SEMINRIO RNP de CAPACITAO e INOVAO - SCI

Segurana da Informao e Comunicaes na APF

16 SIC 2010 CURITIBA-PR

Eduardo Wallier Vianna

CTIR Gov CTIR.gov

CTIR Gov CTIR.gov

AGENDA
APF
CGTIR - CTIR Gov

Aes em andamento
Aspectos Jurdicos

CTIR Gov CTIR.gov

Ameaas e Vulnerabilidades

CTIR Gov CTIR.gov

Ameaas e Vulnerabilidades

CTIR Gov CTIR.gov

ADMINISTRAO PBLICA FEDERAL

- 39 ministrios - 6.000 entidades pblicas - 926.800 servidores federais - Executivo
Administrao direta = 225.412 Empresas Pblicas= Autarquias e Fundaes= 328.217 Soc. de Economia Mista = MPU = 8.384 Militares= 23.036 12.068 325.683

320 principais redes do governo federal e, - 12.000 sites .gov.br (+ de 6 milhes pginas)

CTIR Gov CTIR.gov

GABINETE DE SEGURANA INSTITUCIONAL

Secretaria Executiva do Conselho de Defesa Nacional Presidente do Conselho Nacional Anti-Drogas

GSI-PR

MC-MEC-MCT
SecretariaExecutiva

Cmara de Relaes Exteriores e de Defesa Nacional

Departamento de Segurana da Informao e Comunicaes

Secretaria de Assuntos Militares

Secretaria Nacional Anti-Drogas

Agncia Brasileira de Inteligncia

Secretaria de Acompanhamento e Estudos Institucionais

CTIR Gov CTIR.gov

COMPETNCIAS
(Lei n 10.683, de 29 de maio de 2003)

Coordenao da Inteligncia Federal e atividades de Segurana da Informao.

DSIC/GSI
Decreto 5772 de 08 de maio de 2006 Decreto 6931 de 11 de agosto de 2009

Planejar e Coordenar a execuo das atividades de Segurana da Informao e Comunicaes na Administrao Pblica Federal.

CTIR Gov CTIR.gov

Centro de Pesquisas e Desenvolvimento para a Segurana das Comunicaes (CEPESC)

Diretor
Gabinete

Comit Gestor de Segurana da Informao (CGSI)

Assessoria Jurdica

Grupo de Apoio Tcnico (GAT)

Coordenao-Geral de Gesto de SIC (CGGSIC)

Coordenao-Geral de Tratamento de Incidente de Redes (CGTIR)

Coordenao-Geral do Sistema de Segurana e Credenciamento (CGSISC)

CTIR Gov CTIR.gov

GESTO DE INCIDENTES NA APF

Fim de 2004 a 2006

CTIR Gov cumpriu misso sem amparo documental

Misso CGTIR (Art. 39, da Port. 13, de 04Ago2006/GSI)

Operar e manter o CTIR Gov Promover intercmbio Apoiar rgos e entidades da APF Monitorar e analisar os incidentes da APF Implementar mecanismos de avaliao de danos Apoiar, incentivar e contribuir para a capacitao

CTIR Gov CTIR.gov

AGENDA
APF
CGTIR - CTIR Gov

Aes em andamento
Aspectos Jurdicos

CTIR Gov CTIR.gov

RELACIONAMENTOS
CTIR Gov

Visibilidade internacional do CTIR Gov

Centros de resposta com Representao Nacional

Viso Nacional:
Centros da APF Centros Universitrios Centros Privados

Fonte: http://www.cert.org/cert/map_open.html

CTIR Gov CTIR.gov

GESTO DE INCIDENTES
Coordenao-Geral de Tratamento de Incidentes em Redes

CTIR Gov CTIR.gov

TIPO DE TRABALHO

Automtico

Notificao de vrus-trojans-worms Notificao de IDS (filtradas)

Semi-Automtico

Notificao de stios desfigurados/abusados

Manual

Notificao de phishing que chegou no destino Outros incidentes, consultas etc

CTIR Gov CTIR.gov

ESTATSTICAS
Notificaes enviadas (recebidas de robs do CTIR Gov):

Desfiguraes e abusos de stios ".gov.br"

120

100

80

60

40

20

0 Janeiro Fevereiro Maro Abril Maio Junho Julho

CTIR Gov CTIR.gov

PHISHING - APF

CTIR Gov CTIR.gov

PHISHING - APF

CTIR Gov CTIR.gov

OBJETIVOS DOS MALWARES na APF

2% 6% 7%

ROUBO DE INFO BANCRIAS ROUBO DE INFO PESSOAIS ROUBO DE INFO DA INFOSEG BOTNET OTROS

25%

60%

Fonte: CTIR Gov 2009

CTIR Gov CTIR.gov

PROCESSAMENTO DE ATAQUE TPICO

Computador Alvo

Mquina Controle de Infeces Mquina Spammer Phishing Acesso indevido (Idt da vtima)

Repositrio de Dados
Phishing

CTIR Gov CTIR.gov

TIPO DE TRABALHO
Exemplos de notificaes

CTIR Gov CTIR.gov

TIPO DE TRABALHO
Computador Alvo

Mquina Controle de Infeces

Mquina Spammer

Phishing

Tratamento de Incidentes
Acesso indevido (Idt da vtima)

