• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Palestra - Direito Digital
 

Palestra - Direito Digital

on

  • 790 views

Palestra - Direito Digital

Palestra - Direito Digital

Statistics

Views

Total Views
790
Views on SlideShare
790
Embed Views
0

Actions

Likes
0
Downloads
33
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Palestra - Direito Digital Palestra - Direito Digital Presentation Transcript

    • Noções básicas de direito digital, investigação e ética Março de 2010 TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Termo de Isenção de Responsabilidade A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas. Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Sobre a TI Safe • Missão – Fornecer produtos e serviços de qualidade para a Segurança da Informação • Visão – Ser referência de excelência em serviços de Segurança da Informação • Equipe técnica altamente qualificada • Apoio de grandes marcas do mercadowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Não precisa copiar... http://www.tisafe.com/recursos/palestras/www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Agenda • Objetivos • Leis • Crimes Digitais • Processo Investigativo • Perícia Forense • Ética Computacional • Conclusãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Objetivos • Noções básicas de direito digital: identificar o que são os crimes digitais, bem como as leis e regras aplicáveis. • Perícia Forense: aprender sobre as técnicas de investigação usadas para determinar se um crime foi cometido, métodos para coleta de evidências e principais ferramentas de mercado. • Ética Computacional: verificar a conduta que deve ter um profissional de segurança na prática de suas atribuições.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Leis de crimes digitais Obrigações e direitos proprietários • Formas legais de proteção – Segredos comerciais – Direito de Cópia (Copyright) • Constituição Brasileira de 1988 e Leis 9.609/96 e 9.610/98 – Registro de Marcas e Patentes • Lei 9.279/96 • Necessidades de negócio – Proteção de software desenvolvido – Acordos contratuais – Assine termos de confidencialidade com funcionárioswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Leis de crimes digitais (cont.) • Técnicas para proteger segredos comerciais – Numeração de cópias – Registro de autoria de documentos – Verifique arquivos e estações – Armazenamento seguro – Distribuição controlada – Limitações em cópias • Acordos para proteger direitos de propriedade – Acordos de licenciamento com vendedores – Responsabilidade por compatibilidadewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Proteções aplicáveis para objetos computacionais • Hardware - Patentes • Firmware – Patentes para dispositivos físicos – Proteção de segredo comercial para códigos • Código objeto de Software - Copyright • Código fonte de Software – Segredo comercial • Documentações - Copyrightwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Empresas podem ser responsabilizadas Empresas podem ser consideradas negligentes se não... • Praticam o devido cuidado com dados internos • Seguem as regras de prudência pessoal – Executam tarefas que uma pessoa responsável executaria em circunstâncias similares • Praticam o devido cuidado com dados de terceiros • Inibem ações que afetam negativamente outra companhia ou parceiroswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Problemas com o monitoramento de funcionários • Devem constar em políticas de segurança e empregados devem saber que estão sendo monitorados – Cadernos de empregados, banners, treinamentos de conscientização de segurança • Garanta que o monitoramento está dentro da lei – Verifique as leis federais – Não monitore indivíduos específicos, e sim a coletividade – Somente monitore atividades relativas ao trabalho – Uso aceitável e atos indesejáveis deverão ser avisados antecipadamente aos funcionários • Tipos possíveis de monitoramento – Keyloggers – Câmeras (DVRs e IP) – Telefônico – E-Mailwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Supremo Tribunal Federal Brasileiro ACÓRDÃO DO SUPREMO TRIBUNAL FEDERAL MANDADO DE SEGURANÇA (Tribunal Pleno) Relator: O Sr. Ministro Maurício Corrêa Agravante: PFAgravado: Presidente do Tribunal de Contas da União (...)6. Ademais, inexiste regra jurídica que assegure ao agravante o uso do "e-mail" para interesses particulares