Seminário Segurança e Gestão de Risco. Segurança vs Alarmismo - um equilíbrio difícil no novo quadro legal -

Transcrição

1 Seminário Segurança e Gestão de Risco Segurança vs Alarmismo - um equilíbrio difícil no novo quadro legal - Março de 2012

2 INCIDENTES DE SEGURANÇA As novas tecnologias são mais intrusivas Aumento do volume de dados recolhidos/tratados Os novos desafios à segurança na SI A maior sofisticação dos crimes no mundo digital Globalização Outsourcing Maior capacidade de conservação de dados 2

3 INCIDENTES DE SEGURANÇA Rede de piratas ataca 2,3 milhões de computadores EUA: autoridades detiveram 13 pessoas por fraude bancária, interceção ilegal de comunicações eletrónicas e fraude por transferências A Deutsche Telekom foi acusada, em Maio de 2008, de ter vigiado ilegalmente centenas de milhares de chamadas telefónicas realizadas entre jornalistas e os membros do seu Conselho de Administração entre o ano de 2005 e 2006, e de, durante mais de um ano, ter registado milhões de números de telefone, além da data, do horário e da duração das ligações 3

4 INCIDENTES DE SEGURANÇA Em Novembro de 2009, milhares de dados pessoais de clientes da T- Mobile foram ilegalmente vendidos por funcionários a concorrentes A Vodafone na Grécia foi multada, em Maio de 2008, em 76 milhões de euros pela Autoridade de Proteção de Dados Pessoais Grega, por escutas telefónicas ilegais a mais de 100 clientes da operadora, entre os quais se encontrava o Primeiro Ministro grego 4

5 INCIDENTES DE SEGURANÇA 5

6 INCIDENTES DE SEGURANÇA Há uma falta de confiança generalizada no ambiente on-line Criar confiança na Tecnologia Digital Do you think that transmitting your data over the Internet is sufficiently secure? 6

7 NOVO QUADRO LEGAL Diretiva Regulation (2009/140/CE) Better.altera a Diretiva Quadro Directiva Citizens Rights (2009/136/CE).altera a Diretiva E-privacy (Directiva 2002/58/CE) Regime Jurídico das Comunicações Eletrónicas (Lei 5/2004 de 10 de Fevereiro, alterada pela Lei 51/2011) Regicom Alteração à Lei de Proteção de dados Pessoais no Sector das Comunicações Eletrónicas.. 7

8 NOVO QUADRO LEGAL Novo Quadro Legal Os operadores ficam obrigados ou podem vir a ser obrigados a adotar medidas que têm por finalidade garantir a segurança das redes e dos serviços 8

9 NOVO QUADRO LEGAL NOVO QUADRO LEGAL Adotar medidas técnicas e organizacionais adequadas à prevenção, gestão e redução dos riscos para a segurança, visando impedir ou minimizar o impacte dos incidentes Adotar medidas para garantir a integridade das respetivas redes, assegurando a continuidade dos serviços Regicom Medidas adequadas aos riscos existentes tendo em conta o estado da técnica O ICP-ANACOM aprova medidas técnicas de execução 9

10 NOVO QUADRO LEGAL Adotar de medidas técnicas e organizativas adequadas para garantir a segurança dos seus serviços (se necessário conjuntamente com o fornecedor de rede pública no que respeita à segurança de rede) Directiva e- privacy As medidas devem, no mínimo: garantir que os dados pessoais apenas possa ter acesso pessoal autorizado, para fins autorizados a nível legal proteção dos dados armazenados ou transmitido contra destruição acidental ou ilegal, a perda ou alteração acidental e o armazenamento, tratamento, acesso ou divulgação não autorizados ou ilegais a garantia de aplicação de uma política de segurança relativa ao tratamento dos dados pessoais As autoridades nacionais podem emitir recomendações sobre as melhores práticas a adotar 10

