Aspectos Legais da Prevenção a Perda de dados

Apresentação em tema: "Aspectos Legais da Prevenção a Perda de dados"— Transcrição da apresentação:

1 Aspectos Legais da Prevenção a Perda de dados
Dra. Patricia Peck 06/04/2010 © PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados. 1 1

2 Dra. Patricia Peck Pinheiro – Sócia Fundadora
Sócia fundadora do escritório Patricia Peck Pinheiro Advogados; Formada em Direito pela Universidade de São Paulo; Especialização em negócios pela Harvard Business School; MBA em marketing pela Madia Marketing School; Formada pelo Centro de Inteligência do Exércio; Condecorada com a Medalha do Pacificador pelo Exército Brasileiro (2009); Condecorada com o prêmio “A Nata dos profissionais de Segurança da Informação (2006 e 2008); Condecorada com Prêmio Excelência Acadêmica – Melhor Docente – FIT Impacta São Paulo Iniciou sua carreira como programadora aos 13 anos; Autora do livro “Direito Digital” pela Ed. Saraiva (3ª.Ed); Co-autora do Audio-livro e pocket book “Direito Digital no dia-a-dia” pela Ed. Saraiva (2009); Co-autora do Audio-Livro Eleições na Internet pela Ed. Saraiva (2010); Co-autora dos livros “e-Dicas”, “Internet Legal” e “Direito e Internet II”; Lecionou em diversos cursos de pós-graduação (Senac-SP, IMPACTA, IBTA, FATEC); Lecionou para Adm Publica (TST, EMAG SP, TRF 3ª e 2ª Região, TJSC, MPSC, TContas); Experiência internacional de Direito e Tecnologia nos EUA, Portugal e Coréia; Colunista do IDG Now, Revista Visão Jurídica, Revista Partner Sales, e articulista da Revista Executivos Financeiros, Jornal Valor Econômico, outros. 2

3 - Patrícia Peck Pinheiro Advogados -
Foco de Atuação: Direito Digital, Segurança da Informação e Gestão de Riscos Eletrônicos Equipe: 20 Profissionais Matriz: São Paulo – Brasil Regionais: Brasília, Curitiba, Fortaleza, Belo Horizonte e Rio de Janeiro. Atuação: Consultivo, Contencioso Capacitação Categoria: ALTAMENTE ESPECIALIZADO Java Technology Nosso Diferencial: ADVOGADOS QUE ENTENDEM DE TECNOLOGIA! 3 3

4 Patrícia Peck Pinheiro Advogados - Credenciais
Advogados - Matriz São Paulo: Equipe regional Equipe Administrativa 4 4

5 Publicações Livro 3ª. Edição Áudio Livros Pocket Book
PINHEIRO, Patricia Peck. Direito Digital. São Paulo: Saraiva, 2009. Tudo o que você precisa ouvir sobre Direito no dia-a-dia PINHEIRO, Patricia Peck e SLEIMAN, Cristina. Saravia 2009. PINHEIRO, Patricia Peck e Bissoli, Leandro Saraiva 2010. Contato Saraiva: Antônio Tocca – Tel: (11) 5 5

6 O PRESENTE MATERIAL TEM FINALIDADE ACADÊMICA E DE CAPACITAÇÃO DE PROFISSIONAIS, SENDO ASSIM, TODA A MENÇÃO DE EMPRESAS E/OU MARCAS TEM PROPÓSITO ÚNICO E EXCLUSIVAMENTE ILUSTRATIVO. 6

7 “Quem pensa para você a lei que ainda não foi escrita?”
Patricia Peck Pinheiro Advogados

8 A EMPRESA ESTÁ PREPARADA PARA PROTEGER SEUS DADOS COM UMA VISÃO MAIS HOLÍSTICA?
Imagem:

9 Por que Data Loss Prevention se tornou tão relevante em 2010?
Devido ao cenário de perda de dados em 2009 (provocado por incidentes relacionados a Crise Financeira); Devido a retomada de projetos que não ocorreram em 2009 por conta da crise (Cloud Computing, Paper Less, Fusões e Aquisições, Abertura na Bolsa, outros); Devido ao crescimento de uso de mobilidade em toda a empresa; Devido a exposição demasiada de colaboradores, parceiros e executivos em Redes Sociais; Devido ao crescimento do uso de terceirizados; Devido ao aumento da responsabilidade do executivo no tocante a culpa relacionada a perdas de dados para empresas (considerando já a perda de dado como um dano material e também moral – atinge reputação).

