Impactos e desafios de Segurança da Informação nos Terceirizados

Transcrição

1 Impactos e desafios de Segurança da Informação nos Terceirizados Denise Comerlati Menoncello Dra. Patricia Peck Pinheiro 11/04/2016 1

2 Conteúdo Parte 1: Denise Cenário atual de terceirização X segurança da informação Exemplos de incidentes envolvendo terceirizados Você sabe quem são os seus terceiros? Riscos envolvidos O que fazer para minimizar os riscos e impactos da terceirização Parte 2: Peck Blindagem Legal da Segurança da Informação nos Terceirizados Quais documentos devem ser implementados É possível fazer inspeção física em dispositivo de terceiro? 2

3 As organizações são tão seguras quanto seu elo mais fraco! Alan Calder, IT Governance s founder & executive chairman Imagem: Walter Cunha Google + 3

4 Cenário atual Porquê as empresas terceirizam? Custos Mão de obra especializada Eficiência operacional 12,7 milhões de trabalhadores em 2013 (26,8% do mercado formal de trabalho) (*) 14,3 milhões de trabalhadores em 2014 (**) (*) Estudo da CUT em parceria com o DIEESE (**) estudo do Sindicato das Empresas de Prestação de Serviços Terceirizáveis e de Trabalho Temporário do Estado de São Paulo (Sindeprestem) 4

5 Exemplos de incidentes envolvendo terceirizados Home Depot (2014) EUA/Canada Roubo de dados cerca de 56 milhões de cartões de pagamento Cerca de 53 milhões de endereços de s Violação ocorreu através da rede do Home Depot, pelo uso de credenciais de um terceiro contratado US$ 19.5 milhões em pagamentos para reparar danos (US$ 13 milhões para reembolsar clientes pelas perdas e US$ 6.5 milhões para serviços de proteção de identidade) US$ 161 milhões previstos para despesas antes de impostos IDG News 08/03/2016 5

6 Exemplos de incidentes envolvendo terceirizados Target (2013) EUA/Canada Roubo de dados Cerca de 110 milhões de dados pessoais de clientes Cerca de 40 milhões de dados de cartões de pagamento Violação ocorreu através do roubo de credenciais de um terceiro que permitia acesso ao portal de contratados, que por sua vez, dava acesso à rede da empresa US$ 290 milhões em pagamentos para reparar danos (bandeiras de cartões, instituições financeiras, clientes, entre outros) Ainda sendo processada (shareholders, inquéritos no Federal Trade Commission and procuradores gerais de estados) Reuters 02/12/2015 6

7 Exemplos de incidentes envolvendo terceirizados American Express (2016) EUA Vazamento de Informações Informações de contas de portadores de cartões tais como nome, número do cartão e outras informações do cartão Violação ocorreu num provedor de serviços em 17 de Dezembro de 2013 e foi notificada somente em 2016 aos clientes do cartão. CSO online, 16/03/2016 7

8 Exemplos de incidentes envolvendo terceirizados Etihad Airways (2016) Abu Dhabi Vazamento de Informações Informações do programa de fidelidade de cerca de 7 mil associados, tais como nome, endereço de , telefones, endereço de IP Violação causada por um terceiro que trabalhava numa campanha promocional para a companhia em IT Governance Blog, 07/01/2016 8

9 Você sabe quem são seus Terceiros? Serviços de Tecnologia da Informação Serviços de limpeza, segurança física, manutenção predial, etc Pessoas com expertise técnica E o que eles acessam? Onde estão as informações acessadas Tipo de informação e sigilosidade Quem e razão para acesso Regulamentação Imagem: 9

10 Alguns riscos envolvidos Acessos não autorizados Funcionários maliciosos Indisponibilidade de informações e/ou serviços Não conformidade com leis e regulamentações Perda de governança Roubo de propriedade intelectual e violações de direitos autorais em softwares e documentos Vazamento e violação de informações confidenciais Imagem: 10

