Quinta Security Night

A Quinta Security Night é uma iniciativa do POASEC em parceria com a FACCAT para o público em geral. Nesta edição serão abordados os seguintes temas:

  • 19h45min – Apresentação do grupo POASEC | Juliano Madalena
  • 20h00min – Introduzindo Segurança da Informação | Lucas Ismael Schnorr
  • 20h45min – Fraudes em Transações Eletrônicas | João Paulo Spader Back e Juliano Madalena
  • 21h30min – Gestão de Identidades | Micael Braga

 

O evento irá ocorrer no dia 18 de abril de 2013 no auditório do Campus da FACCAT.

Ingresso: 1kg (um quilo) de alimento não perecível.

Inscrições clique aqui.

5_SecurityNight_reduzido_01

Anúncios

POASEC OpenDay

O POASEC OpenDay é uma iniciativa de abrir os encontros mensais do POASEC para o público em geral. Nesta edição será abordado um tema que vem sendo amplamente debatido pela sociedade e legisladores: Segurança da Informação e Direito Digital vs. Crimes Cibernéticos.

Inscrições em http://www.poasecopenday.com/

Cibercrime – discussão sobre o Projeto de Lei 2793/2011

O Projeto de Lei número 2793/2011 dispõe sobre a tipificação criminal de delitos informáticos e pretende acrescentar no Código Penal os arts. 154-A e 154-B. O projeto é conhecido como Carolina Dickmann em referência à atriz que teve suas fotos íntimas divulgadas na Internet após a invasão do seu computador.

No art. 154-A fica disposto que sofrerá pena de detenção, de 3 (três) meses a 1 (um) ano, e multa quem devassar dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilícita.

O trecho abaixo destacado gera dúvida e opina-se pela sua exclusão, vejamos:

– […] mediante violação indevida de mecanismo de segurança […] ou seja, aquele dispositivo o qual não possuir qualquer medida de proteção não se enquadra no referido artigo, pois somente comete crime aquele que devassar dispositivo que esteja protegido e tenha sua proteção quebrada indevidamente.

Com a exclusão do trecho supramencionado, teríamos “Devassar dispositivo informático alheio, conectado ou não a rede de computadores, com o fim de obter, adulterar ou destruir dados […]”.

Desta forma, não se exige do dispositivo violado qualquer segurança.

Lembra-se que é indispensável sejam tomadas todas medidas de proteção dos dispositivos informáticos, mas com a exclusão do trecho acima referido, aqueles mais desatentos também estão protegidos.

Deve-se atentar também que pode praticar crime aquele que não viola mecanismo de segurança por já possuir sua senha ou o meio de desativação deste, como por exemplo, para os casos de manutenção.

O parágrafo primeiro do mesmo artigo, também gera dúvida quando fala que “na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prática da conduta definida no caput.”.

Na verdade, a discussão que surge neste parágrafo é que se estaria inibindo a pesquisa e criação de programas que testam a segurança de aplicações ou dispositivos, pois o pesquisador sofreria também a pena do referido artigo se o programa fosse utilizado para alguma das condutas citadas anteriormente.

No meu entendimento é desnecessário qualquer alteração neste parágrafo, pois a intenção e ao o que se destina o programa deve estar definido e destacado nos termos de uso do programa.

Para utilizar o referido programa deverá o usuário aceitar seus termos de uso. Caso concorde e o utilize de forma indevida, responderá criminalmente por isto.

Me pergunto se não estaria cometendo crime quem obter, adulterar ou destruir dados ou informações de ferramentas como Dropbox, Google Drive ou até mesmo Facebook? Ou o “dispositivo informático” referido no caput do artigo refere-se a estas ferramentas também? Acredito que não e poderia o Projeto de Lei já prever tal prática.

Por fim, lembra-se que todos os crimes definidos neste artigo somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.

