasionar graves danos. E têm a qualidade de rápida propagação da comunicação. Diversas listas de internet já foram processadas, até mesmo pelo Ministério Público, tendo-se em consideração ofensas ou proselitismo criminoso. O direito à privacidade e ao sigilo não pode ser exercido contra a sociedade. Ou por uns indivíduos contra outros. Até porque a internet é pública e permite vazamento, provocado ou ocasional, de seu conteúdo. Não se pode afirmar taxativamente que exista segurança absoluta de sigilo nesse moderno e eficiente meio de comunicação. Ademais é cediço na doutrina e na jurisprudência que o empregador pode vigiar, impedir e punir as atitudes inconvenientes, como ofensas, sites pornográficos, ameaças, etc., provenientes do uso indevido dos computadores por seus empregados. E se confere esse direito de vigiar porque que existe o conflito de dois interesses. O individual e o coletivo. E entendo que nesses casos o coletivo tem de ser privilegiado.”

“O caso em espécie é de descoberta acidental pelo em pregador que a Autora cometera falta gravíssima, contrariando expresso dispositivo do co ntrato de trabalho, avençado por escrito, e repassava segredos comerciais da Reclamada para emp resa concorrente. (...) Como assistente de importação e exportação detinha conhecimentos de segredos estratégicos e táticos da empresa. E tinha compromisso expresso de sigilo. E de tanto não se preocupou ao ceder, sem permissão, os dados que dispunha em razão do cargo ocupado. (...) Com os fundamentos supra dou provimento ao apelo da Reclamada para considerar justa a demissão tendo em vista a gravidade da falta cometida.(...)”

(TST, Ag. Instr. em RR nº 2771/2003-262-02-40, Rel. Min. Maria de Assis Calsing, jul. 02/04/2008) – os dois trechos são da mesma jurisprudência.

69


Foi só um emailzinho, mas pode ser caso de demissão ou até mesmo de divórcio. Tudo depende de quem você é, o que você disse e on de foi parar!

• Pode ser caso de vazamento de informação confidencial, infração trabalhista (CLT – art. 482);

• Infração Contratual (cláusula de confidencialidade);

• Crime de quebra de sigilo profissional (art.154 Código Penal);

• Assédio moral/sexual;

• Difamação (art. 139 Código Penal);

• Traição;

70


Caso 6

INCIDENTE MONITORAMENTOInfração de privacidade no monitoramento de email e inspeção física de equipamentos com conteúdos pessoais de funcionário.

INCIDENTE MONITORAMENTOINCIDENTE MONITORAMENTOInfraInfraçção de privacidade no monitoramento de ão de privacidade no monitoramento de email e inspeemail e inspeçção fão fíísica de equipamentos com sica de equipamentos com conteconteúúdos pessoais de funciondos pessoais de funcionáário.rio.

71


Resposta a Incidente com MonitoramentoResposta a Incidente com Monitoramento

O que fazer para evitar o risco de infração de privacidade (nível técnico e jurídico)?

� Conformidade legal ao art. 5º. Constituição Federal e Lei de Interceptação.

SORRIA, VOCÊESTÁ SENDOFILMADO!

72


Situações que mais geram conflito com privacidade no ambiente corporativo :

• Monitoramento de Rede• Monitoramento de E-mail• Monitoramento de Internet• Monitoramento de Catraca • Monitoramento Câmeras Internas• Monitoramento de VOIP...

Privacidade e os Riscos LegaisPrivacidade e os Riscos Legais

73


Preparo do terreno:Preparo do terreno:

1.Fazemos o aviso legal de Monitoramento?

2.Onde ele está colocado e como?

3.É possível gerar trilha de auditoria?

4.É coletada ciência (física ou eletrônica)?

5.E o aviso sobre inspeção física de equipamento?

74


Vacinas LegaisVacinas LegaisEx. Aviso de sistema (log-in da rede)

Aviso LegalVocê está acessando a rede corporativa da empresa XXXX. Este ambiente é monitorado e érestrito a pessoas autorizadas, com uso de senha individual, intransferível e sigilosa.

75


Vacinas LegaisVacinas LegaisEx. rodapé de e-mail

Aviso LegalEsta mensagem pode conter informações confidenciais e/ou privilegiadas. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não deve usar, copiar ou divulgar as informações nela contida ou tomar qualquer ação baseada nessas informações. Este ambiente está sujeito a monitoramento.

76


Melhores Práticas

• Fazer o aviso prévio do monitoramento (no acesso a rede, no acesso a VPN, na extranet com fornecedores ou parceiros, no rodapé de email);

• Deixar claro que o recurso deve ser usado só para finalidade profissional (cuidado com posicionamento subjetivo – em cima do muro).