ou que impeça sua exclusão do rol dos usuários por desobediência às normas estabelecidas pelo TCU, sendo impertinentes as alegações de que os princípios constitucionais da isonomia, do devido processo legal, do contraditório e da ampla defesa teriam sido violados, visto que cabe à Administração dispor sobre a utilização dos instrumentos oferecidos a seus servidores, ampliando ou restringindo o alcance de cada um deles, de acordo com sua conveniência.VOTO O Sr. Ministro Marco Aurélio: Senhor Presidente, o pano de fundo é compreensível e eu tenderia a assentar que cumpre à Administração Pública definir a utilização desse meio moderno de transmissão de idéias e de mensagenswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Leis Civis • Lei de contratos e propriedade • Determinam se alguém pode ser punido por um ato específico – Usualmente por negligência • São necessárias menos provas se comparadas à lei criminal – Punições são menos severas e não envolvem detenção – Punição é normalmente financeira, trabalhos prestados à comunidade ou parando algum tipo de atividade – prisão não é aplicávelwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Leis Criminais • Leis onde a vítima é a sociedade • Propósito do julgamento é a punição • Efeito dissuasivo da punição • Ônus da prova é duvidoso • Delitos graves podem levar indivíduo à cadeia por mais de um ano • Pessoas podem ganhar um caso criminal e perder um caso civil pela mesma causa (e vice-versa)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Leis Administrativas • Diferentes indústrias tem leis específicas e regras que os funcionários e colaboradores devem acatar – Remédios e drogas – Financeiros – Cuidados com a saúde – Educacionais • Performance e conduta de organizações, gerentes e oficiais • Leis administrativas lidam com normas da indústria • Punições podem ser financeiras ou até mesmo a prisãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Leis Internacionais • Falta de cooperação global • Diferenças na interpretação de leis • Leis antigas sobre fraudes • Problemas na aceitação de evidências • Extradição • Baixa prioridade Aspectos legais da criptografia • Abordagens de proibição do uso (ex: França) • Proibições na exportação (ex: EUA, Inglaterra, Canadá e Alemanha) • Os EUA controlam a exportação de criptografia implementada em Softwarewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Crimes digitais • O crime digital é difícil de definir – Falta de compreensão – Leis são inadequadas: lentas para acompanhar o ritmo da rápida evolução tecnológica • Dificuldades no julgamento – Baixo entendimento: Juízes, Advogados, Polícia e Jurados normalmente são leigos – Evidências: falta de evidências tangíveis – Menores: • Muitos criminosos são menores • Menores possuem benefícios legais que tendem à impunidadewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Exemplos de crimes digitais Apenas alguns: • ILOVEYOU, SoBIG.f, Morris worm, Blaster, Klez malware • DDOS que derrubou o Yahoo!, Skype e outros sites • Tentativas de extorsão após o roubo de números de cartões de crédito • Roubo de informações de cartões de créditos • Fraudes internas provenientes de funcionários • Roubo de segredos militares e informação crítica • Empresas roubando informações de clientes da concorrênciawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Tribunal condena eBay por venda de produtos falsos da Louis Vuitton • O Tribunal de Apelação de Paris confirmou nesta sexta (11/07/2008) a sentença que condena o site de leilões eBay, o qual deve indenizar o grupo de luxo francês Louis Vuitton Moet Hennessy (LVMH) por ter vendido produtos piratas com várias de suas marcas e burlar suas redes de distribuição seletiva. http://g1.globo.com/Noticias/Tecnologia/0,,MUL643640-6174,00.htmlwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Cisco systems processará apple pelos direitos do "iphone" • O fabricante americano de equipamentos de telecomunicação Cisco Systems informou na quarta-feira que entrou com uma ação contra seu concorrente Apple pelo uso do nome "iPhone". • Em nota, a Cisco explicou que quer evitar que "a Apple viole e copie deliberadamente a marca iPhone da Cisco". http://g1.globo.com/Noticias/Economia_Negocios/0,,AA1416309-9356,00.htmlwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Polícia Federal esteve em escritório da Cisco systems • As