BIG DATA AND CLOUD FORENSICS

BIG DATA FORENSICS

Conformidade e melhores práticas para o tratamento de dados e
investigação de incidentes

José Antonio Milagre
Diretor de Forense Digital
Legaltech

terça-feira, 23 de outubro de 2012

Cronograma

* Tecnologia e Privacidade
* Cloud Computing e Big Data
* Atividades de Pentest e Hacking
* Investigação Digital
* Melhores Práticas
* Conformidade
* Perspectivas Finais

Legaltech Consultoria e Treinamento Ltda.

Tecnologia e Privacidade

“intimidade é o núcleo duro da privacidade, enquanto a vida
privada é uma esfera externa, mais abrangente que, entretanto,
não se confunde com a esfera pública”(MORI 2011, 38)

Leia mais: http://jus.com.br/revista/texto/22809/faltas-nao-
relacionadas-ao-trabalho-violacao-a-privacidade-e-intimidade-do-
empregado#ixzz2A36ozQUt



A evolução tecnologica impõe desaﬁos
para garantir a adequada proteção de
dados online.


Cloud Computing e Big Data

Cloud relativiza completamente as
normas de proteção de dados e
práticas de investigação digital
existentes



A capacidade de coletar dados em todos os lugares, a partir de interações
online e dispositivos, chips RFID, algoritmos de busca , tecnologias baseadas
em localização, tem trazido benefícios para Sociedade em geral, porém,
aumentam os riscos de violações à privacidade. (Prof. Omer Tene - Centro
Berkeley de Direito e Tecnologia)



Redes Sociais: O combustível do Big Data (Análise de Redes Sociais
corresponderá a 45% de todo o gasto anual)
Os gastos mundiais com tecnologias de big data — de empresas dos setores
da indústria, governo, comércio e de serviços, entre outras — devem totalizar
US$ 28 bilhões em 2012. Para o ano que vem, a previsão é que ocorra um
incremento de 22%, chegando a US$ 34 bilhões, diz o Gartner.


Melhores Práticas

Passamos por profundas
transformações nas normas e melhores
práticas envolvendo proteção de dados
e investigação


Melhores Práticas: Big Data

Solução BIG Data Forensics considerará:

* Ambiente cultural;
* Diligência sobre os dados a coletar (próprios
ou de terceiros);
* Eventuais autorizações dos proprietários;
* Técnicas utilizadas para a coleta;
* Após a coleta, como se dará o uso;
* Legislação aplicável;
* Considerar Big Data em ambientes Cloud
pode se caracterizar como “antiforense”.


Melhores Práticas: Cloud Computing

Pesquisa CipherCloud % de Organizações - Preocupações

70

53

35

18

Data Security
Data Privacy 0
Compliance
Data Residency
Fonte: http://www.net-security.org/secworld.php?id=13802



Características:

* Motor para o crescimento da TI nos próximos 25 anos;
* 75% das empresas da TI no Brasil já usam Cloud - Olhar Digital;

Riscos:

* Acesso indevido a informações;
* Vazamento de informações;
* Indisponibilização de serviços.



Cloud Computing:

* Segurança de TI se tornando mais “cinza”;
* Perda do controle de toda a infra-estrutura;
* Revisão dos Acordos de Nível de Serviço;
* http://www.ico.gov.uk/;
* Poucos julgados a respeito;



Investigação de crimes



Resposta Forense (Cloud Forensics):

* Elementos de rastreabilidade gerados (formato, tempo, SaaS, customer não
será “first responder”);
* Recursos humanos para resposta forense (Acordo com os CSPs);
* Cooperação em multi-jurisdição: Plano de Segurança Cloud considerar a
“sombra da nuvem”; Exito da resposta forense intimamente ligado com a
maturidade da segurança Cloud;
* Saber identificar o serviço: VPS, Cloud, VPN, Virtualização
* Métricas e níveis de serviços deve incluir melhores práticas em segurança
da informação (European Network and Information Security Agency,
Association of Chief of Police Officer (ACPO), Investigative Process Model -
DIP (DFRS);


Melhores práticas: Monitoramento

Empregador que vasculha as redes sociais.
Faltas não relacionadas ao trabalho. Violação à intimidade e privacidade do
empregado.