Privacidade e os Riscos LegaisPrivacidade e os Riscos Legais

77


COMO PREVENIR TAIS INCIDENTES?COMO PREVENIR TAIS INCIDENTES?

�A empresa possui uma Norma de Resposta a Incidentes que determina o fluxo de solicitação e resposta?

�Quais são as áreas envolvidas?- Help Desk - TI

- RH - SI- Jurídico - Comitê de SI

77

78


Processo Geral para Reportar Incidentes de Seguranç a da Informação

79


Processo Geral para Reportar Incidentes de Segurança da Informação

80


O trabalho relacionado a Prevenção, Contenção e Reação aos Incidentes, que envolve o uso de Computação Forense na investigação de casos (ex: fraude, estelionato, outros), necessita :

• Harmonizar com a questão de privacidade (art. 5º. CF/88);

• Harmonizar com a questão de interceptação (Lei 9296/96);

• Harmonizar com a coleta e guarda de provas eletrônicas (logs, IPs, emails, outros).

81


A maior parte dos impactos no negA maior parte dos impactos no negóócio cio relacionados a Riscos de TI ocorrem por:relacionados a Riscos de TI ocorrem por:

1. Falta de informação – saber os riscos envolvidos (muitas vezes TI e Jurídico não estão alinhados –metodologia tem que ser integrada);

2. Falta de gestão (não conseguir identificar rapidamente o incidente e fazer contenção do mesmo);

3. Falta decisão ou demora na decisão sobre o que fazer quando ocorre um incidente (ex: não saber se a empresa tem legitimidade para inspeção de um equipamento ou se vai estar infringindo lei, a demora pode gerar a perda das provas).

82


Tudo comeTudo comeTudo comeTudo comeTudo comeTudo comeTudo comeTudo começççççççça no preparo do terrenoa no preparo do terrenoa no preparo do terrenoa no preparo do terrenoa no preparo do terrenoa no preparo do terrenoa no preparo do terrenoa no preparo do terreno……………………

�Tem que arrumar a lei entre as partes (CONTRATOS, TERMOS, POLÍTICAS, DISCLAIMERS, RODAPÉS, AVISOS DE SISTEMA, SOLICITAÇÕES DE OK, GUARDA DE LOGS, etc.);

�Precisa de Metodologia ;� Check-Lists …Experiência ...

Afinal, para que servem as Provas?!

83


Caso 7

INCIDENTE DE NÃO GUARDA DE PROVAS

Não guarda adequada das provas (sejam Logs da rede, do site).

INCIDENTE DE NÃO GUARDA DE INCIDENTE DE NÃO GUARDA DE PROVASPROVAS

Não guarda adequada das provas (sejam Logs da Não guarda adequada das provas (sejam Logs da rede, do site).rede, do site).

84


Como estamos preservando as PROVAS ELETRÔNICAS?

E-MAIL;

IP;

Dados contidos em sistema (Ex: Infor ERP Visual, IBM AIX, etc);

Logs;

Torpedo;

Enfim, é tudo o que puder comprovar um fato .

Informações contidas em um HD, Pen Drive, CD, etc.

85


“SE SUA EMPRESA ENFRENTAR UM PROCESSO JUDICIAL, VOC Ê SUPORTARÁ A CARGA DE RECUPERAR MENSAGENS E DOCUMENTOS DELICADOS RAPIDAMENTE.VEJA COMO DAR CONTA DO RECADOQuanto vale um plano de recuperação de dados para u ma empresa que está sendo processada? Para o Morgan Stanley, 15 milhões de dólares. Em 2006, o banco de investimento em Wall Street concordou em pagar esta multa para encerrar uma investigação, por parte de reguladores norte-americanos, sobre sua incapacidade de reter mensagens de correio eletrônico.

O e-mail foi a peça central da sentença de indeniza ção de 1,58 bilhão de dólares (alterada posteriormente) a favor de Ronald Perelman neste caso. Perelman é um investidor bilionário que alegou ter sido enganado pelo Morgan Stanley na transação de uma empresa.

A juíza, frustrada com a incapacidade do Morgan Sta nley de fornecer os e-mails solicitados pelos advogados de Perelman (o banco disse que as fitas de backup tinham sido sobregravadas), tomou a decisão incomum de transferir o ônus da prova para o Morgan Stanley , que foi instado a provar sua inocência .”

