• Like
  • Save
Aspectos jurídicos da Política de Segurança da Informação
Upcoming SlideShare
Loading in...5
×
 

Aspectos jurídicos da Política de Segurança da Informação

on

  • 1,005 views

 

Statistics

Views

Total Views
1,005
Views on SlideShare
987
Embed Views
18

Actions

Likes
1
Downloads
24
Comments
0

2 Embeds 18

http://www.fatec.edu.br 10
http://www.linkedin.com 8

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Aspectos jurídicos da Política de Segurança da Informação Aspectos jurídicos da Política de Segurança da Informação Presentation Transcript

    • Efetividade e Aspectos Jurídicos da Política de Segurança da Informação Alexandre Atheniense
    • Alexandre Atheniense
      • Advogado especialista em Direito Digital
      • Sócio de Aristoteles Atheniense Advogados
      • Coordenador da Pós Graduação em Direito
      • de Tecnologia da Informação na ESA OAB-SP
    • www.alexandreatheniense.com www.atheniense.com.br @atheniense @aaadvogados www.linkedin.com/atheniense www.facebook.com/ atheniense www.facebook.com/ aaadvogados
    •  
    •  
    •  
    • Por que este assunto tem se tornado cada vez mais relevante ?
    •  
    • Aumento da oferta de serviços online
    • Expansão dos ativos das empresas em bits
    • Por que as empresas estão se tornando cada vez mais vulneráveis ?
    • Aumento do tamanho das mídias digitais
    • … mas velocidade de acesso aos discos não cresce na mesma proporção ... Os Hd’s dobram de tamanho entre 18 a 24 meses “ Lei de Kryder”
    • Pesquisa comparativa Estrutura TI nos Bancos Anos 2008/2009 Fonte: Febraban Discos Rígidos - Aumento 48% Mainframes aumento 5%
    • Aumento das Fontes de dados
    • Aumentos das sessões de Rede
    • Acessos Remotos
    • Aumento do Registro de Logs
    • Aumento dos dispositivos móveis de comunicação
    • Aumento dos dispositivos móveis de comunicação
    • Novos sistemas operacionais e padrões de conectividade
    • Empresa Digital Empresa Papel
    •  
    •  
    • A sua empresa está preparada para lidar com incidentes relacionados à TI?
    •  
    •  
    •  
    • Estudo feito com 25 empresas americanas com faturamento bilionário:
    •  
    •  
    • TI Jurídico RH
      • Mais de 40% das empresas brasileiras desejam contratar um CSO (Chief Secutiry Officer)
      Fonte: Estudo Global Information Security, conduzido pela consultoria PricewaterhouseCoopers, em parceria com as revistas CIO e CSO.
      • Análise de conformidade legal de contratos, termos, políticas, etc.;
      • Atuação preventiva;
      • Consultoria e assessoramento;
      • Revisão constante das normas e processos;
      • Educação e treinamento;
      • Conscientização e mudança de cultura;
      • Trabalho constante e contínuo;
      • Informação quanto à mudança de cargos – demissões – admissões;
    •  
      • Constante análise de conformidade das regras e de seu cumprimento pelos envolvidos
      • Durante:
      • Tratamento e resposta ao incidente de maneira segura e juridicamente válida
      • Preservação e coleta de provas e evidências
      • Minimização dos danos e Plano de Contingência
      • Depois:
      • Análise do incidente
      • Revisão dos processos e questões envolvidas
      • Aplicação das correções necessárias
    •  
      • Armazenamento (quando, onde, como, quais, por quanto tempo, etc.)
      • Segurança (backup, padrões de segurança, etc.)
      • Questões envolvendo portabilidade e mobilidade
      • Documentos pessoais x documentos corporativos
      • Descarte, troca e manutenção de equipamentos
      • Provas eletrônicas
      • Demissão de funcionários
      • Perda ou vazamento de dados e informações confidenciais
      • Impossibilidade de resgate de provas ou provas eletrônicas sem validade legal
      • Armazenamento de conteúdo ilícito pelos usuários (imagens, áudio, etc.)
      • Classificação das informações segundo sua importância (confidencial, pública, restrita, etc.)
      • Política de Gestão de Documentos em sintonia com aspecto jurídico
      • Regras sobre uso de documentos pessoais e dispositivos móveis
