Upload
phungtram
View
214
Download
0
Embed Size (px)
Citation preview
Por que todo mundo fala sobre o Marco Civil da Internet
e o que sua empresa tem a ver com isso?
Wolmer Godoi, CISSP Vice-Presidente da Aker Security Solutions
O que fazer diante de um Incidente?
Toda ação no mundo virtual deixa rastro.
O que fazer diante de um Incidente?
Existem vestígios?
O corpo está para a Medicina legal assim como a máquina está para a Informática Forense.
O que fazer diante de um Incidente?
O que fazer para preservar as evidências?
1. Registre os acessos (log é importante);
2. Coleta inicial: print screen da tela;
3. Ata Notarial;
4. Notifique o provedor para que preserve a prova;
5. Procure uma delegacia especializada.
Existem leis específicas?
Lei dos Crimes Cibernéticos (12.737/2012)
Lei Carolina Dieckmann
Lei dos Direitos e Deveres na Internet (12.965/2014)
Marco Civil da Internet
Lei 12.737/2012
Lei dos Crimes Cibernéticos
Altera o Código Penal artigos 154A,B, 266 e 298 incluindo:
• a invasão de computadores;
• o roubo de senhas e de conteúdos de e-mail;
• a disseminação de vírus de computador ou códigos maliciosos para roubo de senhas;
• a derrubada proposital de sites;
• uso de dados de cartões de débito e crédito sem autorização do titular;
• violação de equipamentos e sistemas - conectados ou não à Internet - com intenção de destruir dados ou informações ou instalar vulnerabilidades;
• mecanismo de segurança.
A Lei 12.965/2014
Marco Civil da Internet
“Estabelece princípios, garantias, direitos e deveres para o uso
da internet no Brasil e determina as diretrizes para atuação da
União, dos Estados, do Distrito Federal e dos Municípios em
relação à matéria.”
A Lei 12.965/2014
Marco Civil da Internet
• um corte transversal na rede, desde infraestrutura de telecomunicações até aplicações e conteúdo, no que tange a neutralidade;
• uma contextualização na aplicação de direitos, como responsabilização adequada e proteção à privacidade;
• um orientador sobre a forma de aplicação da legislação existente na Internet;
• um balizador para eventual legislação futura;
• uma garantia de preservação das características originais, valores e conceitos da rede.
O que é?
A Lei 12.965/2014
Marco Civil da Internet
O que não é? • não é uma forma de impedir ilícitos na Internet, mas tenta disciplinar o uso;
• não se trata de “modelos de negócio” na Internet;
• não objetiva temas estritamente técnicos na rede, dado o dinamismo e a obsolescência rápida de tecnologias;
• reconhece a complementaridade e colaboração dos diversos órgãos da sociedade: Anatel, CGI, Procon, Idec, etc.;
• não se trata da Internet do Brasil e sim da Internet no Brasil.
A Lei 12.965/2014
3 pilares principais do Marco Civil da Internet
Liberdade Neutralidade Privacidade
A Lei 12.965/2014
• O princípio de proteção aos dados pessoais
(Art. 3º, Inc. III);
• Obrigatoriedade de regras mais claras nas
relações de uso: (Art. 7º, Inc. VII, Inc. VIII,
Inc. IX, Inc. X);
• Neutralidade de rede - (Art. 9º);
Qual é o impacto na vida do cidadão?
Positivo
A Lei 12.965/2014
• Soberania e datas centers - (Art. 11) em
qualquer operação de coleta, armazenamento,
guarda e tratamento de registros, dados
pessoais ou de comunicações por provedores de
conexão e de aplicações em que pelo pelos um
desses atos ocorram em território nacional,
deverá ser respeitada a nossa legislação.
Qual é o impacto na vida do cidadão?
Positivo
A Lei 12.965/2014
Qual é o impacto na vida do cidadão? Negativo
• Art. 13 - obrigação do provedor de conexão em manter os registros de conexão,
sob sigilo, pelo prazo de um ano.
• Art. 15 – obrigação do provedor de aplicação em manter os registros de acesso, sob
sigilo, pelo prazo de seis meses.
• Ambos os prazos podem ser majorados cautelarmente por autoridades policial, administrativa ou o Ministério Público.
A Lei 12.965/2014
Em Resumo
• “Constituição da Internet” (é melhor uma regra do que nenhuma regra?)
• Inviolabilidade de dados (somente com ordem judicial ou autorização)
• Inviolabilidade de comunicações (somente com ordem judicial)
• Neutralidade da rede
• Determina a guarda de registros de conexão por 1 ano Concessão de acesso sem fio (você guarda os registros?)
• Determina a guarda de registros de aplicativos
Definições de Papéis
Direitos sobre os "dados pessoais"
(= identificável, indivíduo vivo) exerce controle sobre o uso de seus "dados pessoais"
"Controladores de dados“
(“Uma pessoa que controla os conteúdos e uso de dados pessoais")
"Processadores de dados"
("Uma pessoa que trata os dados pessoais em nome de um controlador de dados")
O ciclo de vida da informação
Manuseio: Local onde se iniciou o ciclo e onde a informação é manipulada.