11 Problemas mais comuns associados à Terceirização Acesso privilegiado às informações da empresa Acesso à sistemas e aplicações com perfis de usuários internos e privilégios Acesso a documentos impressos e/ou disponíveis nas estações de trabalho Descumprimento da Política de Segurança da Informação e Normas Não aderência aos requisitos e controles de segurança da informação estabelecidos 11

12 Problemas mais comuns associados à Terceirização - cont. Uso de equipamentos próprios para acesso à rede da empresa Uso de dispositivos móveis para acesso à internet e cópia de arquivos Acesso não controlado à internet via placas de acesso remoto Indisponibilidade de informações ou serviços 12

13 O que fazer? Lista de quem são e o que fazem Informações acessadas e nível de sigilosidade Requisitos de segurança a serem cumpridos Análise de riscos do terceirizado Monitoração Auditoria Imagem: 13

14 PERGUNTAS SOBRE A PARTE DA DENISE? 14

15 Parte 2 Blindagem Legal Segurança da Informação Terceirizados Peck 15

16 Segurança da Informação nos Terceirizados Exige mudança de comportamento e conhecimento: Aspectos Técnicos Aspectos Jurídicos 16

17 No mundo digital onde está a empresa? A empresa está onde está a sua informação. Fonte imagem: RONES disponível em VECTORACE disponível em SHINNOSKE disponível em STEVEPETMONKEY disponível em ANDY disponível em MFDZG disponível em acessado em (finalidade educacional) 17

18 Sequestro de dados Desafio do Gestor TIC - SI Colaborador 3.0 Hackers Corporativo e Pesssoal Vírus Mobilidade NEORG. Wifi. Finalidade comercial. Disponível em: < Acesso em: 06 abr JCARTIER. City 1. Finalidade comercial. Disponível em: < Acesso em: 06 abr COLLETONGIS. Property Taxes Icon. Finalidade comercial. Disponível em: < Acesso em: 06 abr ROOTWORKS. Citizen engagement. Finalidade comercial. Disponível em: < Acesso em: 06 abr USR_SHARE. Smartphone (layered). Finalidade comercial. Disponível em: < Acesso em: 06 abr QUBODUP. Virus. Finalidade comercial. Disponível em: < Acesso em: 06 abr JORGEISAAC34. Anonimous mask. Finalidade comercial. Disponível em: < Acesso em: 06 abr MOINI. Server rack. Finalidade comercial. Disponível em: < Acesso em: 06 abr JASCHON. Padlock Icon. Finalidade comercial. Disponível em: < Acesso em: 06 abr

19 Em Tecnologia NÃO existe almoço gratis A moeda da sociedade digital é a informação. Muitos serviços gratuitos cobram caro pois o preço a pagar é a PRIVACIDADE. Mas, pelo Código de Defesa do Consumidor Brasileiro, todo fornecedor de um Produto ou Serviço tem o dever de atender: 3 resquisitos 1.QUALIDADE 2. SEGURANÇA (PROTEÇÃO) 3. PRIVACIDADE (DADOS) Fonte: FREEQAREGENIUS Disponível em Acessado em (finalidade educacional) 19

20 O Poder de Decisão ao dar um Click-OK e baixar um aplicativo gratuito? Ao utilizar o Whatsapp e aceitar os Termos de Uso, o usuário está: Escolhendo uma tecnologia Realizando uma contratação eletrônica Assinando um contrato de adesão (TU) Decidindo sobre a Segurança e Privacidade dos Seus Dados Se for Android com Backup no Google Drive está transferindo a propriedade dos seus dados com sua livre e expressa concordância Está sujeito às Leis Brasileiras (CDC, DCE e MCI) e ao Direito Internacional Privado (Lei do Estado da Califórnia, EUA) Permite acionar MLAT (Tratado de Assistência Jurídica Mútua investigação em jurisdição internacional e multi ordenamentos) Fonte: WHATSAPP, disponível em acessado em (finalidade educacional) 20

