Você está na página 1de 68

SEMINARIO ICARO

O mundo corporativo depois da

Por Dra. Patrcia Peck

Regulamentaes e TI
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Cenrio Atual
A tica e os valores devem vir sempre
antes das normas, quer sejam regras
internas ou mesmo Leis. So, portanto, o
seu substrato mais valioso.
As novas Regulamentaes so, por sua
vez, normas para impor um regime tico
de atuao empresarial como o caso do
ato constitucional Sarbanes-Oxley.

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Qual o Certo e o Errado


da Sociedade Digital ?

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Cenrio Atual

A Convergncia digital traz impactos:

COMPORTAMENTAIS
NEGOCIAIS
TICOS
LEGAIS

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Cenrio Atual
Experimente chegar ao trabalho e no receber
nenhuma informao:
Seu inbox est vazio.
A Internet est fora do ar.
Os jornais e revistas no chegaram.
O telefone no toca.
Ningum fala com voc.
Qual a sensao?
Somos dependentes da informao (ento, como
restringir uso de email, uso de messenger, uso de
handheld, o que fazer com o uso do iPod de 60gb dentro
da empresa?)
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Cenrio Atual

Quem aqui ja enviou email


para a pessoa errada?
Pode ser caso de vazamento de informao
confidencial, com afronta a BASILEIA II, SARBOX,
CLT, LEI 8112/90, CP, NCC (clausula contratual) ?
Pode ser caso de divulgao inadequada de fato
relevante, com afronta a Instruo CVM 358?
Pode ser caso de divrcio?!!
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Como aplicar Governana neste cenrio?


Ambiente Estruturado
Banco de Dados

A maior parte das empresas


possui informaes contidas
em um ambiente no
estruturado. Tal ambiente
carente de proteo,
com processos deficientes ou
inexistentes, no havendo
garantia da confidencialidade,
disponibilidade e integridade
das informaes.

Ambiente NO Estruturado
Imagens (.jpg, .gif, resoluo, cor, ...)
Vdeos (.wma, .avi, tamanho, ...)
Documentos (.doc, .pdf, .ppt, ...)
Voz (formato, qualidade, ...)
Som (mp3, durao, tamanho, ...)
Webpages (.html, tipo, finalidade, ...)
Papis (A4, A3, tipo, importncia, ...)

Esta a ltima verso?


Onde est aquele contrato?
Existe uma cpia de segurana?

Em qual dos dois lados a informao de sua empresa est mais concentrada?
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Como aplicar Governana neste cenrio?


O VELHO
Analgico
Fsico
tomos
Servios Fixos
Coletivos
Banda estreita
Equipamentos dedicados
Baixa velocidade de transmisso
Comunicao por fio
Monoplio
Propriedade Estatal
Protocolos Fechados
Unidirecionais
Comutao de circuitos

O NOVO Aonde ja estamos!


Digital
Virtual
Bits
Servios Mveis
Pessoais
Banda Larga
Equipamentos multifuncionais
Alta velocidade transmisso
Comunicao sem fio
Competio
Propriedade Privada
Protocolos Abertos
Interativos
Comutao de pacotes

* Paradigmas do mundo novo fonte HP


2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Sociedade Atual
A

Manifestao de Vontade no presencial!


As

testemunhas so as mquinas!

o arquivo original o digital, o impresso


cpia!

Nos meios eletrnicos tudo PROVA!


2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Objetivos e Desafios
Na viso empresarial, as novas regulamentaes
exigem TRANSPARNCIA.
TRANSPARNCIA representa GOVERNANA.

GOVERNANA EM TI representa CONTROLE.


CONTROLE exige SEGURANA DA INFORMAO
que necessita de EDUCAO e MONITORAMENTO.
EDUCAO significa CONSCIENTIZAO.
Isso tudo requer em termos tecnicos e legais quer dizer
PREVENO e GESTO DE RISCO.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Como TI contribui para


aplicar os princpios de
Governana e transparncia
exigidos por Sarbanes?

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Por que Sarbanes-Oxley e Basileia II


exigem Segurana da Informao e
Monitoramento?
Por que no tratam apenas tecnologia e
processos, mas principalmente de
PESSOAS!

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Nossas equipes, colaboradores, usurios


de modo geral ou so um SOLDADO DE
DEFESA, ou so uma UNIDADE DE
ATAQUE em potencial contra a prpria
empresa! Em que posio o seu time se
encontra?
O que estamos combatendo afinal?
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Novo Modelo de Ameaas

Cavalo de Tria (Trojan Horse)

Cookies

Boatos (Hoaxes)

Virus

Worm

Email uso inadequado


Software espio (Spyware)
Browser uso inadequado
Download de arquivos
Programas uso inadequado
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Abordagem Fraudulenta desconfie!!!