Fonte: http://cio.uol.com.br/gestao/2007/12/17/idgnoticia.2007-12-17.9714096916/IDGNoticiaPrint_viewPublicado em: 17/12/2007

É Notícia... Caso Morgan Stanley

86


“As empresas que atuam em indústrias que possuem órgãos reguladores – serviços financeiros, serviços de saúde, produtos farmacêuticos e telecomunicações, por exemplo – estão mais propensas a sofrer processos. Mas todas as companhias – e suas subsidiárias – estão sujeitas a uma interpelação judicial de e-discovery (descoberta eletrônica). Mais de 60% das organizações foram instadas por um tribunal ou uma agência reguladora a entregar e-mail corporativo, segundo a Osterman Research. ”

Fonte: http://cio.uol.com.br/gestao/2007/12/17/idgnoticia.2007-12-17.9714096916/IDGNoticiaPrint_view

Publicado em: 17/12/2007

Computerworld, EUA ...É Notícia...

87


Estudo de Caso - JurisprudênciaSegurança da Informação – Guarda de provas

• Caso 3: Consumidor que pede cancelamento de compra pelo site. Dever da empresa guardar a prova da comunicação de cancelamento à administradora de cartão de crédito.

“EMENTA: PASSAGEM AÉREA. COMPRA. CANCELAMENTO. CARTÃO DE CRÉDITO. (...) Operada a compra e o cancelamento da aquisição das passagens aéreas pelo próprio site da companhia, caberá à empresa provar que encaminhou à administração de cartão de crédito o cancelamento da cobrança junto ao cliente. (...) Neste caso, para que figurasse a responsabilidade da administradora, era preciso que a empresa aérea comprovasse que comunicou ou solicitou à empresa de cartão o cancelamento da cobrança das passagens junto ao cliente comum. Mas isto não aconteceu . (...)” (Turma Recursal do Tribunal de Justiça do Distrito Federal, Relator Luis Gustavo Barbosa de Oliveira,Recurso Cível nº 20070610035340, Julgado em 29/04/2008)

• Desfecho : Como não comprovou , a empresa foi obrigada a restituirvalor, corrigido e com juros.

88


Incidente: Não guarda das provas eletrônicasIncidente: Não guarda das provas eletrônicas

� Estamos guardando os emails? Por quanto tempo?

�Estamos guardando os logs? Por quanto tempo?

�E textos do chat ou ambiente de web 2.0 (colaborativo)?

� Quais são as provas eletrônicas que precisam ser arquivadas? Como devem ser guardadas? Por quanto tempo (critério prazo legal ou prazo TI)?

89


Guarda e ProteGuarda e Prote çção de Logs ão de Logs –Segundo a Norma ISO/IEC 27002 um log deve conter as seguintes informações: Identificação dos usuários;

Datas horários e detalhes de eventos chave;

Identidade do terminal;

Registro das tentativas de acesso ao sistema aceita e rejeitadas;

Registro das tentativas de acesso a outros recursos e dados aceitos ou rejeitados;

Alterações na configuração do sistema;

Uso de privilégios;

Uso de aplicações e utilitários do sistema;

Arquivos acessados e tipo de acesso;

Endereços e protocolos de rede;

Alarmes provocados pelo sistema de controle de aces so; e

Ativação e desativação dos sistemas de proteção.

Além disso os logs de administradores devem conter:

A hora em que o evento aconteceu (sucesso ou falha) ;

Informações evento;

Que conta e que administrador ou operador estava en volvido; e

Que processos estavam envolvidos.

Se os logs não contiverem as informaSe os logs não contiverem as informa çções necessões necess áárias, não poderão ser rias, não poderão ser usados como prova legal.usados como prova legal.

90


Dan Farmer e Wietse Venema introduziram um conceito denominado de ordem de volatilidade (OOV).

Tal conceito determina que o tempo de vida de uma evidência digital varia de acordo como o local onde ela está armazenada . As principais fontes de informação de um sistema computacional são apresentadas, na ordem descendente de volatilidade.

POR ISSO TEMOS QUE AGIR RPOR ISSO TEMOS QUE AGIR RPOR ISSO TEMOS QUE AGIR RPOR ISSO TEMOS QUE AGIR RÁÁÁÁPIDO!PIDO!PIDO!PIDO!

Quanto maior a volatilidade de uma informação, mais difícil se torna sua extração e menos tempo há para capturá-la. Tem que integrar técnico-jurídico.

Ordem de Volatilidade (OOV)Ordem de Volatilidade (OOV)

91


Temos que aprender a coletar e preservar a prova eletrônica

Quem?O que?Quando?Como?Onde?Porque?

92


Coleta e guarda de provasColeta e guarda de provas

Como coletar e Como coletar e preservar as provas eletrônicas?preservar as provas eletrônicas?