      • E-Discovery – resgate de documentos eletrônicos
      • Regras sobre eliminação de dados em dispositivos descartados
      • Regras sobre acesso a documentos por usuário demitido
      • Sistema de DLP (Data Loss Prevention)
      • Backup protegido
      • Compartilhamento de senhas – estagiário, secretário, colega, etc.
      • Computador logado – usuário ausente
      • Senha mestre em poder de terceirizados
      • Senhas anotadas em papéis ou documentos de fácil acesso
      • Senhas de fábrica (padrão)
      • Identidade Digital – Prova de Autoria
      • Acessos não autorizados, vazamento de informações e espionagem industrial
      • Responsabilização do Gestor do Sistema ou do usuário errado
      • Cobrança de horas-extras indevidas
      • PSI com regras claras sobre responsabilidad pelo uso da senha
      • Adoção de senha como forma de Identidade Digital e não como mera autenticação
      • Conscientização do usuário
      • Disclaimers e Avisos Legais
      • Regras de acesso específico para cada usuário
      • Normas sobre troca periódica de senhas
      • Logout por inatividade de acesso
      • Suspensão de acesso em férias e feriados
      • Uso de certificação digital
      • Quais os limites legais?
      • Privacidade
      • Interceptação de dados
      • Quem e como monitorar?
    •  
    •  
      • Monitoramento dentro dos limites da legalidade
      • Regras claras e explícitas sobre o monitoramento
      • Avisos Legais e Disclaimers
      • Ciência formal (eletrônica e física) do empregado
      • Contrato de Trabalho alinhado às regras de Segurança da Informação
      • Códigos de Ética e Termos de Conduta com previsão de sanções
      • Reputação da Empresa no Meio Eletrônico
      • Regularidade de Softwares e Propriedade Intelectual
      • Conformidade de Contratos
    •  
    • Art. 932. São também responsáveis pela reparação civil: III - o empregador ou comitente, por seus empregados , serviçais e prepostos , no exercício do trabalho que lhes competir, ou em razão dele; Art. 933. As pessoas indicadas nos incisos I a V do artigo antecedente, ainda que não haja culpa de sua parte , responderão pelos atos praticados pelos terceiros ali referidos. Art. 1.016. Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções .
      • Concorrência Desleal – art. 195 Lei 9279/96
      • Violação de Direito Autoral – art. 184 CP
      • Violação de Segredos Profissionais art. 194 CP
      • Crime de Falsa Identidade art. 307 CP
      • Ilícitos cíveis
      • Dever de reparação de danos
      • Pagamento de multas contratuais
      • Demissões por justa causa (art. 482 CLT)
      • Política de Segurança da Informação (PSI)
      • Termos de Confidencialidade e Sigilo
      • Código de Ética e Conduta
      • Regras de classificação da importância da informação
      • Política de Gestão Documental (PGD)
      • Utilização de Service Level Agreements (SLA’s)
      • Legislação Brasileira
      • ISO 27001/27002
      • Sarb-Ox (Sarbanes-Oxley - SOX)
      • Basel II –Riscos operacionais
      • As regras existem para serem cumpridas por todos os usuários - inclusive os chefes
      • Devem existir sanções graduais e proporcionais para os casos de descumprimento
    • 1. Cuidado com o excesso de regras!
    • 2. Proibir, bloquear e restringir acesso não é a solução. 3. É preciso monitorar constantemente se as regras estão sendo cumpridas – e punir caso não estejam 4. O sucesso de uma PSI passa obrigatoriamente pela mudança de cultura na empresa, ou seja, o usuário deve ser educado e conscientizado de sua importância.
    •  
      • "A primeira regra de qualquer tecnologia
      • utilizada em um negócio é que a automação aplicada a uma operação eficiente irá ampliar a eficiência.
      • A segunda é que a automação aplicada a uma operação ineficiente irá ampliar a ineficiência"
      • Bill Gates
    • Conclusão
      • Efetive a Política de Segurança da Informação
      • A inexistência ou inaplicabilidade revelará as vulnerabilidades dos seus ativos digitais