OS DESAFIOS JURÍDICOS DA CIBERSEGURANÇA NUM MUNDO GLOBAL

Documentos relacionados
Cibersegurança - aspetos económicos - Um desafio ou uma oportunidade?

Cibersegurança Aspetos Legais

PE-CONS 24/1/17 REV 1 PT

L 6074/15 mjb/jm/mam/ms 1 DG B 3A

8º SENOP. Atualização Tecnológica como Base para a Inovação nos Processos da Operação em Tempo Real. JOSÉ JURHOSA JUNIOR Diretor da ANEEL

MODELO DO CICLO DE VIDA DO DESENVOLVIMENTO DA SEGURANÇA

PRESIDÊNCIA DO CONSELHO DE MINISTROS E MINISTÉRIO DAS FINANÇAS Diário da República, 1.ª série N.º de dezembro de Artigo 2.

Relatório sobre as contas anuais da Autoridade Europeia para a Segurança dos Alimentos relativas ao exercício de 2016

SAPIIETY APOSTA NA AMÉRICA LATINA

PRESIDÊNCIA DO CONSELHO DE MINISTROS. Proposta de Lei n.º 102/XIII. Exposição de Motivos

b) As finalidades e as linhas de orientação estratégica que conferem sentido e coerência a cada um dos cursos;

CARTA DE MISSÃO. Período da Comissão de Serviço:

ESTÁGIO E PRÁTICA PROFISSIONAL DOS CURSOS TÉCNICOS DO IFSUDESTEMG

INVESTIGAÇÃO DESTINADA À COMISSÃO CULT AS LÍNGUAS MINORITÁRIAS E A EDUCAÇÃO: MELHORES PRÁTICAS E DIFICULDADES

PACTO GLOBAL. Relatório de Progresso 2008 LISTAS TELEFÓNICAS DE MOÇAMBIQUE,LDA

PROPOSTA DE CANDIDATURA PARTE B (ANEXO TÉCNICO) SISTEMA DE INCENTIVOS À INVESTIGAÇÃO E DESENVOLVIMENTO TECNOLÓGICO (SI I&DT) AVISO Nº 05/SI/2017

CURSO TÉCNICO EM (Nome do curso) Nome completo do estagiário (Iniciais maiúsculas)

6. A inscrição da caminhada e corrida Terry Fox Brasil é pessoal e intransferível, não podendo qualquer pessoa ser substituída por outra.

Regimento do Departamento de Línguas

Universidade Federal da Bahia. Sistema de Desenvolvimento Institucional PO Procedimento Operacional. Pró-Reitoria de Desenvolvimento de Pessoas

ADMINISTRAÇÃO PÚBLICA: OS GRANDES TEMAS DA ATUALIDADE. Aldino Graef

Coordenação e Estruturas em Portugal

2.ª EDIÇÃO CURSO DE FORMAÇÃO INICIAL DE DIRIGENTES

A EMPRESA ESTRATÉGIA CLIENTE

Administração Financeira

INSTRUÇÃO NORMATIVA N.º 056/2016 DIRETORIA DA UNIDADE ACADÊMICA DE GRADUAÇÃO

CHAMADA UNIVERSAL MCTI/CNPq Nº 01/2016. Prof. Dr. Geraldo Eduardo da Luz Júnior

PESCA, AQUICULTURA E SALICULTURA (II)

POLÍCIA DE SEGURANÇA PÚBLICA

Iam Iniciativa Jovem Anhembi Morumbi Formulário de inscrição

ASSOCIACAO EDUCACIONAL DE ENSINO SUPERIOR UNIAO DAS FACULDADES DOS GRANDES LAGOS RELATÓRIO POR CURSO DE RESPOSTAS DE ALUNOS 2º SEMESTRE DE 2013