21 Pesquisa feita pelo escritorio EUA Morrison & Foerster realizada com 900 consumidores identificou que 35% dos consumidores não compram por medo dos seus dados vazarem. A preocupação com privacidade alcançou 82% dos entrevistados. Fonte: 21

22 Desde no Brasil os usuários receberam a seguinte mensagem do próprio Whatsapp: 22

23 Relatório M&A Leaks da Intralinks 2015 Os vazamentos de negócios caíram globalmente em seis anos. 6% de todos os negócios em 2014 envolveram vazamento antes do anúncio público, em comparação com 8,8% em A média de vazamento ao longo do período de seis anos foi de 7,4%. No período de seis anos, a região Europa, Oriente Médio e África (EMEA) apresentou a maior porcentagem média de negociações que vazaram, 9,2%. Já a América do Norte apresentou o menor percentual médio de vazamento, 6,3%. [...] Os dados para LATAM [...]nos anos de 2010, 2013 e 2014, as porcentagens de vazamento foram de 18,2%, 9,1% e 22,2%, respectivamente INTRALINKS. Pesquisa global intralinks. Finalidade comercial. Disponível em: < Acesso em: 11 abr

24 Kaspersky Lab e a B2B International Segundo a recente Pesquisa de Riscos de Segurança Corporativa de TI realizada pela Kaspersky Lab e a B2B International com mais de executivos e profissionais de empresas em 26 países, incluindo o Brasil 50% das empresas no Brasil acreditam que precisam melhorar a proteção das transações financeiras. A mitigação das fraudes e a redução do prejuízo resultante dos ataques virtuais estão na agenda de segurança das empresas entre os tópicos mais importantes, ao lado dos ataques de malware e o vazamento de dados. LAB, Kaspersky. Pesquisa de Riscos de Segurança Corporativa de T. Finalidade comercial. Disponível em: < a_que_as_empresas_desejam_impedir_a_todo_custo,802318,2.htm>. Acesso em: 11 abr

25 Uso e download de Aplicativos Gratuitos em dispositivos particulares usados para finalidade corporativa LEIAJA. VÃrus para Android rouba dados bancã rios silenciosamente. Uso comercial. DisponÃvel em: < Acesso em: 16 fev

26 Fonte: Folhapress, disponível Acessado em (finalidade educacional). 26

27 Você sabe guardar segredo? Segredo Sigiloso Confidencial Interno Público 25

28 Qual a probabilidade de sofrermos um incidente de Segurança da Informação? Quem já mandou mensagem para pessoa errada? TERCEIRO Fonte IMAGEM: ULRIKE disponível em MINDUKA disponível em KNOLLBACO disponível em MONDSPEER disponível em (finalidade educacional) 28

29 Case 99Taxis 2015 uma falha humana por parte de um representante do aplicativo 99Taxis, que não colocou os remetentes em oculto ao enviar uma mensagem, resultou no vazamento de mais de 400 s de usuários do app. Fonte: MINDUKA disponível em ; LEIAJA disponível em ANDREW_R_THOMAS disponível em Acessado em às 19h51. acessado em (finalidade educacional) 29

30 Não importa de quem é o dispositivo, Mas sim de quem é a informação 32

31 Código Penal Sigilo profissional Art Revelar alguém, sem justa causa, segredo, de quem tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem. Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa. Fonte: Gestion. Disponível em: 300x266.png. Acessado em (finalidade educacional). 31

32 Concorrência desleal Lei 9.279/96 Concorrência Desleal Art. 195 Comete Crime de Concorrência Desleal quem: XI Divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais (...) excluídos aqueles que sejam de conhecimento público (...) a que teve acesso mediante relação contratual ou empregatícia, mesmo após término do contrato; XII Divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude; Pena: Detenção de 3 (três) meses a 1 ano, ou multa. 32

