[GTER] LGPD
Fabiano Martins
fabiano.2503 at gmail.com
Wed Dec 23 12:39:08 -03 2020
Acredito que a republiqueta de bananas se aplica ao mundo meu caro...
Vários casos de escândalos nos EUA, na Europa, no Japão... Tudo envolvendo
grandes empresas...
Temos é que perder o nosso estigma de VIRA-LATAS do mundo...
Não somos melhor nem pior que qualquer outro povo...
Só dar uma pesquisada no escândalo de chumbo na água, que tem até
documentários inclusive no NETFLIX, o caso da Erin Brockovich que até filme
virou e muitos outros ao redor do mundo.
Empresas comprando o judiciário e o resto todo? Acontece em tudo que é
canto...
Obrigado.
Ass: Um Brasileiro com orgulho de ser Brasileiro
Em qua., 23 de dez. de 2020 às 12:21, Marcio Rodrigo Pereira <
marciorp at gmail.com> escreveu:
> Meus 5 cents!
>
> Escutei a não muito tempo de um diretor de compliance e segurança de uma
> multinacional: "nossas informações não tem preço, são nosso maior ativo,
> envidamos todos os esforços possíveis para protegê-las, independente de
> qualquer questão legal. A depender da informação que for vazada, não há
> lei, processo ou indenização que vá reparar o dano, que vá torná-la
> confidencial novamente, que vá pagar os prejuízos. Dito isso, a prioridade
> é proteger nossas informações, custe o que custar e doa a quem doer, o
> resto a gente vê quando e se acontecer."
>
> Acredito que a conta é simples, se você inspecionar tudo que passa pelo seu
> firewall e por algum acaso fuçar no "extrato bancário" de um funcionário:
> 1. qual a chance de ele descobrir isso?
> 2. se ele descobrir, qual é a chance de ele provar? A grande maioria não
> chega nem nessa questão!
> 3. se ele provar, será que vai processar a empresa? Daqui passam poucos,
> infelizmente na realidade do dia a dia, a prática de "queimar" no mercado
> profissionais que processam os empregadores, é uma triste realidade e
> funciona muito bem.
> 4. se processar, qual o máximo que ele vai ganhar? Nessa republiqueta de
> bananas no máximo 4 ou 5 vezes o salário, afinal, indenização não pode
> servir para enriquecer o demandante, mesmo que não tenha o caráter punitivo
> que deveria.
>
> Na terra das bananas a "punição" é inversamente proporcional a conta
> bancária, essa é a realidade nua e crua.
> Com dinheiro, qualquer um compra a inocência ou a culpa para alguém, compra
> até a conciência, se nada disso for suficiente, compra até uma lei sob
> medida. É triste, baixo, vil, lastimável, mas é a realidade dessa
> republiqueta!
>
> Dito isso, a discussão resume-se a duas situações:
> 1. empresa pequena, rala para manter as portas abertas e sustentar a
> máquina parasitária estatal, qualquer trocado a mais que tenha que
> desembolsar pode ser seu fim: essa tem que se preocupar com os "rigores" da
> lei, mesmo que isso custe sua existência.
> 2. empresa média para cima, que tem um "bom" e "competente" escritório de
> advocacia para defendê-la, normalmente tem um fundo para contenção de
> litígios: essa pode se preocupar em proteger suas informações e direitos,
> os "rigores" da lei não se aplicam a ela.
>
> Alguém pode dizer: "ah, mas é crime, dá cadeia!". Sério?!? Acho que vivemos
> em realidades diferentes! Como exceção desses grandes escândalos de
> corrupção que pegam um ou outro pra "cristo", "pra exemplo", alguém já viu
> altos executivos de grandes empresas irem para cadeia por motivos
> semelhantes ou minimamente próximos a isso? Com certeza não!
>
> Submeter trabalhadores a codições analogas a escravidão, na prática, não é
> motivo para colocar executivos na cadeia! Alguém realmente acha que por
> fuçar no "extrato bancário" do joãozinho algum executivo vai ver o sol
> nascer quadrado?!?