-----Mensagem original----De: adm_spc@scpc.com.br [mailto:adm_spc@scpc.com.br]
Enviada em: Monday, August 15, 2005 12:21 PM
Para: patriciapeck@uol.com.br
Assunto: Notificao: Cancelado ou Pendente de Regularizao

RSF5 - CONFIDENCIAL PARA: 197884b - EXTRATO DE DBITO

Prezado cliente,
Comunicamos que consta em nosso banco de dados vrias pendncias financeiras em
seu CPF / CNPJ, das quais no foram quitadas nas respectivas datas de vencimento.
Pedimos a vossa ateno a este comunicado, pois, medidas legais sero adotadas, tais
como a incluso em nosso Sistema de Proteo ao Crdito e Bloqueio no Cadastro
Nacional de Pessoa Fsica, bem como no Cadastro Nacional de Pessoa Jurdica.
Visualize o extrato de dbitos para maiores esclarecimentos.

Ausncia de
logomarca da
instituio

Clique abaixo para visualizar o extrato dos dbitos.

extrato dos
dbitos

Falta de meno a endereo por


extenso

"AS INFORMACOES ACIMA, DE USO EXCLUSIVO DO DESTINATARIO, SAO


PROTEGIDAS POR SIGILO CONTRATUAL. SUA UTILIZACAO POR OUTRA
PESSOA, OU PARA FINALIDADE DIVERSA DA CONTRATADA, CARACTERIZA
ILICITO CIVIL, TORNANDO A PROVA IMPRESTAVEL PARA O PROCESSO".

SCPC - Servio Central de Proteo ao Crdito

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Abordagem Fraudulenta desconfie!!!


-----Mensagem original----De: flores@floresonline.com.br [mailto:flores@floresonline.com.br]
Enviada em: Friday, August 12, 2005 12:02 AM
Para: patriciapeck@uol.com.br
Assunto: Voce Recebeu Flores

Ausncia de
logomarca da
instituio

Oi, Amor da minha vida Remetente obscuro, que


provoca
curiosidade
no
Voc acaba de receber flores!Para
visualizar
a mensagem,
necessrio que
usurio
faa download do Visualizador Virtual.Clique
no link abaixo para que
seja aberta a janela de downloads e escolha na opo "Abrir" para que as
flores e a mensagem sejam exibidas:
http://www.floresonline.com.br/receber.asp?num=352754&email=amorsecreto@uol.com.br
Clique e saiba quem pensou em voc!

Envie voc tambm,entre em nosso site e no deixe de se cadastrar!


Esperamos que goste das flores.
Visite tambm nosso site http://www.floresonline.com.br para conhecer
nossos servios de entrega de arranjos para todo Brasil.

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Problemas atuais do mundo corporativo:


- Falta de integridade dos relatrios pblicos divulgados
- Falta de transparncia na divulgao de informaes
- Possibilidade de fraudes contbeis
- Desconfiana dos investidores
- Penalidades inadequadas

Deficincia nos Controles


Uma deficincia nos controles indica uma falha no desenho, na
implementao e/ou na eficcia operacional de uma atividade de controle.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Novas Regulamentaes
Por tudo isso, a avaliao de risco das
empresas, inclusive para obteno de
crdito, passa a ser medida pela sua
capacidade de proteger seus ativos, o
que est diretamente relacionado ao
atendimento dos requisitos de Segurana
da Informao com implementao de
controles para garantir a transparncia e
o sigilo novas exigncias como
Sarbanes, Basileia II, CVM 358, outros.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

O que estamos Prevenindo

Risco de perda resultante de processos internos


inadequados ou deficientes, pessoas, sistemas ou de
eventos externos.
Inclui o risco legal.
RISCOS OPERACIONAIS
ERROS DE FUNCIONRIOS
FALHAS DE COMPUTADOR
DOCUMENTOS IRREGULARES
FRAUDES DE TODA A SORTE
PASSIVO JUDICIAL

Precisamos de fato praticar Governana Corporativa!


2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Exigncias de Sox, Basileia II, CVM 358

Objetivo fornecer maior confiana ao investidor e sustentabilidade


as organizaes;

Exige que as empresas demonstrem boas prticas corporativas:


a) Impe procedimentos efetivos de governana corporativa;
b) Penalidades com imposio civil e criminal internacional;
c) Ampliao da cultura de tica profissional;
d) Declarao de Responsabilidade da administrao em
estabelecer e manter um sistema de controles internos e mtricas
efetivas para:
1. Avaliao da efetividade dos Controles;
2. Declarao de auditoria independente certificando a avaliao
da gerncia;
3. Declarao identificando a metodologia/ framework usado para
implementar e avaliar os controles internos;
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Planejamento e Implementao estruturada

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Sox ( Sarbanes Oxley )


Lei da Responsabilidade Fiscal
"o gerenciamento da integridade, confiabilidade e transparncia da informao"

Transparncia na publicao dos relatrios financeiros


Criao de repositrios de banco de dados e de reteno das
informaes para auditoria a longo prazo
Fluxo de trabalho (workflow) de aprovao dos dados
Seo 302 Comunicao de Irregularidades e Atos iLegais - Requer
trimestralmente certificao do CEO / CFO no arquivamento de relatrios peridicos
sob a seo 13 (a) ou 15 (d).
Seo 404 - Avaliao dos Controles Internos - Requer uma afirmao da eficcia
da estrutura e procedimentos dos Controles Internos para os relatrios financeiros e
um relatrio emitido anualmente pelos Auditores externos atestando a acuracidade
da afirmao do gerenciamento.
Seo 802 - Penalidades Criminais pela alterao de documentos.
Seo 906 Responsabilidade corporativa pelos relatrios financeiros.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

considerada um divisor de guas na gesto das corporaes.