“o comportamento social do empregado deve ser punido pelos desvios que,
no ambiente da empresa ou repercutindo imediata e diretamente nas suas
relações com o empregador, possam causar dano à entidade patronal, ao seu
ambiente de trabalho, aos colegas de serviço ou aos clientes.” (SOUZA 1997,
294-295)



Empregador que vasculha as redes sociais.

“JUSTA CAUSA - ENVOLVIMENTO DO EMPREGADO EM BRIGA FORA DO AMBIENTE DE
TRABALHO, E SEM QUALQUER PREJUÍZO AO EXERCÍCIO DE SUAS FUNÇÕES - VIOLAÇÃO DO
ART. 482, -B- E -E-, DA CLT - NÃO-CARACTERIZAÇÃO. Havendo o v. acórdão do Regional consignado
que não houve registro de nenhuma conduta indisciplinar ou irregular do reclamante durante quase três
anos (de agosto de 1996 até 19 de abril de 1999); que a briga na qual o reclamante se envolveu ocorreu
fora do local e do horário de trabalho; que não houve repercussão no âmbito da empresa; que nada teve
a ver com o exercício das funções; e que a prisão em ﬂagrante, ocorrida quando da referida briga, se deu
por porte ilegal de arma de fogo, impossível cogitar-se de caracterização de justa causa por incontinência
de conduta ou mau procedimento (alínea b do art. 482 da CLT) ou desídia (alínea e), que somente dizem
respeito a fatos ocorridos no ambiente de trabalho, ou seja, à conduta do empregado nessa condição,
dentro do espaço físico onde se presta o trabalho ou em prejuízo do serviço ou da integridade do
empregador como tal.Agravo de instrumento não provido.” (grifos nossos)

Leia mais: http://jus.com.br/revista/texto/22809/faltas-nao-relacionadas-ao-trabalho-violacao-a-privacidade-
e-intimidade-do-empregado#ixzz2A3DNFAKL


Melhores práticas: BYOD



CLT: Art. 6o Não se distingue entre o
trabalho realizado no estabelecimento do
empregador, o executado no domicílio do
empregado e o realizado a distância, desde
que estejam caracterizados os pressupostos
da relação de emprego. (Redação dada pela
Lei nº 12.551, de 2011)



An upcoming Trend Micro study* into mobile
consumerisation trends ﬁnds that nearly half
of companies have experienced a data breach
as a result of an employee owned device
accessing the corporate network. When the
stakes are this high, IT needs to know which
platforms to allow and which to refuse.

(http://consumerization.trendmicro.com/
consumerization-byod-jailbreak-apple-control-
enterprise-primetime/)



Política BYOD: Pontos omissos:
* Direito de apagar dados; * Suprimir dados pessoais;
* Instalar aplicações; * Auditar histórico de navegação
* Monitorar utilização. * Acesso a informações pessoais
identiﬁcáveis

A EMPRESA NÃO É PROPRIETÁRIA DO ATIVO
RISCO TRABALHISTA.



Riscos Futuros: Soluções:
* Propriedade intelectual; * Revisão de Políticas/Controle riscos;
* Vazamento dados pessoais; * Solução de Segurança BYOD/VM;
* Vazamento dados corporativos; * Forense Digital externa;
* Demandas cíveis e trabalhistas * Aderência a conformidade de normas
(sobreaviso/jornada); de proteção à privacidade.
* Responsabilidade civil e criminal
por atos praticados.

NÃO HÁ JURISPRUDÊNCIA.
RISCO TRABALHISTA.



http://blog.allstream.com/5-byod-legal-risks-it-departments-cant-ignore/

User authentication Due dilligence Remote Wipping Surveillence e-Discovery



Prever em política não apenas a possibilidade
de monitoramento, mas de inspeção. Técnicas
anti-forense devem ser desencorajadas e
bloqueadas no preparo do sistema do
proprietário.

FORENSE DIGITAL: Preventiva!


Investigação Digital

As ferramentas da rede social
recorrem a fatores como amigos
mútuos, interação no passado,
distância e diferenças de idade
numa tentativa de tentar
combater, por exemplo,
atividades pedóﬁlas.

