Aspectos jurídicos da Política de Segurança da Informação

Efetividade e Aspectos Jurídicos da Política de Segurança da Informação Alexandre Atheniense

Alexandre Atheniense
Advogado especialista em Direito Digital
Sócio de Aristoteles Atheniense Advogados
Coordenador da Pós Graduação em Direito
de Tecnologia da Informação na ESA OAB-SP

www.alexandreatheniense.com www.atheniense.com.br @atheniense @aaadvogados www.linkedin.com/atheniense www.facebook.com/ atheniense www.facebook.com/ aaadvogados

Por que este assunto tem se tornado cada vez mais relevante ?

Aumento da oferta de serviços online

Expansão dos ativos das empresas em bits

Por que as empresas estão se tornando cada vez mais vulneráveis ?

Aumento do tamanho das mídias digitais

… mas velocidade de acesso aos discos não cresce na mesma proporção ... Os Hd’s dobram de tamanho entre 18 a 24 meses “ Lei de Kryder”

Pesquisa comparativa Estrutura TI nos Bancos Anos 2008/2009 Fonte: Febraban Discos Rígidos - Aumento 48% Mainframes aumento 5%

Aumento das Fontes de dados

Aumentos das sessões de Rede

Acessos Remotos

Aumento do Registro de Logs

Aumento dos dispositivos móveis de comunicação

Novos sistemas operacionais e padrões de conectividade

Empresa Digital Empresa Papel

A sua empresa está preparada para lidar com incidentes relacionados à TI?

Estudo feito com 25 empresas americanas com faturamento bilionário:

TI Jurídico RH

Mais de 40% das empresas brasileiras desejam contratar um CSO (Chief Secutiry Officer)
Fonte: Estudo Global Information Security, conduzido pela consultoria PricewaterhouseCoopers, em parceria com as revistas CIO e CSO.

Análise de conformidade legal de contratos, termos, políticas, etc.;
Atuação preventiva;
Consultoria e assessoramento;
Revisão constante das normas e processos;

Educação e treinamento;
Conscientização e mudança de cultura;
Trabalho constante e contínuo;
Informação quanto à mudança de cargos – demissões – admissões;

Constante análise de conformidade das regras e de seu cumprimento pelos envolvidos

Durante:
Tratamento e resposta ao incidente de maneira segura e juridicamente válida
Preservação e coleta de provas e evidências
Minimização dos danos e Plano de Contingência

Depois:
Análise do incidente
Revisão dos processos e questões envolvidas
Aplicação das correções necessárias

Armazenamento (quando, onde, como, quais, por quanto tempo, etc.)
Segurança (backup, padrões de segurança, etc.)
Questões envolvendo portabilidade e mobilidade
Documentos pessoais x documentos corporativos
Descarte, troca e manutenção de equipamentos
Provas eletrônicas
Demissão de funcionários

Perda ou vazamento de dados e informações confidenciais
Impossibilidade de resgate de provas ou provas eletrônicas sem validade legal
Armazenamento de conteúdo ilícito pelos usuários (imagens, áudio, etc.)

Classificação das informações segundo sua importância (confidencial, pública, restrita, etc.)
Política de Gestão de Documentos em sintonia com aspecto jurídico
Regras sobre uso de documentos pessoais e dispositivos móveis
E-Discovery – resgate de documentos eletrônicos

Regras sobre eliminação de dados em dispositivos descartados
Regras sobre acesso a documentos por usuário demitido
Sistema de DLP (Data Loss Prevention)
Backup protegido

Compartilhamento de senhas – estagiário, secretário, colega, etc.
Computador logado – usuário ausente
Senha mestre em poder de terceirizados
Senhas anotadas em papéis ou documentos de fácil acesso
Senhas de fábrica (padrão)

Identidade Digital – Prova de Autoria
Acessos não autorizados, vazamento de informações e espionagem industrial
Responsabilização do Gestor do Sistema ou do usuário errado
Cobrança de horas-extras indevidas

PSI com regras claras sobre responsabilidad pelo uso da senha
Adoção de senha como forma de Identidade Digital e não como mera autenticação
Conscientização do usuário
Disclaimers e Avisos Legais

Regras de acesso específico para cada usuário
Normas sobre troca periódica de senhas
Logout por inatividade de acesso
Suspensão de acesso em férias e feriados
Uso de certificação digital

Quais os limites legais?
Privacidade
Interceptação de dados
Quem e como monitorar?

Monitoramento dentro dos limites da legalidade
Regras claras e explícitas sobre o monitoramento
Avisos Legais e Disclaimers

Ciência formal (eletrônica e física) do empregado
Contrato de Trabalho alinhado às regras de Segurança da Informação
Códigos de Ética e Termos de Conduta com previsão de sanções

Reputação da Empresa no Meio Eletrônico
Regularidade de Softwares e Propriedade Intelectual
Conformidade de Contratos

Art. 932. São também responsáveis pela reparação civil: III - o empregador ou comitente, por seus empregados , serviçais e prepostos , no exercício do trabalho que lhes competir, ou em razão dele; Art. 933. As pessoas indicadas nos incisos I a V do artigo antecedente, ainda que não haja culpa de sua parte , responderão pelos atos praticados pelos terceiros ali referidos. Art. 1.016. Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções .

Concorrência Desleal – art. 195 Lei 9279/96
Violação de Direito Autoral – art. 184 CP
Violação de Segredos Profissionais art. 194 CP
Crime de Falsa Identidade art. 307 CP

Ilícitos cíveis
Dever de reparação de danos
Pagamento de multas contratuais
Demissões por justa causa (art. 482 CLT)

Política de Segurança da Informação (PSI)
Termos de Confidencialidade e Sigilo
Código de Ética e Conduta

Regras de classificação da importância da informação
Política de Gestão Documental (PGD)
Utilização de Service Level Agreements (SLA’s)

Legislação Brasileira
ISO 27001/27002
Sarb-Ox (Sarbanes-Oxley - SOX)
Basel II –Riscos operacionais

As regras existem para serem cumpridas por todos os usuários - inclusive os chefes
Devem existir sanções graduais e proporcionais para os casos de descumprimento

1. Cuidado com o excesso de regras!

2. Proibir, bloquear e restringir acesso não é a solução. 3. É preciso monitorar constantemente se as regras estão sendo cumpridas – e punir caso não estejam 4. O sucesso de uma PSI passa obrigatoriamente pela mudança de cultura na empresa, ou seja, o usuário deve ser educado e conscientizado de sua importância.

"A primeira regra de qualquer tecnologia
utilizada em um negócio é que a automação aplicada a uma operação eficiente irá ampliar a eficiência.
A segunda é que a automação aplicada a uma operação ineficiente irá ampliar a ineficiência"
Bill Gates

Conclusão
Efetive a Política de Segurança da Informação
A inexistência ou inaplicabilidade revelará as vulnerabilidades dos seus ativos digitais

Aspectos jurídicos da Política de Segurança da Informação

by Alexandre Atheniense on Nov 21, 2011

Accessibility

Upload Details

Usage Rights

2 Embeds 7

Statistics

Aspectos jurídicos da Política de Segurança da Informação Presentation Transcript

http://www.fatec.edu.br	4
http://www.linkedin.com	3