EVASÃO EM CURSOS A DISTÂNCIA: ANÁLISE DOS MOTIVOS DE DESISTÊNCIA E PROPOSTAS DE INTERVENÇÃO PEDAGÓGICA INTRODUÇÃO

EDITAL PROFILAXIA DA RAIVA E OUTRAS ZOONOSES VACINAÇÃO ANTIRRÁBICA E IDENTIFICAÇÃO ELETRÓNICA

Mostra de Trabalhos do Ensino Fundamental

PROGRAMA DE INTERCÂMBIO ACADÊMICO INSTITUTO POLITÉCNICO DE VISEU EDITAL DRE n 059/17

UNIVERSIDADE FEDERAL FLUMINENSE ESCOLA DE ENGENHARIA DOUTORADO EM SISTEMAS DE GESTÃO SUSTENTÁVEIS

Departamento Agrossilvipastoril. DIAGRO - Divisão de Licenciamento e Controle de Agrotóxicos. Eng.ª Agr.ª Sirlei Haubert

PORTAL DE NOTÍCIAS DO GRUPO EPTV

REGULAMENTO GERAL DE AVALIAÇÃO DE CONHECIMENTOS

COMUNICADO DE IMPRENSA

Conferência internacional

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO SUPERIOR DE ENSINO, PESQUISA E EXTENSÃO RESOLUÇÃO N , DE 19 DE AGOSTO DE 2010

EMPRESAS DEVERÃO INFORMAR EM SEUS DOCUMENTOS FISCAIS OS IMPOSTOS EMBUTIDOS EM SEUS PRODUTOS E OU SERVIÇOS

Confiança, Privacidade, Proteção de Dados e Segurança na Era do Consumidor Digital

Edital de Seleção Pública nº 2014/005 - Redes ECOFORTE Anexo I

CHAMADA PÚBLICA 2017

MEGACITIES 2017 Conference Rio Decarbonization of Mobility

Centro Universitário Católico Salesiano Auxilium

Registro de Câncer de Base Populacional em Florianópolis: Ferramenta de gestão para o controle da doença

EDITAL DO CURSO DE PÓS-GRADUAÇÃO NEW BRANDING INNOVATION MBA 1º Semestre de 2018

EDITAL N.º 02/2017 PROCESSO SELETIVO SIMPLIFICADO PARA INGRESSO NOS CURSOS DE EXTENSÃO DO CAMPUS AVANÇADO PECÉM

Indicador de Confiança do Micro e Pequeno Empresário

REGULAMENTO 3º CONCURSO DE FOTOGRAFIA MADRUGADÃO FEEVALE

ORDEM DOS DESPACHANTES OFICIAIS DEONTOLOGIA

OFERTAS DE EMPREGO CLDS 3G VIANA SUL SELECCIONE A SUA ÁREA DE INTERESSE

FEDER e FUNDO DE COESÃO

O Regulamento Europeu de Proteção de Dados: os novos desafios do tratamento de dados para as empresas - Isabel Ornelas

Academia Nacional de Belas Artes

EDITAL Nº 132/2014 PROCESSO SELETIVO PARA INGRESSANTES NO CURSO DE PÓS- GRADUAÇÃO MODALIDADE LATO SENSU

Missão. Objetivos Específicos

Contabilidade Pública

Ulbrex ULBREX ASSET MANAGEMENT LTDA. Capital. Política De Gestão De Riscos

Grau de proteção (IP) Por Joelmir Zafalon

Customer Due Dilligence

MOBILIDADE DE DOCENTES E NÃO DOCENTES PROCEDIMENTOS DE CANDIDATURA ERASMUS+

JORNAL OFICIAL. Sumário REGIÃO AUTÓNOMA DA MADEIRA. Segunda-feira, 19 de maio de Série. Número 90

A principal atividade da Sucatas Pinto é a Gestão de Resíduos Sucata - provenientes de vários

SUMÁRIO. Apresentação à edição brasileira... V Marcela Dohms, Gustavo Gusso. Introdução e plano da obra...13

Soluções Completas de Consultoria no novo Regulamento Geral de Proteção de Dados Regulamento (EU) 2016/679

REGULAMENTO. 1.5 A cronometragem da 2ª Corrida Pela vida Dia de Saúde UNIS será COMPUTADORIZADA, NÃO teremos chips só números de peito.

