0
Aspectos Legais da Tecnologia e                                              Segurança da Informação                      ...
Programa           Introdução           Cenário atual da conformidade em segurança           Projetos de leis de crimes ci...
Cenário Atual   Em geral, definimos segurança com um estado no qual   estamos livres de perigos e incertezas. Dentro de uma...
Cenário Atual                                           Preventiva                                        Desencorajadora ...
Cenário Atual   De forma a obrigar as organizações a dar o devido cuidado   para os problemas de SI, muitas leis e regulam...
Projetos de Leis de cibercrimes   “Regras (leis) são como salsichas. É melhor não ver como   elas são feitas” (Otto Von Bi...
Projetos de Leis de cibercrimes    Leis vão influenciar na “Classificação da Informação” -    Identificação sobre quais os ní...
Projetos de Leis de cibercrimes    “Foi sugerido que não necessitamos de legislação sobre a    Internet, pois até hoje não...
Projetos de Leis de cibercrimessegunda-feira, 26 de novembro de 2012
Projetos de Leis de cibercrimes                      INVASÃO É CRIME NO                           BRASIL?segunda-feira, 26...
Cenário Atual    Código Penal    Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento    particular ou de co...
Projetos de Leis de cibercrimes           PRINCÍPIO DA LEGALIDADEsegunda-feira, 26 de novembro de 2012
Cenário Atual   Leis aplicáveis atualmente:   * CLT   * Código Civil   * Código Penal (crimes mistos x puros)   * Lei 9983...
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 7o.segunda-feira, 26 de novembro de 2012
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 1o.  (Neutralidade da Rede - Mikrot...
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 3o.  (Proibição de Monitoramento de...
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 10. e p 1o.  (Segurança na guarda de logs p...
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 11  (Prazo para a custódia dos logs)segunda...
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 12 e13  (Provedores de serviços não tem obr...
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 13  (Ordem judicial e policial para guarda ...
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 15.  (Notice and Take Down)segunda-feira, 2...
Projetos de Leis de cibercrimes  PL 2126/2011 (Marco Civil da Internet) - Art. 17.  (Direito de Requerer logs)segunda-feir...
Projetos de Leis de cibercrimes  PL 84/1999 (Lei Azeredo)  Era muito rígidosegunda-feira, 26 de novembro de 2012
Projetos de Leis de cibercrimes  PL 2793/2011 (Lei Carolina Dieckmann)                                Nasce para corrigir ...
Projetos de Leis de cibercrimes  PL 2793/2011 (Lei Carolina Dieckmann)segunda-feira, 26 de novembro de 2012
Projetos de Leis de cibercrimes  PL 2793/2011 (Lei Carolina Dieckmann)segunda-feira, 26 de novembro de 2012
Projetos de Leis de cibercrimes  PL 2793/2011 (Lei Carolina Dieckmann)segunda-feira, 26 de novembro de 2012
Projetos de lei de cibercrimes Devassar é invadir?segunda-feira, 26 de novembro de 2012
Projetos de lei de cibercrimes   Devassar?   Devassar = Acessar indevidamente   Dispositivo informático = Necessariamente ...
Projetos de lei de cibercrimes   Instalar vulnerabilidade?   A ausência de um mecanismo de proteção ou falhas em um   meca...
Projetos de Leis de cibercrimes Vamos refletir... * Sistema informatizado? Rede de computadores? * Gerenciamento de acesso/...
Projetos de Leis de cibercrimes  Crime?segunda-feira, 26 de novembro de 2012
Projetos de Leis de cibercrimes Crime?segunda-feira, 26 de novembro de 2012
Projetos de Leis de cibercrimes    O que as leis não alcançarão (nem os legisladores):    * Segurança por obscuridade; (Se...
Projetos de Leis de cibercrimes Só se pune a modalidade dolosa. Mesmo? Refletindo sobre algumas condutas: * Obteve dados pa...
Perspectivas finais                                     Conformidade - ISO 27001                   8,#2&(9")".(            ...
Perspectivas finais    Humanização: Pessoas não são ativos que podem ser    configurados ou programados. Pessoas são ativos ...
Perspectivas finais    Prevenção: De modo a evitar que o profissional de    segurança seja responsabilizado por um eventual ...
Perspectivas finais    Ética: Conjunto de valores atribuidos à conduta humana    sob o prisma do que é certo ou errado dent...
Perspectivas finais    Leis foram Aprovadas. Só nos resta: Educacão: Diante    de casos concretos, novas tecnologias (BYOD,...
Reflexão       “Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus       sapatos estão desamarrados, ser-...
Obrigado!                                        http://www.facebook.com/LegaltechBrasil                                  ...
Upcoming SlideShare
Loading in...5
×

Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação

989

Published on

Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação. Palestra professor José Milagre - Security Day Natal -RN - 24-11-2012 - Site: www.josemilagre.com.br - www.direitodigital.adv.br - Twitter: @periciadigital

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
989
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
76
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação"

  1. 1. Aspectos Legais da Tecnologia e Segurança da Informação José Antonio Milagre Senior Expert Witnesssegunda-feira, 26 de novembro de 2012
  2. 2. Programa Introdução Cenário atual da conformidade em segurança Projetos de leis de crimes cibernéticos Marco Civil da Internet Brasileira Perspectivas finaissegunda-feira, 26 de novembro de 2012
  3. 3. Cenário Atual Em geral, definimos segurança com um estado no qual estamos livres de perigos e incertezas. Dentro de uma organização, esta segurança constuma se aplicar a tudo aquilo que possui valor, e consequentemente, demanda proteção. São os chamados ativos. (Security Officer, Modulo 1, Módulo Education Center, pág. 16) ativos proteção lógicos intangíveissegunda-feira, 26 de novembro de 2012
  4. 4. Cenário Atual Preventiva Desencorajadora Limitadora proteção Detectora Reativa Corretiva Recuperadorasegunda-feira, 26 de novembro de 2012
  5. 5. Cenário Atual De forma a obrigar as organizações a dar o devido cuidado para os problemas de SI, muitas leis e regulamentos tem surgido. Número excessivo de regulamentação, criando uma sobrecarga de trabalho desnecessária e custosa para as organizações. Precedente: As leis são efetivas? Elas conseguirão melhorar a segurança das organizações? Elas podem evitar os crimes digitais? Precisamos de novas leis?segunda-feira, 26 de novembro de 2012
  6. 6. Projetos de Leis de cibercrimes “Regras (leis) são como salsichas. É melhor não ver como elas são feitas” (Otto Von Bismarck) Política de Segurança resumirá os princípios de SI que a organização reconhece como sendo importantes e que devem estar presentes no dia-a-dia de suas atividades. (Redução de Riscos ou por Conformidade) Requisitos Legais Requisitos do Negócio Análise de Riscosegunda-feira, 26 de novembro de 2012
  7. 7. Projetos de Leis de cibercrimes Leis vão influenciar na “Classificação da Informação” - Identificação sobre quais os níveis de proteção que as informações demandam, bem como os controles de proteção necessários. (Ex. Anteprojeto de proteção de dados pessoais)segunda-feira, 26 de novembro de 2012
  8. 8. Projetos de Leis de cibercrimes “Foi sugerido que não necessitamos de legislação sobre a Internet, pois até hoje não temos legislação e ela não teria feito falta” “...é bobagem, porque tinhamos liberdade no passado, mas as ameaças explícitas e reais a esta liberdade surgiram apenas recentemente” Tim Berners-Lee (junho 2006)segunda-feira, 26 de novembro de 2012
  9. 9. Projetos de Leis de cibercrimessegunda-feira, 26 de novembro de 2012
  10. 10. Projetos de Leis de cibercrimes INVASÃO É CRIME NO BRASIL?segunda-feira, 26 de novembro de 2012
  11. 11. Cenário Atual Código Penal Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem: Pena - detenção, de um a seis meses, ou multa. Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel: Pena - reclusão, de um a quatro anos, e multa. § 4º - A pena é de reclusão de dois a oito anos, e multa, se o crime é cometido: I - com destruição ou rompimento de obstáculo à subtração da coisa; II - com abuso de confiança, ou mediante fraude, escalada ou destreza;segunda-feira, 26 de novembro de 2012
  12. 12. Projetos de Leis de cibercrimes PRINCÍPIO DA LEGALIDADEsegunda-feira, 26 de novembro de 2012
