Simplificar a avaliação de risco das PMEs

As pequenas e médias organizações nem sempre precisam de ferramentas sofisticadas para realizarem uma adequada avaliação de riscos. Tudo o que precisam é de um Excel, bons catálogos de vulnerabilidades e ameaças e uma boa metodologia de avaliação de risco que sobreleve a accountability.

O problema das soluções mais complexas é que, geralmente, exigem muito mais tempo, esforço e dinheiro. É preciso que esse adicional seja compensador.

Compreenda-se que simplificar não é diminuir. A avaliação de risco e a gestão do risco são a base quer da proteção de dados quer da segurança da informação / ISO 27001, mas isso não significa que a gestão do risco tenha que ser complexa e complicada. Nem sempre a utilização de uma aplicação de gestão de risco é a melhor solução. Em alguns casos, pode realizar-se uma avaliação do risco de forma simples, com a vantagem adicional de facilitar a compreensão e, por essa via, contribuir para uma maior adesão das pessoas envolvidas.

Não esquecer o objetivo

O propósito da avaliação de risco é identificar o risco e descobrir que controles são necessários para mitigar o risco. O processo de tratamento de risco consiste na seleção dos controles. Na ISO 27001 os controlos são escolhidos a partir do Anexo A que especifica 114 controles. Para a Proteção de Dados podemos recorrer aos controlos resultantes da BS 10012:2017.

Entenda-se que uma vulnerabilidade é uma debilidade num ativo, processo, controle, etc., que pode ser explorada por uma ameaça. Uma ameaça é qualquer ação que possa causar danos a um sistema ou organização. Um exemplo de vulnerabilidade é a não utilização de software antivírus; a respetiva ameaça consiste na existência de vírus.

A imagem em baixo (aqui) ilustra uma pratica orientada pela avaliação de risco, tal como recomendada pelo RGPD.

O processo é simples

Sigam-se os seguintes passos:

Continue reading “Simplificar a avaliação de risco das PMEs”

O Dia da Proteção de Dados

Na próxima segunda-feira, dia 28 Janeiro, celebra-se o Dia da Proteção de Dados. Observemos com atenção o que vai acontecer no próximo dia 28.

Deixem-me adivinhar. O próximo dia 28 vai ser o dia dos coletes amarelos da Proteção de Dados, não se vai passar nada. No próximo dia 28 vai haver uma “happy hour” com uma dúzia de profissionais da Proteção de Dados, quase todos membros da IAPP, reunidos a celebrar o Dia da Proteção de Dados. E sobre a evocação da data ficaremos conversados.

Mas, sejamos otimistas, aguardemos, pode ser que a comunicação social, a Assembleia da República, o Governo ou a CNPD nos surpreendam.

Façamos o que podermos para a data não passar em branco. O assunto é sério e merece a melhor atenção, sensibilizemos a sociedade portuguesa para a questão da Proteção de Dados.

Desde que a tecnologia começou a interferir com a sociedade e com os direitos humanos que o problema da Proteção de Dados não pára de se agudizar e as reações ficam sempre aquém do desejável. Em todo o mundo sucedem-se os casos alarmantes e Portugal não é exceção, antes pelo contrário, com a agravante do governo e a assembleia da república tentarem ignorar a realidade.

A realidade é que “Never before has the threat of intrusion to people’s privacy been such a risk. It is no wonder that the public now ranks protecting personal information as the third most important social concern.” – Richard Thomas, former UK Information Commissioner.

O site Stay Safe Online (aqui) é um excelente exemplo de sensibilização para o Dia da Proteção de Dados, mas para a escala portuguesa sugiro 5 pontos do que pode ser a sensibilização para o Dia da Proteção de Dados. Obviamente, cada um, que elenque as questões que, pessoalmente, entende serem as prioritárias.

Continue reading “O Dia da Proteção de Dados”

O caso PLMJ

Que tal a Ordem dos advogados recomendar que as sociedades de advogados sejam assistidas por um Conselho Consultivo de Segurança da Informação?

A Ordem dos Advogados manifestou o maior repúdio e considerou absolutamente inaceitável o ataque informático de que foi alvo a sociedade de advogados PLMJ. A Ordem “esqueceu-se” de comentar as obrigações que as sociedades de advogados têm no que respeita à segurança da informação. É fácil concordar que o hacker é o vilão da história, mas será que a PLMJ pode demonstrar que não é o segundo vilão?

A noticia da violação de dados ocorrida na sociedade de advogados PLMJ foi amplamente referida nos meios de comunicação social e pode ser lida, entre outros locais, aqui.