Aspectos sobre a Lei 12.682 – parte 2

Neste artigo finalizaremos a análise sobre a Lei 12.682. No artigo anterior analisamos os três primeiros artigos da Lei, passando agora para os últimos cinco artigos num total de oito.

No art. 4º está disposto que as empresas privadas ou os órgãos da Administração Pública direta ou indireta que utilizarem procedimentos de armazenamento de documentos em meio eletrônico, óptico ou equivalente deverão adotar sistema de indexação que possibilite a sua precisa localização, permitindo a posterior conferência da regularidade das etapas do processo adotado.

Neste artigo simplesmente exige-se um sistema que facilite ao usuário pesquisar, localizar e visualizar os documentos armazenados. A indexação é um dos elementos mais importantes para um gerenciador eletrônico de documentos (GED).

O art. 5º, também VETADO, dispõe que decorridos os respectivos prazos de decadência ou prescrição, os documentos armazenados em meio eletrônico, óptico ou equivalente poderão ser eliminados.

Ora, se os documentos “perderam sua vida útil”, nada adianta permanecerem armazenados, mesmo que no meio eletrônico, pois estariam também ocupando espaço desnecessariamente.

Vale lembrar que para uma boa gestão de documentos deve-se, tanto para os documentos armazenados em papel, quanto para os documentos armazenados no meio eletrônico, criar uma tabela/política de prazo de armazenamento para cada documento de acordo sua importância e “vida útil”.

Os registros públicos originais, ainda que digitalizados, deverão ser preservados de acordo com o disposto na legislação pertinente, é o que exige o art. 6º da Lei.

O art. 7º, um dentre os mais importantes da Lei, foi VETADO. Nele está disposto que os documentos digitalizados nos termos da Lei terão o mesmo efeito jurídico conferido aos documentos microfilmados, consoante a Lei no 5.433, de 8 de maio de 1968, e regulamentação posterior.

O artigo sétimo é mais um que ao ser vetado faz desta Lei uma Lei ineficaz.

Como razões para os vetos estão:

“Ao regular a produção de efeitos jurídicos dos documentos resultantes do processo de digitalização de forma distinta, os dispositivos ensejariam insegurança jurídica. Ademais, as autorizações para destruição dos documentos originais logo após a digitalização e para eliminação dos documentos armazenados em meio eletrônico, óptico ou equivalente não observam o procedimento previsto na legislação arquivística. A proposta utiliza, ainda, os conceitos de documento digital, documento digitalizado e documento original de forma assistemática. Por fim, não estão estabelecidos os procedimentos para a reprodução dos documentos resultantes do processo de digitalização, de forma que a extensão de efeitos jurídicos para todos os fins de direito não teria contrapartida de garantia tecnológica ou procedimental que a justificasse.”

Avaliando que os problemas destacados acima são de fácil solução, poderia o legislador buscar ajuda de um profissional especializado da área de tecnologia da informação e solucioná-los.

Talvez não fosse necessária tanta “bagunça” no ordenamento jurídico, se os operadores do direito buscassem junto aos profissionais de TI um esclarecimento desse mundo que ainda necessita de legislação específica.

O art. 8 simplesmente dispõe que a Lei entra em vigor na data de sua publicação.

Por fim, a Lei 12.682 de 09 de julho de 2012 não serve praticamente de nada.

CIOs devem dialogar mais com seus Diretores Jurídicos

CIOs e diretores jurídicos (CLO) têm muito a falar sobre ​​privacidade de dados, e-discovery e políticas para dispositivos móveis, só para citar alguns tópicos. Mas uma pesquisa recente do Gartner com 70 diretores jurídicos de grandes companhias nos Estados Unidos descobriu que mais de metade (51%) deles disseram não conversar com os CIOs mais do que uma vez por mês.

O relatório do Gartner recomenda que os CIOs e os diretores jurídicoss tenham reuniões frequentes e que abordem os assuntos em profundidade, para que possam construir um relacionamento melhor e compreender os requisitos, capacidades e as questões pendentes de lado a alado. Dos diretores jurídicos que conversam com seus CIOs mais do que uma vez por mês, disseram ter mudado suas estratégias jurídicas ou políticas corporativas após a conversa.