APROVADOS APRESENTAÇÃO ORAL

LEI Nº , DE 22 DE DEZEMBRO DE 2009 AULA 3 JUIZADOS ESPECIAIS

Confiança, Privacidade, Proteção de Dados e Segurança na Era Digital

Comissão do Emprego e dos Assuntos Sociais PROJETO DE PARECER. da Comissão do Emprego e dos Assuntos Sociais

Carta Aberta aos Candidatos a Presidente do Partido Social Democrático

OLGA COLOR, UMA DAS MAIORES FABRICANTES DE PERFIS DE ALUMÍNIO DO PAÍS.

SEGURANÇA PÚBLICA: QUESTÕES SOCIAIS, LEGAIS E DE POLÍCIA PUBLIC SAFETY: SOCIAL, LEGAL AND POLICE. Guilherme Marques Guimarães 1 RESUMO ABSTRACT

Programa de Apoio Psicoterapêuticos - PAP

Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?

EDITAL DE ABERTURA DE INSCRIÇÃO PARA DOCENTES CEEJA Centro Estadual de Educação de Jovens e Adultos Piracicaba

REGULAMENTO INTERNO PROGRAMA INOV CONTACTO - ESTÁGIOS INTERNACIONAIS DE JOVENS QUADROS EDIÇÃO 2017/2018 I DISPOSIÇÕES GERAIS.

[4] JO n 22 de , p. 369/65. O CONSELHO DAS COMUNIDADES EUROPEIAS, [5] JO n.l 15 de , p. 36.

VI GOVERNO CONSTITUCIONAL

Regulamentação para Consumidores de Baixa Tensão RECON-BT. Gerência de Engenharia e Expansão da Rede de Distribuição - DDE

RESSURGIMENTO DA CÓLERA NA REGIÃO AFRICANA DA OMS: SITUAÇÃO ACTUAL E PERSPECTIVAS ÍNDICE INTRODUÇÃO SITUAÇÃO ACTUAL PERSPECTIVAS...

LÂMINA DE INFORMAÇÕES ESSENCIAIS SOBRE O JPM AÇÕES FUNDO DE INVESTIMENTO EM COTAS DE FUNDOS DE INVESTIMENTO EM AÇÕES

APRESENTAÇÃO INSTITUCIONAL / COMERCIAL

ESTUDO JURÍDICO DA POSSIBILIDADE DE RECEPÇÃO DOS CANAIS DE TV PORTUGUESES NA GALIZA.

REGULAMENTO DE COLEGIADO DE CURSO DE GRADUAÇÃO E PÓS- GRADUAÇÃO CAPÍTULO I DO OBJETIVO E FINALIDADE

EDITAL N o 03 2º SEMESTRE 2012 SELEÇÃO DE TUTORES A DISTÂNCIA

EDITAL nº 14, de 08/04/2015. DIREÇÃO GERAL IFMT - Campus Primavera do Leste

Modernização da Lei Trabalhista Brasileira

DIRECTIVA 98/71/CE DO PARLAMENTO EUROPEU E DO CONSELHO de 13 de Outubro de 1998 relativa à protecção legal de desenhos e modelos

EDITAL Nº 001 DE 02 DE JANEIRO DE 2017

PROCEDIMENTO. Tratamento de Ocorrências e Melhoria Contínua

Enfoque ambiental junto à Indústria Automobilística

CENTRO SUPERIOR POLITÉCNICO

Transcrição:

OS DESAFIOS JURÍDICOS DA CIBERSEGURANÇA NUM MUNDO GLOBAL Porto, 5 de março de 2015

ÍNDICE Importância do tema Abordagem jurídica Obrigações aplicáveis Consequências do incumprimento Internacionalização Em especial, os países da CPLP Como estar preparado? Desafios e oportunidades 2

IMPORTÂNCIA DO TEMA Os ciberincidentes e data breaches estão a aumentar, afetando todos os setores de atividade. Fonte: http://breachlevelindex.com