  13. 13. Cenário Atual Leis aplicáveis atualmente: * CLT * Código Civil * Código Penal (crimes mistos x puros) * Lei 9983/2000 * Lei 9296/1996 * Lei 9279/1998segunda-feira, 26 de novembro de 2012
  14. 14. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 7o.segunda-feira, 26 de novembro de 2012
  15. 15. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 1o. (Neutralidade da Rede - Mikrotik)segunda-feira, 26 de novembro de 2012
  16. 16. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 3o. (Proibição de Monitoramento de tráfego)segunda-feira, 26 de novembro de 2012
  17. 17. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 10. e p 1o. (Segurança na guarda de logs por provedores )segunda-feira, 26 de novembro de 2012
  18. 18. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 11 (Prazo para a custódia dos logs)segunda-feira, 26 de novembro de 2012
  19. 19. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 12 e13 (Provedores de serviços não tem obrigação de logging P ro v e d o re s d e c o n e x ã o n ã o p o d e m re g i s t r a r navegação)segunda-feira, 26 de novembro de 2012
  20. 20. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 13 (Ordem judicial e policial para guarda de logs - investigação?)segunda-feira, 26 de novembro de 2012
  21. 21. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 15. (Notice and Take Down)segunda-feira, 26 de novembro de 2012
  22. 22. Projetos de Leis de cibercrimes PL 2126/2011 (Marco Civil da Internet) - Art. 17. (Direito de Requerer logs)segunda-feira, 26 de novembro de 2012
  23. 23. Projetos de Leis de cibercrimes PL 84/1999 (Lei Azeredo) Era muito rígidosegunda-feira, 26 de novembro de 2012
  24. 24. Projetos de Leis de cibercrimes PL 2793/2011 (Lei Carolina Dieckmann) Nasce para corrigir os erros do PL 84/1999?segunda-feira, 26 de novembro de 2012
  25. 25. Projetos de Leis de cibercrimes PL 2793/2011 (Lei Carolina Dieckmann)segunda-feira, 26 de novembro de 2012
  26. 26. Projetos de Leis de cibercrimes PL 2793/2011 (Lei Carolina Dieckmann)segunda-feira, 26 de novembro de 2012
  27. 27. Projetos de Leis de cibercrimes PL 2793/2011 (Lei Carolina Dieckmann)segunda-feira, 26 de novembro de 2012
  28. 28. Projetos de lei de cibercrimes Devassar é invadir?segunda-feira, 26 de novembro de 2012
  29. 29. Projetos de lei de cibercrimes Devassar? Devassar = Acessar indevidamente Dispositivo informático = Necessariamente alheio Condição do dispositivo = Protegido e sem autorização (Controle A.11.1.1 - Política de controle de acesso) Intenção = Causar dano? Mera conduta!segunda-feira, 26 de novembro de 2012
  30. 30. Projetos de lei de cibercrimes Instalar vulnerabilidade? A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem... (Security Officer, Modulo 1, Módulo Education Center, pág. 24) A existência de uma vulnerabilidade por si só não causa prejuízos. O que causa prejuízo é sua exploração por uma ameaça.segunda-feira, 26 de novembro de 2012
  31. 31. Projetos de Leis de cibercrimes Vamos refletir... * Sistema informatizado? Rede de computadores? * Gerenciamento de acesso/privilégios - A.11.2 * Porta retrato digital? GPS? Roteador Wireless? * Como saber se uma autorização de acesso a um ativo comprometido? Cite exemplo de autorização tácita? * Um “Select” pode ser considerado “obter dados ou informações”? Obter é acessar? * Um “paper em um Congresso”, seria uma vantagem ilícita? * Parameter tampering, code injection, remote file include, sql injection. Posso considerer como rompimento de segurança? Não são programas que permitem invasão. * App de Facebook?segunda-feira, 26 de novembro de 2012
  32. 32. Projetos de Leis de cibercrimes Crime?segunda-feira, 26 de novembro de 2012
  33. 33. Projetos de Leis de cibercrimes Crime?segunda-feira, 26 de novembro de 2012