Phishing

Repositrio de Dados

CTIR Gov CTIR.gov

RESULTADOS DA GESTO DE TRATAMENTO DE INCIDENTES

Resposta adequada aos incidentes de segurana (servios reativos); Reduo de riscos e impactos (servios pr-ativos); Formao de uma base de conhecimento e uma referncia de fcil acesso; Formao de uma Rede de Colaboradores; Formao de vulnerabilidades; conhecimento sobre riscos e

Acompanhamento de iniciativas nacionais e internacionais na rea da segurana e no tratamento de incidentes; CTIR Gov CTIR.gov

AGENDA
APF

CGTIR - CTIR Gov

Aes em andamento

Aspectos Jurdicos

CTIR Gov CTIR.gov

ACRDO N. 1603 15/08/08 TCU

48% no possui procedimentos de controle de acesso 64% no tem poltica de segurana da informao 64% no tem rea especfica de segurana da informao 75% no adota anlise de riscos

76% no tem gesto de incidentes

80% no classifica as informaes 84% no utiliza gesto de capacidade 88% no usa gesto de mudanas 88% no tem plano de continuidade de negcio

CTIR Gov CTIR.gov

ACRDO N 2471 05/11/08 TCU

Recomendar
ao Gabinete de Segurana Institucional da Presidncia da Repblica que: Crie procedimentos para elaborao de Polticas de Segurana da Informao, Polticas de Controle de Acesso, Polticas de Cpias de Segurana, Anlises de Riscos e Planos de Continuidade do Negcio; e Identifique boas prticas relacionadas segurana da informao, difundindo-as na Administrao Pblica Federal.

CTIR Gov CTIR.gov

CULTURA DE SIC NA APF

ATIVIDADE

METODOLOGIA

ALVO

REALIZADO

Sensibilizao

Palestras e Congressos

1.000.000

25.517

Conscientizao

Seminrios e Oficinas

100.000

4.363

Capacitao

Cursos de Fundamentos

10.000

595 150

Especializao

Cursos ps-graduao

1000

80 193

CTIR Gov CTIR.gov

NORMATIVAS DE GESTO DE SIC-APF

Normas de SIC aprovadas e publicadas:
IN GSI 01, de 13 de junho de 2008 Gesto SIC APF NC 01, de 14 de outubro de 2008 Normalizao NC 02, de 15 de outubro de 2008 Metodologia NC 03, de 03 de julho de 2009 POSIC NC 04, de 17 de agosto de 2009 - GRSIC NC 05, de 17 de agosto de 2009 ETIR NC 06, de 11 de novembro de 2009 GCN NC 07, de 14 de abril de 2010 CASIC NC 08, de 24 de agosto de 2010 Gesto de ETIR

Normas em estudo: Manual do Gestor de SIC (2010); e Uso de

criptografia na APF (2010).

CTIR Gov CTIR.gov

INSTRUO NORMATIVA N 01

CTIR Gov CTIR.gov

INSTRUO NORMATIVA N 01
Art. 3 Atribuies do GSI
Ao Gabinete de Segurana Institucional da Presidncia da Repblica GSIPR, por intermdio do Departamento de Segurana da Informao e Comunicaes DSIC, compete:

I - planejar e coordenar as atividades de segurana da informao e comunicaes na Administrao Pblica Federal, direta e indireta;
II - estabelecer normas definindo os requisitos metodolgicos para implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos e entidades da Administrao Pblica Federal, direta e indireta;

III - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da Administrao Pblica Federal, direta e indireta, denominado CTIR.GOV;
IV - elaborar e implementar programas destinados conscientizao e capacitao dos recursos humanos em segurana da informao e comunicaes; V - orientar a conduo da Poltica de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta; VI - receber e consolidar os resultados dos trabalhos de auditoria de Gesto de Segurana da Informao e Comunicaes da Administrao Pblica Federal, direta e indireta;

VII - propor programa oramentrio especfico para as aes de segurana da informao e comunicaes. CTIR Gov CTIR.gov

INSTRUO NORMATIVA N 01
Art. 3 Atribuies do GSI
Ao Gabinete de Segurana Institucional da Presidncia da Repblica GSIPR, por intermdio do Departamento de Segurana da Informao e Comunicaes DSIC, compete:

I - planejar e coordenar as atividades de segurana da informao e comunicaes na Administrao Pblica Federal, direta e indireta;
II - estabelecer normas definindo os requisitos metodolgicos para implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos e entidades da Administrao Pblica Federal, direta e indireta;

III - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da Administrao Pblica Federal, direta e indireta, denominado CTIR.GOV;
IV - elaborar e implementar programas destinados conscientizao e capacitao dos recursos humanos em segurana da informao e comunicaes; V - orientar a conduo da Poltica de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta; VI - receber e consolidar os resultados dos trabalhos de auditoria de Gesto de Segurana da Informao e Comunicaes da Administrao Pblica Federal, direta e indireta;

VII - propor programa oramentrio especfico para as aes de segurana da informao e comunicaes. CTIR Gov CTIR.gov

INSTRUO NORMATIVA N 01 Art. 5 Atribuies dos demais rgos

Aos demais rgos e entidades da Administrao Pblica Federal, direta e indireta, em seu mbito de atuao, compete: I - coordenar as aes de segurana da informao e comunicaes; II - aplicar as aes corretivas e disciplinares cabveis nos casos de quebra de segurana;