10 Quem aqui a mamãe disse: “Não pegue o que não é seu”
Estudo revela que 25% dos funcionários roubariam dados corporativos Pesquisa realizada pela Cyber-Ark aponta que 40% dos entrevistados já pegaram informações corporativas: pen drive é o meio preferido. Um entre quatro trabalhadores de escritório roubaria dados da companhia se soubesse que isso ajudaria um amigo ou parente a manter um emprego, segundo estudo da Cyber-Ark Software. O estudo da empresa também revelou que quatro em cada dez trabalhadores já pegaram dados da companhia, e que o meio preferido de transportar informações é por meio de memória flash USB. (...)“Não há desculpa para os trabalhadores que estão dispostos a comprometer a sua ética para salvar o trabalho, mas grande parte da responsabilidade de proteger dados de clientes é do empregador”, disse o vice-presidente de produtos e estratégia da Cyber-Ark, Adam Bosnian. (...) Acesso em: 24/11/2009. Quem aqui a mamãe disse: “Não pegue o que não é seu” E quem ouviu a mamãe dizer: “nem dê CTRL C CTRL V no conteúdo alheio”. 10

11 Americanos e Europeus tendem a só fazer o que estiver autorizado.
Funcionários levam informações da Empresa! Há características peculiares da cultura brasileira que favorecem isso: Americanos e Europeus tendem a só fazer o que estiver autorizado. Brasileiros tendem a fazer tudo que não esteja proibido. A Symantec e o Instituto Ponemon, uma empresa de pesquisa líder em gerenciamento de informação e privacidade, realizaram pesquisa junto a trabalhadores que perderam ou deixaram seus empregos em 2008 e constataram em relação às informações da empresa: 79% copiaram informações sem autorização do empregador. Utilizaram CD/DVD, Drive USB ou conta pessoal de correio eletrônico. Na opinião deles, 59% eram informações confidenciais. 61% relataram ter uma visão desfavorável do seu antigo empregador. 82% disse que seu empregador não realizou uma auditoria ou uma revisão dos papéis ou documentos eletrônicos antes que ele/ela deixasse o emprego. 24% tiveram acesso ao sistema ou rede de computadores de empregador após a saída da empresa. Fonte: Acessado em: 26/02/2010. 11

12 A prevenção a perda de dados exige tratar a informação como:
ativo estratégico; em um contexto de mobilidade crescente; em cenários de riscos relacionados a níveis de acesso diferenciados; em permanente mudança.

13 Nossas regras de TI estão claras, documentadas e em uso?
Nossas equipes sabem usar senha de forma segura? E os certificados digitais? Permitimos uso de webmail no ambiente de trabalho? E acesso a sites de web 2.0? E o uso de MSN ou outros comunicadores? E o uso de VoIP? E acesso remoto (VPN)? E a entrada com dispositivos com câmeras e aparelhos de MP3? E as portas USB, estão liberadas? Pode-se baixar ou instalar qualquer coisa nas máquinas? A segurança está andando junto com os dados?