Geralmente é composto por 4 etapas
Armazenamento: Momento em que a informação é
armazenada,
(pode ser em papel, em mídia CD, etc.).
Descarte: Momento em que a informação é eliminada, apagada (destruída de forma definitiva).
Transporte: Momento do envio ou transporte (pode ser
correio eletrônico, fax, sinais).
CRIAÇÃO
ARMAZENAMENTO
USO
COMPARTILHAMENTO
ARQUIVAMENTO
DESTRUIÇÃO
O ciclo de vida da informação
Início
Obtendo os
dados
Meio
Processando os
dados
Fim
Descartando os
dados
Informe e obtenha
o consentimento
Tenha uma razão para
tratar os dados
Responda aos
pedidos de acesso
Especifique o
propósito
Colete apenas o
que é necessário
Mantenha o
registro original
Mantenha-os seguros e
Descarte de forma segura
Divulgue apenas se
permitido/autorizado
Defina e mantenha uma
Política de Retenção
O ciclo de vida da informação
RoadMap para Segurança do Banco
DADOS
Direitos de Usuários
Estratégia de permissionamento
de objetos no Banco
Segregação de papéis do DBA
Criptografia dos dados
Controle de Recursos
Controle de acesso às Funções e
Procedures
Controle de acesso (Política de
senhas)
Conformidade (HIPAA, PCI, etc.)
CONFIGURAÇÃO DO
BANCO
Backup do Banco/Estratégia de
PCN
Gestão de Atualizações (Patches)
Estrutura de Diretórios e
Permissão de Acesso
Autenticação do Banco de Dados
Política de Auditoria
Configuração do Acesso Remoto
ENTRADA/SAÍDA DE
DADOS
Backup do Banco/Estratégia de
Segurança da Aplicação (OWASP)
Segurança de Interface
Segurança de Relatórios/BI
Segurança de Terceiros
SEGURANÇA DO
BANCO
Segurança do Host
Segregação de Função
REDE
Segurança da rede
Segregação do ambiente
SEGURANÇA FÍSICA
Segurança Física
Fonte: http://pvt.pt/Database_Security_Roadmap
Estratégia de implantação
Apenas portas 80 e
443 para Internet
Acesso apenas por VPN
e para manutenção
Acesso apenas por máquina
cadastrada
Qualquer outra porta
bloqueada
Apresentação (Firewall, IPS, WAF)
Aplicação (IIS, Apache, CMS)
Dados (Oracle, MSSQL, MySQL, PostgreSQL)
Storage
Aker Firewall UTM
Sistema completo de
Segurança Digital em sua mão.
Aker Report Center
Mais do que um centralizador de logs, um guia de estratégias corporativas.
Apoie-se nas informações certas.
Funcionalidades:
FILTRO DE LOGS
Os logs são processados de acordo
com os formatos conhecidos,
fazendo que cada arquivo de log seja
associado a um tipo de ativo.
AKER
REPORT
CENTER
Funcionalidades:
ARMAZENAMENTO DE LOGS
Com o Aker Report Center, você pode
definir o período durante o qual os
logs devem permanecer armazenados
e mantê-los em um banco de dados
para consulta.
AKER
REPORT
CENTER
Funcionalidades:
RECEBIMENTO DE LOGS
O Aker Report Center recebe logs via
protocolo syslog, FTP e SFTP, sendo
possível também criptografar os
dados via SSL/TLS.
AKER
REPORT
CENTER
Funcionalidades:
RELATÓRIOS CONSOLIDADOS E
DETALHADOS
Crie relatórios sem a necessidade de
programação. Pela interface gráfica,
pode-se definir quais ativos serão
monitorados, assim como o conteúdo
e o formato dos relatórios.
AKER
REPORT
CENTER
Funcionalidades:
AGENDAMENTO DE RELATÓRIOS
A emissão de relatórios pode ser
agendada. Assim, o documento é
depositado no próprio servidor ou em
servidores remotos, ou, ainda, enviado
por e-mail.
AKER
REPORT
CENTER
Funcionalidades:
GOVERNANÇA DE TI
Ao centralizar e analisar logs, o Aker Report
Center transforma dados em informações,
por meio de relatórios completos, que
ajudarão você a tomar as melhores decisões
sobre a infraestrutura de TI da sua empresa.
AKER
REPORT
CENTER
Screenshots:
AKER
REPORT
CENTER
Screenshots:
AKER
REPORT
CENTER
Screenshots:
AKER
REPORT
CENTER
Screenshots:
AKER
REPORT
CENTER
Screenshots:
AKER
REPORT
CENTER
Mais importante do que avançar é seguir na direção certa.
Obrigado!
Wolmer Godoi, CISSP Vice Presidente
Aker Security Solutions