O estudo descobriu ainda que os entrevistados consideram os CIOs importantes parceiros estratégicos. “A gestão de riscos é uma preocupação cada vez mais importante paraos diretores jurídicos , e eles reconhecem que ela requer uma participação significativa de TI”, diz o relatório do Gartner.

Muitos diretores jurídicos se queixam de que “os CIOs não são envolvidos cedo o suficiente e com a profundidade suficiente em atividades como fusões e aquisições”, diz o relatório.

Do outro lado, os CIOs, de um modo geral eles estão satisfeitos com o suporte da área jurídica às atividades padrão de TI, e menos satisfeitos com suporte para tecnologias específicas, tais como e-discovery e disputas litigiosas.

O chefe de departamento jurídico pode ainda ser a chave em vários aspectos das organizações: na promoção do respeito pela privacidade de dados, na explicitação das disposições sobre a descoberta de informação, na criação de políticas para o uso de dispositivos móveis da empresa. A relação correta entre CIO e os responsáveis jurídicos pode gerar estratégias mais fortes nestas áreas.

O Gartner recomenda a realização de reuniões regulares e frequentes entre o CIO e os chefes de departamento jurídico. De acordo com os resultados do estudo, nas empresas onde se verifica essa relação, os CIO têm adaptado as suas estratégias jurídicas e políticas de negócios seguindo as recomendações dessas equipas. Trata-se da de que há essa necessidade de conhecer os aspectos legais.

Janis O’Bryan, CIO da imobiliária Hudson Advisors, diz que ela se reúne com sua equipe jurídica regularmente para debater temas como os regulamentos da da SEC e regras de privacidade de dados globais.

O’Bryan acrescenta que mantém uma pessoa em sua equipe de TI é responsável por e-discovery. “Temos de lidar com os mutuários insatisfeitos e angustiados, com dívida, por isso estamos constantemente do apoio da nossa equipe jurídica”, diz ela.

A chave para um melhor relacionamento TI-legal é a de quebrar barreiras linguísticas, diz O’Bryan. A

TI não deve apenas explicar questões de tecnologia para a área jurídica, mas também “se informar sobre os riscos e traduzir isso para linguagem de negócios para que a equipe jurídica possa entender.”

O CIO está especializado em linguagem técnica e funda as suas análises no ponto de vista da tecnologia. Mas a área jurídica também têm a sua linguagem técnica. É preciso transpor as barreiras de linguagem entre as áreas.

Fonte: cio.uol.com.br.

POASEC.org

Desde agosto faço parte do POASEC, cujo acrônimo significa Pessoas Organizadas Almejando Segurança, Ética e Cultura, é um projeto iniciado em Maio de 2010 na região de Porto Alegre, Rio Grande do Sul, com o objetivo de difundir a Segurança da Informação. Atualmente, conta com mais de 170 membros, por todo o país, entre especialistas, pesquisadores, professores universitários, alunos, interessados em geral, inclusive policiais, advogados, militares e funcionários de grandes empresas de diversos setores como Alimentação, Financeiro, Indústria, Militar, Saúde, Telecomunicações e Serviços.

Com o grande número de membros bastante capacitados, o projeto trará ótimos resultados e benefícios a sociedade. Espero colaborar com a equipe.

Fonte: http://www.poasec.org

Aspectos sobre a Lei 12.682 – parte 1

A Lei de 09 de julho de 2012 dispõe sobre a elaboração e o arquivamento de documentos em meios eletromagnéticos. Faremos uma análise rápida ao texto da Lei, bem como sua aplicabilidade. Esta análise será feita em etapas, nesta primeira parte serão analisados os três primeiros artigos da Lei. Dos oito artigos que compõem a Lei, três tiveram seus textos vetados.