III - propor programa oramentrio especfico para as aes de segurana da informao e comunicaes;
IV - nomear Gestor de Segurana da Informao e Comunicaes; V - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais; VI - instituir Comit de Segurana da Informao e Comunicaes; VII - aprovar Poltica de Segurana da Informao e Comunicaes e demais normas de segurana da informao e comunicaes;

VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gesto de Segurana da Informao e Comunicaes para o GSIPR. CTIR Gov CTIR.gov

INSTRUO NORMATIVA N 01 Art. 7 Atribuies do Gestor de SIC

Ao Gestor de Segurana da Informao e Comunicaes, no mbito de suas atribuies, incumbe: I - promover cultura de segurana da informao e comunicaes; II - acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana; III - propor recursos necessrios s aes de segurana da informao e comunicaes; IV - coordenar o Comit de Segurana da Informao e Comunicaes e a equipe de tratamento e resposta a incidentes em redes computacionais; V - realizar e acompanhar estudos de novas tecnologias, quanto a possveis impactos na segurana da informao e comunicaes; VI - manter contato direto com o DSIC para o trato de assuntos relativos segurana da informao e comunicaes; VII - propor normas relativas segurana da informao e comunicaes.

CTIR Gov CTIR.gov

INSTRUO NORMATIVA N 01

Art. 8 O cidado, como principal cliente da Gesto de Segurana da Informao e Comunicaes da Administrao Pblica Federal, direta e indireta, poder apresentar sugestes de melhorias ou denncias de quebra de segurana que devero ser averiguadas pelas autoridades.

CTIR Gov CTIR.gov

NC n 03 - POSIC
PORTARIA N 29, DE 30 DE JUNHO DE 2009

Homologa a Norma Complementar n 03/IN01/DSIC/GSIPR.

O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA REPBLICA, na condio de SECRETRIO-EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuio que lhe confere o Art. 4 do Decreto n 3.505, de 13 de junho de 2000, e o inciso IV do art. 1 do Anexo I do Decreto n 5.772, de 08 de maio de 2006, resolve: Art. 1 Fica homologada a Norma Complementar n 03 que estabelece diretrizes para elaborao de Poltica de Segurana da Informao e Comunicaes nos rgos e entidades da Administrao Pblica Federal, aprovada pelo Diretor do Departamento de Segurana da Informao e Comunicaes. Art. 2 Esta portaria entra em vigor na data de sua publicao. JORGE ARMANDO FELIX

CTIR Gov CTIR.gov

NC n 03 - POSIC
A POSIC um documento que registra as diretrizes estratgicas, responsabilidades, competncias e o apoio para implementar a gesto de SIC da APF. - visa viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informao (DICA). - Expressa a importncia que a Organizao d para a informao.

- Declara o comprometimento da alta direo Organizao para implementar a gesto de SIC.

- Informa o que deve ser feito na Organizao.

da

CTIR Gov CTIR.gov

NC n 03 - POSIC

O que deve ser contemplado?

Pessoas

Tecnologia

Ambiente

Processos

Ativos de Informao

CTIR Gov CTIR.gov

NC n 03 - POSIC Itens recomendados

Escopo
Conceitos e definies Referncias legais e normativas Princpios Diretrizes Gerais Penalidades Competncias e Responsabilidades Atualizao

CTIR Gov CTIR.gov

NC n 05 - ETIR
PORTARIA N 38, DE 14 DE AGOSTO DE 2009

Homologa a Norma Complementar n 05/IN01/DSIC/GSIPR.

O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA REPBLICA, na condio de SECRETRIO-EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuio que lhe confere o Art. 4 do Decreto n 3.505, de 13 de junho de 2000, e o inciso IV do art. 1 do Anexo I do Decreto n 5.772, de 08 de maio de 2006, resolve: Art. 1 Fica homologada a Norma Complementar n 05/IN01/DSIC/GSIPR que

a criao de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR nos rgos e entidades da Administrao Pblica Federal, aprovada pelo Diretor do
disciplina Departamento de Segurana da Informao e Comunicaes, em anexo. Art. 2 Esta portaria entra em vigor na data de sua publicao. JORGE ARMANDO FELIX

CTIR Gov CTIR.gov

NC n 05 - ETIR

Responsabilidade Os Gestores de Segurana da Informao e Comunicaes so os responsveis por coordenar a instituio, implementao e manuteno da infra-estrutura necessria s Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais. Definio da Misso A misso deve fornecer uma breve e inequvoca descrio dos objetivos bsicos e a funo da ETIR.

CTIR Gov CTIR.gov

NC n 05 - ETIR

Modelo de Implementao Cada rgo ou entidade dever estabelecer aquele que melhor se adequar s suas necessidades e limitaes. Utilizando a equipe de Tecnologia da Informao - TI Centralizado Descentralizado Combinado ou Misto

CTIR Gov CTIR.gov

NC n 05 - ETIR
Estrutura Organizacional A estrutura depender do modelo de implementao a ser adotado, do tamanho da organizao, do nmero de localizaes geogrficas, do nmero de sistemas e plataformas suportadas, do nmero de servios a serem oferecidos e do conhecimento tcnico do pessoal existente.