Ler mais: http://
exameinformatica.sapo.pt/
noticias/internet/2012/07/13/
privacidade-facebook-
monitoriza-conversas-a-procura-
de-criminosos#ixzz2A3IZKGKX


Investigação Digital: Big Data



Em ambiente forense posso estimar:

* Vazamento de dados funcionários;
* Vulnerabilidades mais exploradas;
* Ativos mais propensos a ataques;
* Níveis de risco para determinadas áreas da TI;
* Possíveis ataques programados;
* Antecipar crimes? (Controle Absoluto,
Minority Report)

Solução: Equilíbrio.



* Informações subjacentes de dados em fontes públicas: EUA v
Maynard, 615 F.3d 544, 555 (DC Cir. 2010)

O Federal Bureau of Investigation ("FBI") instalou um dispositivo de rastreamento GPS no
carro de Antoine Jones enquanto ele estava estacionado em via pública. O FBI então usou o
dispositivo para rastrear os movimentos de seu veículo de forma contínua por um mês. Foi
identiﬁcado que Jones distribuia cocaína, prova que foi parcialmente baseada em dados do
dispositivo GPS de localização. O D.C. Corte de Apelações apreciou o caso United States v
Maynard, 615 F.3d 544 (DC Cir. 2010). O Tribunal considerou que o rastreamento GPS “sem
mandado” foi uma busca e violou a Quarta Emenda.

* Mudanças de tecnologia importam em mudança da expectativa de
privacidade;



Ao mesmo tempo que favorece a
investigação se mal estruturada a coleta de
massa critica pode ser considerada ilícita.

Do mesmo modo, o grande volume de
dados produzidos por devices, em segurança
da informação, pode comprometer a análise.

BigData está relacionado a maior propensão
ao vazamento de algo. Custo do e-discovery
ﬁca minúsculo diante dos riscos associados.


Investigação Digital: Cloud Computing

Arquivos armazenados nas nuvens por muito tempo:



!"#$#"%&'()* 8),#<&* E6X,;$#* E3"#$#6<&'()*

A,&$9-;2&2#*
+$),&"*"#-."$)$/0#1"&2&"*
3#"4)"5&6-#*

8BBC!>*
8&";5Q)*2)*<#53)*

>.,9D.";$2;'()*
7#-."$)$*8)53&"9,:&2)$*

*!";6-F3;)*2#*0&.Q#"<*I<#)";&*2#%#*
E-#$$)*&*5F2;&*G$;-&/H))<*IJ;%#K* $#"*4&,$;-X%#,Z*"#$.,<&2)$*$.D#;<)$*
L8))3#"&'()*M)"1&6;N&N;)6&,O* ]*"#%;$()K*

8,;#6<#*-)6<"),&*2&2)$=*>&$*#*
5#<&2&2)$?* >.,9P<#6&6<*2;$<";Q.<#2*

A%;2W6-;&$*$;5;,&"#$Y*!")-#$$)$Z*
5#5@";&Z*&"[.;%)$Z*#P5&;,$Z*,)1$Z*
R#")*S6)T,#21#*UV$<#5* <"X4#1)*2#*"#2#*

8&2#;&*2#*-.$<@2;&*
!#"$;$<W6-;&*



Premissas:

* Dados espalhados demandam compromisso contratual;
* Nuvem privada, comunidade, pública, híbrida (imagem.dd/raw);
* Modelo de serviços: SaaS (WebClient), PaaS (API), IaaS (cessão de
recursos) - Coleta inﬂuenciada completamente;



Nuvem como técnica anti-forense


Atividades de Pentest e Hacking

Controle!

Muito se questiona sobre a quantidade de campos em logs, diante da
possível violação privacidade, mas se esquecem que eles podem elucidar
uma grave violação à privacidade.

“Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus
sapatos estão desamarrados, ser-lhe-á devido um agradecimento ou uma
censura por se intrometer em sua vida, em sua privacidade? Caso lhe
comuniquem que um certo restaurant já provocou intoxicações sérias em
diversos incautos que experimentaram suas especialidades, julgaria prudente ir
lá e fazer uma refeição e se arriscar a uma desagradável e involuntária
ginástica para seus intestinos?” (Amaro Moraes e Silva Neto, Privacidade na
Internet, EDIPRO, 2001)


Atividades de Pentest e Hacking

Controle!