A SOX atua em duas pontas, j que cria um organismo regulador das
empresas de auditoria e aumenta de forma considervel as
responsabilidades e as penas dos executivos, alm de aumentar a
complexidade da administrao da empresa (ex. criao de comits).
A SOX torna Diretores Executivos e Diretores Financeiros
explicitamente responsveis por estabelecer, avaliar e monitorar a
eficcia dos controles internos sobre relatrios financeiros e divulgao.
Em caso de violao da SOX, os diretores,auditores e consultores
dessas empresas estaro sujeitos a pena dessa Lei,que vo de 10 a
20 anos de priso e multa de at US$ 5 milhes.

A Sarbanes-Oxley exige cultura de tica


profissional
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Necessidade de criao de um sistema atravs do qual os


executivos da empresa possam efetuar investigao
independente e formal dos documentos contbeis da
companhia.
Necessidade de reviso e certificao pelo CEO dos
trabalhos realizados pelo CFO e departamentos contbeis.
Alterao do rating das companhias brasileiras conforme
o nvel de adoo das boas prticas de Governana
Corporativa.
Elaborao pela empresas (ou, explicao SEC sobre a
razo de no possuir) de Cdigo de tica aplicvel aos
executivos de alto escalo, incluindo os diretores da
Companhia e demais responsveis por assuntos financeiros.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

OUTRAS INOVAES:
Emprstimos Proibio de emprstimos para Diretores e Conselheiros.
Planos de Benefcios Limitao aos planos de benefcios para
empregados. Nas empresas brasileiras, aplica-se aos planos de
aposentadoria.
Dever de Conduta dos Advogados Novos e rgidos padres de
conduta aplicveis aos advogados internos e externos das empresas.
Contedo e Publicidade das Informaes Prestadas SEC
regulamento visando melhorar a qualidade das informaes prestadas,
bem como aumentar seu alcance.
Comit de Auditoria Ser o rgo responsvel pela escolha,
remunerao e monitoramento das empresas de auditoria e contabilidade,
que dever ser composto por membros independentes pertencentes ao
Conselho de Administrao (Pode ser feita adaptao do Conselho Fiscal
S/A).
Conselho de Auditores de Companhia Aberta criao de novo
Conselho que ser responsvel pelo registro de empresas de auditoria,
determinaes de padres contbeis e disciplinares a serem seguidos.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

A QUEM SE APLICA ?
s companhias brasileiras que possuam ADRs negociados nas bolsas de
valores americanas, a seus dirigentes, a seus advogados e a seus
auditores;
s empresas brasileiras subsidirias de empresas estrangeiras listadas
na SEC, a seus dirigentes, a seus auditores e a seus advogados;
s companhias brasileiras que tem interesse ou se encontram em fase de
preparo para o lanamento de ADRs em Bolsas Americanas, a seus
dirigentes, a seus auditores e a seus advogados; e
s empresas brasileiras que tenham preocupao (em funo de rating,
por exemplo), com a tendncia do mercado brasileiro em atender e adotar
regras de melhor transparncia, prestao de contas e equidade na gesto
financeira empresarial.

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Aspectos relacionados ao cumprimento do artigo 404


A avaliao da administrao deve estar baseada em
procedimentos suficientes para avaliar o desenho e a
eficcia operacional (testes) dos controles internos.
Apenas mapear (no testar) no suficiente.
A administrao deve manter evidncia (documentao de
7 anos) do processo de avaliao e testes dos controles
internos.
Deficincias significativas (Significant Deficiency) nos
controles internos sobre informaes e relatrios financeiros
devero ser divulgadas ao mercado.
Uma deficincia material (Material Weakness) impedir a
administrao de afirmar que a companhia possui
controles internos adequados.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Auditoria de
demonstraes financeiras

Compreenso e considerao dos


controles internos apenas para
desenvolver o enfoque de auditoria.
Objetivo principal a emisso de
um parecer sobre as demonstraes
contbeis e no sobre os controles
internos.

Auditoria do 404

Enfoque 100% baseado em


controles.
Deve avaliar e testar os controles
nas diversas reas de negcios e
operacionais para opinar sobre sua
efetividade (mais ampla e mais
profunda)
sobre
os
relatrios
financeiros.
Ausncia histrica de erros nas
demonstraes financeiras no
necessariamente evidncia de
controles adequados.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Principais Desafios
1. Os controles internos no se encontram documentados conforme
requerido (COSO).
2. Deficincias Materiais e Deficincias Significativas sero identificadas
e, conseqentemente, devero ser solucionadas.
3. Prazo exguo.
4. Complexidade, diversidade e disperso geogrfica.
5. Grande nmero de processos, sub-processos e contas contbeis.
6. Necessidade de capacitao de recursos.
7. Concentrao de recursos com expertise de controles internos
(riscos, controles, auditoria e etc.) e conhecimento especfico
(contbil, tributrio, processos tpicos da indstria).
8. Concorrncia com outros grandes projetos internos tambm
estratgicos e prioritrios.
9. Implementar um processo que garanta a continuidade nos anos
subseqentes.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Deficincias mais comuns (lista limitada)


1. Falta de eficcia da atuao do Comit de Auditoria.
2. Deficincia ou ausncia de programa de preveno e controle de
fraudes.
3. Processos realizados em planilhas eletrnicas com controles manuais
(conciliaes, elaborao de demonstraes financeiras,etc.).
4. Segregao de funes com definio clara de Aladas e Poderes.
5. Processos de reviso e aprovao informais (uso de email, sms,
messenger sem guarda adequada de documentao ou workflow sem
trilha de auditoria).
6. Deficincia ou ausncia de Controles gerais de TI e controles internos
bsicos.
7. No considerar adequadamente o aspecto multi-location (unidade de
negcio, Geografia, entidades legais, etc.).
8. No definir e executar um plano de treinamento interno
9. No ter um plano de comunicao partindo do CEO para a base do
projeto e vice-versa.
10.No consultar com os auditores, especialistas e consultores externos.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Representao grfica do processo de avaliao do artigo 404

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

A SOX e as empresas brasileiras: CENRIO ATUAL


Apesar da SOX ser aplicvel apenas s empresas
brasileiras com ADRs listadas na SEC ou subsidirias destas,
a anlise do atual cenrio das empresas brasileiras
demonstra a crescente preocupao dos dirigentes no s
com os ditames da SOX, mas com os princpios da boa
governana corporativa.
Estudo recentemente apresentado no 4 Congresso
Brasileiro de Governana Corporativa demonstra que duas
de cada trs empresas brasileiras de mdio e grande porte
tm bom conhecimento dos ditames da SOX e dos princpios
das melhores prticas de Governana Corporativa.
A questo a PRATICA! E A VERIFICAO DA PRATICA!
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

MANIFESTAES E CONSEQNCIAS DA SOX NO BRASIL


Cartilha CVM - publicada em 2002, apesar de no exigir adeso compulsria,
determina padres de boa governana aplicveis a todas as companhias abertas.
Novo Mercado da Bovespa e Nveis 1 e 2 - Segmento lanado pela BOVESPA
em 2002, de aplicao facultativa, visando incentivar o crescimento sustentado do
mercado de valores mobilirios brasileiro, bem como melhorar o rating das
empresas que detm aes negociadas na BOVESPA.
Cdigo das Melhores Prticas de Governana Corporativa do Instituto
Brasileiro de Governana Corporativa IBGC (apesar de existir previamente
SOX, este foi aprimorado e j existe sua terceira edio).
Cdigos de tica/Governana Corporativa ex: PREVI/PETRUS.
Reforma da Lei das SAs ainda que anterior promulgao da SOX, a reforma
da Lei nasceu no contexto do fortalecimento do mercado e da Governana
Corporativa, trazendo em seu bojo inovaes que evidenciam a preocupao com
a proteo ao acionista minoritrio e a melhora do nvel das informaes prestadas
pela companhia.
Adaptao s novas regras pelos Auditores Independentes Auditorias
Independentes vem reformulando sua administrao e procedimentos para
atender as inovaes trazidas pela SOX.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Causas do fracasso de implantao de projetos na rea de TI:

O que necessrio para mudar ?


Estratgias; Estrutura organizacional; Reviso de Processos; Reviso de
Mtricas;
Mudana
Cultural;
Capacitao;
Comunicao;
Comprometimento da Direo; Transparncia de Propsitos, etc.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Recomendaes Gerais para estar


Compliance com as novas
Regulamentaes
GESTO DE RISCO
(de modo que a implementao de controles
no gere riscos legais)
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Compliance das Regulamentaes exige:


Gesto Legal do Risco Digital em 3 nveis:
1. Nvel Tecnologias
2. Nvel Processos
3. Nvel Pessoas

Com medidas:
Corretivas em carter emergencial
Preventivas em carter Estrutural
Orientativas em carter Educacional
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

PETI Plano Estratgico de TI deve estar alinhado com os


objetivos do Negcio e com a estratgia de arquitetura jurdica
para garantir a confidencialidade, integridade e disponibilidade
da informao.
Viso
Regras
Controles