93


A prova eletrônica :

•• Art. 332, CPC:Art. 332, CPC: “Todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, são hábeis para provar a verdade dos fatos, em que se funda a ação ou defesa.”

•• Art. 155, CPP:Art. 155, CPP: “No juízo penal, somente quanto ao estado das pessoas, serão observadas as restrições à prova estabelecidas na lei civil.”

•• Art. 5Art. 5 ºº, LVI CF:, LVI CF: “são inadmissíveis, no processo, as provas obtidas por meios ilícitos.” (admissibilidade excepcional).

94


Guarda de ProvasGuarda de ProvasPara os indPara os indíícios de autoria:cios de autoria:

• O arquivo original é o digital , o impresso écópia ! (art. 365, VI e §1º do CPC)

• O e-mail só é original quando é capaz de ser periciado !

• A preservação do e-mail original eletrônicoe de seu cabeçalho são fundamentais.

95


Guarda Guarda -- InformaInforma çções Necessões Necess ááriasrias

Provedores Provedores de acessode acesso ::•• Registro de logs;Registro de logs;•• Registro cadastrais dos usuRegistro cadastrais dos usuáários de IPs (fixos rios de IPs (fixos

e dinâmicos).e dinâmicos).

Provedores de Provedores de ee--mailmail ::•• Registros de conexão; Registros de conexão; •• Registros cadastrais dos usuRegistros cadastrais dos usuáários de rios de

endereendereçço de eo de e--mail.mail.

Para todos:Para todos:•• Observar horObservar horáários (GMT); rios (GMT);

-- HorHoráário oficial de Brasrio oficial de Brasíília (GMT lia (GMT --3:00); 3:00); -- EUA (GMT EUA (GMT --5:00 a 5:00 a --8:00) 8:00) –– Comum: Pacific Comum: Pacific Time (GMT Time (GMT --7:00).7:00).

96


“Instrumento público no qual o tabelião ou preposto autorizado, a pedido de pessoa capaz ou representante legal, materializa fielmente em forma narrativa o estado dos fatos e das coisas, detudo aquilo que verifica com seus próprios sentidos sem emissão de opinião, juízo de valor ou conclusão, portando por féque tudo aquilo presenciado e relatado representa a verdade, consignando em seu livro de notas.” (Lei Federal 8.935/94)

EXEMPLO DE APLICAÇÃO:- E-mails ;- Para relatar sites invadidos ;- Páginas para fraudes ;- Outros crimes que merecem ser relatados .

Ata Notarial

97


www.on.br

Uso do Carimbo do Tempo

O Carimbo do tempo ASA (Autêntico, Seguro e Auditável ) garante que um determinado documento existe na data que cons ta no Carimbo. Se um e-mail ao ser enviado foi carimbado, po demos garantir que este e-mail foi enviado nem antes nem d epois e sim na data do carimbo. O texto que constitui o e-mail até po deria existir antes do envio do mesmo, mas quando este texto pass ou a fazer parte do e-mail que foi enviado ele passou a ser pass ível de comprovação temporal.

Sites

Transacionais

98


Caso 8

INCIDENTE DESLIGAMENTOretirada de informações da empresa no momento de desligamento de funcionário –falha de processo e de controle.

INCIDENTE DESLIGAMENTOINCIDENTE DESLIGAMENTOretirada de informaretirada de informaçções da empresa no ões da empresa no momento de desligamento de funcionmomento de desligamento de funcionáário rio ––falha de processo e de controle.falha de processo e de controle.

99


• Se um executivo for desligado da empresa, qual o procedimento atual?

• Pode ou não solicitar para retirar conteúdo particular do equipamento?

• E se foi ele que pediu demissão? Ainda ficará 30 dias cumprindo aviso prévio e mexendo em tudo na rede?

• E se ele só usava notebook, viajava muito e tinha mais de 10 anos de casa?

A padronizaA padronizaA padronizaA padronizaçççção da regra protege o gestor, para evitar ão da regra protege o gestor, para evitar ão da regra protege o gestor, para evitar ão da regra protege o gestor, para evitar entendimento jurentendimento jurentendimento jurentendimento juríííídico de perseguidico de perseguidico de perseguidico de perseguiçççção, quebra de ão, quebra de ão, quebra de ão, quebra de privacidade, outros.privacidade, outros.privacidade, outros.privacidade, outros.

Incidente desligamento de funcionIncidente desligamento de funcion ááriorio

100


ESTATESTATÍÍSTICAS STICAS –– IncidentesIncidentes

• 90% dos crimes terão aspectos digitais (estimativa) ;• 70% das quebras corporativas são geradas internamen te.