Autonomia da ETIR A autonomia descreve o escopo de atuao e o nvel de responsabilidade que a Equipe tem sobre as suas prprias aes e sobre as atividades de resposta e tratamento dos incidentes na rede de computadores. Autonomia Completa Autonomia Compartilhada Sem Autonomia

CTIR Gov CTIR.gov

NC n 05 - ETIR
Anexo A Documento de Constituio da ETIR A fim de regulamentar o funcionamento da ETIR, os rgos e entidades da APF devero elaborar e publicar o Documento de Constituio da ETIR, alinhado com a Poltica de Segurana da Informao e Comunicaes, devidamente aprovado pela Alta Administrao do rgo ou entidade. No documento de constituio da ETIR devero constar, no mnimo, os seguintes pontos: Misso; Comunidade ou pblico alvo; Modelo de implementao; Estrutura organizacional; Autonomia da ETIR; Servios que sero prestados.

CTIR Gov CTIR.gov

MUITO OBRIGADO !

Eduardo Wallier Vianna

Coordenador Geral de Tratamento de Incidentes de Rede

cgtir@planalto.gov.br http://www.ctir.gov.br ctir@ctir.gov.br (para as Notificaes)

http://dsic.planalto.gov.br - NORMAS

CTIR Gov CTIR.gov

AGENDA
APF
CGTIR - CTIR Gov

Aes em andamento
Aspectos Jurdicos

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

O QUE UM ASSESSOR JURDICO TERIA A TRANSMITIR DIANTE DO CONTEDO AT ENTO APRESENTADO? VOC J DIGITOU SEU NOME NO GOOGLE HOJE?
Condenado 1 instncia e absolvido em 2 / ao de despejo

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

YouTube multado por manter vdeo considerado ofensivo por Netinho Empresa dever pagar multa de R$ 30 mil. Companhia ainda pode recorrer da deciso. Google ainda pode recorrer de deciso favorvel ao cantor Netinho. A Justia Eleitoral multou em R$ 30 mil o Google Brasil por no ter retirado do YouTube um vdeo considerado ofensivo pelo cantor e candidato do PC do B derrotado nas eleies para o Senado em So Paulo, Netinho de Paula. O valor da ao movida por Netinho e pela coligao Unio para Mudar, formada pelos partidos PRB, PDT, PT, PTN, PR, PSDC, PRTB, PRP, PC do B e PT do B, exige que a empresa pague uma multa no valor de R$ 30 mil. Alm da multa, a empresa ter que pagar R$ 10 mil dirios, do dia 1 de outubro at a eleio, pelo descumprimento da liminar que exigia a retirada do vdeo. De acordo com a sentena publicada no site do Tribunal Regional Eleitoral de So Paulo, o juiz auxiliar da propaganda eleitoral Mrio Devienne Ferraz considerou que o vdeo tem contedo ofensivo, porque atribui ao candidato representante [Netinho] a prtica de agresses fsicas contra mulher e reprter humorstico. Ele considerou que o Google responsvel pelo "contedo prejudicial do site que hospeda, ainda que seja apenas provedor de hospedagem". Segundo o juiz, o Google deveria retirar o vdeo do YouTube "quando tiver cincia comprovada do ilcito". O Google ainda pode recorrer da deciso. Procurado pelo G1, o Google, por meio de sua assessoria de imprensa, afirmou no ter conhecimento da multa e que "estudaria o caso". O G1 tambm entrou em contato com a assessoria de imprensa do candidato, mas no deu mais detalhes sobre o processo at o momento.
Fonte: http://g1.globo.com/tecnologia/noticia/2010/10/youtube-e-multado-por-manter-no-ar-video-considerado-ofensivo-por-netinho.html

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

Receita regulamenta medidas para disciplinar acesso a dados sigilosos Publicidade A Receita Federal publicou na edio desta quarta-feira do "Dirio Oficial da Unio" portaria para disciplinar o acesso a informaes fiscais sigilosas. De acordo com o texto, so autorizados a acessarem esses dados servidores que possuam permisso de acesso ou que pertenam aos quadros da Receita ou estejam prestando servios para o rgo ...(vazamento de informaes da receita). A norma aponta que so protegidas por sigilo informaes como: as atividades relativas a rendas, patrimnio, dbitos, crditos, dvidas e movimentao financeira e patrimonial; aquelas que revelem negcios, contratos e relacionamentos comerciais; as relativas a processos industriais. Essas informaes s podero ser acessadas por necessidade de ofcio do servidor autorizado. A portaria tambm discrimina quais dados no so protegidos por sigilo, como informaes cadastrais, por exemplo. No texto, a Receita informa que atitudes como acesso a bancos de dados sem permisso, assim como acessos sem justificativa, so considerados indevidos e passveis de punio que vo desde suspenso a at demisso. A atribuio de autorizao para acesso aos dados sigilosos ser realizada quando a ao for necessria para fins de fiscalizao, acompanhamento, investigao e outras medidas, respeitada a funo do servidor. A portaria ainda regulamenta a emisso de procuraes que o contribuinte poder realizar para que terceiros tenham acesso aos seus dados. As procuraes s podero ser feitas mediante sistema de certificao eletrnica obtida em cartrio. O texto ainda institui o Comit de Segurana da Informao Protegida por Sigilo Fiscal, responsvel por dirimir controvrsias e esclarecer dvidas sobre classificao, grau de sigilo fiscal e de informaes sob a guarda da Receita Federal. Esse rgo ser composto de representante das subsecretarias, da Coordenao-Geral de Pesquisa e Investigao e da Coordenao-Geral de Auditoria Interna.
Fonte: http://www1.folha.uol.com.br/poder/813847-receita-regulamenta-medidas-para-disciplinar-acesso-a-dados-sigilosos.shtml