“Pois bem, no ciberespaço, assim como no Mundo Físico, também existem boas
almas que nos alertam sobre os perigos que enfrentamos neste recanto não
espacial: são os hackers (e, em algumas vezes, até mesmo os cracckers). São
eles que nos sinalizam quanto a similares riscos neste Mundo que não podemos
pegar, porque veriﬁcaram as debilidades e fragilidades do sistema que os
suporta” (Amaro Moraes e Silva Neto, Privacidade na Internet, EDIPRO, 2001)


Investigação Digital


Conformidade: Diretiva 95/46/EU

•  E-Privacy Directive – 2002/58 - amended by Directive
2009/136
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?
uri=CELEX:32002L0058:EN:NOT
•  Data Protection Directive 1995/46
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?
uri=CELEX:31995L0046:EN:HTML
•  Canadian PIPEDA Act http://laws.justice.gc.ca/eng/P-8.6/
•  USA ECPA (Wiretap e Storage)– Caso Lane x Facebook
http://en.wikipedia.org/wiki/Lane_v._Facebook,_Inc.
•  Patriot Act 2011
•  UK Data Protection Act
http://www.legislation.gov.uk/ukpga/1998/29/contents


Conformidade: Diretiva 95/46/EU

Não atende mais as necessidades dos cidadãos:
2012: Comissão Européia - Apresentados textos das propostas para:
a) Regulamento Geral de Privacidade;
b) Diretiva de Privacidade no Âmbito penal e de Investigação Criminal;

Dentre as características:
a) Sem necessidade de ação legislativa dos parlamentos nacionais;
b) Aplicável à empresas que não estão sediadas na EU, mas que oferecem bens
ou serviços a países da União.


Conformidade: Brasil

* Marco Civil da Internet Brasileira (Eleva a princípio em seu artigo terceiro a
proteção à privacidade e a proteção a dados pessoais)
http://www.camar a.gov.br/proposicoesWeb/
prop_mostrarintegra;jsessionid=5D6476842878EB901E806B1C234528E2.nod
e2?codteor=912989&ﬁlename=PL+2126/2011

* AnteProjeto de Lei de Proteção de Dados Pessoais
http://culturadigital.br/dadospessoais/debata-a-norma/

* PL 84/1999, PL 2793/2011, PLS 236/2012


assegurados osendereço IP.
determinado seguintes direitos:
Conformidade: Brasil > Marco Civil
I -Art.inviolabilidade e ao sigilo de suasserão levados em conta, além dos
à 6o Na interpretação desta Lei, comunicações pela Internet, salvo por
ordem judicial, nas hipótesesobjetivos previstos,lei estabelecer para fins de investigação criminal
fundamentos, princípios e e na forma que a a natureza da Internet, seus usos e costumes
ouparticulares e sua importância para a promoção do desenvolvimento humano, econômico, social
instrução processual penal;
e cultural.
II - à não suspensão da conexão à Internet, salvo por débito diretamente
decorrente de sua utilização; CAPÍTULO II
DOS DIREITOS E GARANTIAS DOS USUÁRIOS
III - à manutenção da qualidade contratada da conexão à Internet, observado o
Art. o
disposto no art. 9o; 7 O acesso à Internet é essencial ao exercício da cidadania e ao usuário são
assegurados os seguintes direitos:
IV - a informações claras e completas constantes dos contratos de prestação de
serviços, com previsão expressa sobre o regime suas proteção aos seus Internet, salvo por
I - à inviolabilidade e ao sigilo de de comunicações pela dados pessoais, aos
registros judicial, nas e aos registrosforma que aalei estabelecer para fins de investigação criminal
ordem de conexão hipóteses e na de acesso aplicações de Internet, bem como sobre práticas
de ou instrução processual penal;
gerenciamento da rede que possam afetar a qualidade dos serviços oferecidos; e
VII - utilização;
- ao não fornecimento a conexão à Internet, salvo de conexão e de acesso a
decorrente de sua
à não suspensão da
terceiros de seus registros por débito diretamente
aplicações de Internet, salvo mediante consentimento ou nas hipóteses previstas em lei.
III - à manutenção da qualidade contratada da conexão à Internet, observado o
Art. o8o A garantia do direito à privacidade e à liberdade de expressão nas
disposto no art. 9 ;
comunicações é condição para o pleno exercício do direito de acesso à Internet.
IV - a informações claras e completas constantes dos contratos de prestação de
serviços, com previsão expressa sobreCAPÍTULO IIIproteção aos seus dados pessoais, aos
o regime de
registros de conexão e aos registros de acesso E DE APLICAÇÕES DE INTERNET práticas
DA PROVISÃO DE CONEXÃO a aplicações de Internet, bem como sobre
de gerenciamento da rede que possam afetar a qualidade dos serviços oferecidos; e
Seção I
V - ao não fornecimento Tráfego de Dados registros de conexão e de acesso a
Do a terceiros de seus
Art. 9o oO responsável pela transmissão, comutação ou roteamento tem o dever de
tratar de forma Art. 8 A garantia do pacotes de privacidade edistinção Legaltech Consultoria e Treinamentoe
isonômica quaisquer direito à dados, sem à liberdade de expressão nas Ltda.
por conteúdo, origem
destino, serviço,éterminal ou aplicativo,exercício do direito de acesso à Internet. ou degradação do
comunicações condição para o pleno sendo vedada qualquer discriminação