PERFIL DO FRAUDADOR – 2005:

� 68% estavam na MÉDIA e ALTA GERÊNCIAS;

� 80% possuíam curso SUPERIOR;

� Predominantemente homens;

� Até 2 anos ou mais de 10 anos de casa.

Fonte: PricewaterhouseCoopers – Pesquisa sobre Crime s Econômicos

101


� 65% possuem até o 2º GRAU;� 47% pertencem ao corpo de EMPREGADOS;� 67% trabalham INTERNAMENTE na empresa.

PERFIL DO FRAUDADOR – 2007:

Fonte: PricewaterhouseCoopers – Pesquisa sobre crime s econômicos.

102


SE MUDARAM A ARMA DO CRIME, SE MUDARAM A ARMA DO CRIME, SE MUDARAM A ARMA DO CRIME, SE MUDARAM A ARMA DO CRIME, O RISCO O RISCO O RISCO O RISCO O RISCO O RISCO O RISCO O RISCO ÉÉÉÉÉÉÉÉ ELETRÔNICOELETRÔNICOELETRÔNICOELETRÔNICOELETRÔNICOELETRÔNICOELETRÔNICOELETRÔNICO!

COMPLIANCE EM TI COMPLIANCE EM TI ÉÉ ESSENCIAL ESSENCIAL PARA PROTEPARA PROTEÇÇÃO DO NEGÃO DO NEGÓÓCIOCIO!

103


Justificativas mais comuns:Justificativas mais comuns:

“Eu não sabia que...”

“Se eu soubesse que daria este tipo de problema não teria

feito...”

“...mas todo mundo faz...”

104


“Art. 21, Código Penal:O desconhecimento da lei éinescusável.”

105


CONDUTAS IMPRCONDUTAS IMPRÓÓPRIAS NO PRIAS NO AMBIENTE DE TRABALHOAMBIENTE DE TRABALHO

Deixar a máquina ligada e logada e se ausentar da estação de trabalho.

Fazer bloqueio de tela ou desligar.

Fornecer a senha da rede, do email, de sistemas, etc., para terceiros.

Nunca passar sua senha! Sua senha é sua identidade digital !

Deixar documentos confidenciais soltos sobre a mesa, impressora, etc.

Documentos confidenciais deverão ser armazenados devidamente e descartados de forma segura.

Utilizar email corporativo @empresa.com.br para fins pessoais; salvar arquivos pessoais na máquina da empresa .

Email corporativo é para uso exclusivamente profissional !

Separar pessoal x profissional !

Portar dados da empresa sem autorização ou sem procedimentos de segurança.

Os dados da empresa constituem patrimônio ativo da organização! Portá-los somente se autorizado , e através de uso de criptografia, biometria ou outros mecanismos de segurança.

MELHORES PRMELHORES PRÁÁTICASTICAS

106


SGSI – Níveis de Maturidade

107


Caso 09

INDISPONIBILIDADE DE SISTEMA CRÍTICOFalta de plano de contingência que minimize o impacto do incidente de indisponibilidade.

INDISPONIBILIDADE DE SISTEMA CRÍTICOFalta de plano de contingência que minimize o impacto do incidente de indisponibilidade.

108


Quebra de SLA :: Luiz Queiroz - Convergência Digital :: 08/08/2008

Técnicos da Telefônica, nesta sexta-feira,08/08, estiveram reunidos por quase duas horas com os membros do Comitê Gestor da Internet do Brasil (CGI.br). Foram explicar o porquê de o Estado de São Paulo ter ficado sem Internet, entre os dias 2 e 3 de julho. Foram mais de 36 horas de "apagão". A pane aconteceu a partir de uma falha em um dos roteadores da rede IP/MPLS banda larga da concessionária. Ela acabou se alastrando, apesar de a rede possuir dispositivos de segurança que, na prática, falharam. Ao término do encontro, os membros do CGI.br saíram atordoados. Não há nenhuma garantia de que tal problema não possa novamente acontecer com a própria Telefônica ou com as demais concessionárias de telefonia, também prestadoras dos serviços de Internet banda larga. Pela forma como o problema foi relatado, os técnicos do CGI.br temem que o país possa vir a sofrer um outro "apagão" ocasionado por falhas técnicas semelhantes.