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

Segurana da Informao: proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento (Decreto n 3.505, 13 de junho de 2000) Segurana da Informao e Comunicaes: aes que objetivam viabilizar e assegurar a disponibilidade (acessvel e utilizvel), a integridade (sem modificao ou destruio no autorizada ou acidental) , a confidencialidade (disponvel somente para autorizados)e a autenticidade (produzida, expedida, modificada ou destruda por determinada pessoa fsica, ou sistema, rgo ou entidade) das informaes (Instruo Normativa n 01/GSI, 13 de junho de 2000) Quebra de segurana: ao ou omisso, intencional ou acidental, que resulta no comprometimento da segurana da informao e das comunicaes (Instruo Normativa n 01/GSI, 13 de junho de 2000)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

A RESPOSTA EST NO FATO DE QUE OS CONCEITOS CITADOS REVELAM QUE SEGURANA DA INFORMAO E COMUNICAES NO SE RESTRINGE A TI E EST INTIMAMENTE RELACIONADO AO COMPORTAMENTO , POR VIA DE CONSEQUNCIA, DEVE-SE FALAR EM MUDANA DE COMPORTAMENTO. POTENCIAL LESIVO DA INTERNET VERBA VOLANT SCRIPTA MANENT

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

MAS DE QUE MUDANA ESTOU FALANDO?
EX. DIGA-ME COM QUEM ANDAS E TE DIREI QUEM S / DIGA-ME COM QUEM TECLAS OU COM QUEM SE RELACIONA NAS COMUNIDADES VIRTUAIS... EX. NO CONVERSE COM PESSOAS ESTRANHAS / MAS VOC SABE COM QUEM EST TECLANDO? OU COM QUEM SEU FILHO EST TECLANDO?????? EX. NO PEGUE O QUE NO SEU / CTRL C e CTRL V NO CONTEDO ALHEIO EX. SUA SENHA PESSOAL E INTRANSFERVEL? AONDE ELA EST ANOTADA? SUA SECRETRIA A CONHECE? SUA ESPOSA A CONHECE?

EX. DEIXAR O FERRO LIGADO OU A PORTA ABERTA AO SAIR DE CASA / E O COMPUTADOR LOGADO, COMO DEVO PROCEDER?
EX. JAMAIS ASSINE QUALQUER DOCUMENTO SEM LER O QUE EST ESCRITO / VC LEU O CONTRATO DE COMPRA DE SUA PASSAGEM AREA? EX. VOC LEU O CONTRATO DA CONTA GRATUITA DE E-MAIL? dados podem ser usados aps encerramento da conta; No se garante a segurana da informao em e-mail particular; Servio pode ser cancelado sem aviso prvio e sem back up. EX. CIDADE PEQUENA MENINA ENGRAVIDA MUDANA DA CIDADE / FILME OU FOTO NA INTERNET (PRIVACIDADE) SEM AUTORIZAO MUDO DE PLANETA?

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

MAS DE QUE MUDANA ESTOU FALANDO?
EX. FALAR MAL DO CHEFE NO CAFEZINHO / COMUNIDADE MEU CHEFE UM ... EX. DESABAFOS OU PROMESSAS CONJUGAIS FALADOS NO SO MEIOS DE PROVA SENO PROVADOS / E SE FOREM POSTADOS? ELES ESTO NA MQUINA. EX. NO ABRA A PORTA PARA ESTRANHOS / NO ABRA O E-MAIL DE ESTRANHOS EX. SEQUESTRO RELMPAGO COMUNIDADE DO FILHO: QUEM TEM O PAI MAIS RICO. EX. OS FINS NO JUSTIFICAM OS E-MAILS DISCUTIR VULNERABILIDADES ENTRE FUNCIONRIOS EM REDE PODE EXPOR UM RGO, AINDA QUE A INTENO SEJA A DE RESOLVER UM PROBLEMA. EX. QUEM TEM UM CELULAR? ELE TEM SENHA? COMO PROTEGER OS DADOS NELE CONTIDOS? EX. SEU CELULAR TIRA FOTOS? E O DIREITO DE IMAGEM?

EX. VOC TEM UM SMARTPHONE? J INSTALOU ANTIVRUS?

EX. DIREITOS AUTORAIS O CONTEDO DA MINHA PALESTRA PODE SER GRAVADO SEM AUTORIZAO? PARA USO PRPRIO? POSSO DISPONIBILIZAR O CONTEDO NA INTERNET? EX. DANIELA CICARRELI PORQU O CONTEDO POSTADO NA INTERNET FOI RETIRADO DO AR SE O LUGAR ONDE FOI GRAVADO ERA PBLICO? FOI EDITADO E OBJETIVOU LUCRO.

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

QUEM O DESTINATRIO DESSA MUDANA?