33 Jurisprudência Justa Causa Cláusula de confidencialidade. Incorre nas hipóteses de justa dispensa o empregado que conscientemente transgride cláusula contratual que impede a retirada de documentos do âmbito da empresa sem expressa autorização, colocando em risco o sistema de segurança adotado. (..) o reclamante transgrediu o regulamento interno da empresa ao remeter para seu endereço eletrônico particular arquivos contendo o desenvolvimento de projetos de propriedade da demandada, sem autorização (TRT02, RO, acordão nº , Rel. Ana Maria C.B. Silva, Julgado em 12/05/2009) Fonte: JUSBRASIL Disponível em em (finalidade educacional) 33

34 Art. 325, do Código Penal: Violação de Sigilo Funcional Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação: Pena - detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave. 1º Nas mesmas penas deste artigo incorre quem: I permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública. 34

35 Lei /2011 Lei de Acesso à Informação Entrou em vigor dia 16/maio/2012 Portaria n.º 25, de 15 de maio de 2012 Estabelece como dever dos órgãos e entidades do poder público assegurar a gestão TRANSPARENTE da Informação, propiciando amplo acesso a ela e sua divulgação. Mas também a portaria elenca os documentos considerados sigilosos para garantir a segurança da sociedade e a sua imprescritibilidade. Todos os funcionários devem respeitar os rótulos de Sigilo das informações! Ultrassecreta, Secreta, Reservada, Confidencial, Interna e Pública 35

36 Lei /2011 Lei de Acesso a Informação Visa assegurar o direito fundamental de acesso à informação, (princípio da publicidade - art. 3º inc I). As informações protegidas pela legislação devem ser classificadas em ultrassecreta, secreta e reservada com prazos máximos de restrição de acesso de 25, 15 e 5 anos, respectivamente (art. 23 e 24 segredo de justiça ou segredo industrial Lei 9279/96, segurança nacional). Transcorrido este prazo a informação será automaticamente desclassificada para pública. Haverá casos específicos de tratamento de informações pessoais tratada em capítulo específico da Lei, onde deverá ter, como regra geral, a garantia a privacidade das informações pessoais

37 Matriz de Risco Segurança da Informação Atenção: Inserção de cláusula contratuais que possibilite inspeção para verificação dos requisitos de SI 37

38 Riscos da Terceirização Funcionários terceirizados Diferenças de compliance e políticas internas; Diferenças de regime de trabalho; Contato direto com informações internas da empresa; Responsabilização interna de acordo com os termos de contrato; Quanto mais relevante a função maior o risco. GERALD_G. Man in Suit. Finalidade comercial. Disponível em: < Acesso em: 11 abr

39 Transferências de informações Rede Interna setores da empresa MOINI. Server rack. Finalidade comercial. Disponível em: < Acesso em: 11 abr ULRIKE. Monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr KML. Document. Finalidade comercial. Disponível em: < Acesso em: 11 abr

40 Transferências de informações Rede Interna setores da empresa A transferência interna ajuda na proteção contra ameaças externas como hackers e malwares; Os padrões de políticas e compliance são os mesmos; Os dados não são transferidos pela Internet. MOINI. Server rack. Finalidade comercial. Disponível em: < Acesso em: 11 abr ULRIKE. Monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr KML. Document. Finalidade comercial. Disponível em: < Acesso em: 11 abr

41 Transferências de informações Rede interna + Internet - empresas terceirizadas ULRIKE. Monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr KML. Document. Finalidade comercial. Disponível em: < Acesso em: 11 abr WARSZAWIANKA. Tango applications internet. Finalidade comercial. Disponível em: < Acesso em: 11 abr OUSIA. Computer monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr

42 Riscos da Terceirização 1º parte Dados e Internet A troca de dados entre empresas é realizada por meio da Internet; As informações confidenciais e ainda não finalizadas saem do ambiente de controle da empresa; Serviços de mais populares não criptografam suas informações, deixando-as livres para leitura se interceptadas. Dados susceptíveis a hackers e malwares. ULRIKE. Monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr KML. Document. Finalidade comercial. Disponível em: < Acesso em: 11 abr WARSZAWIANKA. Tango applications internet. Finalidade comercial. Disponível em: < Acesso em: 11 abr OUSIA. Computer monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr

43 Riscos da Terceirização 2º parte Internet O compartilhamento de arquivos na Internet demanda maior conhecimento dos serviços e suas limitações; Leia sempre os Termos de Uso e Política de Privacidade; Não compartilhe arquivos confidenciais sem criptografia; Risco de permanência do arquivo na Internet para acesso de terceiros. ULRIKE. Monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr KML. Document. Finalidade comercial. Disponível em: < Acesso em: 11 abr WARSZAWIANKA. Tango applications internet. Finalidade comercial. Disponível em: < Acesso em: 11 abr OUSIA. Computer monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr

44 Riscos da Terceirização 3º parte empresa terceirizada Diferenças de compliance e políticas internas; Diferenças de classificação de informações (confidenciais, internas e públicas); Vazamento de dados para concorrentes (concorrência desleal) Nível de preparo dos profissionais. ULRIKE. Monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr KML. Document. Finalidade comercial. Disponível em: < Acesso em: 11 abr WARSZAWIANKA. Tango applications internet. Finalidade comercial. Disponível em: < Acesso em: 11 abr OUSIA. Computer monitor. Finalidade comercial. Disponível em: < Acesso em: 11 abr

45 Blindagem Legal da Segurança da Informação nos Terceirizados: 1. Política de Segurança da Informação específica do Terceirizado 2. Código de Conduta Ética específica do Terceirizado 3. Usar NDA pré contratação (reuniões, RFPs, outros) 4. Contrato áreas de compras e gestores atualizarem modelo para ter cláusula de confidencialidade, cláusula de segurança da informação, cláusula de que o mero acesso a recursos para realização da prestação de serviço por si só não configura vínculo empregatício, sobrejornada ou sobreaviso, clásula de cessão de propriedade intelectual, cláusula de classificação da informação (em caso de dúvida tratar no mínimo como interna não pública) 5. Aditivo de contrato ou Anexo ao Contrato Procedimentos de Segurança da Informação que deixe claro sobre mobilidade, uso de repositórisos digitais para tráfego e compartilhamento de dados, uso de criptografia (padrão, tamanho de chave), descarte seguro (padrão), vedação tirar fotos, gravar ou filmar ambiente da empresa contratante, outros detalhes pertinentes

46 Blindagem Legal da Segurança da Informação nos Terceirizados: 6. Termo de Responsabilidade Individual assinado por cada equipe da empresa terceirizada Ex Fluxo: Contratos entre 2 Pessoas Jurídicas (Contratante e Contratado) + Termo de Responsabilidade é assinado por cada integrante da equipe da empresa contratada (PJ contratada assina + PF equipe contratada e envia uma via original assinada para a PJ contratante guardar como parte interessada do compromisso assumido pelo prestador do serviço de cumprir com regras éticas e de segurança da informação da empresa contratante) 7. Controle Identidade (controle de login e senha, além de crachá com expiração programada automática já definida prazo do contrato - renovável) 8. Controle de Acesso no Perímetro Físico e Lógico termo de ciência e responsabilidade para acesso físico e lógico ao ambiente da empresa contratante, em que a pessoa da equipe terceirizada completa o formulário afirmando se está entrando portando dispositivos com câmera, celular, notebook, tablet, outros, e autoriza desde já a inspeção e/ou vistoria física e a monitoração lógica com uso inclusive de DLP do dispositivo 9. Inserir vacinas legais nas interfaces gráficas dos sistemas que são acessados ou ficam acessíveis por terceirizados (deixe claro que o ambiente é confidencial, só para pessoas autorizadas, senha individual e instransferível, não gera vínculo, mero acesso não configura sobrejornada nem sobreaviso)

47 Riscos da Terceirização Funcionários terceirizados Cláusulas confidencialidade CLÁUSULA TERCEIRA - DAS RESTRIÇÕES QUANTO A UTILIZAÇÃO DAS INFORMAÇÕES I. Manter as INFORMAÇÕES em segurança e sob sigilo, obrigando-se a tomar todas as medidas necessárias para impedir que sejam transferidas, reveladas, divulgadas ou utilizadas, sem autorização, a qualquer terceiro estranho a este Termo; II. Não copiar, reproduzir, transferir ou usar indevidamente quaisquer INFORMAÇÕES da PARTE REVELADORA para qualquer outra finalidade que não seja a promoção deste Termo e aproximações comerciais entre as Partes; 47