PETI
Poltica de Segurana
Tecnologia

Processos

Blindagem Legal

IPS (Sistema de Preveno Intruso)


Antivrus
Anti-Spam
Firewall
Testes de vulnerabilidade
Outros
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Metodologia
PREVENO
Implementao das Polticas, Contratos e das Ferramentas Tecnolgicas
Elaborao de um Plano de Contingncia e Continuidade Legal para
Resposta a Crise Digital
CONTROLE
Definio clara da Gerao de Evidncias e Provas digitais, captao,
armazenagem e uso dos dados para fins legais implementao das
Ferramentas Tecnolgicas e dos Acordos de Outsourcing e SLA
MONITORAMENTO
Acompanhamento permanente dos ambientes de uso de informao
com todos os documentos legais j adequados para fazer o mesmo
sem quebra de privacidade, ou responsabilidade civil e criminal!
FUNCIONRIO

FORNECEDOR

CLIENTE
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Gesto Legal do Risco Digital


4 ELEMENTOS PARA GESTO DE RISCO EM CANAIS ELETRONICO

Clculo do Risco (PSR)

SEGURANA

1. Risco por Lei (Nacional)


2. Risco por Acordo/Tratado
(Internacional)

PROVA

PRIVACIDADE 3. Risco por Regulamentao de


Mercado (ex. Bolsa, CVM, Bacen)

Responsabilidade
Digital da Marca

4. Risco por contrato


5. Risco por relaes solidrias
6. Risco por exposio pblica

PRODUTIVIDADE

7. Risco Institucional / tico

preciso criar uma Blindagem Legal!


2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Gesto Legal do Risco Digital


PCN Legal Plano de Contingncia e Continuidade
ESTRATGIA

PROCESSO

CAPACITAO

COMUNICAO

MTRICA

CONTROLE

A Gesto Legal da Informao deve integrar ICT com os Processos de Negcio para atender:
Cenrios Complexos
Relaes Interdependentes
Obrigaes Solidrias
Limitao de Responsabilidades
Gerenciamento do Risco
Educao do Usurio
No existe Governana sem atendimento aos requisitos mnimos de Controle:
como ter Poltica de Privacidade, Poltica de Segurana da Informao, Poltica
de uso de email por Funcionrio, outros.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

importante saber tambm que a concepo de um sistema de


controle interno deve sempre levar em considerao a avaliao
de riscos da administrao, bem como a relao custo x
benefcio da implantao do controle.

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Tabela Geral de Riscos (Internos e Externos)

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Base Histrica de Dados - Para mitigar risco necessrio identific-lo, avaliar o seu
impacto financeiro, bem como a sua probabilidade de ocorrncia nos diversos
processos da Instituio Financeira. Logo, necessrio a estruturao de uma base
histrica de dados que sustente uma projeo segura das perdas futuras. Vale
lembrar que quanto maior a complexidade operacional da Instituio Financeira,
mais crtico se torna o prazo que resta para a implantao desse controle.
byCopyright
Patrcia
PeckPeck
2005
Dra. Patricia

SEMINARIO ICARO

Por que tudo tem a ver com Privacidade?

Quando as testemunhas so
mquinas, as investigaes
relacionadas a problemas com
segurana, fraudes, crimes
eletrnicos, exigem alguma quebra
de sigilo de dados, muitas vezes
protegidos por privacidade, ou aes
de monitoramento que podem tipificar
interceptao.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Situaes que mais geram conflito

Monitoramento de Rede
Monitoramento de Email
Monitoramento de Internet
Monitoramento de Catraca Eletrnica
Monitoramento Cmeras Internas

SORRIA, VOC
EST SENDO
FILMADO!
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Privacidade em Meios Eletrnicos


Como determinar o limite entre Privacidade e Segurana
de Informao dentro dos ambientes corporativos?

Privacidade absoluta X Privacidade Relativa


(presuno de valor)

(contratual)

Direito Privacidade - Constituio Federal 88 e pela


Conveno de Estraburgo de 1981.
CF/88 - Art. 5o. X so inviolveis a intimidade, a
vida privada, a honra e a imagem das pessoas,
assegurado o direito a indenizao pelo dano
material ou moral decorrente de sua violao.
NRPOL Norma de Referncia a Privacidade Online
(FCAV) www.privacidade.org.br
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

DE NADA ADIANTA TER AS REGRAS


SEM INFORMAR, SEM EDUCAR, SEM
CONSCIENTIZAR!