11 NOVO QUADRO LEGAL O ICP-ANACOM pode ainda impor a : indicação de um ponto de contacto permanente para as questões de segurança elaboração de um plano atualizado que contemple todas as medidas técnicas e organizacionais adotadas realização de exercícios de avaliação e melhoria das medidas técnicas adotadas participação em exercício de segurança conjuntos apresentação de relatórios anuais realização de auditorias independentes e a expensas próprias (a empresa de auditoria deverá ser previamente aprovada) prestação de todas as informações relevantes no domínio da segurança 11

12 NOVO QUADRO LEGAL Os operadores e os prestadores de serviço de comunicações eletrónicas ficam sujeitos a um maior escrutínio As autoridade nacionais competentes devem ter competência para auditar as medidas tomadas O ICP-ANACOM pode efetuar auditorias às redes e/ou serviços 12

13 NOVO QUADRO LEGAL Vai acabar o tempo em que os incidentes de segurança ficavam guardados a sete chaves. 13

14 Violações de segurança ou perda de integridade Notificação ICP-ANACOM Avaliação do interesse público da notificação ao público Incidentes de segurança Violações de dados pessoais Notificação à Autoridade Competente Impacto negativo nos assinantes/ pessoas afectadas? NOVO QUADRO LEGAL Violação da segurança que provoca de modo acidental ou ilegal a destruição, perda, alteração, a divulgação ou acesso não autorizados a dados pessoais, transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público Sim Sim Não Notificação ao público Notificação aos assinantes/pessoas afectadas Autoridades concordam Autoridades não concordam Não notificação aos assinantes/pessoas afectadas Adopção de medidas tecnológicas Notificação 14

15 NOVO QUADRO LEGAL Os operadores passam a ter de interagir com mais stakeholders 15

16 SEGURANÇA VS ALARMISMO O novo quadro legal vai alterar a forma como as empresas e o público encaram as questões de segurança na sociedade da informação 16

17 SEGURANÇA VS ALARMISMO É essencial assegurar que alguns conceitos/procedimentos são concretizadas de forma adequada pelas autoridades competentes Procedimentos de notificação Interesse público Impacto negativo na privacidade Impacto significativo nas redes/serviços Medidas de segurança 17

18 SEGURANÇA VS ALARMISMO É essencial que os operadores de comunicações eletrónicas (e os demais responsáveis pelo tratamento de dados) estejam preparados para os novos desafios Segurança 18

19 SEGURANÇA VS ALARMISMO O incumprimento das regras neste domínio pode ter consequências bastante nefastas desde logo a nível reputacional e de imagem Tendência para as coimas serem cada vez mais elevadas (até ) /responsabilidade criminal) Gestão de Risco Risco político Risco jurídico Risco de negócio Risco reputacional Risco financeiro Categorias de risco Risco operacional 19

20 SEGURANÇA VS ALARMISMO De acordo com estudos realizados, 84% dos europeus querem ser informados quando ocorre um data breach 20

21 NOVO QUADRO LEGAL Novo Regulamento de Proteção de Dados prevê o mesmo tipo de obrigações para qualquer sector de atividade Deverá entrar em vigor em 2014 Multas muito elevadas (até 2 % do volume de negócios mundial anual) 21

22 SEGURANÇA VS ALARMISMO I do believe that an obligation to notify incidents of serious data security breach is entirely proportionate and would enhance consumers confidence in data security and oversight mechanisms. Viviane Reding, Vice- President of the European Commission, EU Justice Commissioner 22

23 SEGURANÇA VS ALARMISMO Privacy Dividend Fonte: The Privacy Dividend (ICO, 2010) 23

24 SEGURANÇA VS ALARMISMO Gaining and maintaining the trust of citizens of that their data is secure and protected is an important factor in the future development and take-up of innovative technologies and online services across Europe. Prof. Udo Helmbrecht, Executive Director do ENISA 24

25 SEGURANÇA VS ALARMISMO 25

26 MUITO OBRIGADA!