OS CASOS MAIS MARCANTES DE 2014 Divulgação de filmes e guiões de filmes que ainda não foram lançados no mercado e publicação de e-mails confidenciais e informação sobre colaboradores Segundo o FBI, o Malware usado para invadir a rede da Sony é tão sofisticado que não seria detetado por 90% das soluções anti-malware no mercado Roubo de 83 milhões de contas pessoais/negócio (banca online) Perda de mais de 145 milhões de contas de utilizador e respetivos dados pessoais Desde abril de 2014, verificaram-se vários ataques virtuais aos servidores que alojam as páginas da PGR, a Polícia Judiciária, o Conselho Superior da Magistratura, a Comissão da Carteira Profissional de Jornalista 4

E afeta todo o mundo

E em 2015, as previsões não são as melhores Security predictions from: Blue Coat, Damballa, FireEye, Fortinet, Forrester, Gartner, IDC, ImmuniWeb, Kaspersky Lab, Lancope, McAfee, Neohapsis, Sophos, Symantec, Trend Micro, Varonis Systems, Websense. Image: Charles McLellan/ZDNet 6

HÁ QUE ESTAR PREPARADO Num cenário de internacionalização, a estratégia de atuação deverá ser global As medidas técnicas e todas as outras medidas de prevenção são globais - a cibersegurança não tem fronteiras! As especificidades que podem existir são a 2 níveis: Obrigações legais da empresa neste domínio Poderes das autoridades competentes É, pois, necessário ter uma visão integrada all across the board, por forma a responder com sucesso em caso de ciberataque 7

ABORDAGEM JURÍDICA: O PRIMEIRO PASSO O primeiro passo é conhecer a legislação e as obrigações aplicáveis neste domínio, principalmente num cenário de internacionalização: Legislação europeia Legislação local, nas jurisdições de atuação É fundamental fazer um impact assessment aquando da ponderação da possibilidade de abrir ou expandir uma área de negócio noutras jurisdições, de forma a prever e prevenir os riscos associados em matéria de cibersegurança e proteção de dados pessoais 8

ABORDAGEM JURÍDICA: O PRIMEIRO PASSO Não basta adotar uma abordagem jurídica De forma a implementar um plano de prevenção e reação em caso de ciberincidentes, as organizações deverão adotar uma abordagem integrada da questão de forma a cobrir as diferentes vertentes: (i) jurídica, (ii) tecnológica e (iii) organizacional Tecnológic a Jurídica Organizaciona l

QUAIS SÃO AS OBRIGAÇÕES APLICÁVEIS? 10

2014/2015 - Aprovação CIBERSEGURANÇA Comunicação Segurança das Redes e da informação: Proposta de abordagem de uma política europeia 28.03.201 Estratégia para 2 uma sociedade da informação segura Diálogo, parcerias e maior poder de intervenção Criação da Parceria público-privada europeia para a resiliência (PPPER /EP3R) Comunicação Estabelecimento de um Centro Europeu 21.03.20 de Cibercrime 13 (EC3) Proposta de Diretiva sobre Segurança das Redes e da Informação 06.06.200 1 31.05.20 06 30.03.20 0915.09 28.03.20 12 05.04.20 12 31.12.20 12 07.02.20 13 03.2014 Lei do Cibercrime Resolução do Conselho de Ministros n.º 42/2012 - Cria a Comissão Instaladora do Centro Nacional de Cibersegurança Resolução do Conselho de Ministros n.º 112/2012, aprova Agenda Portugal Digital Início da Discussão no Parlamento

ENQUADRAMENTO 5 Prioridades fundamentais Alcançar a resiliência do ciberespaço Reduzir drasticamente a cibercriminalidade Desenvolver a política e as capacidades no domínio da ciberdefesa, no quadro da política comum de segurança e defesa Desenvolver recursos industriais e tecnológicos para a cibersegurança Estabelecer uma política internacional coerente em matéria de ciberespaço para a UE e promover os valores fundamentais da UE

PROPOSTA DE DIRETIVA SRI ALGUNS CONCEITOS «Segurança» a capacidade de uma rede ou sistema informático para resistir, com um dado nível de confiança, a eventos acidentais ou a ações dolosas que comprometem a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados ou transmitidos e dos serviços conexos oferecidos ou acessíveis através dessa rede ou sistema «Risco» «Incidente» qualquer qualquer circunstância ou evento com um efeito adverso potencial na segurança circunstância ou evento com um efeito adverso real na segurança «Tratamento de incidentes» todos os procedimentos de apoio à análise, contenção e resposta em caso de incidente 13