109


PLANO DE CONTINGÊNCIA19.1. A CONTRATADA, para cumprimento deste contrato, obriga-se a criar mecanismos de contingência, observando os mesmos parâmetros utilizados pela CONTRATANTE, cabendo-lhe apresentar por escrito esse Plano de Contingência, devendo testá-lo e mantê-lo atualizado semestralmente. O Plano de Contingência deverá conter a título meramente exemplificativo:

– Plano de ação para impossibilidade de acesso ao local onde os serviços objeto deste contrato estiverem sendo prestados;

– Plano de ação para impossibilidade de locomoção (exemplo: greves de transportes, inundações);

– Plano de ação para greve geral de trabalhadores ou da categoria funcional dos profissionais alocados na prestação dos serviços, inclusive da CONTRATADA, quando isto possa afetar o bom andamento dos trabalhos;

– Os procedimentos e as prioridades para ativação do plano e a especificação das atividades a serem realizadas;

– Os nomes, endereços e telefones das pessoas responsáveis pela CONTRATADA autorizadas a efetuar a ativação do Plano de Contingência;

– Os procedimentos sobre backups diário, semanal e mensal dos sistemas, indicando inclusive o sistema utilizado, quando aplicável;

– Os critérios e sistemas utilizados para segurança das informações dos sistemas e dados que estiverem a seu cargo;

– Forma e periodicidade dos testes de contingência e comprovantes de sua realização, inclusive de recuperação de dados e segurança de informações.

19.2. Fica assegurado à CONTRATANTE o direito de, a qualquer momento, testar o plano decontingência da CONTRATADA, sem qualquer aviso prévio.

110


• A CONTRATANTE poderá manter registros sobre todas as atividades relacionadas à execução do presente CONTRATO que sejam efetuadas através de acessos físicos ou lógicos às informações confidenciais, equipamentos, softwares, instalações, programas-fonte e quaisquer outros ativos de informação da CONTRATANTE, com o objetivo de:

• a) apurar a observação da Norma de Segurança da Informação e do Código de Conduta aplicável ao terceirizado na execução dos serviços solicitados pela CONTRATANTE;

• b) determinar ocorrência de algum comprometimento dos ativos de informação da CONTRATANTE, por exemplo, perda ou modificação de dados não autorizada.

• c) identificar a divulgação e reprodução não autorizada de informações confidenciais

• d) auditar, por si ou por terceiro contratado, as responsabilidades contratuais e extracontratuais.

CLCLÁÁUSULA CONTRATUAL USULA CONTRATUAL –– DA SEGURANDA SEGURAN ÇÇA DA INFORMAA DA INFORMA ÇÇÃOÃO

111


• A CONTRATADA obriga-se a utilizar programas de proteção e segurança de informações que busquem evitar qualquer acesso não autorizado aos seus sistemas, seja em relação aos que eventualmente estejam sob sua responsabilidade direta, seja através de link com os demais sistemas da CONTRATANTE, ou ainda por utilização de e-mail.

• Constituem, ainda, obrigações da CONTRATADA sempre que utilizar sistemas que façam interface com os sistemas da CONTRATANTE:

• a) Seguir os parâmetros mínimos de Segurança de Informações, estabelecidos pela CONTRATANTE, conforme Norma de Segurança da Informação e Código de Conduta do Terceirizado em Anexo (...) ;

• b) Quando solicitado por escrito pela CONTRATANTE, realizar, prioritária e concomitantemente, as alterações para sanar possíveis problemas de segurança ou de vulnerabilidade nos sistemas que tenham sido comunicados pela CONTRATANTE.

• c) Assegurar que os dispositivos fornecidos pela CONTRATADA paraarmazenamento de informações (exemplo: mídias magnéticas, eletrônicas, óticas) ou, ainda, os ambientes tecnológicos, canais de comunicação entre as Partes (exemplo: sites, links, hiperlinks, Banners), estejam livres de programas de computadores ou outros recursos tecnológicos que possam causar perda de integridade, confidencialidade ou disponibilidade de dados ou informações da CONTRATANTE ou de terceiros com os quais a CONTRATANTE mantenha relacionamento comercial (exemplo: vírus, cavalos de tróia).

CLÁUSULA CONTRATUAL – DA SEGURANÇA DA INFORMAÇÃO

112


Conclusão

Precisamos ser mais preventivos, planejadores, estrategistas, e alinhar a questão técnica com a jurídica.

Precisamos ser mais preventivos, Precisamos ser mais preventivos, planejadores, estrategistas, e planejadores, estrategistas, e alinhar a questão talinhar a questão téécnica com a cnica com a jurjuríídica.dica.

113


Princípio da Transparência

Informação X

Omissão

Inserir meta dados !

Melhor EstratégiaSolução

114


O que precisamos fazer

• Política de Segurançada Informação

• Normas de Segurança da Informação

• Palestras

• Guias

�Gestão do Risco em 3 níveis:�1º. Nível – Tecnologias

�2º. Nível – Processos

�3º. Nível – Pessoas

�Com medidas:�Corretivas – em caráter emergencial

�Preventivas – em caráter Estrutural

�Orientativas – em caráter Educacional

115


Qual a responsabilidade do gestor?

Novo Código Civil - 2002

Art.1011. O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligencia que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.

Art.1016 Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções.

Art. 927 – Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único: Haverá obrigação de reparar o dano, independente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida, pelo autor do dano implicar, por sua natureza, risco par os direitos de outrem.

116


Gestão Tradicional da Segurança da Informação

• Subordinada à Tecnologia (TI);• Forte vínculo com atividades operacionais

de TI;• Falta de interação com outras áreas

(especialmente Jurídico e RH);• Quando envolvida, sua participação

normalmente ocorre tardiamente;• Atuação reativa (e não preventiva e

estratégica).

117


Gestão Estratégica da Segurança da Informação

• Visão holística de riscos e mais independência (não tão amarrado a TI);

• Alinhada com blindagem jurídica (conformidade legal);• Ações de conscientização de segurança;• Realização de Monitoramento para dentro e para fora (o que

está na Web)?;• Relacionamento mais estratégico com demais áreas do negócio;• Desenho de processos bem definidos, com análise de cenários

de riscos e ameaças para proteção dos objetivos do negócio, controles automatizados e implementação de Plano de Continuidade;

• Percepção de segurança da informação como assunto organizacional e não limitado a tecnologia.

118


�Primeiro é feito um Relatório de Diagnóstico da Presença da Marca na Internet e depois é feita uma manutenção (atualiza ção do relatório), que já vem com recomendações de medidas;

� Neste relatório se analisa a comunicação provocada pel a marca (ativa e passiva), ou a feita em seu nome sem seu c onhecimento (consumidores, parceiros, terceiros);

�São verificados alguns indicadores como:

�Domínos: identificação e similaridades;

�Web: buscadores, sites, foruns, blogs, fotologs, comu nidades (orkut, myspace);

�Imagem: figura, logos, marca – Youtube, Fotologs;

�Redes Sociais: Wikipedia, Second Life, outros;

�P2P, Notícias, Concorrência;

�Outros sob medida (dependendo da Empresa e área solicit ante).

Radar – é preciso monitorar a web (a Marca tem que saber)

119


Concluindo, a Companhia precisa:- Tratar como prioridade a questão da confidencialidade e da

segurança da informação;- Ter processos rígidos de controle de acesso e uso das

informações que possam ser entendidas como fato relevante;

- Fazer monitoramento para dentro (insider) e para fora (web);- Conscientizar sobre conseqüências legais de uso de

informação privilegiada;- Ter uma política específica para Fornecedores e

Terceirizados;- Garantir trilha de auditoria;- Ter maior controle sobre portabilidade de dados;- Atualizar os contratos.

120


““ Se você não pode proteger o que tem, Se você não pode proteger o que tem,

você não tem nada.você não tem nada. ””

(Anônimo)

121


• Constituição Federal artigo 5, incisos IV, V, X, XII, XIV;• Código Penal arts.153, 154, 163, 307 e 345;• Código Civil arts.186, 187, 205, 206, 212, 225, 927 parágrafo único, 932

III, 1016;• Código de Processo Civil arts. 332 e 333;• Código de Processo Penal arts. 156, 157 e 239;• Lei de Interceptação (Lei nº 9296/96) arts 1, 3, 9 e10;• CLT arts.482 b, g, h;• Lei das Sociedades Anônimas (Lei 6.404) arts. 153, 154, 155, 157, 158 e

159;• Instrução Normativa CVM nº 380 artigos 7 e 8;• Sarbanes – Oxley seções 301, 302, 404, 409, 806 e 906;• Basiléia II – Risco Operacional;• ISO/IEC 27002 – itens 2.3, 5.2.1, 5.2.2, 6.3.1, 6.3.2, 6.3.3, 8.1.3 e 8.4.3,

9.6, 9.7.2 e 12.1.5;• ISO/IEC 18044 – itens 4.1, 4.2.1, 4.2.2, 4.2.3, 4.2.4, 5.1.1, 5.1.7, 5.2,

5.2.3., 5.2.4, 7.1 e 7.2;• ISO/IEC 27001 – itens 4.2.2 c, 4.2.3, 4.3.1, 5.1, 5.2.1 c, 8.1,8.2 e 8.3;• Súmula Supremo Tribunal Federal 341.

Resumo das Principais Normas Aplicáveis

122


Referências

122

Nosso site:

WWW.PPPADVOGADOS.COM.BR

PINHEIRO, Patricia Peck. Direito Digital. São Paulo: Saraiva, 2007.