48 Riscos da Terceirização Funcionários terceirizados Cláusulas confidencialidade CLÁUSULA QUARTA - DIVULGAÇÃO DAS INFORMAÇÕES A PARTE RECEPTORA compromete-se a: I. Devolver à PARTE REVELADORA, ou a exclusivo critério desta, destruir, todas as INFORMAÇÕES que estejam em seu poder em até 48h (quarenta e oito horas), contados da data da solicitação; II. É vedado a PARTE RECEPTORA manter quaisquer cópias das INFORMAÇÕES da PARTE REVELADORA, salvo se devidamente autorizado por escrito pela PARTE REVELADORA ou diante de determinação legal que exija. 48

49 Riscos da Terceirização Contrato de prestação de serviço Além das restrições e critérios de uso das informações estabelecidas na Norma de Classificação da Informação do CONTRATANTE, a CONTRATADA e as respectivas Pessoas Autorizadas, se obrigam a: I. Manter as informações em segurança e sob sigilo, obrigando-se a tomar todas as medidas necessárias para impedir que sejam transferidas, reveladas, divulgadas ou utilizadas, sem autorização, a qualquer terceiro estranho a este Contrato; 49

50 Riscos da Terceirização Contrato de prestação de serviço II. Divulgar as informações às Pessoas Autorizadas da CONTRATADA somente na estrita medida em que se fizer necessária tal divulgação, respondendo solidariamente com estes na hipótese de descumprimento; III. Não copiar, reproduzir, transferir ou usar indevidamente quaisquer informações do CONTRATANTE para qualquer outra finalidade que não seja a execução do presente Contrato. 50

51 Exemplos de cláusulas a serem inseridas nas Normas de Segurança da Informação relacionadas aos Terceirizados Monitoramento: Os prestadores de serviço e seus colaboradores estão cientes de que o CONTRATANTE realiza o registro e armazenamento de atividades (logs) e monitora seus ambientes físicos e lógicos, com a captura de imagens, áudio ou vídeo, inclusive, com a finalidade de proteção de seu patrimônio e reputação e daqueles com os quais se relaciona de alguma forma. O CONTRATANTE realiza o armazenamento dos dados monitorados para fins administrativos e legais, além de colaborar com as autoridades em caso de investigação. Inspeção: o CONTRATANTE pode realizar, quando necessário, de forma proporcional e dentro dos limites da razoabilidade, inspeção em dispositivos próprios, particulares ou de terceiros, incluindo os dispositivos de equipes terceirizadas, respeitando a privacidade do proprietário do aparelho e a proteção de seus dados pessoais, sempre em conjunto com o departamento de Segurança da Informação ou outra área que responda por proteção de ativos informacionais e patrimônio. 51

52 Debate Final Posso inspecionar o dispositivo de um terceirizado? Como fazer isso de forma legal? Fonte imagem: SHEIKH_TUHIN disponível em ANDREW_R_THOMAS disponível em CINEMACOOKIE disponível em acessado em (finalidade educacional) 52

53 Dispositivo Particular do Terceiro ou Terceirizado Cláusula Contratual (prévia) e Termo de Controle de Acesso (prévio) inclusive em fase NDA (Aviso de Inspeção física e lógica e Monitoração) Contrato de Prestação de Serviço Vigente Contrato de Prestação de Serviço encerrado ou rescindido Usuário concede Usuário rejeita Usuário concede Usuário Rejeita Inspeção incidental ou periódica (aleatória) Descumprimento de regras contratuais impor penalidade contratual até a rescisão e invocar Poder de Polícia para eventual Busca e Apreensão Realizar a inspeção assistida e liberar o equipamento ao usuário Sugerir a inspeção assistida Ação de busca e apreensão Invocar o Poder de Polícia para solução 53