PROPOSTA DE DIRETIVA SRI OBRIGAÇÕES ESSENCIAIS Adotar medidas para prevenir, gerir e responder ao risco de incidentes que possam afetar uma rede ou um sistema de informação - Adotar uma estratégia nacional de SRI Designar uma autoridade nacional competente em matéria de segurança de redes e sistemas informáticos (e assegurar que têm os recursos suficientes) Dispor de mecanismos de (i) partilha informação, em caso de risco e de incidentes e de (ii) cooperação entre as várias entidades dos EM com competência no domínio da cibersegurança Criar a obrigação para os operadores de mercado e para as administrações públicas de adotar mecanismos de gestão de

PROPOSTA DE DIRETIVA SRI QUEM ESTÁ ABRANGIDO? Administrações Públicas Operadores de mercado Fornecedores de serviço da sociedade da informação que permite a prestação de outros serviços da sociedade da informação Operadores de infraestruturas criticas essenciais para a manutenção de atividades económicas vitais (energia, transportes, banca, bolsa, saúde )

Que medidas de segurança adotar? Que incidentes notificar? 16

OBRIGAÇÕES Proteção de Dados Pessoais (Diretiva 95/46/CE e Lei nº 67/98) Obrigações de proteção dos dados pessoais O responsável pelo tratamento deve por em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra destruição acidental ou ilícita, perda acidental, alteração, a difusão ou acesso não autorizado, nomeadamente quando o tratamento implicar a sua transmissão em rede, e contra qualquer outra forma de tratamento ilícito (avaliação de conhecimentos técnicos disponíveis, custos e natureza dos dados a proteger) Violação de DadosPessoais / data breach Adoção de especiais medidas técnicas quando estejam em causa dados sensíveis 17

OBRIGAÇÕES Regulamento de Protecção de Dados (Proposta) Obrigações de proteção dos dados pessoais Obrigações em matéria de segurança & Integridade O responsável pelo tratamento e o subcontratante, devem avaliar o risco e aplicam as medidas organizacionais e técnicas necessárias.(atende aos custos) São atribuídas competências à Comissão para especificar mais concretamente os critérios e as condições aplicáveis às medidas técnicas e organizativa adequadas, para setores/situações especificas, atendo à evolução das técnicas e da privacy by design. O responsável pelo tratamento notifica a autoridade, sem demora e sempre que possível 24 horas depois de ter conhecimento (se não o fizer dentro do prazo tem de justificar) O subcontratante alerta e informa o responsável pelo tratamento imediatamente após a deteção de uma violação de dados pessoais A notificação deve ter requisitos/conteúdo mínimo Deve existir um dossier de violações de privacidade Sempre que a violação for suscetível de afetar negativamente a protecção de dados ou a privacidade do titular o responsável comunica ao titular dos dados 18 A autoridade de proteção de dados pode isentar ou determinar a

OBRIGAÇÕES Proposta de Diretiva SRI Segurança das redes e dos sistemas informáticos Notificação de incidentes Os EM devem assegurar que as administrações públicas e os operadores de mercado adotam as medidas técnicas e organizacionais adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas informáticos que controlam a adequado com sua atividade (em particular nos serviços essenciais oferecidos). As medidas devem garantir o nível de segurança adequado em função do risco existente Os EM devem assegurar que as administrações públicas e os operadores do mercado notificam às autoridades competentes os incidentes de segurança com impacto significativo na segurança dos serviços essenciais que fornecem A autoridade competente pode informar o público ou exigir que as administrações públicas ou os operadores do mercado o façam se a revelação do incidente for do interesse público. 19

Quais as implicações do incumprimento das obrigações?