14 Qual o nível da segurança da informação na empresa?
Para fazer a gestão de riscos operacionais é necessário conhecer as situações de risco, sobretudo aquelas comportamentais. 14

15 Aumentam incidentes em redes sociais
Aumentam incidentes em redes sociais COMUNICADO IMPORTANTE 30 de março de 2010 A Locaweb, líder em infraestrutura de hosting no Brasil, comunica que Alex Glikas não faz mais parte do quadro de executivos da companhia. Em razão do recente incidente envolvendo a companhia e o São Paulo Futebol Clube, o executivo decidiu, em comum acordo com a diretoria da Locaweb, desligar-se de suas funções. A Locaweb mais uma vez lamenta o ocorrido e reforça que a opinião do executivo não condiz com o posicionamento corporativo da companhia. A Locaweb reforça que fechar uma parceria com o São Paulo e expor sua marca na camisa de um dos times de maior prestígio do País é motivo de orgulho. Esta, inclusive, não foi a primeira ação da companhia ligada ao SPFC. Por quatro anos a Locaweb manteve um camarote no estádio do Morumbi, que foi utilizado em diversas ações de relacionamento. Publicado por Claudio Gora, Marketing na categoria (

16 Riscos e Consequencias Legais pelo excesso de exposiçao
dos executivos e profissionais em redes sociais Conduta Digital Legislação Penalidade Usar logo ou marcas de empresa em sites, comunidades ou em outros materiais, sem autorização do titular; ou imitá-las de modo que possa induzir à confusão. Art. 189, Lei 9279/96 Crime contra a propriedade industrial Detenção, de 3 meses a 1 ano. Enviar ou publicar informações para concorrentes de mercado que sejam confidenciais. Art. 195, Lei 9279/96 Crime de concorrência desleal Detenção, de 3 meses a 1 ano, ou multa. Enviar a terceiros contendo informação considerada confidencial. Art. 153, Cód. Penal Divulgação de segredo Detenção, de 1 a 6 meses, ou multa. Divulgar informações confidenciais referentes ao seu trabalho, através de s, chats, comunidades, etc. Art. 154, Cód. Penal Violação de segredo profissional Causar danos devido a quebra de sigilo profissional, abuso do direito de liberdade de expressão, comentários ofensivos ou agressivos sobre empresa ou pessoa. Arts. 187, 927, 1016 do Código Civil – Danos e indenização Pagar indenização relacionada a danos morais e materiais causados. Divulgar informação financeira da empresa em comunidades, palestras internas de resultados no Youtube, antes de formalizar junto a CVM e investidores. Infração a Instrução CVM 358 – Fato Relevante Penalidades previstas pela CVM, que incluem multa elevada

17 A Perda do Dado pode ocasionar:
Indisponibilidade completa (ex: furto de dados – Ctrl X) Disponibilidade não autorizada mas sem tornar indisponível o dado (ex: furto de dados – Ctrl C Ctrl V muito comum de envolver ilícito da concorrência desleal) Disponibilidade total e exposição absoluta (ex: vazamento de informação, quebra de sigilo profissional)

18 TEMPO QUAL O MAIOR FATOR DE NEGLIGÊNCIA EM SI?
POR FALTA DE TREINAMENTO (CONHECIMENTO) O QUE É MAIS CERTO SOBRE A INFORMAÇÃO É QUE ELA SERÁ REVELADA! É NECESSÁRIO MUITO TREINAMENTO PARA EVITAR ESSE COMPORTAMENTO NATURAL. 18

19 REALMENTE SABEM PROTEGER A INFORMAÇÃO?
NOSSOS EXECUTIVOS DE MAIS ALTO ESCALÃO E ACESSO A INFORMAÇÃO PRIVILEGIADA, SENSÍVEL E CONFIDENCIAL... REALMENTE SABEM PROTEGER A INFORMAÇÃO?

20 Check-List Capacitação do Executivo:
Ele sabe qual a postura que ele deve ter no uso das informações, tecnologias e marcas da empresa? Ele sabe o conceito de prova eletrônica; Ele sabe como guardar um original; Ele sabe portar dados seguros em mobilidade (mobilidade é comum em executivos); Ele possui as ferramentas de data protection com ele e foi treinado (prevenção); Ele nunca empresta a senha, nem pela pressa ou para pessoas de sua mais alta confiança – pois é infração de norma interna e também crime de falsa identidade (art. 307 e 308 Código Penal Brasileiro); Se acontecer um incidente ele sabe qual medida tomar?

21 Vivemos já uma guerra cibernética corporativa!

22 INTELIGÊNCIA – BUSCAR/ACESSAR INFORMAÇÃO
INTELIGÊNCIA – BUSCAR/ACESSAR INFORMAÇÃO. CONTRA-INTELIGÊNCIA – MEDIDAS PARA QUE ISSO NÃO OCORRA (Proteção contra: espionagem, sabotagem, terrorismo, vazamento, uso privilegiado, conflito de interesses).

23 Há 3 Grandes motivos para perda/furto de dados corporativos: (1) FALTA DE FERRAMENTA (2) FALTA DE TREINAMENTO (CONHECIMENTO COMO USAR) (3) FALTA DE TEMPO (caso manobrista)

24 Situações Vazamento de Informação (precisa haver procedimentos claros de resposta a incidentes – Prevenção, Contenção, Reação): Quebra de sigilo profissional em Rede Social; Perda de dados devido a furto de notebook ou outro dispositivo (pen drive e smartphone são até mais comuns); Retirada de informação pela porta USB; Retirada de informação pela VPN; Cumprimento de Ordem Judicial – busca e apreensão de HD, Servidor, Proxy, outros; Compartilhamento de dados com terceirizado que freqüenta perímetro físico ou lógico portando dispositivos para coleta de dados (seja uso de câmera ou aparelho de MP3, outros); Desligamento de profissional (permitimos tirar dados, pode ter pasta particular no C ou na rede, ainda mais com nova Lei de Pedofilia?); Acesso autenticado com uso de senha em período de férias de profissional; Acesso autenticado além do autorizado – empréstimo de senha

25 Não é proteger tudo de todos… e sim algumas coisas de alguns.
95% dos dados são ostensivos - estão abertos e públicos - ex: na web Dados não estruturados (falta organização e propósito) Apenas 5% dos dados são obtidos por inteligência, necessitam serem buscados em ambientes de acesso restrito (protegidos por contra-inteligência). Não é proteger tudo de todos… e sim algumas coisas de alguns. .

26 As Fases de uma Ordem: Cumprimento – ocorre imediatamente; Relaxamento – ocorre a partir de 48 horas; Esquecimento – ocorre a partir de 5 dias. Qualquer recomendação com prazo acima de 5 dias e exigência de conduta reiterada está tendente a não ser cumprida – precisa de muita ferramenta e muito treinamento!

27 Como lidar com estes 2 tipos de usuários problemáticos?
OS “SEM NOÇÃO” OS DE “MÁ FÉ” Qual a porcentagem dos “com noção + treinados + capacitados com ferramentas + com cultura de uso seguro das informações” temos em nossa empresa?

28 Metodologia: Regra Clara – tem que ter políticas, normas, procedimentos, termos, formulários (documentação); Tecnologia (a proteção deve acompanhar os dados e não apenas os dispositivos – princípio do canivete suíço) Software para controle porta USB; Software para monitoramento notebook; Servidor de logs com preparo jurídico; Autenticação forte (Sou, Sei, Tenho); Criptografia e Esteganografia Treinamento – estamos capacitando?

29 Tem que ser um processo de
Treinamento atual de SI nas empresas: 30 minutos na integração; Semana de SI – palestras 1 vez por ano; OBS: alcança a empresa inteira? (e as que têm mais de funcionários fazem como?) ISSO É CAPACITAR? (3 HORAS ANO?) Alcança o alto escalão? Alcança os terceirizados? Tem que ser um processo de Educação Continuada!

