Riscos Globais em 2019

O relatório do Global Risks Perception Survey 2019 faz das tecnologias o actor principal.

De um catálogo de 30 riscos globais, o inquérito 2019, atribuiu, em termos de probabilidade o 4º lugar ao roubo e fraude de dados e o 6º lugar aos ciberataques. Em termos de impacto o roubo e fraude de dados ficaram em 16º risco e os ciberataques ficaram em 6º.

Nove em cada dez entrevistados esperam, para 2019, um agravamento dos confrontos económicos e políticos entre as grandes potências e num horizonte de dez anos, os eventos climáticos extremos e as mudanças climáticas são vistos como as ameaças mais graves.

O relatório apresenta os resultados da mais recente Pesquisa de Perceção de Riscos Globais, na qual um milhar de decisores do setor público, setor privado, académico e sociedade civil avaliam os riscos que o mundo enfrenta.

Entende-se como “risco global” um evento ou condição incerta que, se ocorrer, pode causar impacto negativo significativo e que não é influenciado por um país ou governo.

The Global Risk Report 2019 (aqui) faz alguns comentários à avaliação realizada que se sintetizam da forma seguinte.

Continue reading “Riscos Globais em 2019”

Serão, mesmo, dados pessoais?

A definição de dados pessoais inscrita no RGPD é simples e clara, mas a prática suscita várias questões, vejamos uma dessas questões.

Para a ICO determinados dados tanto podem ser dados pessoais como não ser, dependendo da finalidade do tratamento. Parece confuso? Sim, é confuso, e até pode gerar extrapolações de alcance significativo. Recomenda-se uma interpretação prudente.

A ICO (aqui) começa por afirmar que determinados dados na posse de uma organização podem ser dados pessoais, mas, eventualmente, se estiverem na posse de outra organização já podem deixar de ser considerados como dados pessoais. A mesma informação em organizações diferentes adquire naturezas diferentes. E explica que a diferença resulta da finalidade com que as duas organizações tratam a mesma informação.

A ICO ilustra esta orientação dando o exemplo que se relata de seguida.

Um jornalista tira uma fotografia na praia para publicar num artigo de jornal sobre as elevadas temperaturas para a época. A fotografia mostra algumas pessoas na praia e dada a qualidade da mesma é possível identificar, reconhecer, algumas das pessoas na praia.

Considera-se que o jornalista não trata a fotografia para conservar informação sobre as pessoas fotografadas, ou analisar as pessoas, ou apreender/decidir algo acerca dessas pessoas. Acrescento eu, que para o jornalista/jornal a fotografia é de pessoas anónimas ou pelo menos razoavelmente anonimizadas.  

Uma das pessoas fotografadas na praia tinha metido, exatamente para esse dia, um dia de nojo por falecimento de um familiar.

Alguns colegas de trabalho viram a fotografia no jornal, digitalizaram e enviaram por email para o chefe do fotografado. A fotografia é adicionada ao ficheiro do colaborador dando início a um processo disciplinar.

Esta mesma fotografia, agora na posse do seu empregador, tem a finalidade de documentar o seu colaborador, acrescentando informação e contribuindo para decidir algo acerca dessa pessoa. Por esta razão a fotografia para o empregador passa a ter a natureza de dado pessoal. Acrescento eu, é informação sobre uma pessoa singular perfeitamente identificada.

Conclui a ICO: É necessário considerar cuidadosamente a finalidade para a qual a organização está a usar os dados para decidir se estão relacionados com um indivíduo. Ou seja, é a finalidade que revela uma das características fundamentais (“relacionado com”, ou “relativo a”) para a classificação da informação como sendo um dado pessoal.

Diga-se, em abono da verdade, que o exemplo da ICO parece razoável e convincente. Mas duvido que esteja bem fundamentado, ou pelo menos, que tenha elencado todas as características do caso que suscitam a sua aceitação pelo senso comum.

Sem mais interpretações, e seguindo a orientação da ICO podem colocar-se várias questões, vejamos as seguintes:

Continue reading “Serão, mesmo, dados pessoais?”

As toupeiras

A segurança da informação está no topo das preocupações dos CEOs. Em Portugal a preocupação será menor porque, somos um país de otimistas. E, como todos muito bem sabemos, a gestão de risco, em Portugal, pauta-se pelos otimismos e pessimismos.

Em Portugal sucedem-se os casos de toupeiras. São as toupeiras do Benfica, do Departamento de Investigação e Acção Penal (DIAP), da Inspeção Geral de Finanças (aqui) e agora, ao que parece, poderá haver mais um caso de toupeiras na Câmara Municipal de Ovar.