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

JOGO DOS ERROS

EDUCAO DO USURIO ESSENCIAL


byCopyright
Patrcia
PeckPeck
2005
Dra. Patricia

SEMINARIO ICARO

Fatores Crticos de Sucesso

PRIVACIDADE
SEGURANA
PROVA
MONITORAMENTO
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Soluo

Melhor Estratgia
Princpio da Transparncia

Informao
X
Omisso
Passar a regra do jogo, NO JOGO!
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Questes para reflexo:


Sua empresa registra os processos de maneira eficiente?
Ela possui ferramentas para a gesto do conhecimento?
Existem meios de acompanhar as informaes da empresa em tempo real?
As auditorias so completas e esto adequadas s exigncias legais?
Sua empresa est ou no segura? Qual o nvel dessa segurana?
So tomadas medidas que visam o gerenciamento dos riscos?
H necessidade de criar novas aplicaes ou as atuais j bastam?
Os usurios dos sistemas de sua empresa esto satisfeitos com as aplicaes?
Existe necessidade de integrar os sistemas da empresa?
A Tecnologia da Informao est bem implantada?
Os ativos da empresa esto protegidos? Tem certeza?
Como anda a reputao de sua empresa frente ao mercado? E na internet?
Existe backup de dados e aplicao de redundncia?
Os colaboradores da empresa esto cumprindo o seu papel? H confiana?
Estamos educando, temos usurios conscientes ou inconseqentes?
Quais os planos para o futuro? Sua empresa ter ou no futuro?
E agora? Estou perdido?
Ser que s sou Eu? Ser?
Por onde comear?
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Gesto Legal do Risco Digital


CLUSULA CONTRATUAL DA SEGURANA DA INFORMAO

A CONTRATANTE poder manter registros sobre todas as


atividades relacionadas execuo do presente CONTRATO que
sejam efetuadas atravs de acessos fsicos ou lgicos s
informaes confidenciais, equipamentos, softwares, instalaes,
programas-fonte e quaisquer outros ativos de informao da
CONTRATANTE, com o objetivo de:
a) apurar a observao da poltica de segurana da informao da
CONTRATANTE;
b) determinar ocorrncia de algum comprometimento dos ativos de
informao da CONTRATANTE, por exemplo, perda ou modificao
de dados no autorizada.
c) identificar a divulgao e reproduo no autorizada de
informaes confidenciais
d) auditar, por si ou por terceiro contratado, as responsabilidades
contratuais e extracontratuais.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Gesto Legal do Risco Digital


CLUSULA CONTRATUAL DA SEGURANA DA INFORMAO

A CONTRATADA obriga-se a utilizar programas de proteo e segurana


de informaes que busquem evitar qualquer acesso no autorizado aos
seus sistemas, seja em relao aos que eventualmente estejam sob sua
responsabilidade direta, seja atravs de link com os demais sistemas da
CONTRATANTE, ou ainda por utilizao de e-mail.
Constituem, ainda, obrigaes da CONTRATADA sempre que utilizar
sistemas que faam interface com os sistemas da CONTRATANTE:
a) Seguir os parmetros mnimos de Segurana de Informaes,
estabelecidos pela CONTRATANTE, conforme Anexo (...) ;
b) Quando solicitado por escrito pela CONTRATANTE, realizar, prioritria e
concomitantemente, as alteraes para sanar possveis problemas de
segurana ou de vulnerabilidade nos sistemas que tenham sido
comunicados pela CONTRATANTE.
c) Assegurar que os dispositivos fornecidos pela CONTRATADA para
armazenamento de informaes (exemplo: mdias magnticas, eletrnicas,
ticas) ou, ainda, os ambientes tecnolgicos, canais de comunicao entre
as Partes (exemplo: sites, links, hiperlinks, Banners), estejam livres de
programas de computadores ou outros recursos tecnolgicos que possam
causar perda de integridade, confidencialidade ou disponibilidade de dados
ou informaes da CONTRATANTE ou de terceiros com os quais a
CONTRATANTE mantenha relacionamento comercial (exemplo: vrus,
cavalos de tria).
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Sarbanes exige controles, que exige monitoramento,


que exige que haja uma Poltica de Segurana da
Informao necessita do cumprimento de
requisitos legais para ser implementada:

1.

Esteja claro e expresso o uso do monitoramento


(harmonizar com os princpios gerais de direito e a
questo da Privacidade);
Tenha uma poltica de conduta tica e de e uso das
ferramentas tecnolgicas (certo e o errado);
Os contratos sejam ajustados com clusulas
especficas de segurana da informao e com
definio de terminologia (glossrio);
Tenha uma poltica de Classificao da Informao
(pblica, sensvel, confidencial, restrita).

2.
3.

4.

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Recomendaes:
importante projetar ARQUITETURA TCNICA E LEGAL ADEQUADA!
... uma forte estrutura de controles internos (com workflow) que ajude a
manter a companhia na direo do crescimento e da lucratividade;
... procedimentos que permitam cumprir as novas exigncias para a emisso de
relatrios e para a divulgao decretada pela Lei Sarbanes-Oxley com uma
estrutura que resista ao exame minucioso de seu auditor independente, a SEC e
de outros rgos reguladores;
... Histrico de banco de dados e fluxo de informaes ampliado e adequado
que permita a tomada de melhores decises empresariais e tambm a guarda
das Provas Legais;
... a companhia tornando-se uma empresa-lder, reconhecida pela governana
corporativa, conhecida pela qualidade e integridade de seus relatrios financeiros
GERA DIFERENCIAL COMPETITIVO!
ESTAMOS EDUCANDO?