autoridades brasileiras acusam um grupo de empresários brasileiros, entre eles os funcionários da multinacional norte- americana de nome não revelado, de montarem um esquema de evasão de Imposto de Importação. Durante cinco anos, o grupo importou 50 toneladas métricas de mercadorias, que podem gerar um pagamento futuro de impostos de R$ 1,5 bilhão. http://g1.globo.com/Noticias/Economia_Negocios/0,,AA1655150-9356,00- POLICIA+FEDERAL+ESTEVE+EM+ESCRITORIO+DA+CISCO+SYSTEMS.htmlwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Possíveis vítimas de espionagem • “A Agência Brasileira de Inteligência (Abin) está monitorando a crise gerada pelo furto de informações da Petrobras. Segundo nota oficial, antes mesmo de o furto ter se tornado público, a Abin tinha acionado a área de contra-espionagem para fazer um levantamento de dados, em parceria com a Petrobras e a Polícia Federal.” http://bomdiabrasil.globo.com/Jornalismo/BDBR/0,,AA1672628-3682,00- POSSIVEIS+VITIMAS+DE+ESPIONAGEM.htmlwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Legislação Brasileira Atual • Ainda não existe legislação aprovada para crimes virtuais • Delitos digitais são julgados em analogia com crimes do mundo real previstos nas leis e código penalwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Alguns crimes virtuais • Falar em um chat que alguem cometeu algum crime (ex. “ele é um ladrão...”) - Calúnia - Art.138 do C.P. • Dar forward para várias pessoas de um boato eletrônico –Difamação -Art.139 do C.P. • Enviar um email para a Pessoa dizendo sobre caracteristicas dela (gorda, feia, vaca,...) – Injúria-Art.140 do C.P. • Enviar um email dizendo que vai pegar a pessoa – Ameaça - Art.147 do C.P. • Enviar um email para terceiros com informação considerada confidencial - Divulgação de segredo -Art.153 do C.P. • Enviar um virus que destrua equipamento ou conteudos – Dano - Art.163 do C.P. • Copiar um conteudo e não mencionar a fonte, baixar MP3 - Violação ao direito autoral - Art.184 do C.P. • Criar uma Comunidade Online que fale sobre pessoas e religiões - Escárnio por motivo de religião - Art.208 do C.P. • Acessar sites pornográficos - Favorecimento da prostituição - Art.228 do C.P. • Criar uma Comunidade para ensinar como fazer “um gato” - Apologia de crime ou criminoso - Art.287 do C.P. • Enviar email com remetente falso (caso comum de spam) - Falsa identidade- Art.307 do C.P.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Alguns crimes virtuais (Cont.) • Fazer cadastro com nome falso em uma loja virtual - Inserção de dados falsos em sistema -Art.313-A do C.P. • Entrar na rede da empresa ou de concorrente e mudar informações (mesmo que com uso de um software) - Adulterar dados em sistema de informações - Art.313-B do C.P. • Se você recebeu um spam e resolve devolver com um vírus, ou com mais spam - Exercício arbitrário das próprias razões - Art.345 do C.P. • Participar do Cassino Online Jogo de azar - Art.50 do C.P. • Falar em um Chat que alguém é isso ou aquilo por sua cor - Preconceito ou Discriminação Raça-Cor-Etnia - Art.20 da Lei 7.716/89 • Ver ou enviar fotos de crianças nuas online (cuidado com as fotos de seus filhos) – Pedofilia - Art.247 da Lei 8.069/90 • Usar logomarca de empresa em um link na pagina da internet, em uma comunidade, em um material, sem autorização do titular, no todo ou em parte. - Crime contra a propriedade industrial - Art.195 da Lei 9.279/96 • Emprega meio fraudulento, para desviar, clientela de outrem, exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador - Crime de Concorrência Desleal - Art.195 da Lei 9.279/96 • Usar copia de software sem ter a licença para tanto - Crimes Contra Software “Pirataria” - Art.12 da Lei 9.609/98www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Aprovado projeto que pune crimes praticados com a utilização da Internet • O Senado aprovou na noite desta quarta- feira (09/07/08) proposta substitutiva ao projeto de lei da Câmara (PLC 89/2003) que trata dos ilícitos que tragam danos a pessoas, equipamentos, arquivos, dados e informações, em unidades isoladas ou em redes privadas ou públicas de computadores. http://www.senado.gov.br/agencia/verNoticia.aspx?codNoticia=76787&codAplicativo=2www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • O que diz o projeto de Lei • Reclusão de um a três anos e multa para quem obtiver ou transferir dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado sem autorização ou em desconformidade à autorização do legítimo titular. Caso o dado ou a informação obtida sem autorização forem fornecidos a terceiros, a pena é aumentada em um terço. • A divulgação, utilização, comercialização ou a disponibilização de dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro fica sujeita à pena de detenção de um a dois anos e multa, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem ou de seu representante legal. Também nesse caso, se a pessoa se vale de nome falso ou da utilização de identidade de terceiros para a prática desse crime a pena é aumentada em um sexto.