Servidor pblico todo aquele que, por fora de lei, contrato ou de qualquer ato jurdico, preste servios de natureza permanente, temporria ou excepcional, ainda que sem retribuio financeira, desde que ligado direta ou indiretamente a qualquer rgo do poder estatal, como as autarquias, as fundaes pblicas, as entidades paraestatais, as empresas pblicas e as sociedades de economia mista, ou em qualquer setor onde prevalea o interesse do Estado. (Cdigo de tica do Servidor Pblico)

Art. 327 (CP) - Considera-se funcionrio pblico, para os efeitos penais, quem, embora transitoriamente ou sem remunerao, exerce cargo, emprego ou funo pblica. 1 - Equipara-se a funcionrio pblico quem exerce cargo, emprego ou funo em entidade paraestatal, e quem trabalha para empresa prestadora de servio contratada ou conveniada para a execuo de atividade tpica da Administrao Pblica179. 2 - A pena ser aumentada da tera parte quando os autores dos crimes previstos neste Captulo forem ocupantes de cargos em comisso ou de funo de direo ou assessoramento de rgo da administrao direta, sociedade de economia mista, empresa pblica ou fundao instituda pelo poder pblico

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

QUEBRA DE SEGURANA QUE COMPROMETA A DICA IMPLICA EM RESPONSABILIDADE:

ADMINISTRATIVA CIVIL PENAL

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

CRIMES DIGITAIS OU CIBERNTICOS Ou Cybercrime consiste toda conduta criminosa em que o processamento eletrnico de dados serve como meio para a prtica do delito ou alvo desse ato
IMPRPRIOS conduta ilcita praticada atravs de um sistema informatizado (previstos no Cdigo Penal 95%). O processamento eletrnico o meio para cometimento do delito.

PRPRIOS s podem ser cometidos em meios eletrnicos.

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

IMPRPRIOS
Daqueles 95%, 70% das condutas so punidas eficientemente e o restante punido, mas com alguma deficincia. Ex. disseminar cdigo malicioso e como consequncia derruba-se uma rede. Tipo no especfico. Dano (pena inferior a um ano) - PL - crimes contra a honra: calnia (art. 138, CP); difamao (art. 139, CP); injria (art. 140, CP); - fraudes bancrias e de carto de crdito;

- pornografia infantil;
- falsificao e adulterao de dados e documentos a exemplo de cheques e cartes de crdito.

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

CTRL C / CTRL V
CP, art. 153 1: deteno de 1 a 4 anos e multa por crime de divulgao de informao sigilosa contida ou no nos sistemas ou bancos de dados da Administrao Pblica. CP, art. 154: deteno de 3 meses a 1 ano ou multa - violao de segredo profissional. CP, art. 184: deteno de 3 meses a 1 ano - Violao de Direito Autoral; Art. 195 da Lei 9.279/96 (Concorrncia desleal). crime de furto (um a quatro anos de RECLUSO)? Qual o momento da consumao? E CTRL X?

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

PRPRIOS (Substitutivo 89/03 ao PL 84/99) 1) Criar e propagar phishing forma de captao de dados de usurio estelionato eletrnico (art. 171); 2) Falsificar ou alterar dado eletrnico ou documento pblico (art. 297); 3) Falsificar ou alterar dado eletrnico ou documento particular carto de crdito (art. 298); 4) Dano destruir, inutilizar ou deteriorar coisa alheia ou dado eletrnico alheio pichar um site (art. 163)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

PRPRIOS (Substitutivo 89/03 ao PL 84/99) 5) Inserir ou difundir cdigo malicioso criar ou propagar vrus (art. 163-A); 6) Inserir ou difundir cdigo malicioso seguido de dano vrus derruba uma rede (art. 163-A); 7) Acessar redes ou sistemas expressamente protegidos sem autorizao invases a sistemas (art. 285-A); 8) Obter ou transferir informaes disponveis em redes ou sistemas sem autorizao invaso do sistema com apropriao de dados (art. 285-B);

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

PRPRIOS (Substitutivo 89/03 ao PL 84/99) 9) Divulgar ou usar indevidamente dados e informaes pessoais ter acesso autorizado a dados e informaes e utiliz-los de forma inadequada ou pblica sem autorizao (art. 154-A) 10) Atentado contra a segurana de servio de utilidade pblica gua, luz, calor, informao, telecomunicao etc. (art. 265); 11) Interrupo ou perturbao de servio telegrfico, informtico, telemtico, dispositivo de comunicao, rede de computadores ou sistema informatizado (art. 266);

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

PRPRIOS (Substitutivo 89/03 ao PL 84/99) 12) Os provedores de acesso a internet devero armazenar por trs anos os dados de origem, data, hora e local dos acessos feitos por intermdio de suas redes.

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

Lei n 11.829/08 altera o ECA Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vdeo ou outra forma de registro que contenha cena de sexo explcito ou pornogrfica envolvendo criana ou adolescente: Pena recluso, de 1 (um) a 4 (quatro) anos, e multa. 2o No h crime se a posse ou o armazenamento tem a finalidade de comunicar s autoridades competentes a ocorrncia das condutas descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicao for feita por: I agente pblico no exerccio de suas funes; 3o As pessoas referidas no 2o deste artigo devero manter sob sigilo o material ilcito referido.