>
> Sejamos realistas, nessa republiqueta de bananas existe uma diferença
> gigantesca entre o que está na lei e o que realmente é feito, praticado no
> dia a dia, até porque grande parte da legislação tupiniquim é papel
> higiênico usado, no máximo se aplica aos cidadão desprovidos de recursos
> financeiros, vulgo probre!
>
> Sendo essa uma lista técnica, a discussão deveria se manter nesse campo, de
> como fazer, melhores práticas, ferramentas, técnicas e etc. Se vai ser
> feito ou não, se deve ser feito ou não, é uma discussão estratégica de cada
> empresa, nos mais altos níveis, pois cada uma sabe do valor de suas
> informações e até onde está disposta a ir para protegê-las. Raramente a
> área técnica participa, quando participa é apenas para dizer se é possível
> ou não e como fazer, no máximo demonstra o custo financeiro das soluções.
>
> Particularme acredito que se o cidadão está dentro da empresa, usando um
> computador da empresa, recursos da empresa, acesso a internet da empresa,
> provavelmente em horário de expediente sendo pago para trabalhar, não tem
> nada que acessar qualquer informação pessoal, e se o fizer, não tem nada o
> que reclamar se a empresa tiver acesso. Quer privacidade? Acesse o e-mail
> pessoal, internet banking e etc, de casa, do seu acesso à internet
> particular, usando o próprio computador, simples assim!
>
> Em tempo, alguém realmente acredita que essas grandes teles não dão uma
> fuçadinha no seu tráfego pelos motivos mais vis possíveis?
>
> Atenciosamente,
>
> Marcio Rodrigo Pereira
>
>
> Em ter., 22 de dez. de 2020 às 20:48, Luiz Fernando Mizael Meier <
> lfmmeier at gmail.com> escreveu:
>
> > Pessoal,
> >
> > Primeiramente, obrigado pelo retorno.
> >
> > ======================================================================
> >
> > http://www.planalto.gov.br/ccivil_03/leis/l9296.htm
> >
> > Há também várias apresentações no GTER e GTS ao longo dos anos comentando
> > esse ponto.
> >
> > - Com certeza verificarei. Obrigado.
> >
> > =======================================================================
> >
> > Não é só filtragem baseado no SNI; inclui hostname, IP e resolução DNS.
> > Tentou resolver pornhub.com ? Vai para a página do castigo.
> > - Como eu disse, para casos mais simples e triviais (como o do seu
> > exemplo), atende. Tanto usando filtragem url quanto filtragem DNS,
> levando
> > em conta percalços levantados pelo Douglas.
> >
> > =======================================================================
> >
> > Querer é uma coisa, ser legal é outra.
> > - A vida não é fácil pra ninguém. De modo geral, vemos que a legislação
> não
> > tem acompanhado as demandas técnicas. O que nos cabe nesse latifúndio é
> > tentar conseguir trabalhar da melhor forma dentro do possível. :)
> >
> >
> =======================================================================
> >
> > Se a pessoa pode instalar o que quiser, já há infinitos furos.
> > - Essa é uma abordagem bastante simplista. O cara pode ter conseguido uma
> > versão portátil ("teu firewall não pegou ele baixando da internet?") ou
> ter
> > trazido num pendrive ("mas o DLP, ou antivírus, não pegou?"). E, se ele
> > conseguiu entrar e depois usar e você não pegou (por exemplo, por não
> usar
> > inspeção SSL): "mas o firewall não viu isso?". Quando se trata de fazer o
> > errado, já aprendi a nunca subestimar o usuário.
> >
> >
> =======================================================================
> > O proxy explícito é justamente o que permite você negar solicitações
> > específicas (exemplo: CONNECT para o IP do pornhub).
> > Segurança eficaz é com proxy explícito, o resto sempre vai ter buraco.
> > - Estudarei isso.