30 E a equipe técnica está capacitada para Resposta a Incidentes de Segurança da Informação?

31 Check-list de capacitação equipe técnica?
Faz-se Monitoramento com conformidade legal; Compreende-se Princípio da Ordem de Volatilidade em Computação; Há Preservação do Ambiente de Incidente (profissional pode continuar usando a máquina envolvida?); Sabe-se fazer a coleta adequada das provas (espelhar HD, gerar imagem para análise – nunca usar o original, solicitar preservação de provas em terceiros – notificação de provedores); Há procedimento implementado para usar ata notarial; Todos aplicam cadeia de custódia para proteção das evidências eletrônicas; É prática documentar tudo – passo a passo (para conseguir refazer a perícia em ambiente de auditoria ou judicial se necessário); Sabe-se o limite, até onde se pode ir em uma investigação (aplicação do princípio da Legítima Defesa Digital – arts. 23 e 25 do Código Penal); Há um código de ética e um termo de responsabilidade específicos assinados com esta equipe de TI e SI?

32 Metodologia – 5 passos: 1º
Metodologia – 5 passos: 1º. Análise do ambiente (SWOT – é o estudo de Situação (fase mais importante); 2º. O que fazer (traçar cenários prospectivos); 3º. Como fazer (análise de riscos – traçar linhas de ação com base em vulnerabilidade, probabilidade, impacto); 4º. Plano de Acompanhamento (monitorar, auditar); 5º. Correção – análise dinâmica e aprendizado.

33 Contexto de Gestão de Riscos
Proteger o que? (infra-estrutura crítica) Instalação física; Áreas; Pessoas; Tecnologia da Informação; Serviços; Processos Críticos; Bens tangíveis e intangíveis (Marca, Bancos de Dados, Patentes, Códigos Fontes, Acervo Histórico, Reputação).

34 Contexto de Gestão de Riscos
b) Proteger de quem? Organizações criminosas; Apagão energia; Sabotagem contra instalações; Atentado terrorista; Apagão aéreo; Bug (do milênio ou outros); Epidemia ou Pandemia (dengue, febre, gripe suína); Apagão de Comunicação (Tecnológico); Insider (usuário próprio ou de terceirizado).

35 Contexto de Gestão de Riscos
c) Quando? (fazer estudo situação – consciência situacional) Anualmente; Após incidentes; Novas ameaças; Resultados de Auditorias; Determinação de superiores; Iniciativa própria; Inclusão de novos ativos (instalação ou equipamentos); Permanentemente (holítico).

36 O que fazer se houver suspeita de um colaborador estar vazando dados intencionalmente:
Como coletar as evidências de autoria? Como preservar o ambiente de incidente? Deve-se falar com ele ou não? Ele pode continuar usando a máquina? Está claro que a empresa pode retirar a qualquer tempo o equipamento da pessoa (ou esta conduta repentina da TI geraria melindre e risco de dano moral)?; Onde colocar as provas enquanto houver instauração do processo administrativo interno (como evitar que o colaborador diga que a empresa plantou a prova?).

37 Incidente em Redes Sociais ex: Caso Twitter
O que fazer? Preservação das evidências (coleta inicial e solicitação para que o provedor do ambiente as guarde também); Fazer denúncia ao Twitter pelo canal de contato com base no Termo de Uso (tem que ser em inglês se a pessoa não possuem perfil enviar para e se possui Em não sendo atendido, enviar notificação extrajudicial ao Twitter via (ex: Comprova.com) e/ou via courrier (para o endereço deles nos EUA para o endereço 539 Bryant St., Suite 402, San Francisco, CA 94107, At. Law Enforcement / Copyright – com a referência de “Cease and Desist Letter – Identity Thief and Copyright Abuse – Fake Screen Name and Account); No entanto, o Twitter não consegue impedir que ocorra de novo. Apenas uma ação judicial contra o verdadeiro autor (infrator) e/ou contra o próprio Twitter (responsabilidade objetiva).

38 arts. 13 e 14 da Lei do Software (Lei 9.609/98).
NOSSO PCN PREVÊ O RISCO DE BUSCA E APREENSÃO (E A INDISPONIBILIDADE...) A EMPRESA ESTÁ PREPARADA SE LEVAREM O SERVIDOR EMBORA? Previsão: arts. 798, 839, 840 e 842 (em especial o §3º) do Código de Processo Civil; arts. 13 e 14 da Lei do Software (Lei 9.609/98). “MEDIDA CAUTELAR - Busca e apreensão - Programas de computador - Suposta violação de direitos autorais - Liminar indeferida para tal providência - Presença do fumus boni júris e do periculum in mora. Inteligência da Lei n /98 - Decisão reformada - Recurso provido.” (TJSP, Rel. Joaquim Garcia, Agravo de Instrumento nº /6, julg. 02/03/2009).

39 DEPENDE, TEM QUE SER SEGURA.
Nesse contexto então CLOUD COMPUTING É PROBLEMA OU SOLUÇÃO? DEPENDE, TEM QUE SER SEGURA. E Segurança não está na nuvem, está na informação!!!

40 Principais Fatores de Análise de Risco:
Autenticação e Controle de Acesso; Disponibilidade; Confidencialidade; Ou seja - Segurança da Informação de um modo geral (caso incidente EUA). É essencial ter bons contratos, SLAs e Plano de Disaster Recover, Contingência e Continuidade.

41 Apagão pode comprometer dados das empresas
É NOTÍCIA ... Apagão pode comprometer dados das empresas A queda de energia, que ocorreu a partir das 22h13, ainda não teve sua causa definida, mas pode servir de alerta às pequenas, médias e grandes empresas que não possuem sistema de recuperação de desastres. Segundo Paulo Prado, gerente de marketing de produto da Symantec para a América Latina, os dois principais problemas detectados são a interrupção da gravação e escrita de arquivos e os danos físicos que podem afetar os sistemas. O executivo também chama a atenção para a questão da virtualização, que prevê diversos serviços virtuais servidores rodando em apenas um servidor físico. Se ele for danificado, a média de recuperação pode variar entre 3 e 4 horas. Para Bruno Ricardo, gerente de treinamento e pré-vendas da F-Secure Brasil, os usuários devem prestar atenção na hora de contratar os serviços de virtualização. “Existem diversos pacotes de serviços e armazenamento de dados em nuvem. É preciso analisar os contratos cuidadosamente para ver quais soluções são oferecidas”, diz. [...] Segundo o relatório da Symantec sobre recuperação de desastres, problemas com o fornecimento de energia elétrica estão entre as principais preocupações das empresas, seguidos das falhas de hardware e ameaças como vírus. Fonte:

42 Segurança da Informação X Anonimato. É essencial autenticação forte
Segurança da Informação X Anonimato! É essencial autenticação forte. Somente a pessoa certa acessar o mínimo de informação necessária!

43 Notícia: As prioridades de investimentos em segurança no próximo ano
Segundo pesquisa das revistas norte-americanas CIO e CSO, os orçamentos voltados à proteção de dados serão concentrados em controle de acesso por meio de biometria, filtragem de conteúdos web, criptografia de mídias removíveis, entre outros CIO/EUA – 16/10/2009. Pesquisa realizada pelas revistas norte-americanas CIO e CSO e coordenada pela consultoria PricewaterhouseCoopers indica quais serão os focos de investimento em segurança da informação no próximo ano. Para o estudo, foram ouvidos cerca de gestores de TI de todo o mundo, os quais são atuantes nos segmentos finanças, saúde, serviços, varejo e governo. [...] O estudo mostra que, embora a proteção de informações seja regulamentada por agências reguladoras em muitos setores, os CIOs ainda não acham que os processos e ferramentas utilizados atualmente são suficientes para blindar as companhias contra as ameaças internas e externas. Nesse contexto – e por meio dos comentários dos gestores que participaram da pesquisa – foi possível elaborar o ranking das questões de segurança que receberão mais investimentos em 2009: 1. Biometria – para gerenciamento de acesso a dados sigilosos 2. Filtros para barrar conteúdos inadequados da web 3. Processos de proteção de informações secretas 4. Senhas seguras – obtidas por meio de tokens 5. Ferramentas de proteção dos sistemas de voz sobre IP 6. Monitoramento da web  Gerenciamento de identidades 8. Criptografia de mídias removíveis Disponível em: Acesso em: 02/02/2010