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

CRIMES FUNCIONAIS:
CP, art. 313-A. Inserir ou facilitar, o funcionrio autorizado, a insero de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administrao Pblica com o fim de obter vantagem indevida para si ou para outrem ou para causar dano (Pena recluso, de 2 a 12 anos, e multa) - Vtima: Estado e o cidado. CP, art. 313-B. Modificar ou alterar, o funcionrio, sistema de informaes ou programa de informtica sem autorizao ou solicitao de autoridade competente (Pena deteno, de 3 (trs) meses a 2 (dois) anos, e multa) Pargrafo nico. As penas so aumentadas de um tero at a metade se da modificao ou alterao resulta dano para a Administrao Pblica ou para o administrado. CP, art. 314 - Extraviar livro oficial ou qualquer documento, de que tem a guarda em razo do cargo; soneg-lo ou inutiliz-lo, total ou parcialmente (Pena recluso, de um a quatro anos, se o fato no constitui crime mais grave)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

Crimes mais comuns cometidos no ciberspace

1) Montar pgina com anncios de servios de prostituio (Favorecimento da prostituio - Art. 228 do C.P.)

2)

Criar uma comunidade ou montar homepage incitando o uso de entorpecentes ou qualquer outro crime (Apologia de crime ou fato criminoso - Art. 287 do C.P.) Usar certificado digital de terceiro (Falsa identidade Art. 307 do C.P.)

3)

4)

Entrar no sistema da Fazenda e transferir dinheiro de precatrio (Exerccio arbitrrio das prprias razes Art. 345 do C.P.)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

5) Bitknapping: rapto de dados e ameaa de destruio se no houver pagamento em dinheiro (Extorso - Art. 158 do C.P.) 6) Criar uma comunidade online que fale mal de religies (Escrnio por motivo de religio - Art. 208 do C.P.) 7) Mandar e-mail com informaes sigilosas para terceiros (Violao de segredo profissional - Art. 154 do CP) 8) Reproduzir software sem autorizao com fim comercial (Pirataria - Art. 12 da Lei 9.609/98)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

9) Empregar meio fraudulento para desviar clientela de outrem (desviar usurio da pgina da concorrente) (Concorrncia desleal - Art. 195 da Lei 9.279/96) 10) Instalar cmeras e transmitir na internet em tempo real cenas de sexo explicito (Ato obsceno - Art. 233 do C.P)

11) Subtrair dinheiro de conta-corrente por meio de transferncia via internet, sem autorizao do titular da conta (Furto qualificado mediante fraude - Art. 155 4 inciso II do C.P.) se no subtrair dinheiro estelionato (art. 171)
12) Alterar ou destruir dados essenciais ao funcionamento do sistema (Dano - Art. 163 do C.P.)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

13) Criar pgina na internet praticando, induzindo ou incitando a discriminao ou preconceito de raa, cor, etnia, religio ou procedncia nacional (Crimes de preconceito - Caput e 2 do art. 20 da Lei 7.716/89) 14) Subtrair software de outrem por meio da invaso de um sistema quebrando bloqueios de firewalls e outros mecanismos de segurana (Furto qualificado - Art. 155, 4, inc. I do C.P.) 15) Falsificar carto de crdito (carto clonado) com o uso de computadores ou falsificar documentos eletrnicos de carter pessoal (Falsificao de documento particular - Art. 298 do C.P.) crime meio 16) Pichar website gerando prejuzos econmicos (Crime de dano - Art. 163 do C.P.) CTIR Gov

CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

17) Montar pgina de comrcio eletrnico de mercadorias para lavar os lucros de outros delitos ou fazer sucessivas transferncias em home bank (Crime de lavagem de dinheiro - Art. 1 da Lei 9.613/98) 18) Vender produtos na internet descrevendo a mercadoria de maneira enganosa ou receber o dinheiro e no entregar o produto Estelionato - Art. 171 do CP 19) Denunciar algum falsamente em conversa on-line com vrias pessoas (Calnia - Art. 138 do C.P.) 20) Dar forward para vrias pessoas de um boato eletrnico (Difamao - Art. 139 do C.P.)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

21) Enviar um e-mail para algum ofendendo sua dignidade ou decoro (Injria - Art. 140 do C.P.)

22) Cyberstalking (Ameaa - Art. 147 do C.P.)

23) Reproduzir obra intelectual, sem autorizao expressa do autor e sem citar a fonte (Violao ao direito autoral - Art. 184 do C.P.) 24) Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicao, inclusive rede mundial de computadores ou internet, fotografias ou imagens com pornografia ou cenas de sexo explcito envolvendo criana ou adolescente (Pedofilia - Art. 241 da Lei 8.069/90)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

25) Reproduzir programa de computador, no todo ou em parte, para fins de comrcio, sem autorizao expressa do autor ou de quem o represente (Violao de direitos autorais de programa de computador - Lei 9.609/98, art. 12) 26) Estabelecer ou explorar jogo de azar na internet mediante o pagamento de entrada ou sem ele (Contraveno de Jogos de Azar - Art. 50 do Decreto-lei 3.688/41)

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

MS 13.677/DF (Julgamento em 05/08/09) Demisso por repasse de senha de computador a terceiro para assinatura de ponto legal A demisso de servidor que cede sua senha pessoal a terceiro com o objetivo de burlar o controle eletrnico de ponto no desproporcional nem irrazovel. A deciso da Corte Especial do Superior Tribunal de Justia (STJ) mantm sano imposta a tcnico judicirio do prprio Tribunal. O relator acrescentou que, em relao ao excesso na pena aplicada, ele no existiria. O ministro Noronha afirmou que a pena proposta pelo MPF suspenso de 30 dias seria cabvel ao servidor que, aps ingressar no Tribunal e registrar no ponto eletrnico sua entrada, se ausentasse, deixando de trabalhar as horas lanadas. Mas, no caso, a situao fora mais grave: o repasse a terceiros da senha que d acesso ao sistema eletrnico expe a riscos as informaes do Tribunal, atualmente armazenadas, em sua maioria, em meios digitais. Ora, nada obstante o intento do impetrante de auferir vencimentos sem a respectiva contra prestao de servios fato que por si grave, pois denota a inteno de lesar a administrao pblica (no caso, empregador) , no se pode desconsiderar que o impetrante deixou a descoberto a segurana do sistema de informtica do STJ, a que tinha acesso em razo das atribuies de seu cargo. Da o porqu de o fato amoldar-se perfeitamente ao estabelecido nas disposies do artigo 132, IX, da Lei n. 8.112, de 1990, entendeu o ministro.

Como esse dispositivo prev de forma especfica a pena de demisso e dispensa a comprovao de dano efetivo no importaria a amplitude do acesso aos sistemas garantida pela senha ou o efetivo acesso a dados sigilosos , no seria possvel a aplicao do princpio da proporcionalidade. O princpio da proporcionalidade serve para dosar a pena a ser aplicada, mas no para descaracterizar o tipo a que os fatos se subsumem, concluiu o relator. CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

Uso indevido de e-mail da empresa motivo para dispensa por justa causa A 1 Turma do TRT (Tribunal Regional do Trabalho) da 10 Regio (Distrito Federal e Tocantins) manteve sentena que considerou que ao usar e-mail da empresa onde trabalha, a funcionria pode ser dispensada por justa causa. Segundo publicou o tribunal, uma atendente de empresa de telefonia recorreu Justia do Trabalho com o objetivo de impugnar sua demisso por justa causa. Ela alegava que a empresa teria usado cpias de e-mails para justificar a dispensa, procedimento que seria proibido pela Constituio Federal. (...) Para o magistrado, o e-mail corporativo no um benefcio contratual indireto. Portanto no h como reconhecer a existncia de direito privacidade na utilizao de equipamentos concebidos para a execuo de funes geradas por contrato de trabalho. Os juzes da 1 Turma concluram que a utilizao das mensagens como prova legtima e ratificaram a demisso por justa causa. Fonte: http://ultimainstancia.uol.com.br/noticia/48021.shtml - 28/02/2008 SERVIDOR: LEI 8.112/90 Art. 132: Pena de demisso para o servidor que revelar segredo do qual se apropriou em razo do cargo ou funo pblica) Lei n 8.027/90 (Normas de conduta dos servidores pblicos civis da Unio, das Autarquias e das Fundaes Pblicas) Art. 5, Inc. I: Pena de demisso para o servidor que se valer ou permitir dolosamente que terceiros tirem proveito de informao obtida em funo do cargo, para lograr proveito pessoal ou de outrem;

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

BREVES COMENTRIOS SOBRE O MONITORAMENTO

Segundo a Polcia Civil de So Paulo, 95% dos casos em que foram identificadas infeces por cdigos maliciosos tiveram como origem e-mails corporativos. O e-mail funcional e a prpria internet, segundo entendimento consagrado pela jurisprudncia dos Pretrios, no so obrigaes contratuais, mas meras ferramentas de trabalho, cabendo a cada rgo definir sua utilizao. Portanto, sujeitos a monitoramento, desde que se d cincia ao usurio (servidor) deste procedimento que tem por objeto resguardar a infraestrutura tecnolgica e eventuais aes de responsabilidade, haja vista ser objetiva em se tratando de Administrao Pblica. Decorrente dessa responsabilidade, que objetiva, o monitoramento no apenas um direito do Administrador, mas uma obrigao uma vez que o rgo responsvel pelos danos causados a terceiros decorrentes do mau uso de suas ferramentas de trabalho, includas a as tecnolgicas, ressalvado o direito de regresso contra o causador do dano que agiu dolosa ou culposamente. Mas e os e-mails de provedores particulares acessados em estaes de trabalhos consideradas ferramentas de trabalho? Este no poder ser monitorado, porque o e-mail particular no funcional mesmo sendo acessado de equipamento funcional. Da a necessidade de se estabelecerem polticas de acesso internet onde o acesso ilimitado seja restrito.

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

Exemplo de Vacina Jurdica

VOC EST ACESSANDO A REDE CORPORATIVA DA INSTITUIO XXX. ESTE AMBIENTE MONITORADO E RESTRITO A PESSOAS AUTORIZADAS, COM O USO DE SENHA INDIVIDUAL, INTRANSFERVEL E SIGILOSA

CTIR Gov CTIR.gov

ASPECTOS JURDICOS E TICOS DE SIC

MUITO OBRIGADO
gerson.charbel@planalto.gov.br

CTIR Gov CTIR.gov