> >
> >
> >
> > Em ter., 22 de dez. de 2020 às 18:48, Rubens Kuhl <rubensk at gmail.com>
> > escreveu:
> >
> > > On Tue, Dec 22, 2020 at 4:19 PM Luiz Fernando Mizael Meier <
> > > lfmmeier at gmail.com> wrote:
> > >
> > > > Boa Tarde!
> > > >
> > > > Usando o quepe de administrador de firewalls, e não de rede, achei a
> > > > discussão deveras interessante. Alguns pontos:
> > > >
> > > > 1) Dalton, Eu não tinha conhecimento de que a prática de inspeção SSL
> > (em
> > > > que interceptamos, olhamos, e depois fechamos com outro certificado),
> > > > configura crime. Poderia, por gentileza, indicar a fonte da
> informação?
> > > >
> > >
> > > http://www.planalto.gov.br/ccivil_03/leis/l9296.htm
> > >
> > > Há também várias apresentações no GTER e GTS ao longo dos anos
> comentando
> > > esse ponto.
> > >
> > >
> > >
> > > > 2) O lance de só controlar sites e acessos devidos/indevidos só
> baseado
> > > no
> > > > SNI conforme os colegas descreveram, infelizmente, não atende mais
> > > > (unicamente) quando pensamos em proteção. URL filtering ainda é uma
> das
> > > > metodologias mais usadas para bloqueios simples por categorias e/ou
> > > regex.
> > > > Para o chefe ficar feliz que o juquinha não vai mais acessar o
> pornhub
> > > > durante o horário de expediente, funciona, mas quando vamos mais à
> > > frente,
> > > > as coisas se complicam bastante.
> > > >
> > >
> > > Não é só filtragem baseado no SNI; inclui hostname, IP e resolução DNS.
> > > Tentou resolver pornhub.com ? Vai para a página do castigo.
> > >
> > >
> > > > Exemplo: como permitir que seu usuário não use o Gmail, mas possa
> usar
> > > > outra solução do Google, sendo que ambos possuem a mesma URL? Vários
> > > > produtos do Google funcionam com google.com/PRODUTO. Nem sempre só a
> > > URL é
> > > > suficiente. Hoje queremos saber aplicações.
> > > >
> > >
> > > Querer é uma coisa, ser legal é outra.
> > >
> > >
> > > > 3) Falando sobre a inspeção SSL, ela é hoje parte fundamental para
> > > > conseguirmos classificar aplicações. Sem ela não consigo classificar
> > > > produtos do Google, como no item 2, ou pegar um cara usando UltraSurf
> > > > dentro da minha rede.
> > >
> > >
> > > Se a pessoa pode instalar o que quiser, já há infinitos furos.
> > >
> > >
> > > > Nós seguimos algumas diretrizes quanto à privacidade,
> > > > como não inspecionar conteúdos de saúde e financeiros, por exemplo.
> > Isso
> > > > sem contar a ajuda da inspeção quanto à visibilidade de
> > vulnerabilidades
> > > > pela sua engine de IPS.
> > > > 4) Douglas, pode explicar mais sobre essa sua questão a respeito da
> > > > efetividade do uso do proxy explícito? Você diz, se entendi, que a
> > > > efetividade de um proxy transparente, neste caso, é pior que um proxy
> > > > explícito? Eu questiono (o uso, pelo menos) porque, particularmente,
> > > acho o
> > > > proxy explícito pior de gerenciar, quando pensamos em configurações
> de
> > > > browsers, GPOs e etc.
> > > >
> > >
> > > O proxy explícito é justamente o que permite você negar solicitações
> > > específicas (exemplo: CONNECT para o IP do pornhub).
> > > Segurança eficaz é com proxy explícito, o resto sempre vai ter buraco.
> > >
> > >
> > > Rubens
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
> <
> https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail
> >
> Livre
> de vírus. www.avast.com
> <
> https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail
> >.
> <#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
_____________________
Fabiano Martins
SKYPE: fabiano...martins
E-MAIL: fabiano.2503 at gmail.com
XBOX LIVE Contact: F4B14NO
<https://account.xbox.com/pt-BR/Profile?gamerTag=F4B14N0>
More information about the gter
mailing list