No caput, ou seja, no texto principal do art. 1º está disposto que tudo relativo à digitalização, armazenamento em meio eletrônico, óptico ou equivalente e a reprodução de documentos públicos e privados serão regulados pela Lei. Conforme o parágrafo único do art. 1º a digitalização é a conversão da fiel imagem de um documento para o código digital, ou seja, pode ser feita utilizando máquinas fotográficas, scanners, celulares e outros dispositivos capazes de cumprir esta função.

Dentre os artigos vetados está o art. 2º, o qual propunha a autorização do armazenamento em meio eletrônico, óptico ou equivalente, de documentos públicos e privados, sejam eles compostos por dados ou imagens, observadas as disposições da própria Lei e da regulamentação específica.

Os parágrafos 1º e 2º do artigo acima referido dispõem fatores interessantes e que realmente tornariam eficaz o processo de digitalização de tais documentos, pois o primeiro permitiria a destruição do original, após comprovada a integridade do documento, ou seja, de que a imagem é fiel, ressalvados, claro, os documentos de valor histórico, os quais sua preservação deve ser observada na legislação pertinente.

Já o segundo propunha que o documento digital e sua reprodução, em qualquer meio, desde que procedida conforme a Lei em análise teriam o mesmo valor probatório do documento original, para todos fins de direito.

Ao vetar o referido artigo, a lei perde aproximadamente 35% de sua “eficácia”, de forma que não permite o armazenamento dos documentos em meios eletrônicos e posteriormente a eliminação do original.

No art. 3º determina-se que o processo de digitalização deve observar os elementos de integridade, autenticidade e, se necessário, confidencialidade do documento, empregando o certificado digital emitido pela Infraestrutura de Chaves Públicas Brasileira (ICP Brasil).

Em seu parágrafo único atenta-se para o fato de que os meios de armazenamento dos documentos digitais deverão protegê-los de acesso, uso, alteração, reprodução e destruição não autorizados.

Se houvesse integração entre estes três primeiros artigos poderíamos gozar de benefícios como:

– não deterioração dos documentos pelo tempo;

– acesso, a qualquer lugar e tempo, aos documentos armazenados;

– armazenamento seguro, desde que implantados métodos corretos.

Resumindo esta primeira parte, o art. 2º, que traria mudanças interessantes no modo de armazenamento dos documentos do formato de papel para o formato digital, foi vetado e, desta forma, integra-se ao ordenamento jurídico mais uma Lei que não cumpre suas expectativas.

Resolução de conflito de domínio pela WIPO (OMPI)

Com a criação de um novo meio de comunicação, se é que assim podemos chamar a www (World Wide Web – Rede de alcance mundial), surge também os famosos domínios. Os domínios são endereços que ao serem digitados em um navegador direcionam a um determinado servidor que possui um número específico e exibe algum conteúdo. A criação dos domínios foi para justamente evitar que tivéssemos que decorar uma sequência de números. Aí, após o grande sucesso da Web, surge a “concorrência” pela utilização de domínios. Vejamos:

A compra de um domínio pode ser feita por qualquer pessoa através da própria Internet mediante pagamento de um determinado valor, caso este não seja gratuito.

Optar e comprar um nome de domínio não exige nenhum requisito além da disponibilidade do nome e da criatividade para escolhê-lo. Por exemplo: caso o domínio http://www.apple.com estivesse disponível, qualquer um poderia comprá-lo sem qualquer justificativa de uso.

Essa liberdade gerou uma “moeda” de troca para os primeiros usuários da Web, pois muitos adquiriam domínios de empresas renomadas e nem os utilizavam. O único propósito era vendê-los posteriormente por um valor muito superior e obter lucro. Essa prática ainda acontece, principalmente pela falta de conhecimento e suporte jurídico dos interessados.