ESTAMOS MONITORANDO?

ESTAMOS COM AS PROVAS LEGAIS VLIDAS,


NTEGRAS E ACESSVEIS?

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Quais as Consequncias Legais


Novo Cdigo Civil

Art. 186. Aquele que, por ao ou omisso voluntria, negligncia ou


imprudncia, violar direito e causar dano a outrem, ainda que exclusivamente moral,
comete ato ilcito.

Art. 187. Tambm comete ato ilcito o titular de um direito que, ao exerc-lo, excede
manifestamente os limites impostos pelo seu fim econmico ou social, pela boa-f
ou pelos bons costumes.

Art. 927 Aquele que, por ato ilcito (arts. 186 e 187), causar dano a outrem, fica
obrigado a repar-lo. Pargrafo nico: Haver obrigao de reparar o dano,
independente de culpa, nos casos especificados em lei, ou quando a atividade
normalmente desenvolvida, pelo autor do dano implicar, por sua natureza, risco par os
direitos de outrem.

Art.1016. Os administradores (cargo de gerente para cima) respondem solidariamente


perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas
funes.

CLT - Dever de Sigilo

Art. 482 - Constituem justa causa para resciso do contrato de trabalho pelo
empregador:
(...) g) violao de segredo da empresa;
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Quais as Consequncias Legais


Falar em um chat que alguem cometeu algum crime (ex. ele um ladro...)

Calnia

Art.138 do C.P.

Dar forward para vrias pessoas de um boato eletrnico

Difamao

Art.139 do C.P.

Enviar um email para a Pessoa dizendo sobre caracteristicas dela (gorda, feia, vaca,...)

Injria

Art.140 do C.P.

Enviar um email dizendo que vai pegar a pessoa

Ameaa

Art.147 do C.P.

Enviar um email para terceiros com informao considerada confidencial

Divulgao de segredo

Art.153 do C.P.

Enviar um virus que destrua equipamento ou conteudos

Dano

Art.163 do C.P.

Copiar um conteudo e no mencionar a fonte, baixar MP3

Violao ao direito autoral

Art.184 do C.P.

Criar uma Comunidade Online que fale sobre pessoas e religies

Escrnio por motivo de religio

Art.208 do C.P.

Acessar sites pornogrficos

Favorecimento da prostituio

Art.228 do C.P.

Criar uma Comunidade para ensinar como fazer um gato

Apologia de crime ou criminoso

Art.287 do C.P.

Enviar email com remetente falso (caso comum de spam)

Falsa identidade

Art.307 do C.P.

Fazer cadastro com nome falso em uma loja virtual

Insero de dados falsos em sistema

Art.313-A do C.P.

Entrar na rede da empresa ou de concorrente e mudar informaes (mesmo que com


uso de um software)

Adulterar dados em sistema de informaes

Art.313-B do C.P.

Se voc recebeu um spam e resolve devolver com um vrus, ou com mais spam

Exerccio arbitrrio das prprias razes

Art.345 do C.P.

Participar do Cassino Online

Jogo de azar

Art.50 da L.C.P.

Falar em um Chat que algum isso ou aquilo por sua cor

Preconceito ou Discriminao Raa-CorEtnia

Art.20 da Lei 7.716/89

Ver ou enviar fotos de crianas nuas online (cuidado com as fotos de seus filhos)

Pedofilia

Art.247 da Lei 8.069/90

Usar logomarca de empresa em um link na pagina da internet, em uma comunidade, em


um material, sem autorizao do titular, no todo ou em parte.

Crime contra a propriedade industrial

Art.195 da Lei 9.279/96

Emprega meio fraudulento, para desviar, clientela de outrem, exemplo, uso da marca
do concorrente como palavra-chave ou link patrocinado em buscador

Crime de Concorrncia Desleal

Art.195 da Lei 9.279/96

Usar copia de software sem ter a licena para tanto

Crimes Contra Software Pirataria

Art.12 da Lei 9.609/98

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Quais as Consequncias Legais?

2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Supremo Tribunal Federal


ACRDO DO SUPREMO TRIBUNAL FEDERAL MANDADO DE SEGURANA
(Tribunal Pleno)
Relator: O Sr. Ministro Maurcio Corra
Agravante: PF
Agravado: Presidente do Tribunal de Contas da Unio
(...)
6. Ademais, inexiste regra jurdica que assegure ao agravante o uso do "e-mail"
para interesses particulares ou que impea sua excluso do rol dos usurios
por desobedincia s normas estabelecidas pelo TCU, sendo impertinentes
as alegaes de que os princpios constitucionais da isonomia, do devido
processo legal, do contraditrio e da ampla defesa teriam sido violados,
visto que cabe Administrao dispor sobre a utilizao dos instrumentos
oferecidos a seus servidores, ampliando ou restringindo o alcance de cada
um deles, de acordo com sua convenincia.
VOTO
O Sr. Ministro Marco Aurlio: Senhor Presidente, o pano de fundo
compreensvel e eu tenderia a assentar que cumpre Administrao Pblica
definir a utilizao desse meio moderno de transmisso de idias e de mensagens
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Para onde vamos?


1.

Identidade Digital obrigatria subsididada eCPF e eCNPJ;

2.

Legislao que exija a guarda dos logs por minimo de 3


anos obrigatoriamente (CE por 5 anos) de Provedores de
internet, email, de servios como chats e comunidades;

3.

Software mnimo de segurana obrigatrio de fbrica para


os hardwares que sejam destinados a consumidores finais
(especialmente PC e notebook);

4.

Disciplina de Etica e Cidadania Digital nas escolas ensino


basico e fundamental, universidades e nas empresas;

5.

Incluso Digital com Educao Digital - Inserao de um elearning de segurana da informao no equipamento;

6.

Utilizao de um Seguro de Risco Eletronico ESURANCE


ja existente na Europa e agora no Brasil UIB/ISC/Mapfre.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

reas de Atuao
CHECK-UP LEGAL anlise tcnica e jurdica
dos ambientes de comunicao eletrnica da
empresa e do uso da informao, para fins de
compliance com novas regulamentaes como
Sarbanes, Basileia II e ISO BR 17799, com
diagnstico de riscos e vulnerabilidades e
recomendaes de solues (intranet, internet,
extranet, home office, ambientes wireless e
outros). Elabora-se um parecer e um plano de
ao de implementaes, com assessoria para
acompanhar as mesmas.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Exemplo - Check List Sarbanes Reduzido


1. Os dirigentes da empresa conhecem profundamente as novas
regulamentaes implementadas pela Sarbanes-Oxley e o que elas visam
prevenir?
2. As principais reas de administrao da empresa possuem conhecimento
sobre os objetivos e exigncias de Lei Sarbanes?
3. A avaliao dos controles internos da organizao est bem
implementada? Quais?
4. A empresa possui metodologias que visam garantir o cumprimento dos
relatrios financeiros? Quais?
5. garantida a guarda eficaz de um repositrios de banco de dados e de
reteno das informaes para auditoria em longo prazo?
6. Os executivos da empresa e demais pessoas envolvidas esto cientes de
suas responsabilidades e das penalidades que podem sofrer em virtude
desta Lei?
7. A empresa adota algum cdigo de tica com cincia formal de todos os
seus executivos e demais responsveis pelos assuntos financeiros?
8. So utilizadas metodologias e mtricas para o gerenciamento dos riscos
na empresa, incluindo o risco eletrnico e operacional? Quais?
9. Sua empresa possui Poltica de Segurana da Informao Implementada e
Treinada? Qual?
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Check List Sarbanes


10. Sua empresa possui Poltica de Classificao da Informao Implementada
e Treinada? Qual?
11.Sua empresa possui um workflow de processos implementado, alinhado
com uma Poltica de Aladas e Poderes?
12.Sua empresa pratica segregao de funes estratgicas que podem
representar risco financeiro ou impactar o cumprimento da Lei SarbanesOxley?
13.Sua empresa pratica monitoramento eletrnico de emails, rede, internet,
intranet, extranet, home Office, handhelds, outros? Esta informado? Como?
14.Sua empresa restringe o uso de dispositivos de armazenamento porttil
como memory key, ipod, handheld, outros?
15.Sua empresa faz guarda dos emails e messengers trocados em nome da
mesma internamente ou perante terceiros? Pr quanto tempo?
16.Sua empresa faz uso de mecanismos seguros de identificao e
autenticao de usurios, para garantir autoria dos documentos gerados?
17.Sua empresa faz uso de assinatura ou certificao digital?
18.Os executivos da rea financeira e jurdica, bem como diretoria ou conselho
fazem uso obrigatrio de assinatura ou certificao digital?
Importante integrar com check up de 17799, com de Resposta a
Incidentes, Monitoramento e Privacidade, e com de
Documentao Eletronica e Prova Digital.
2005 Copyright Dra. Patricia Peck

SEMINARIO ICARO

Obrigada!
Dra. Patricia Peck
Advogada especialista em Direito Digital;
Formada em Direito pela Universidade de So Paulo;
Especializao na Harvard Business School;
MBA em Marketing pela Madia Marketing School;
Autora do Livro Direito Digital pela Editora Saraiva e co-autora dos
livros e-Dicas e Internet Legal.

Tel: (11) 6847-4629


contato@patriciapeck.com.br
www.patriciapeck.com.br

2005 Copyright Dra. Patricia Peck