Até no caso da Sociedade de Advogados PLMJ, em que foi tornado publico mais de 4GB de informação, há dúvidas sobre a participação interna. Há uma linha de investigação sobre um eventual apoio de pessoas que conheciam o sistema de informação da PLMJ (aqui). Há, assim, a suspeita de que o ataque à PLMJ tenha resultado de uma ação combinada, com uma atuação externa mas, conjugada com outra interna.

Certo é dizer-se que a maior ameaça é a interna e, mais especificamente, a que está por detrás de um teclado. Sobretudo através dos dispositivos pessoais, designadamente computadores portáteis e telemóveis (aqui) que são alvos fáceis de malware e que, de forma geral, beneficiam de ligações às redes das organizações como se fossem dispositivos internos.

Os especialistas de segurança de informação lá vão alertando para o facto de que a maior ameaça à segurança ter origem interna e que as toupeiras são uma praga com tendência a alastrar-se. Mas, no tradicional clima de irresponsabilidade generalizada que em português suave se designa, por vezes, de otimismo, os alertas não passam de pessimismo e alarmismo. É a gestão de risco que temos.

O mais engraçado é que muitas vezes consegue-se falar dos efeitos das toupeiras calando o tema das toupeiras. O acesso aos dados da Câmara de Ovar é um desses casos que parece ser obra de toupeira, mas que dificilmente será comentado na perspetiva da segurança da informação e das ameaças internas.

O caso que chamo ser da Câmara de Ovar é colocado na imprensa como sendo o caso do Lexus LS500h (setenta e muitos mil euros de carro) do presidente da Câmara de Ovar, Vice do PSD, Salvador Malheiro.

Continue reading “As toupeiras”

BIA – Business Impact Analysis

A análise do impacto é um processo central para a definição do risco, para a definição das prioridades, para as medidas de mitigação do risco, para os planos de DRP (Disaster and Recovery Plans) e para os BCP (Business Continuity Plans).

O profissional de proteção de dados não pode limitar-se às Avaliações de Impacto sobre Proteção de Dados. Pelo menos, no que respeita à segurança da informação, tem que lidar com o conceito mais alargado de BIA – Business Impact Analysis, isto é, com a análise de impacto que não diz diretamente respeito à proteção de dados. Mas, o planeamento e gestão da comunicação associados à resposta a uma violação de dados também pode beneficiar de uma análise de impacto.

As BlAs são usadas para avaliar os processos críticos (e as soluções informáticas que os apoiam) e são a base para determinar prazos, prioridades, recursos e interdependências. As auditorias à Proteção de Dados não podem deixar de proceder a uma adequada avaliação dos BIAs, concretamente os que dizem respeito à segurança da informação em geral e, em particular, os que se referem aos planos de disaster-recovey e aos planos de continuidade de negócios.

O auditor de proteção de dados tem que saber quais as questões fundamentais a considerar na elaboração de um BIA e procurar evidências de que um determinado BIA foi conduzido de forma apropriada.

Os incidentes e as crises têm uma natureza dinâmica. Alteram-se ao longo do tempo e conforme as circunstâncias, evoluindo, por vezes, de forma rápida e imprevisível. Também por isso, a sua gestão deve ser dinâmica, proativa e bem documentada.  

Este caracter dinâmico dos incidentes e das crises dificultam a utilização de soluções padronizadas pelo que deve ser colocado um grande esforço no método e nos instrumentos dessa metodologia. A BIA é um desses instrumentos.

Uma BIA criteriosa e rigorosa é um elemento crucial para toda a Gestão de Incidentes e Resposta a Incidentes, nas suas diversas fases: Planeamento e preparação; Deteção; Inicio; Registo/documentação (Recording); Avaliação; Contenção (limitar o alcance do incidente); Erradicação; Escalada; Resposta; Restauração; Fecho; Reporting; Revisão pós-incidente; Lições aprendidas. Mas, também é importante, que a Gestão de Incidentes e a Resposta aos Incidentes gerem informação e alimentem a base de conhecimento que melhor de forma continua as BIAs.

Todas estas fases, para serem devidamente executadas, pressupõem trabalho prévio e orientações claras por parte da organização. Um correto planeamento e preparação deve permitir que o incidente encaixe nas classificações estabelecidas e que por essa via seja fácil responder a perguntas como “Quem resolve?”, “Qual o impacto e urgência”? “Qual a prioridade”? “Quais os SLAs?”, “Quais os protocolos, quais os procedimentos a usar?”.

Para cada tipo de incidente (que pode agrupar ameaças, vulnerabilidades e riscos) teremos que realizar uma BIA especifica que poderá ter fases de resposta a incidentes próprias ou genéricas.

Continue reading “BIA – Business Impact Analysis”