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • O que diz o projeto de Lei (Cont.) • Pedofilia: crime passível de punição a ação de apresentar, produzir, vender, receptar, fornecer, divulgar, publicar ou armazenar consigo, por qualquer meio de comunicação, inclusive a Internet, fotografias, imagens com pornografia ou cenas de sexo explícito envolvendo crianças e adolescentes. • Responsabilidade do provedor: O responsável pelo provimento de acesso de computadores é obrigado, entre outras coisas, a informar, de maneira sigilosa, à autoridade competente, denúncia sobre prática de crime ocorrido no âmbito da rede de computadores sob sua responsabilidade. O provedor estará sujeito, independentemente do ressarcimento por perdas e danos ao lesado, ao pagamento de multa variável de R$ 2 mil a R$ 100 mil a cada requisição, aplicada em dobro em caso de reincidência. Nesse caso, é assegurada a oportunidade de ampla defesa e contraditório. • Código malicioso: Pena de reclusão de um a três anos e multa está prevista para quem inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores ou sistema informatizado. A matéria define como código malicioso o conjunto de instruções e tabelas de informações ou qualquer outro sistema desenvolvido para executar ações danosas ou obter dados ou informações de forma indevida. Se o crime resultar em destruição, inutilização, deterioração, alteração ou dificuldade de funcionamento do dispositivo de comunicação, a reclusão poderá ser de dois a quatro anos e multa. Caso o agente utilize nome falso ou identidade de terceiros para a prática desse crime a pena é ainda aumentada em um sexto. • Serviços de utilidade pública: Entre os demais crimes previstos no substitutivo está também o de atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor, informação, telecomunicação ou qualquer outro de utilidade pública. Também serão punidos crimes que envolvam a interrupção, perturbação de serviço telegráfico, telefônico, telemático, informático e outros dispositivos de telecomunicaçõeswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • O criminoso computacional • Perfil típico – Homem, branco, jovem – Sem antecedentes criminais – Trabalha com T.I. ou contabilidade • Mitos – Talentos especiais são necessários – Fraudes aumentaram por causa dos computadores • Motivações pessoais – Econômicas, Egocêntricas, Ideológicas e Psicóticaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • O criminoso computacional (cont.) • Motivações ambientais – Ambiente de trabalho – Sistema de recompensas – Nível de confiança interpessoal – Nível de stress – Fragilidades de controles internos • Fatores que desencorajam o crime – Medidas de prevenção: sistemas de controles internos e controle de acesso – Medidas de detecção: auditoria e supervisãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Processo Investigativo • Identifique Potenciais Suspeitos – De dentro e de fora da empresa – Colaboradores • Identifique testemunhas potenciais – Quem deve ser entrevistado – Como conduzir a entrevista • Identifique o tipo de sistema a ser medido – Rede, configuração de Hardware & Software – Sistemas de segurança existentes – Localização do sistema – Elementos de prova – Provável causa/garantia – Localização da análisewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Processo Investigativo (cont.) • Identifique os membros do time de pesquisa e medição – Investigador líder – Representante da segurança da informação – Representante legal – Representantes técnicos • Obtenha garantias de pesquisa • Determine se o sistema está em risco – Acesso do suspeito – Potencial Destruição da evidênciawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Processo Investigativo (cont.)