Um método de resolução da disputa pelo nome de domínio é recorrer a WIPO/OMPI (World Intellectual Property Organization/Organização Mundial de Propriedade Intelectual) que é vinculada a ONU (Organização das Nações Unidas).

O serviço não é novo, pois é prestado desde 1999, porém, não é de conhecimento de todos.

A empresa que entender ter direito sobre determinado domínio deverá requerer sua propriedade diretamente no site da organização. Não se trata de um processo judicial, mas um centro de arbitragem e mediação.

O “processo” é extremamente rápido, pois os julgamentos ocorrem, em média, dentro de 3 (três) meses. Primeiramente, o interessado encaminha seu requerimento especificando o domínio e suas razões. Após, o atual proprietário do domínio é notificado para responder e, por fim, árbitros analisam o caso e dão seu parecer, decidindo-o.

A medida se torna interessante pelo fator tempo, uma vez que a decisão é dada rapidamente quando comparado a um processo judicial e não há o pagamento de indenização à parte contrária. O custo médio dessa medida é de U$ 2.000 (dois mil dólares).

Artigo publicado originalmente no Boletim Informativo da Biason Advocacia e Assessoria Empresarial, disponível para download em http://www.biason.com.br.

Política de segurança das informações

Não é novidade que as organizações ativas no mercado atual convivem num espaço altamente competitivo e globalizado e, consequentemente, a informação tem ganho uma supervalorização, sendo considerada por muitos o mais valioso ativo das empresas.

Desta forma, fica claro que a informação é de suma importância para a tomada de decisão dos negócios da empresa, inclusive para seus concorrentes. Evidente, portanto, seja necessário um plano de proteção de toda informação, haja vista que seu vazamento poderá causar prejuízos à empresa.

Conforme Moresi a importância da informação é diretamente proporcional ao seu papel no processo decisório.

Grande parte das empresas que se preocupam com a política de segurança das informações, também conhecida como PSI, são empresas de grande porte. A política de segurança da informação deve ser implantada desde a empresa de pequeno porte até a de grande porte, pois todas possuem informações de valor. Órgãos e entidades públicas também atentam à política de segurança da informação.

Recentemente o Ministério da Ciência, Tecnologia e Inovação instituiu o Comitê de Segurança da Informação e Comunicações (CSIC) através da portaria de número 384, de 30 de maio de 2012. Em 13 de junho de 2000 a Presidência da República instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal através do decreto número 3.505.

Muito mais sensíveis que o Poder Público, empresas privadas devem atentar à sua política de segurança das informações resguardando um de seus mais valorosos ativos. Aquelas que não a tem, devem começar a discutir sobre o assunto.

Aspectos da BITS 2012

Durante os dias 15 de 17 de maio de 2012 ocorreu a Business IT South America (BITS) que trouxe as mais recentes novidades e soluções em Tecnologia da Informação e Comunicação. A segunda edição da feira brasileira já se encontra como encontro anual registrado no calendário da CeBIT – maior feira de TIC do mundo.

Conforme diretor da Hannover Fairs Sulamerica, organizadora da BITS em parceria com a Federação e o Centro das Indústrias do Rio Grande do Sul (FIERGS/CIERGS), “a CeBIT é o mais importante evento do setor. Por isso, nada melhor do que realiza-la na América Latina, onde o crescimento desse mercado é o mais acentuado de todo o globo”.

Localizada no centro do Mercosul, Porto Alegre é um dos mais importantes polos de Tecnologia da Informação e Comunicação do País. Em 2012, quinze países confirmaram presença na feira.

Além da exposição é possível participar de palestras, painéis e discussões de cases sobre diversas áreas de TIC atual.

Estive presente nas duas edições da feira, porém a segunda edição não aparentava ser maior do que a primeira, salientando ao fato do Brasil ser país destaque na feira de Hannover no início do ano.

Esperamos para 2013 maior participação das empresas do ramo tecnológico na feira.

Maiores informações em http://www.fiergs.org.br ou http://www.bitsouthamerica.com.br