Art. 8o A garantia do direito à privacidade e à liberdade de expressão nas
comunicações é condição para o pleno exercício do direito de acesso à Internet.

CAPÍTULO III
DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET

Seção I
Do Tráfego de Dados
Art. 9o O responsável pela transmissão, comutação ou roteamento tem o dever de
tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e
destino, serviço, terminal ou aplicativo, sendo vedada qualquer discriminação ou degradação do
tráfego que não decorra de requisitos técnicos necessários à prestação adequada dos serviços, 4
conforme regulamentação.
!
Parágrafo único. Na provisão de conexão à Internet, onerosa ou gratuita, é
vedado monitorar, filtrar, analisar ou fiscalizar o conteúdo dos pacotes de dados, ressalvadas as
hipóteses admitidas em lei.

Seção I I
Da Guarda de Registros

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a
aplicações de Internet de que trata esta Lei devem atender à preservação da intimidade, vida
privada, honra e imagem das partes direta ou indiretamente envolvidas.

§ 1o O provedor responsável pela guarda somente será obrigado a disponibilizar
as informações que permitam a identificação do usuário mediante ordem judicial, na forma do
disposto na Seção IV deste Capítulo.
§ 2o As medidas e procedimentos de segurança e sigiloLegaltech Consultoria e Treinamento Ltda.
devem ser informados

disposto na Seção IV deste Capítulo.

§ 2o As medidas e procedimentos de segurança e sigilo devem ser informados
pelo responsável pela provisão de serviços de conexão de forma clara e atender a padrões
definidos em regulamento.

§ 3o A violação do dever de sigilo previsto no caput sujeita o infrator às sanções
cíveis, criminais e administrativas previstas em lei.
Subseção I
Da Guarda de Registros de Conexão
Art. 11. Na provisão de conexão à Internet, cabe ao administrador do sistema
autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente
controlado e de segurança, pelo prazo de um ano, nos termos do regulamento.
§ 1o A responsabilidade pela manutenção dos registros de conexão não poderá
ser transferida a terceiros.

§ 2o A autoridade policial ou administrativa poderá requerer cautelarmente a
guarda de registros de conexão por prazo superior ao previsto no caput.
§ 3o Na hipótese do § 2o, a autoridade requerente terá o prazo de sessenta dias,
contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso
aos registros previstos no caput.

§ 4o O provedor responsável pela guarda dos registros deverá manter sigilo em
relação ao requerimento previsto no § 2o, que perderá sua eficácia caso o pedido de autorização
judicial seja indeferido ou não tenha sido impetrado no prazo previsto no § 3o.
Subseção I I
Da Guarda de Registros de Acesso a Aplicações de I nternet

Art. 12. Na provisão de conexão, onerosa ou gratuita, éLegaltech Consultoria e Treinamento Ltda.
vedado guardar os
registros de acesso a aplicações de Internet.

somente poderá ser responsabilizado por danos decorrentes de conteúdo gerado por terceiros se,
após ordem judicial específica, não tomar as providências para, no âmbito do seu serviço e
dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente.

