APDSI apoia a 5.ª conferência internacional sobre Sistemas de Informação, Segurança e Privacidade - ICISSP 2019

A 5.ª Conferência ICISSP (Conferência Internacional sobre Sistemas de Informação de Privacidade e Segurança), organizada pelo INSTICC (Instituto de Sistemas e Tecnologias de Informação, Controlo e Comunicação) e que conta com o apoio da APDSI, vai decorrer de 23 a 25 de fevereiro de 2019, em Praga, na República Checa.

A Conferência Internacional sobre Segurança e Privacidade de Sistemas de Informação tem como objetivo criar um ponto de encontro para pesquisadores e profissionais que abordem desafios de segurança e privacidade que dizem respeito a sistemas de informação, especialmente em organizações, incluindo não apenas questões tecnológicas, mas também questões sociais.

A conferência acolhe artigos de natureza prática ou teórica, apresenta pesquisas ou aplicações, abordando todos os aspetos de segurança e privacidade, e que preocupam organizações e cidadãos individuais, criando assim novas oportunidades de pesquisa. O período de submissão de papers decorre até 15 de novembro deste ano.

A ICISSP vai juntar investigadores e académicos do mundo inteiro sobre esta área. Os principais tópicos abordados serão a segurança de dados e software, a criação de confiança em equipamentos e online, segurança em dispositivos móveis, privacidade e confidencialidade.

Bill Buchanan, da Edinburgh Napier University, do Reino Unido, e Roberto Di Pietro, da Hamad Bin Khalifa University, no Qatar, são os keynote speakers já anunciados.

Os sócios da APDSI beneficiam de um desconto na inscrição do evento. Encontra aqui mais informação.

eiD Conference debate a identidade digital no futuro

Este ano, na comemoração da sua 10.ªedição, a eiD Conference realiza-se nos dias 27 e 28 de setembro no Auditório da Fundação Champalimaud, em Lisboa. O evento é organizado pela Multicert, associada da APDSI, que anualmente organiza esta conferência de dimensão internacional.

Na conferência vão estar presentes empresas de renome bem como Instituições Nacionais de referência, como o Gabinete Nacional de Segurança, o Banco de Portugal, a Casa Nacional da Moeda e vários representantes do Governo português, que se propõem, em conjunto, a discutir o impacto que a identidade digital terá no futuro e que garantias poderá dar em termos de segurança e preservação da nossa unicidade.

A participação na conferência é gratuita, mas a inscrição obrigatória. Pode inscrever-se aqui. 

3rd eHealth Security Conference - "Segurança em eHealth | Proteção do Hospital do futuro"

O Conselho de Administração da SPMS - Serviços Partilhados do Ministério da Saúde, E.P.E. e a ENISA - Agência Europeia para a Segurança das Redes e da Informação organizam a 3rd eHealth Security Conference - "Segurança em eHealth | Proteção do Hospital do futuro", que se realiza amanhã, 15 de novembro, no auditório Prof. Simões dos Santos na Faculdade de Medicina Dentária da Universidade de Lisboa.

Tendo em conta os trabalhos desenvolvidos pela SPMS, EPE em matéria de segurança, a ENISA escolheu Portugal como país anfitrião da sua conferência anual. A iniciativa conta com especialistas de diferentes estados-membros com o objetivo de partilharem  conhecimento e promoverem a troca de experiências.

Num espaço de duas semanas, e até ao momento, o evento já conta com 500 inscrições, e mais de 20 oradores nacionais e internacionais confirmados, na sua maioria especialistas internacionais.

A conferência destina-se a todos os profissionais de Saúde por forma a terem mais informações sobre as diferentes soluções tecnológicas e boas práticas neste âmbito.

Consulte o programa aqui e inscreva-se aqui.

Governo vai criar Conselho Superior de Segurança do Ciberespaço

O Governo vai criar um "grupo de projeto", que virá a ser designado como "Conselho Superior de Segurança do Ciberespaço". A decisão foi anunciada em Conselho de Ministros.

Com esta medida o Governo pretende garantir uma abordagem «transversal e integradora das várias sensibilidades, necessidades e capacidades dos diversos setores com intervenção no ciberespaço do país». A estratégia nacional de segurança do ciberespaço tem como propósito garantir a proteção e a defesa das infraestruturas críticas e dos serviços vitais de informação, bem como a utilização livre, segura e eficiente do ciberespaço por cidadãos, empresas e entidades públicas e privadas.

Em comunicado pode ler-se que a estrutura terá como missão «assegurar a coordenação político-estratégica para a segurança do ciberespaço e o controlo da execução da Estratégia Nacional de Segurança do Ciberespaço e da respetiva revisão».