  34. 34. Projetos de Leis de cibercrimes O que as leis não alcançarão (nem os legisladores): * Segurança por obscuridade; (Se a empresa dizia que o ativo não existia, como existe expressa proibição e acesso) * Fail-safe; (Se falta energia em uma catacra de um prédio, é preferível que ninguém entre. Mas e quem entrar?) *Ameaças passivas (Footprinting - Não interagem diretamente com o alvo) * Interceptação (Atacante redireciona o tráfego) * Modificação (Captura o tráfego e os reenvia) * Interrupção (Tráfego não atingirá o destino) * Fabricação (Mac Flooding - Atacante se passa por outro componente) (Enumeração, Acesso, Aumento de privilégios, Pilfering, Cobertura, NAT)segunda-feira, 26 de novembro de 2012
  35. 35. Projetos de Leis de cibercrimes Só se pune a modalidade dolosa. Mesmo? Refletindo sobre algumas condutas: * Obteve dados para alertar a comunidade? * Tentou notificar a empresa que não tinha canal de reporte definido? * Publicou uma prova de conceito?segunda-feira, 26 de novembro de 2012
  36. 36. Perspectivas finais Conformidade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orense Dissuadir Troca informações Privacidade Fonte: Blog José Milagresegunda-feira, 26 de novembro de 2012
  37. 37. Perspectivas finais Humanização: Pessoas não são ativos que podem ser configurados ou programados. Pessoas são ativos que tem sentimentos, emoções, vontades. São ativos que são educados(Security Officer, Modulo 1, Módulo Education Center, pág. 224)segunda-feira, 26 de novembro de 2012
  38. 38. Perspectivas finais Prevenção: De modo a evitar que o profissional de segurança seja responsabilizado por um eventual ato ilícito, é importante que o mesmo tenha documentação que delimite claramente quais são suas funções, atribuições e responsabilidades na empresa.segunda-feira, 26 de novembro de 2012
  39. 39. Perspectivas finais Ética: Conjunto de valores atribuidos à conduta humana sob o prisma do que é certo ou errado dentro de uma sociedade. A ciência da Moral, estando esta relacionada às regras de comportamento ou valores que são aceitos por determinado grupo específico, que determina o que é considerado honesto ou virtuoso.segunda-feira, 26 de novembro de 2012
  40. 40. Perspectivas finais Leis foram Aprovadas. Só nos resta: Educacão: Diante de casos concretos, novas tecnologias (BYOD, Cloud, Big Data) e inafastabilidade do Judiciário será necessário profissionais de segurança articulados, peritos, que possam contribuir para informação real de autoridades, gerando consciência, maturidade e evitando que inocentes sejam injustamente condenados.segunda-feira, 26 de novembro de 2012
  41. 41. Reflexão “Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus sapatos estão desamarrados, ser-lhe-á devido um agradecimento ou uma censura por se intrometer em sua vida, em sua privacidade? Caso lhe comuniquem que um certo restaurante já provocou intoxicações sérias em diversos incautos que experimentaram suas especialidades, julgaria prudente ir lá e fazer uma refeição e se arriscar a uma desagradável e involuntária ginástica para seus intestinos. Pois bem, no ciberespaço, assim como no Mundo Físico, também existem boas almas que nos alertam sobre os perigos que enfrentamos neste recanto não espacial: são os hackers (e, em algumas vezes, até mesmo os crackers). São eles que nos sinalizam quanto a similares riscos neste Mundo que não podemos pegar, porque verificaram as debilidades e fragilidades do sistema que os suporta” (Amaro Moraes e Silva Neto, Privacidade na Internet, EDIPRO, 2001)segunda-feira, 26 de novembro de 2012
  42. 42. Obrigado! http://www.facebook.com/LegaltechBrasil jose.milagre@legaltech.com.br Twitter: @periciadigitalsegunda-feira, 26 de novembro de 2012
  1. Gostou de algum slide específico?

    Recortar slides é uma maneira fácil de colecionar informações para acessar mais tarde.

×