Livro:

123


Links Recomendados

Patricia Peck Pinheiro Advogados – www.pppadvogados.com.brABDI – Associação Brasileira de Direito de Informática e Telecomunicações: http://www.abdi.org.brBuscaLegis: http://buscalegis.ccj.ufsc.brCâmara Brasileira de Comércio Eletrônico: http://www.camara-e.netCartilha de Segurança para a Internet: http://www.nbso.nic.br/docs/cartilha/CBEJI – Centro Brasileiro de Estudos Jurídicos da Internet: http://www.cbeji.com.brCiberlex: http://www.ciberlex.adv.brConsultor Jurídico: http://www.conjur.com.brCybercrime (US): http://www.cybercrime.govDepartamento de Polícia Federal: http://www.dpf.gov.brFBI – Federal Bureau of Investigation: http://www.fbi.govHTCIA – International High Technology Crime Investigation Association: http://www.htcia.orgIBCC – Instituto Brasileiro de Ciências Criminais: http://www.ibccrim.org.brIBDE – Instituto Brasileiro de Direito Eletrônico: http://www.ibde.org.brIDG Now: www.idgnow.com.brInfoGuerra: http://www.infoguerra.com.brINFOJUS – Informativo Jurídico: http://www.infojus.com.brIPDI – Instituto de Peritos em Tecnologias Digitais e Telecomunicações: http://www.ipdi.com.brJus Navigandi: http://jus.com.brModulo Security: http://www.modulo.com.brMovimento Internet Segura: http://www.internetsegura.org/NIC – Network Information Center: http://www.nic.br/nbso.htmlNIST – National Institute of Standards and Technology: http://csrc.nist.gov/index.htmlO Neófito: http://www.neofito.com.brRisk Control http://www.riskcontrol.com.br

124


Aviso legal

O presente material foi gerado com base em informaç ões próprias e/ou coletadas a partir dos diversos veículos de comunicação existentes, inclusive a Int ernet, contendo ilustrações adquiridas de banco de imagens de origem privada ou pública, não possuindo a intenção de violar qualquer direito pertencente àterceiros e sendo voltado para fins acadêmicos ou m eramente ilustrativos. Portanto, os textos, fotografias, imagens, logomarcas e sons presentes n esta apresentação se encontram protegidos por direitos autorais ou outros direitos de propriedade intelectual.

Ao usar este material, o usuário deverá respeitar to dos os direitos de propriedade intelectual e indust rial, os decorrentes da proteção de marcas registradas da mesma, bem como todos os direitos referentes a terceiros que por ventura estejam, ou estiveram, de alguma forma disponíveis nos slides. O simples acesso a este conteúdo não confere ao usuário qualq uer direito de uso dos nomes, títulos, palavras, frases, marcas, dentre outras, que nele estejam, ou estiveram, disponíveis.

É vedada sua utilização para finalidades comerciais, publicitárias ou qualquer outra que contrarie a realidade para o qual foi concebido. Sendo que é pro ibida sua reprodução, distribuição, transmissão, exibição, publicação ou divulgação, total ou parcia l, dos textos, figuras, gráficos e demais conteúdos descritos anteriormente, que compõem o presente mat erial, sem prévia e expressa autorização de seu titular, sendo permitida somente a impressão de cóp ias para uso acadêmico e arquivo pessoal, sem que sejam separadas as partes, permitindo dar o fiel e real entendimento de seu conteúdo e objetivo. Em hipótese alguma o usuário adquirirá quaisquer direit os sobre os mesmos.

O usuário assume toda e qualquer responsabilidade, de caráter civil e/ou criminal, pela utilização indevida das informações, textos, gráficos, marcas, enfim, todo e qualquer direito de propriedade intelectual ou industrial deste material.

125


Dra. Patricia Peck Pinheiro

[email protected]

www.pppadvogados.com.br

Tel./FAX: 55 11 3068-0777

© PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados.

Obrigada!Advogada especialista em Direito Digital;

Formada em Direito pela Universidade de São Paulo;

Especialização na Harvard Business School;

MBA em Marketing pela Madia Marketing School;

Autora do Livro Direito Digital pela Editora Saraiva;

Co-autora dos livros Direito e Internet II, e-Dicas e Internet Legal;

Professora da pós-graduação do Senac SP, Impacta, Fatec, IBTA.

Documents

2008 PPP Advogados. Todos os ...§… · 2008 PPP Advogados. Todos os direitos reservados . 2 PPP Advogados • Somos um escritório especializado em Direito Digital, Segurança da