A Ordem dos Advogados, em comunicado assinado pelo bastonário, afirma que “uma advocacia sem medo e sem que os cidadãos tenham medo de a ela recorrer é essencial para a vida em democracia e para a proteção dos direitos de todos, pelo que procurar condicioná-la, seja de que forma for, tem de merecer, da sociedade, o maior repúdio e censura. Trata-se de um inaceitável atentado ao Estado de Direito e de um atentado de que todos, advogados e não só, são vítimas e em que todos estão na mira”.

Não se vê no comunicado da Ordem dos Advogados, nenhuma referência a algum código de conduta ou práticas de segurança da informação que obriguem, em particular, as sociedades de advogados. É bem claro que o vilão da história é o hacker, que ao que se diz é o mesmo do caso emails do Benfica, mas poderá haver um segundo vilão. Quem não protege a informação que lhe está confiada é, também, um vilão. É um vilão de outro teor, mas um vilão.

Parece evidente que uma sociedade de advogados que não dê prioridade à segurança das informações dos clientes e à defesa dos seus interesses e direitos constitui-se no segundo vilão da história. Dar prioridade significa, desde logo, afetar meios humanos, tecnológicos e, portanto, financeiros a esse objetivo. Essa prioridade tem que ser demonstrada, a sociedade de advogados tem que respeitar o princípio da accountability, tem que ser capaz de demonstrar responsabilidade. E se não for capaz de demonstrar responsabilidade, a meu ver, constitui-se como o segundo vilão da história. A Ordem dos Advogados deve dar indicações precisas de como essa demonstração de responsabilidade deve ser realizada, até porque, a natureza da informação à guarda de uma sociedade de advogados pode ser de máxima confidencialidade.

É óbvio que as sociedades de advogados não devem nem podem vir para a praça publica divulgar as medidas de segurança que as protegem, mas certamente que podem ser certificadas ISO 27001 e/ou terem um Conselho Consultivo para a Segurança da Informação recheado com nomes sonantes. Qualquer uma destas práticas, só por si, daria uma imagem publica de demonstração de responsabilidade.

Mas para o caso de sociedades de advogados do tipo da PLMJ, o que se recomenda é a aplicação conjunta das duas mediadas, Certificação ISO 27001 e Conselho Consultivo para a Segurança da Informação.

Lamentável é que a Ordem dos Advogados não vincule as sociedades de advogados a determinadas práticas que consagrem a demonstração de responsabilidade.

É evidente o papel da certificação ISO 27001 na demonstração da responsabilidade, mas já não é tão óbvio o papel de um Conselho Consultivo para a Segurança da Informação, ainda que em meu entender, o Conselho Consultivo possa ser um instrumento prático de muito maior alcance e eficiência que a certificação ISO 27001.

Então mas o DPO, o encarregado de proteção de dados (EPD), não é suficiente?

Note-se que não estamos a referir a necessidade de um Conselho Consultivo para a proteção de dados pessoais (ou privacidade) como por exemplo o da seguradora AXA (aqui) porque há vastas competências nessa área dentro de uma sociedade de advogados como a PLMJ. O que se alerta é para o problema da segurança da informação e a necessidade de um respetivo Conselho Consultivo, numa área que não é da especialidade de uma sociedade de advogados.

Vejamos a adequabilidade, vantagens e desvantagens do Conselho Consultivo para a Segurança da Informação como forma de proteção e de demonstração da responsabilidade. Neste sentido, comecemos por caracterizar a natureza de um Conselho Consultivo.

Continue reading “O caso PLMJ”

Detetabilidade

Como costuma tratar a questão da detetabilidade? A detetabilidade ilustra bem a máxima de que “qualquer framework é melhor que nenhuma”, no sentido em que demonstra a necessidade de tratar as várias dimensões de um problema com método e racionalidade que estejam devidamente reconhecidos e validados pela experiência.

A extrema vulnerabilidade durante 54 zero-day por ano, isto é, mais de um dia por semana, e os 205 dias que decorrem, em média, entre a violação de dados e a sua descoberta são motivos mais que suficientes para a questão da detetabilidade ser um fator crucial na gestão do risco. O desafio é: Como considerar a questão da detetabilidade?

A detetabilidade é particularmente bem considerada na framework FMEA (Failure Mode and Effects Analysis – Análise dos Modos de Falha e seus Efeitos), mas esta é uma metodologia pouco utilizada na proteção de dados pessoais. A avaliação de impacto na proteção de dados, de uma forma geral, segue a ISO 31000 (Gestão do Risco), mas esta não aborda diretamente a questão da detetabilidade.

Como articular a detetabilidade e a proteção de dados pessoais é a questão que vamos responder.

Continue reading “Detetabilidade”