54 PERGUNTAS SOBRE A PARTE DA Peck? 54

55 PL DA CÂMARA nº 30, de 2015 Contratos de terceirização e as relações de trabalho 55

56 Cyberbullying na Escola como prevenir Campanhas de Educação case istartcare (istart) 56

57 Programa É Legal? Podcast Cultura, Inovação, Casos, Dicas e Leis 57

58 Denise Comerlati Menoncello - Consultora Especialista em Segurança da Informação e Riscos, com mais de vinte e cinco anos de experiência em TI e SI, com ênfase em riscos, governança, conformidade técnica, gestão e tecnologia de segurança da informação. Com histórico de atuação em empresas como Serasa Experian, Camargo Correia e Atos Origin. Vice coordenadora do Comitê CE-21: de Segurança da Informação da ABNT, responsável pelas normas de segurança da série ISO e delegada brasileira em reuniões internacionais do Comitê da ISO/IEC JTC1/SC27 Information Technology Security Techniques em 2004, 2005 e Eleita por 3 vezes como uma das 50 Profissionais mais influentes na área de Segurança pela IT Intelligence Magazine. Profundos conhecimentos dos frameworks de segurança da informação ISO e ISO 27002, com comprovada experiência em certificação ISO Professora universitária de pós-graduação nas disciplinas de Gestão de Segurança da Informação e Segurança em Pessoas em instituições como IPEN-USP e FATEC/SP. Certificada CRISC Certified in Risk and Information Systems Control (ISACA) e BS 7799 Lead Auditor (BSI). MBA em Gestão Empresarial pela FGV e Bacharel e Licenciatura em Matemática pela PUC/SP. 58

59 Dra. Patricia Peck Pinheiro Sócia fundadora e Diretora de Inovação do Escritório Patricia Peck Pinheiro Advogados Sócia fundadora da Patricia Peck Treinamentos Idealizadora e fundadora do Instituto i-start e Movimento Família mais Segura VP Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação (ASEGI) Árbitra do Conselho Arbitral do Estado de São Paulo CAESP Advogada formada pela Universidade de São Paulo Doutoranda em Direito Internacional pela USP Especialização Negócios Harvard Business School Curso em Gestão de Riscos pela Fundação Dom Cabral MBA Marketing Madia Marketing School Formada pela Escola de Inteligência do Exército Brasileiro Convidada para integrar Banca Examinadora de Doutorado do ITA em 2013 Professora convidada da Fundação Instituto de Administração, FIA USP Condecorada com a Medalha do Pacificador pelo Exército em 2009 Condecorada com a Medalha Tamandaré pela Marinha em 2011 Condecorada com a Medalha Ordem do Mérito Militar pelo Exército em 2012 Recebeu o Prêmio Security Leaders por seus trabalhos de Educação e Conscientização em Segurança Digital em 2012 e 2015 Recebeu o Prêmio Advogada Mais Admirada em Propriedade Intelectual em 2010, 2011, 2012, 2013, 2014 e 2015 Recebeu o Prêmio A Nata dos Profissionais Segurança Informação em 2006 e 2008 Recebeu o Prêmio Excelência Acadêmica Melhor Docente da Faculdade FIT Impacta em 2009 e 2010 Menção honrosa do Instituto Brasileiro de Direito Digital pelos relevantes serviços prestados para o fomento do Direito Digital Colunista do Brasil Post da Editora Abril; da IDG Now e das Revistas PartnerSales e Revista Segurança Digital Palestrante em diverssos eventos relacionados ao Direito Digital Programadora desde os 13 anos, com experiência EUA, Portugal e Coréia 59

60 Obrigada! Denise C Menoncello denise@cmsbrazil.com.br Dra. Patricia Peck Pinheiro patricia.peck@pppadvogados.com.br 60

61 FamiliaMaisSeguraNaInternet

62

63 PatriciaPeckPinheiro pppadvogados