Promover a discussão sobre como conjugar fatores com impacto nas nossas vidas, tanto os associados à proteção dos dados pessoais, como os relacionados com a adaptação aos desafios das novas soluções num contexto de estímulo e promoção da economia, é, há vários anos, uma das preocupações da APDSI. Recorde aqui uma das nossas atividades sobre privacidade online.

Mais uma sessão IT’S TIME TO TALK ABOUT: «A prevenção é a base da segurança»

Lisboa, 31 de maio de 2017 - A itSMF Portugal realizou ontem, na Fundação Cidade de Lisboa, mais uma edição da iniciativa IT’S TIME TO TALK ABOUT. Desta vez o tema “Defining and Implementing Security Policies” promoveu o debate sobre segurança das organizações, que ganha maior expressão atualmente por força da pressão regulatória.

No debate, cuja moderação esteve a cargo de José Carlos Martins, participaram Fernando Fevereiro Mendes, da Focus2Comply, Sérgio Sá, da EY Portugal, e Rui Duro, da Checkpoint Systems Portugal.

Com a entrada em vigor do Regulamento Geral da Proteção de Dados a 25 de maio de 2018, a segurança das organizações está na ordem do dia. Com o aumento da pressão regulatória, as organizações vão ter de abordar de maneira diferente os dados seus dados e os dados dos clientes. Estas mudanças acontece numa altura em que as empresas portuguesas já olham para a componente digital como forma de alavancar os seus negócios, tirando partido da IoT e da mobilidade como novas abordagens estratégicas para as organizações.

Fernando Fevereiro Mendes, da Focus2Comply, começou por sublinhar que «os cidadãos portugueses ainda não têm grande sensibilidade para os problemas relacionados com a prevenção». Contudo, os riscos podem ter impactos muito negativos no negócio e ainda não há uma visão consolidada de gestão do risco. Segundo o representante da Focus2Comply, há apenas nichos que já têm alguma capacidade e sensibilidade para abordar as questões de segurança: «Faz falta uma promoção por parte das instâncias nacionais na prevenção como meio de melhorarem todo o contexto empresarial. É verdade que alguns setores investem em segurança mas são quase sempre os que já têm questões as segurança da sua génese». Naturalmente que esta visão não é fácil de ser materializada porque, trabalhar em segurança, é trabalhar no campo dos cenários que ainda não aconteceram.

Estabelecendo um paralelo com o mercado internacional, Fernando Fevereiro Mendes acredita que as ameaças à segurança vão agora passar para o mercado, o que vai expor mais as organizações. Até aqui tínhamos muito esses relatos vindos dos Estados Unidos (porque eram obrigados a reportar as quebras de segurança) mas agora também a Europa terá de passar a fazê-lo.

No que toca à privacidade, as empresas têm que tomar as medidas necessárias para proteger os seus clientes e em particular os utentes no caso da saúde. «É preciso formar e sensibilizar pessoas. Formação em tecnologia e o estabelecer de políticas do que se pode ou não pode fazer numa organização, é que nos vai levar ao objetivo maior da “privacidade da informação”», antecipou Fernando Fevereiro Mendes.

Para algumas empresas, passar a lidar com informação sensível, pode implicar um retrocesso na sua atual posição e da forma como se diferenciam no mercado. Por exemplo os laboratórios de análises clinicas que atualmente fazem o envio do resultado das análises dos utentes por mensagem SMS ou por e-mail.

Sérgio Sá, da EY Portugal, constatou que, na área digital, os incidentes acontecem muito depressa e exigem uma resposta ainda mais rápida: «A prevenção é a base de tudo; as empresas que vão conseguir sobreviver a eventuais ataques são as que têm uma capacidade de reação rápida. Tendencialmente cada vez haverá mais controlos no âmbito da segurança, sendo os mesmos cada vez mais específicos».

Para fazer face a estes cenários tão distintos que podem colocar-se, além da prevenção é também necessária formação adequada para uma melhor e mais rápida reação porque «a questão não é se vamos ser atacados mas quando vamos ser atacados», salientou o representante da EY. A formação de segurança numa empresa tem que ser alargada a todos os seus recursos humanos e colaboradores.