44 Prefeitura do Rio de Janeiro lança Wi-Fi gratuito em Copacabana
Prefeitura do Rio de Janeiro lança Wi-Fi gratuito em Copacabana....não há qualquer autenticação de usuário! Inclusão Digital sem pensamento estratégico de Segurança da Informação gera RISCOS SISTÊMICOS!

45 E A NOSSA REDE DA EMPRESA PERMITE ANONIMATO?
PLS 296/2008 Sobre o assunto, o Senado Federal aprovou em 05/11/2009 o PLS 296/2008, que obriga os estabelecimentos que oferecem serviços de conexão à rede mundial de computadores a coletarem e guardarem os dados cadastrais do usuário pelo prazo de 03 anos em 05/11, remetendo-o à Câmara dos Deputados para apreciação. E A NOSSA REDE DA EMPRESA PERMITE ANONIMATO? GUARDAMOS OS LOGS DE ACESSO (Servidor de logs com guarda histórica sem sobrescrever por um período pré-estabelecido?) Se ocorrer um incidente temos PROVA DE AUTORIA (CONFORMIDADE LEGAL DA TI)?

46 Na contexto empresarial, a Sociedade Digital exige:
representa significa TRANSPARÊNCIA GOVERNANÇA necessita exige SEGURANÇA DA INFORMAÇÃO CONTROLE EDUCAÇÃO e MONITORAMENTO significa Tecnicamente... CONSCIENTIZAÇÃO PREVENÇÃO e GESTÃO DE RISCO 46

47 Qual a responsabilidade do gestor?
Código Civil Art O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligencia que todo homem ativo e probo costuma empregar na administração de seus próprios negócios. Art.1016 Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções. Art. 927 – Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único: Haverá obrigação de reparar o dano, independente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida, pelo autor do dano implicar, por sua natureza, risco par os direitos de outrem. 47 47

48 RESPONSABILIDADE SOLIDÁRIA DO EMPREGADOR
Art São também responsáveis pela reparação civil: (...) III - o empregador ou comitente, por seus empregados, serviçais e prepostos, no exercício do trabalho que lhes competir, ou em razão dele; Art Os bens do responsável pela ofensa ou violação do direito de outrem ficam sujeitos à reparação do dano causado; e, se a ofensa tiver mais de um autor, todos responderão solidariamente pela reparação. Parágrafo único. São solidariamente responsáveis com os autores os co-autores e as pessoas designadas no art. 932.

49 Prevenção é essencial e exige ferramenta, regras claras e treinamento!
Art. 21, Código Penal: “O desconhecimento da lei é inescusável.” Prevenção é essencial e exige ferramenta, regras claras e treinamento! 49

50 Diagnóstico Final – como está a Blindagem legal da TI?
Precário controle de identidades na rede, ou seja, há mais usuários que pessoas, há usuários ativos de pessoas não mais legítimas, não há servidores de logs ou a guarda dos logs na rede não é adequada então não se consegue ter a tão necessária prova jurídica de autoria quando ocorre um incidente; Falta de treinamento das equipes técnicas para resposta a incidentes e saber coletar as provas eletrônicas, que devem ser preservadas rapidamente bem como de orientação sobre postura, ou seja, de ter um “Código de Ética da TI” (quem vigia o vigia); Falta de cultura interna de segurança da informação na alta cúpula e gestores, que acabam não dando o exemplo e geram uma situação de risco em cascata pois repercute nas equipes; Falta de conhecimento e controle maior do que está nas máquinas e na rede, muitas vezes questiona-se o investimento em softwares de monitoramento e varredura, o que é um grande risco, principalmente com a nova lei de Pedofilia; Falta de Normas e Procedimentos mais claros sobre Mobilidade (Mobile Office), ou seja, quais as regras para uso dispositivos de pendrive, notebook, smartphone, VPN, outros), o que inclui a falta de padrão e prática de uso de criptografia e controle de porta USB;