Parágrafo único. A ordem judicial de que trata o caput deverá conter, sob pena
de nulidade, identificação clara e específica do conteúdo apontado como infringente, que
5
permita a localização inequívoca do material.
!
Art. 16. Sempre que tiver informações de contato do usuário diretamente
responsável pelo conteúdo a que se de aplicações o Internet provedor de aplicações de Internet
Art. 13. Na provisão refere o art. 15, caberá ao é facultado guardar os registros de
de
acesso dos usuários, respeitado o disposto nojudicial.
informar-lhe sobre o cumprimento da ordem art. 7 .
§ 1o A opção por não guardar os registros de acesso a aplicações de Internet não
Seção I V
implica responsabilidade sobre danos decorrentes do uso desses serviços por terceiros.
Da Requisição Judicial de Registros
§ 2o Ordem judicial poderá obrigar, porcom o propósitoguarda de registros de
Art. 17. A parte interessada poderá, tempo certo, a de formar conjunto
acesso a aplicações de Internet, desde ou penal, em caráter incidental ou autônomo, requerer em
probatório em processo judicial cível que se tratem de registros relativos a fatos específicos ao
período determinado,responsávelfornecimento dasfornecimento submetido aode conexão ou de
juiz que ordene ao ficando o pela guarda o informações de registros disposto na Seção
IV deste Capítulo. a aplicações de Internet.
registros de acesso
§ 3o Observado o Sem prejuízo 2dos autoridade policial ou administrativa poderá
o
Parágrafo único. disposto no § , a demais requisitos legais, o requerimento
requerer cautelarmente de inadmissibilidade:
deverá conter, sob pena a guarda dos registros de aplicações de Internet, observados o
procedimento e os prazos previstos nos §§ 3o e 4o do art. 11.
I - fundados indícios da ocorrência do ilícito;
Seção I I I
Da Responsabilidade por Danos Decorrentes dedos registros solicitados para fins de
II - justificativa motivada da utilidade Conteúdo Gerado por Terceiros
investigação ou instrução probatória; e
Art. 14. O provedor de conexão à Internet não será responsabilizado por danos
decorrentes de conteúdo gerado por terceiros.

Art. 15. Salvo disposição legal em contrário, o provedor de aplicações de Internet
somente poderá ser responsabilizado por danos decorrentes de conteúdo Legaltech Consultoria e Treinamento Ltda.
gerado por terceiros se,
terça-feira, 23 de outubro de 2012 específica, não tomar as providências para, no âmbito do seu serviço e
após ordem judicial

Conformidade: Brasil > Dados Pessoais

Tratamento de dados pessoais: toda operação ou
conjunto de operações, realizadas com ou sem o auxílio
de meios automatizados, que permita a coleta,
a r m a ze n a m e n t o, o r d e n a m e n t o, c o n s e r v a ç ã o,
modiﬁcação, comparação, avaliação, organização, seleção,
extração, utilização, bloqueio e cancelamento de dados
pessoais, bem como o seu fornecimento a terceiros por
meio de transferência, comunicação ou interconexão;



Dado pessoal: qualquer informação relativa a uma
pessoa identificada ou identificável, direta ou
indiretamente, incluindo todo endereço ou número de
identificação de um terminal utilizado para conexão a
uma rede de computadores;



Art. 6. O tratamento de dados pessoais é atividade de
risco e todo aquele que, por meio do tratamento de
dados pessoais, causar a outrem dano patrimonial,
moral, individual ou coletivo, é obrigado a ressarci-lo, nos
termos da lei.



Art. 24. Um conjunto de medidas mínimas de segurança
preventiva será publicado pela Autoridade de Garantia
dentro de, no máximo, um ano após a entrada em vigor
da presente lei, e atualizado periodicamente, com base
na evolução da tecnologia e na experiência adquirida.



subcontratado: a pessoa jurídica contratada pelo
responsável pelo banco de dados como encarregado do
tratamento de dados pessoais;



Ar t. 25. O subcontratado deve ter experiência,
capacidade e idoneidade para garantir o respeito às
disposições vigentes em matéria de tratamento de
dados pessoais, e responderá solidariamente com o
responsável pelos prejuízos causados pela sua atividade
aos titulares dos dados.