A segurança assenta em três pilares: pessoas, procedimentos e avaliação de risco. Para que todas as nuances que os riscos e a segurança implicam, é necessário definir o que são, agora, as boas práticas de segurança. Até que ponto um juiz pode determinar se houve, ou não, culpa na fuga de informação sensível? O modelo, segundo ficou plasmado nesta sessão do IT’S TIME TO TALK ABOUT, é mostrar que a empresa seguiu standards de segurança internacionais. Para isso, o primeiro passo é saber que informação temos e queremos ter dentro da nossa organização e saber como protegê-la. Uma tarefa que, ainda por cima, está dificultada para as PMEs que estão menos preparadas e têm menos ajuda exterior nesse sentido.

«Para o fabricante, nunca o cenário foi tão bom. A oportunidade está do lado de quem vai vender os serviços. As PMEs não sabem o que têm de fazer porque na sua grande maioria o seu apoio informático é também realizados por parte de outras pequenas empresas, geograficamente próximas», referiu Rui Duro, da Checkpoint Systems Portugal.

É consensual que se deve recorrer a proteções do tipo DLP - Data Loss Prevention -  que é um dos sistemas mais comuns para evitar que haja uma fuga de informação confidencial, mas no entanto é um dos sistemas mais difíceis de implementar: «Será o DLP é uma ferramenta que se pode implementar? Pode ser necessária legislação complementar», alertou o representante da Checkpoint Systems Portugal. «Ainda há uma nuvem cinzenta muito grande. Temos que perceber o que é inovação e o que é risco. A tecnologia está no fim da cadeia; é apenas o que vai tornar possível todo este processo de segurança», acrescentou.

Atualmente, e ainda de acordo com os dados partilhados na sessão da itSMF dedicada ao tema “Defining and Implementing Security Policies”, as empresas estão mais preocupadas com os níveis de produção do que em garantir a sua segurança. Muitas empresas não sabem exatamente o que estão a fazer na cloud e é importante salientar que a maioria dos operadores só oferece espaço de armazenamento e não segurança de informação. 

Disponibilidade e redundância (ter os dados repetidos por várias clouds) podem levar a que a informação esteja espalhada por mais locais, logo, haverá menor controlo sobre todas essas plataformas. «Num cenário de conflito ou de guerra, se os nossos dados e sistemas estiverem armazenados numa cloud internacional, podemos vir a ter os nossos dados reféns em outro país», concluiu Rui Duro.

Em junho haverá uma nova edição da iniciativa IT’S TIME TO TALK ABOUT.

itSMF prepara mais uma edição do IT'S TIME TO TALK ABOUT... Defining and Implementing Security Policies - Opportunities to increase Information Security

A edição deste mês de IT'S TIME TO TALK ABOUT é dedicada ao tema da Segurança e reúne especialistas e consultores da área. As questões, relacionadas com a Definição e Implementação de Políticas de Segurança, vão ser abordadas nas suas variadas vertentes, de forma descomprometida, informal, aberta, mas assumidamente pragmática com o objetivo de sensibilizar, informar, partilhar experiências e conhecimento, perspetivando oportunidades e soluções nesta matéria.

A itSMF Portugal realiza no próximo dia 30 de maio, entre as 17h00 e as 19h00, na Fundação Cidade de Lisboa, mais uma edição da iniciativa IT'S TIME TO TALK ABOUT. Enquadrada no ROADMAP TO IS/IT MANAGEMENT, PRIVACY & SECURITY, desta vez o tema é "Defining and Implementing Security Policies" num debate cuja moderação está a cargo de José Carlos Martins e conta ainda com as participações de Fernando Fevereiro Mendes, da Focus2Comply, Sérgio Sá, da EY Portugal, e Rui Duro, da Checkpoint Systems Portugal.

As organizações estão permanentemente em risco. É impossível afirmar que uma organização está 100% segura, apenas se pode afirmar que existem dois tipos de organizações, as que já foram vítimas de um ataque e as que ainda vão ser.

A crescente escalada de ameaças digitais, resultante das vulnerabilidades dos diversos sistemas de informação, podem atacar os dados e informação das mais diversas organizações. A segurança da informação é, pois, vital na sociedade atual. A criação de procedimentos, políticas, práticas, ou mesmo sistemas de Gestão da Segurança da Informação, devem ser cruciais para as organizações como forma de protegerem eficazmente os seus dados e, por consequência, o seu negócio. 

De uma perspetiva de negócio, é vital que as organizações, grandes ou pequenas sejam capazes de identificar os riscos para a segurança e gerir eficazmente as ameaças dos seus sistemas de informação. Simultaneamente os gestores, devem reconhecer que a gestão de riscos é um processo contínuo onde nunca se encontrará uma segurança absoluta, devido às constantes alterações das tecnologias e dos vetores de ameaça.

Melhorar a segurança de uma organização é possível através de um processo efetivo de gestão de riscos, com enfâse na gestão.

A inscrição é gratuita mas obrigatória e deve ser feita aqui.

Agenda: 

17h15: Receção dos participantes e café de boas vindas

17h30: Abertura, Luís Braga, itSMF Portugal

17h35: Mesa de debate: "Defining and Implementing Security Policies" 

Moderador: José Carlos Martins, "IT'S TIME TO TALK ABOUT".
Painel: 

- Fernando Fevereiro Mendes, Focus2Comply

- Sérgio Sá, EY Portugal

- Rui Duro, Checkpoint Systems Portugal

19h00: Encerramento

Pedro Veiga propõe cargo de CISO nos ministérios

Pedro Veiga, coordenador do Centro Nacional de Cibersegurança desde abril do ano passado, defende a criação do cargo de Chief Information Security Officer (CISO) nos ministérios. A revelação foi feita em entrevista à Computerworld.

O Centro Nacional de Cibersegurança (CNCS) está a procurar recuperar de atrasos na sua atividade, já comprovados com o lançamento, no final de 2016, de um novo website do organismo.

Pedro Veiga admite que a estabilização da equipa técnica do CNCS não tem sido fácil, devido à escassez de recursos humanos e ao patamar de vencimentos possível na Administração Pública, mas afirma que está a desenvolver uma nova estratégia do organismo muito centrada na capacitação das pessoas. «Na parte técnica tem sido bastante desafiante. Na jurídica é mais fácil. O objetivo é ter 32 pessoas, mas isso não será possível nos próximos seis meses, por escassez de recursos humanos. Talvez depois. Como o centro tem a incumbência de transpor a diretiva europeia NIS, o corpo jurídico já está estabilizado», descreve à publicação.

A reformulação que o coordenador está a levar a cabo inclui formação para o cargo de Chief Information Security Officer nos ministérios.

Google cria app a pensar na segurança individual

A Google lançou uma aplicação a pensar na segurança individual dos cidadãos. Chama-se "Contactos de Confiança" e permite-nos partilhar a localização com um círculo restrito de contactos da nossa lista.

Na eventualidade de ocorrer um problema, ou uma situação inesperada, mesmo que o telefone esteja offline ou longe do raio de alcance do utilizador, essa ou essas pessoas são avisadas. A Google alerta, contudo, que o serviço não deve ser encarado como um substituto do 112 - o número nacional de emergência.

Uma vez instalada, a aplicação pode atribuir o estatuto de "confiável" aos contactos que desejar e o seu registo de movimentos será disponibilizado na app dessa mesma pessoa. Em caso de perigo, pode partilhar a sua geolocalização com esse grupo e os seus membros podem pedir-lhe para visualizar o local exato onde se encontra. Se tudo estiver bem, pode rejeitar o pedido, mas se não responder dentro de um determinado período de tempo, a informação é partilhada automaticamente e só deixa de ser transmitida quando o indicar.

"Contactos de Confiança" é uma app gratuita e está disponível para Android.

3rd International Conference on Information Systems Security and Privacy - ICISSP 2017

A Conferência ICISSP (a 3.ª Conferência Internacional sobre Sistemas de Informação de Privacidade e Segurança), organizada pelo INSTICC (Instituto de Sistemas e Tecnologias de Informação, Controlo e Comunicação) vai realizar-se de 19 a 21 de fevereiro 2017, no Porto. A APDSI é parceira da conferência.

A Conferência Internacional sobre Sistemas de Informação em Segurança e Privacidade visa criar um ponto de encontro para investigadores e profissionais que lidam com questões de segurança e privacidade, enquanto desafios que as organizações enfrentam, não só por questões tecnológicas, mas também por questões sociais. A organização da Conferência está a fazer um call for papers, de natureza prática ou teórica, que apresentem resultados de investigação ou aplicações que abordem todos os aspetos preocupantes de segurança e privacidade, para as organizações ou para indivíduos, criando assim novas oportunidades de investigação.

Uma das contribuições mais importantes que a ICISSP pretende dar é a criação de um fórum de alto nível em colaboração com os mais prestigiados especialistas, reconhecidos internacionalmente, incluindo nomes como Olivier Camp (MODESTE / ESEO, França), que vai presidir à Conferência, Paolo Mori (Istituto di Informatica e Telematica, Consiglio Nazionale delle Ricerche, Itália) e Steven Furnell (Universidade de Plymouth, Reino Unido) como vice-coordenador da conferência. Os oradores convidados pela ICISSP 2017 são reconhecidos especialistas nas suas áreas: Elisa Bertino (Purdue University, Estados Unidos), Nancy Cam-Winget (Cisco Systems, Estados Unidos) e Bart Preneel (KULeuven ESAT / COSIC, Bélgica).