51 Diagnóstico atual de Blindagem legal da TI:
6. Falta de determinação de requisitos de segurança da informação para terceirizados, tanto definido em cláusulas contratuais como em um Código de Conduta do Terceirizado; 7. Falta de PCN ou o mesmo está incompleto, por exemplo, não prevê alguns incidentes que são causados por questões jurídicas e podem gerar paralisação e indisponibilidade, como a hipótese e se houver a busca e apreensão do servidor ou do proxy da empresa, o que deve ser feito (o tempo mínimo em que o equipamento fica a disposição da Justiça é de 3 meses); 8. Falta de definição clara sobre questões relacionadas a Redes Sociais, o que pode ou não ser usado e feito, seja dentro do trabalho ou fora, com alerta para prevenir situações de quebra de sigilo profissional, vazamento de informação, uso indevido da marca da empresa, associação da marca da empresa com conteúdo inadequados que podem repercutir negativamente na imagem da mesma (especialmente para empresas abertas em bolsa); 9. Falta de documentação dos incidentes com padronização e metodologia que permita criar uma base de dados de inteligência e assim identificar o “modus operandi” de um incidente para evitar que ocorra de novo.

52 Dicas Monitoramento Legal
Evitar Subjetividade e/ou Generalizações; Deixar claro o conceito de Identidade Digital (não apenas de senhas) e alinhar com alçadas e poderes; Deixar claro que há Monitoramento (e prever as duas hipóteses tanto para fins de segurança como de produtividade); Deixar claro que há inspeção Física de equipamentos da empresa, particulares e/ou de terceiros; Deixar claro que os recursos devem ser usados só para fins profissionais; Prever que a mera tentativa de Burlar também é uma infração as normas; Deixar clara proibição de infração de direitos autorais, prática de pirataria, pornografia, pedofilia, guarda, manuseio de conteúdos ilícitos ou de origem duvidosa e que a empresa vai colaborar com as autoridades; Tratar sobre a má conduta (infração mais ética do que jurídica); Prever a divulgação da norma; Deixar claro papéis e responsabilidades; Definir Aplicabilidade; Gerar assinatura física e/ou eletrônica do Termo de Ciência; Deixar claro que é a empresa que detém a propriedade dos Recursos, bem como direitos autorais das criações e demais proteções de ativos intangíveis; Reforçar dever de Confidencialidade e Sigilo; Determinar possibilidade de Processo Disciplinar; Determinar requisito de inserção de cláusulas específicas em contratos (se possível, atualizar contrato de trabalho para prever monitoramento); Prever procedimento de Resposta a Incidentes de SI (como coletar as provas sem cometer infração a Privacidade ou crime de interceptação. Tratar da questão da mobilidade; Implementar vacinas legais (avisos) nas próprias interfaces gráficas.

53 Responsabilidade Social
Movimento de Responsabilidade Social Digital CRIANÇA MAIS SEGURA NA INTERNET Patrocinadores: Cartilha Vídeos Dissemine essa idéia! 53

54 Referências - Site 54

55 NÃO FAÇA JUSTIÇA COM O PRÓPRIO MOUSE,
Entendemos que quando a sociedade muda, o DIREITO também deve mudar, evoluir. Este direito que surge é interdisciplinar, abrangendo todas as suas tradicionais áreas de atuação. Nasce, então, o DIREITO DIGITAL. NÃO FAÇA JUSTIÇA COM O PRÓPRIO MOUSE, BUSQUE A AJUDA DE UM ESPECIALISTA (5511) © PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados. 55 55