Ar t. 27. O responsável pelo tratamento deverá
comunicar à Autoridade de Garantia e aos titulares dos
dados, imediatamente, sobre o acesso indevido, perda
ou difusão acidental, seja total ou parcial, de dados
pessoais, sempre que este acesso, perda ou difusão
acarretem riscos à privacidade dos seus titulares.



Proteção de dados pessoais (Art. 8o.)
Princípio da ﬁnalidade
Princípio da necessidade
Princípio do livre acesso
Princípio da porporcionalidade
Princípio da qualidade dos dados
Princípio da transparência
Princípio da segurança física e lógica
Princípio da boa-fé objetiva
Princípio da responsabilidade
Princípio da prevenção
Princípio do “consentimento revogável ou anulável” art. 9o
Princípio da vedação da captura capciosa
Princípio da proibição da interconexão não autorizada


Perspectivas Finais: Legislação


Perspectivas Finais: Legislação

08%1#.&);"2&#1.5#+')<==>?@A)
B%4#(#+')?)93,.*5:)

!"#$%&#'%()*+,)-.'./#'/).'$)
0%1",#'/)-+2#&%)3%4#1%()#')
56%)7'5%,8,#(%)93,.*5:)

Recommendations of the National Institute
of Standards and Technology

Murugiah Souppaya

Perspectivas Finais: Regulação

Privacy Ofﬁce.

Art. 34. Toda entidade privada que realize o tratamento de dados pessoais para o desenvolvimento de
suas atividades e conte com mais de duzentos empregados deverá apontar um diretor responsável pelo
tratamento de dados pessoais.


Perspectivas Finais: Boas práticas

Código de Boas Práticas (Prever a Forense Digital)

Art. 45. Os responsáveis pelo tratamento de dados pessoais, individualmente ou através de organizações
de classe, poderão formular códigos de boas práticas que estabeleçam as condições de organização,
regime de funcionamento, procedimentos aplicáveis, normas de segurança, padrões técnicos, obrigações
especíﬁcas para os diversos envolvidos no tratamento e no uso de dados pessoais e demais quesitos e
garantias para as pessoas, com pleno respeito aos princípios e disposições da presente lei e demais
normas referentes à proteção de dados.


Perspectivas Finais: Crimes

Novo Código Penal:
Art. 209 - Acesso Indevido - Prisão seis meses a um ano, ou multa.
Art. 210 - Sabotagem Informática - Prisão de um a dois anos.
Art. 211 - Procede-se mediante queixa.


Perspectivas Finais: Por onde começar?

White Paper:
Big Data Solutions For Law Enforcement
http://ctolabs.com/wp-content/uploads/
2012/06/120627HadoopForLawEnforcement.pdf

ECPA
Modernization
http://www.wired.com/images_blogs/threatlevel/2012/08/
ECPA-Modernization-Act-of-2012.pdf

ECPA 2.0 http://thomas.loc.gov/cgi-bin/bdquery/z?d112:h.r.
6529:

Cloud Computing:
Legal Issues
http://www.isaca.org/Groups/Professional-English/cloud-
computing/GroupDocuments/DLA_Cloud%20computing
%20legal%20issues.pdf


Perspectivas Finais: Por onde começar?

•  Standards
–  ISO 17799 + ITIL
–  ISO 22307 (PIA)
–  ISO 27000 (minimum privilege)

•  Pratices
–  HIPAA
–  NIST 800-144 (Guidelines on Security and Priacy in Public
Cloud Computing)
–  NIST 800-53(Security and Privacy Controls for Federal
Information Systems and Organizations)
–  CSA Guideline

Guide to Integrating Forensic
Techniques into Incident Response
http://csrc.nist.gov/publications/
nistpubs/800-86/SP800-86.pdf Consultoria e Treinamento Ltda.
Legaltech

OBRIGADO
Big Data Forensics: Conformidade e melhores práticas para o
tratamento de dados e investigação de incidentes

José Antonio Milagre
Diretor de Forense Digital
jose.milagre@legaltech.com.br
Twitter: @periciadigital
Legaltech


BIG DATA AND CLOUD FORENSICS

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (11)

En vedette

En vedette (15)

Similaire à BIG DATA AND CLOUD FORENSICS

Similaire à BIG DATA AND CLOUD FORENSICS (20)

BIG DATA AND CLOUD FORENSICS