O incumprimento tem consequências escondidas CONSEQUÊNCIAS DO INCUMPRIMENTO Gestão de Risco Risco político Risco jurídico Risco de negócio Risco reputacional Categorias de risco Risco financeiro Fonte: Survey sobre Data Security Breach Notification, realizado pelo Ponemon Institute para a White & Case Risco operacional

E pode ainda acarretar responsabilidade civil pelos prejuízos causados, para além de responsabilidade contraordenacional: CONSEQUÊNCIAS DO INCUMPRIMENTO Diploma Coimas Outros eprivacy Até 5.000.000 - Sanção pecuniária compulsória - Negligência e tentativa puníveis (os limites máximos são reduzidos a metade) - Sanção assessória Lei de Proteção de Dados Pessoais Regulamento Proteção de Dados Diretiva Cibersegurança Até 30.000 Até 1.000.000 ou, sendo uma empresa, até 2% do volume anual de negócios a nível mundial A determinar pelos Estados-Membros na transposição da Diretiva - Sanções assessórias - Negligência e tentativa puníveis - Sanções aplicadas ao responsável pelo tratamento e ao representante, se designado - Pode haver advertências, antes das sanções - Sanções coerentes com as do Regulamento de Proteção de Dados, se incidente de segurança envolver dados pessoais

QUAL É O ESTADO DE ARTE NOS OUTROS PAÍSES? INTERNACIONALIZA ÇÃO O Global Cibersecurity Index da ITU mede o nível de commitment dos Estados em relação aos temas da cibersegurança, tendo em consideração os seguintes fatores: Legislação / Medidas legais Medidas técnicas Organizações governamentais Cooperação nacional e internacional

EM PARTICULAR, NA CPLP PAÍSES COM LEIS NO DOMÍNIO DA CIBERSEGURANÇA INTERNACIONALIZA ÇÃO Brasil: segundo a UIT, o Brasil é um dos países em que o commitment é maior, dispondo de um conjunto alargado de diplomas legais que regulam a cibersegurança e cibercrime, assim como de agências governamentais especializadas Angola: apenas disposições ao nível da segurança do Estado Cabo Verde Guiné: apenas disposições genéricas no Código Penal Moçambique Timor - Leste São Tomé e Príncipe

EM PARTICULAR, NA CPLP PAÍSES COM LEIS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS INTERNACIONALIZA ÇÃO Angola Moçambique Brasil (Marco Civil/Lei de Proteção de Dados Pessoais em preparação) Timor - Leste Cabo Verde Guiné Bissau Guiné Equatorial São Tomé e Príncipe

O QUE FAZER PARA ESTAR PREPARADO? O QUE FAZER PARA ESTAR PREPARADO? 26

O QUE FAZER Avaliar os riscos existentes 27

O QUE FAZER Mapear as obrigações legais/regulamentares aplicáveis ao nível nacional e nas restantes jurisdições 28

O QUE FAZER Ter uma checklist/manual de procedimentos em caso de incidente de segurança/violação de dados pessoais 29

O QUE FAZER Ter um plano (integrado) para cumprir as obrigações relacionadas com a segurança, resiliência das redes e sistemas de informação e as obrigações em matéria de protecção de dados pessoais 30

O QUE FAZER Definir uma adequada cadeia de responsabilidades com os cliente, fornecedores, etc.. 31

O QUE FAZER Desenvolver uma cultura de cibersegurança na organização 32

O QUE FAZER Ter uma estratégia em matéria de cibersegurança & para a proteção de dados pessoais 33

Que desafios & oportunidades? 34

DESAFIOS Segurança dos sistemas de informaçã o Protecção de dados pessoais Segurança das redes e serviços de comunicações eletrónicas Legislação nacional e internacional aplicável Como articular os diversos quadros legais potencialmente aplicáveis, de forma simples e eficaz? 35

DESAFIOS Como articular as várias entidades envolvidas a nível nacional e internacional? Entidades internacionais competentes Centro Nacional de Ciberseguranç a 36

OPORTUNIDADES Cibersegurança como um business case 37

Muito Obrigada! Inês Antas de Barros iab@vda.pt Área de Telecomunicações & Media, Privacidade, Proteção de Dados & Cibersegurança 38

O DIREITO A RIGHT À O DIREITO EXCELÊNCIA À EXCELÊNCIA TO EXCELLENC E A RIGHT TO EXCELLENCE

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback