[GTER] LGPD

[Marcio Rodrigo Pereira]

Meus 5 cents!

Escutei a não muito tempo de um diretor de compliance e segurança de uma
multinacional: "nossas informações não tem preço, são nosso maior ativo,
envidamos todos os esforços possíveis para protegê-las, independente de
qualquer questão legal. A depender da informação que for vazada, não há
lei, processo ou indenização que vá reparar o dano, que vá torná-la
confidencial novamente, que vá pagar os prejuízos. Dito isso, a prioridade
é proteger nossas informações, custe o que custar e doa a quem doer, o
resto a gente vê quando e se acontecer."

Acredito que a conta é simples, se você inspecionar tudo que passa pelo seu
firewall e por algum acaso fuçar no "extrato bancário" de um funcionário:
1. qual a chance de ele descobrir isso?
2. se ele descobrir, qual é a chance de ele provar? A grande maioria não
chega nem nessa questão!
3. se ele provar, será que vai processar a empresa? Daqui passam poucos,
infelizmente na realidade do dia a dia, a prática de "queimar" no mercado
profissionais que processam os empregadores, é uma triste realidade e
funciona muito bem.
4. se processar, qual o máximo que ele vai ganhar? Nessa republiqueta de
bananas no máximo 4 ou 5 vezes o salário, afinal, indenização não pode
servir para enriquecer o demandante, mesmo que não tenha o caráter punitivo
que deveria.

Na terra das bananas a "punição" é inversamente proporcional a conta
bancária, essa é a realidade nua e crua.
Com dinheiro, qualquer um compra a inocência ou a culpa para alguém, compra
até a conciência, se nada disso for suficiente, compra até uma lei sob
medida. É triste, baixo, vil, lastimável, mas é a realidade dessa
republiqueta!

Dito isso, a discussão resume-se a duas situações:
1. empresa pequena, rala para manter as portas abertas e sustentar a
máquina parasitária estatal, qualquer trocado a mais que tenha que
desembolsar pode ser seu fim: essa tem que se preocupar com os "rigores" da
lei, mesmo que isso custe sua existência.
2. empresa média para cima, que tem um "bom" e "competente" escritório de
advocacia para defendê-la, normalmente tem um fundo para contenção de
litígios: essa pode se preocupar em proteger suas informações e direitos,
os "rigores" da lei não se aplicam a ela.

Alguém pode dizer: "ah, mas é crime, dá cadeia!". Sério?!? Acho que vivemos
em realidades diferentes! Como exceção desses grandes escândalos de
corrupção que pegam um ou outro pra "cristo", "pra exemplo", alguém já viu
altos executivos de grandes empresas irem para cadeia por motivos
semelhantes ou minimamente próximos a isso? Com certeza não!

Submeter trabalhadores a codições analogas a escravidão, na prática, não é
motivo para colocar executivos na cadeia! Alguém realmente acha que por
fuçar no "extrato bancário" do joãozinho algum executivo vai ver o sol
nascer quadrado?!?

Sejamos realistas, nessa republiqueta de bananas existe uma diferença
gigantesca entre o que está na lei e o que realmente é feito, praticado no
dia a dia, até porque grande parte da legislação tupiniquim é papel
higiênico usado, no máximo se aplica aos cidadão desprovidos de recursos
financeiros, vulgo probre!

Sendo essa uma lista técnica, a discussão deveria se manter nesse campo, de
como fazer, melhores práticas, ferramentas, técnicas e etc. Se vai ser
feito ou não, se deve ser feito ou não, é uma discussão estratégica de cada
empresa, nos mais altos níveis, pois cada uma sabe do valor de suas
informações e até onde está disposta a ir para protegê-las. Raramente a
área técnica participa, quando participa é apenas para dizer se é possível
ou não e como fazer, no máximo demonstra o custo financeiro das soluções.

Particularme acredito que se o cidadão está dentro da empresa, usando um
computador da empresa, recursos da empresa, acesso a internet da empresa,
provavelmente em horário de expediente  sendo pago para trabalhar, não tem
nada que acessar qualquer informação pessoal, e se o fizer, não tem nada o
que reclamar se a empresa tiver acesso. Quer privacidade? Acesse o e-mail
pessoal, internet banking e etc, de casa, do seu acesso à internet
particular, usando o próprio computador, simples assim!

Em tempo, alguém realmente acredita que essas grandes teles não dão uma
fuçadinha no seu tráfego pelos motivos mais vis possíveis?

Atenciosamente,

Marcio Rodrigo Pereira


Em ter., 22 de dez. de 2020 às 20:48, Luiz Fernando Mizael Meier <
lfmmeier at gmail.com> escreveu:

> Pessoal,
>
> Primeiramente, obrigado pelo retorno.
>
> ======================================================================
>
> http://www.planalto.gov.br/ccivil_03/leis/l9296.htm
>
> Há também várias apresentações no GTER e GTS ao longo dos anos comentando
> esse ponto.
>
> - Com certeza verificarei. Obrigado.
>
> =======================================================================
>
>  Não é só filtragem baseado no SNI; inclui hostname, IP e resolução DNS.
> Tentou resolver pornhub.com ? Vai para a página do castigo.
> - Como eu disse, para casos mais simples e triviais (como o do seu
> exemplo), atende. Tanto usando filtragem url quanto filtragem DNS, levando
> em conta percalços levantados pelo Douglas.
>
>   =======================================================================
>
>   Querer é uma coisa, ser legal é outra.
> - A vida não é fácil pra ninguém. De modo geral, vemos que a legislação não
> tem acompanhado as demandas técnicas. O que nos cabe nesse latifúndio é
> tentar conseguir trabalhar da melhor forma dentro do possível. :)
>
>    =======================================================================
>
>   Se a pessoa pode instalar o que quiser, já há infinitos furos.
> - Essa é uma abordagem bastante simplista. O cara pode ter conseguido uma
> versão portátil ("teu firewall não pegou ele baixando da internet?") ou ter
> trazido num pendrive ("mas o DLP, ou antivírus, não pegou?"). E, se ele
> conseguiu entrar e depois usar e você não pegou (por exemplo, por não usar
> inspeção SSL): "mas o firewall não viu isso?". Quando se trata de fazer o
> errado, já aprendi a nunca subestimar o usuário.
>
>    =======================================================================
>   O proxy explícito é justamente o que permite você negar solicitações
> específicas (exemplo: CONNECT para o IP do pornhub).
> Segurança eficaz é com proxy explícito, o resto sempre vai ter buraco.
> - Estudarei isso.
>
>
>
> Em ter., 22 de dez. de 2020 às 18:48, Rubens Kuhl <rubensk at gmail.com>
> escreveu:
>
> > On Tue, Dec 22, 2020 at 4:19 PM Luiz Fernando Mizael Meier <
> > lfmmeier at gmail.com> wrote:
> >
> > > Boa Tarde!
> > >
> > > Usando o quepe de administrador de firewalls, e não de rede, achei a
> > > discussão deveras interessante. Alguns pontos:
> > >
> > > 1) Dalton, Eu não tinha conhecimento de que a prática de inspeção SSL
> (em
> > > que interceptamos, olhamos, e depois fechamos com outro certificado),
> > > configura crime. Poderia, por gentileza, indicar a fonte da informação?
> > >
> >
> > http://www.planalto.gov.br/ccivil_03/leis/l9296.htm
> >
> > Há também várias apresentações no GTER e GTS ao longo dos anos comentando
> > esse ponto.
> >
> >
> >
> > > 2) O lance de só controlar sites e acessos devidos/indevidos só baseado
> > no
> > > SNI conforme os colegas descreveram, infelizmente, não atende mais
> > > (unicamente) quando pensamos em proteção. URL filtering ainda é uma das
> > > metodologias mais usadas para bloqueios simples por categorias e/ou
> > regex.
> > > Para o chefe ficar feliz que o juquinha não vai mais acessar o pornhub
> > > durante o horário de expediente, funciona, mas quando vamos mais à
> > frente,
> > > as coisas se complicam bastante.
> > >
> >
> > Não é só filtragem baseado no SNI; inclui hostname, IP e resolução DNS.
> > Tentou resolver pornhub.com ? Vai para a página do castigo.
> >
> >
> > > Exemplo: como permitir que seu usuário não use o Gmail, mas possa usar
> > > outra solução do Google, sendo que ambos possuem a mesma URL? Vários
> > > produtos do Google funcionam com google.com/PRODUTO. Nem sempre só a
> > URL é
> > > suficiente. Hoje queremos saber aplicações.
> > >
> >
> > Querer é uma coisa, ser legal é outra.
> >
> >
> > > 3) Falando sobre a inspeção SSL, ela é hoje parte fundamental para
> > > conseguirmos classificar aplicações. Sem ela não consigo classificar
> > > produtos do Google, como no item 2, ou pegar um cara usando UltraSurf
> > > dentro da minha rede.
> >
> >
> > Se a pessoa pode instalar o que quiser, já há infinitos furos.
> >
> >
> > > Nós seguimos algumas diretrizes quanto à privacidade,
> > > como não inspecionar conteúdos de saúde e financeiros, por exemplo.
> Isso
> > > sem contar a ajuda da inspeção quanto à visibilidade de
> vulnerabilidades
> > > pela sua engine de IPS.
> > > 4) Douglas, pode explicar mais sobre essa sua questão a respeito da
> > > efetividade do uso do proxy explícito? Você diz, se entendi, que a
> > > efetividade de um proxy transparente, neste caso, é pior que um proxy
> > > explícito? Eu questiono (o uso, pelo menos) porque, particularmente,
> > acho o
> > > proxy explícito pior de gerenciar, quando pensamos em configurações de
> > > browsers, GPOs e etc.
> > >
> >
> > O proxy explícito é justamente o que permite você negar solicitações
> > específicas (exemplo: CONNECT para o IP do pornhub).
> > Segurança eficaz é com proxy explícito, o resto sempre vai ter buraco.
> >
> >
> > Rubens
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

<https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
Livre
de vírus. www.avast.com
<https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>.
<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>