• Execute a investigação – Cena segura e controlada – Proteja as evidências – Não toque no teclado – Gravações em Videotape e DVRs – Capture o display do monitor – Desligue o sistema – Remova a tampa do gabinete – Discos e drives – Premissas de pesquisa (para mídia magnética e documentação) – Pesquise outros dispositivos (que podem conter informação)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Processo Investigativo (cont.) • Pesquisa conduzida • Física: Determine os hábitos do suspeito, estilo de vida • Computacional: Trilhas de auditoria ou monitoramento eletrônico • Outras fontes de informação • Arquivos pessoais • Logs de telefone e fax • Logs de segurança • Cartões de ponto • Relatórios investigativos • Documente fatos conhecidos • Relacione conclusões finaiswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Perícia Forense • Estudo de tecnologia computacional e como ela se relaciona com a lei • Primeiro passo é fazer uma imagem do disco – Cópia a nível de bit, setor por setor, para capturar arquivos deletados, espaços contíguos e clusters não alocados – Todo o trabalho é feito na imagem do disco, não no original • Crie resumos (message digests) para arquivos e diretórios – Garanta a integridade destes • Itens que devem ser analisados – Arquivos escondidos – Espaço contíguo – Malware – Arquivos excluídos – Extraia dados dos arquivos de swap de sistemas Windowswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Perícia Forense (cont.) • Remonte e dê boot no sistema suspeito com um sistema operacional limpo – Sistema alvo pode ter sido infectado – Obtenha a hora do sistema como uma referência – Execute um relatório completo da análise do sistema • Dê boot no sistema suspeito com o sistema operacional original – Identifique programas impostores – Identifique programas que rodam em background – Identifique quais configurações de sistema foram configuradaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Perícia Forense (cont.) • Procure por mídias de backup: não se esqueça do armazenamento fora do site • Procure sistemas com acesso controlado e arquivos criptografados – Quebre senhas – Documente pistas – Pergunte ao suspeito – Use a lei para obter as senhas dos suspeitoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Equipamentos para Forense Digitalwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Acelerador de quebra de criptografia Equipamentos para bloqueio de Escrita em midias digitaiswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Toolkits para perícia forensewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Soluções para procura de evidênciaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Perícia em redes sem fiowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Perícia em celulares e smartphoneswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Regras de evidências • Tipos de evidências – Diretas: testemunhos orais – Reais: objetos tangíveis/evidências físicas – Documentais: relatórios de negócios impressos, manuais, impressões – Demonstrativas: usadas para ajudar o Juri (modelos, ilustrações, gráficos) • Melhor regra de evidência: limitar potenciais alterações • Regra de exclusão: a evidência deve ser obtida legalmente, ou não poderá ser usadawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Regras de evidências (cont.) • Aceitação da evidência: evidências geradas por computador são sempre suspeitas – Relevância: deve provar um fato que é material ao caso – Confiabilidade: prove a confiabilidade da evidência e o processo de produção da mesma • Ciclo de vida da evidência – Coleta e identificação – Armazenamento, preservação e transporte – Apresentação na corte – Retorno para a vítima (dono)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Procedimentos legais • Descoberta – Defesa deve ter acesso a todos os materiais investigativos – Ordens de proteção limitam quem deverá ter acesso • Audiências preliminares e do grande Júri – Testemunhas chamadas – Testemunhos reforçados pela lei • Julgamento: resultados desconhecidos • Perdas e danos: através de processo civilwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Procedimentos legais (cont.) • Revisão pós-morte: analise o ataque e feche as brechas de segurança – Plano de resposta a incidentes – Política de disseminação de incidentes – Política de comunicação de incidentes – Regras para monitoramento eletrônico – Política de trilhas de auditoria – Banner de aviso (Proibido acesso não-autorizado) – Necessidade para controles de segurança pessoal adicionaiswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Aplicar a lei, ou não… Gerência precisa fazer esta decisão porque.... • Empresa perde o controle da investigação quando a força da lei é envolvida • Segredo do compromisso não é prometido – Pode virar parte de registros públicos • Efeitos na reputação precisam ser considerados – Divulgação destas informações podem atingir clientes, investidores, etc. • Evidências podem ser coletadas e podem não estar disponíveis por um longo período de tempo • Pode levar um ano ou mais para serem julgadoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Ética computacional • Diferenças entre lei e ética: “tem que” contra “deve” • Origens – Bem comum – Interesse nacional – Direitos individuais – Lei – Tradição/Cultura – Religião • Mudanças fundamentais para a sociedadewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Código de ética (ISC)2• Elaborado para atingir os mais altos padrões de moral, ética e comportamento legal• Manter a reputação pessoal e da profissão• Reportar atividades contra a lei e cooperar em investigações• Promover medidas de segurança da informação prudentes• Fornecer serviços competentes e evitar conflitos de interesse• Executar responsabilidades mantendo o mais alto padrão profissional• Usar a informação de maneira apropriada• Manter a confidencialidade da informaçãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Código de ética (IAB) • IAB – Internet Architecture Board (http://www.iab.org/ ), comitê coordenador de desenvolvimento, engenharia e manutenção da Internet, com 2 duas principais forças tarefas: – IETF (Internet Engineering Task Force – IRTF (Internet Research Task Force) • O uso da Internet é visto como um privilégio e deve ser tratado como tal; • A IAB considera os seguintes itens como não éticos: – Tentativas propositais de ganhar acesso não autorizado – Mau uso intencional da Internet – Gasto de recursos (pessoas, capacidade e computadores) através de ações propositais – Destruição da integridade de informações eletrônicas – Comprometimento da privacidade de terceiros – Negligência envolvendo a condução de experimentos na Internetwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Implementando a ética na empresa• Desenvolva um guia corporativo de ética computacional• Desenvolva uma política de ética computacional que complemente a política de segurança da empresa• Inclua informações sobre ética computacional no manual do empregado• Expanda a política de ética nos negócios para incluir a ética computacional• Conscientize o usuário sobre a ética computacional• Estabeleça uma política de privacidade de email e promova a conscientização do usuário sobre a mesmawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Conclusão A Política de Segurança da Informação necessita do cumprimento de requisitos legais para ser implementada: 1. Esteja claro e expresso o uso do monitoramento (harmonizar com os princípios gerais de direito e a questão da Privacidade); 2. Tenha uma política de conduta e uso das ferramentas tecnológicas (certo e o errado); 3. Os contratos sejam ajustados com cláusulas específicas de segurança da informação e com definição de terminologia (glossário); 4. Tenha uma política de Classificação da Informação (pública, sensível, confidencial, restrita). Além disso, seja um profissional ético e treine os funcionários e colaboradores da empresa para que estes também sejam.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Referências • Apresentação “Arcabouço Jurídico e Segurança da Informação”, datada de 29/11/05 e de autoria da Dra. Patrícia Peck, advogada especialista em direito digital • Apresentação “Ferramentas para computação forense”, de autoria de Giovani Thibau, da empresa Techbiz Forense Digita • TIPTON, Harold F. Official (ISC)2 Guide to the CISSP CBK. Editora Auerbach, 2006 • HARRIS, Shon. Mike Meyer’s Certification Passport CISSP. Ed. McGrawHill –Osborne, 2005www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Participe do nosso fórum de segurança • Acesse www.tisafe.com/forum e cadastre-sewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
    • Contatowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.