prof. Roberto Dias Duarte Melhor prevenir, que remediar! Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada . prof. Roberto Dias Duarte Photographer: Reuters Fraudes corporativas no mundo pós-SPED sexta-feira, 6 de maio de 2011
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
prof. Roberto Dias Duarte
Melhor prevenir, que remediar!
Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada.
É um esquema ilícito ou de má fé criado para obter ganhos pessoais.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Fatores primários1 - Existência de golpistas motivados.
• Ineficiência das leis;
• incerteza da pena;
• incerteza jurídica;
• existência de oportunidades;
• pouca fiscalização.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Mas principalmente porque...
o desrespeito às leis é considerado comportamento “normal”.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Mas principalmente porque...
o desrespeito às leis é considerado comportamento “normal”.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
• Pouca informação e divulgação preventivas;
• ignorância e ingenuidade;
• ganância;
• o desrespeito às leis é considerado comportamento “normal”.
Fatores primários2 - Existência de vítimas vulneráveis
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
• percepção do problema como não prioritário;
• despreparo das autoridades;
• escassa coordenação de ações contra fraudadores;
• falta de leis específicas e pouca clareza em algumas das existentes.
Fatores primários3 - Falta de controle ou fiscalização
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vítima ou golpista?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vítima ou golpista?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Segurança da Informação?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Ameaça?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Causa potencial de um incidente, que caso se concretize pode resultar em dano
Ameaça?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Falha (ou conjunto) que pode ser explorada por ameaças
Vulnerabilidade?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Evento que comprometa a operação do negócio ou cause dano aos ativos da organização
Incidente?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Evento que comprometa a operação do negócio ou cause dano aos ativos da organização
Incidente?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Resultados de incidentes
Impacto?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Análise de risco
Impacto
Transfere
Probabilidades
Aceita Reduz
Mitiga
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Ativo digital?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Ativo? Intangível?
“Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)”
Como funciona?HASH é gerado a partir da chave pública
HASH é armazenado na mensagem
Autor assina a com sua chave privada
Novo HASH é gerado
O HASH é descriptografado partir da chave pública
Novo HASH é comparado com o original
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
MP 2.200-2 de Agosto/2001
Documentos Digitais
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
MP 2.200-2 de Agosto/2001“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela
I C P - B r a s i l p r e s u m e m - s e verdadeiros em relação aos signatários”
(Artigo 10o § 1o)
Documentos Digitais
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
MP 2.200-2 de Agosto/2001
Documentos Digitais
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
MP 2.200-2 de Agosto/2001
“O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”
Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos
Sincronizado a “Hora Legal Brasileira”
Carimbo do tempo
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Integridade
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento
Integridade
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Autenticidade
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Autenticidade
O receptor pode confirmar se a assinatura foi feita pelo emissor
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Não repúdio
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
O emissor não pode negar a autenticidade da mensagem
Não repúdio
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Confidencialidade
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Confidencialidade
Passo 1: Alice envia sua chave pública para Bob
Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Disponibilidade
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Disponibilidade
A informação deve estar disponível apenas para seu uso legítimo
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Auditabilidade
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Auditabilidade
Deve haver informação relativa às ações de alteração ou consulta de dados Quem?
Quando?O que fez?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Por que preciso saber disso?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Ecosistema Fiscal
Vendeu?
Comprou?
Produziu?
Entregou?
Cliente
Fornecedor
Recebeu?
Pagou?
Contador
Fisco
Tem nota?
EFD ICMS/IPIEFD/CIAP
EFD PIS/COFINSEFD/FOLHA
Estoque?
SPED ContábilEFD Contábil
NF-eNFS-eCF-eCC-e
CT-eBrasil-id
Siniav
NF-eNFS-eCF-eCC-e
NF-eNFS-eCF-eCC-e
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vamos entender as principais
vulnerabilidades das empresas no mundo do
pós-SPED?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...)
Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”
O que é a Nota Eletrônica?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Documento Fiscal Digital
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Documento Fiscal Digital
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Livro Contábil Digital
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Livro Contábil Digital
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Livro Fiscal Digital (ICMS/IPI)
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Livro Fiscal Digital (ICMS/IPI)
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Mas, nada muda na minha empresa, certo?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #1
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #1
Tenho que verificar o arquivo XML
Ajuste SINIEF 07/2005
Cláusula décima
§ 1º O destinatário deverá ver ificar a v a l i d a d e e autenticidade da NF-e e a exi s tência de Autorização de Uso da NF-e.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #2
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #2
Nota autorizada não me livra do "passivo fiscal"
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #2
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Ainda que formalmente regular, n ã o s e r á c o n s i d e r a d o documento fiscal idôneo a NF-e que t iver sido emit ida ou utilizada com dolo, fraude, s i m u l a ç ã o o u e r r o , q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u e r o u t r a vant ag em indevida.
Vulnerabilidade #2
Ajuste SINIEF 07/2005
Cláusula quarta
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #3
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #3
Só posso cancelar NF-e se a mercadoria não circulou....
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #3
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #3ATO COTEPE/ICMS Nº 33 /2008
Efeitos a partir de 01.01.12:
Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #4
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #4
Tenho que enviar o arquivo XML ao destinatário e ao transportador
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #4
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #4Cláusula Sétima
§ 7º O emitente da NF-e deverá, obrigatoriamente, encaminhar ou disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t ado r co nt r at ado, imediatamente após o recebimento da autorização de uso da NF-e.
Ajuste SINIEF 07/2005
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #5
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #5
Tenho que guardar o arquivo XML
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #5
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #5
Ajuste SINIEF 07/2005
Cláusula décima
O emitente e o destinatário deverão manter a NF-e em arquivo digital, sob sua guarda e responsabilidade, pelo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...)
§ 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado.
§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #6
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #6Troca de identidade
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #6
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Vulnerabilidade #6“Empréstimo”de senha e a r m a z e n a m e n t o d e certificados digitais
eCPF, eCNPJ, ePJ
A1, A3, HSM
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
O que causa vulnerabilidade?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Causas das vulnerabilidades
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Causas das vulnerabilidades
Falta de conhecimento Ganância: preços abaixo do
mercado Desrespeito as leis encarado
como comportamento comum
Tecnologia precária
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Consequências
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Consequências
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Consequências
Mercadorias sem documento idôneo
Mercadorias de origem ilícita Problemas fiscais: documentos
inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e
outros documentos
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Tenho como evitar?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Solução: Paradigma do século XXI
Conhecimento
Comportamento
Tecnologia
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Ação preventivas básicas
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
O dono da bola Quem é o responsável pela gestão da informação?
Definições:
políticas de segurança
políticas de backup
políticas de contingência
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Termo de compromisso
Formaliza responsabilidades:
Sigilo de informações;
Cumprimento de normas de segurança;
Conduta ética.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Autenticação individual
Identifica as pessoas:
Senha;
Cartão ou token;
Biometria;
Certificado Digital.
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
“Empréstimo” de senha
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
“Empréstimo” de senha
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Cópias de segurançaQual a política definida?
Qual a cópia mais antiga?
Os arquivos das estações têm cópias?
Os servidores têm cópias?
Onde são armazenadas?
Em que tipo de mídia?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Software homologadoItens de verificação:
manutenção
treinamento
suporte
condições comerciais
capacidade do fabricante
tendências
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Uso de antivírusPrevenção além do software:
Anexos
Executável? No way!
Download? Só de sites confiáveis
Backup, sempre
Educação
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Correio eletrônico Pishing
Muitos golpes:
Notícias falsas
Propostas “irresistíveis”
Seu CPF foi...
Atualize sua senha...
blá, blá, blá...
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Informações pessoais Cuidado com informação de:
Funcionários
Clientes
Parceiros
Quem pode acessar?
Parceiros?
Uso comercial?
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Engenharia socialProcedimentos para obtenção de informações
através de contatos falsos
“Conversa de malandro”
Lixão
Habilidades do farsante:
fala com conhecimento
adquire confiança
presta “favor”
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Mensagem final sobre o segurança e SPED
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Mensagem final sobre o segurança e SPED
sexta-feira, 6 de maio de 2011
prof. Roberto Dias Duarte
Todo o conteúdo está disponível em:
www.robertodiasduarte.com.br
http://www.slideshare.net/robertodiasduarte
http://www.youtube.com/user/robertodiasduarte
Estudo “O Maior B2G do Planeta” em:http://www.robertodiasduarte.com.br/files/omaiorB2Gdoplaneta.pdf