Todos os trabalhos aceites serão publicados na conferência, numa referência ISBN, em papel e em suporte CD-ROM.

Saiba mais aqui.

---

The ICISSP Conference (The 3rd International Conference on Information Systems Security and Privacy) organized by INSTICC (Institute for Systems and Technologies of Information, Control and Communication) will take place from 19 to 21 of February 2017 in Porto, Portugal.

The International Conference on Information Systems Security and Privacy aims at creating a meeting point for researchers and practitioners that address security and privacy challenges that concern information systems, especially in organizations, including not only technological issues but also social issues. The conference welcomes papers of either practical or theoretical nature, presenting research or applications addressing all aspects of security and privacy, that concerns to organizations and individuals, thus creating new research opportunities.

One of the most important contributions that ICISSP brings about is the creation of a high-level forum in collaboration with the most prestigious internationally recognized experts, including names such as Olivier Camp (MODESTE/ESEO, France) as a Conference Chair. Paolo Mori (Istituto di Informatica e Telematica, Consiglio Nazionale delle Ricerche, Italy) and Steven Furnell (Plymouth University, United Kingdom) as a Program Co-Chairs. ICISSP 2017 will have invited keynote speakers, who are internationally recognized experts in their areas: Elisa Bertino (Purdue University, United States), Nancy Cam-Winget (Cisco Systems, United States) and Bart Preneel (K.U.Leuven ESAT/COSIC, Belgium).

All accepted papers will be published in the conference proceedings, under an ISBN reference, on paper and on CD-ROM support.

Google investe na segurança do Drive

A Google vai investir 900 mil euros em projetos de investigação com vista a melhorarem a segurança da plataforma Drive. A empresa tem um programa de bolsas de investigação na área de segurança e também premeia com cerca de 18 mil euros quem descobrir um problema importante nos seus produtos.

«Estamos gratos pelos esforços que os bolseiros têm feito para manter seguro o Google Drive, por isso vamos financiar ainda mais bolsas para investigação de segurança independente. Manter os ficheiros seguros no Google Drive é super importante», anunciou o gestor do Google Drive, Kevin Nelson, no blogue dedicado à plataforma.

A empresa utiliza centros de dados que considera seguros para armazenar fotos, vídeos e outros documentos mas entende que são as pessoas que melhor podem garantir elevados níveis de segurança.

De recordar que as questões de segurança estiveram entre as principais preocupações no ano de 2015, com o registo de vários incidentes, falhas e quebras de privacidade em todo o tipo de empresas, desde fotos pessoais de celebridades retiradas de contas iCloud, até à exposição de milhares de utilizadores do site de relações extra-conjugais Ashley Madison.

«É o Estado que deve garantir a confiança no mundo digital»

A APDSI realizou, a 29 de abril de 2015, a conferência intitulada “Certificação Digital: será que é para valer?”.

Na conferência, que decorreu sob a coordenação de Rafael António, responsável pelo Grupo de Informação Documental da APDSI, Joaquim Pedro Cardoso da Costa, Secretário de Estado para a Modernização Administrativa, disse que é preciso contrariar a tendência da sociedade que normalmente não confia na Administração Pública que, por seu lado, também “alimenta” desconfianças com outros organismos públicos, como os ministérios. «O Estado tem muito a fazer nessa matéria mesmo internamente», refere o Secretário de Estado que anunciou, na conferência da APDSI, os esforços que o Governo está a fazer para «desenvolver novas valências para uma maior utilização do cartão de cidadão» que garantam, acima de tudo, «segurança em todas as transações. É o Estado que deve garantir a confiança no mundo digital».

Segundo números oficiais trazidos à conferência por Joaquim Pedro Cardoso da Costa, mais de 80% da população utiliza Cartão do Cidadão mas apenas 1% dos cidadãos tira partido da valência eletrónica do documento. A chave móvel digital é, por isso, o próximo passo que o Estado pretende dar para aumentar esta percentagem, «tendo em conta a estonteante velocidade a que está desenvolver-se a evolução tecnológica», acrescenta o Secretário de Estado.

Rafael António lembrou que, hoje em dia, é o valor económico da informação que prevalece, defendendo, por isso, a desmaterialização como «o caminho a seguir mas antes é preciso garantir que há condições básicas porque se a Justiça não estiver adequada à desmaterialização, não vale a pena. A tecnologia de nada serve se a sociedade não aceitar o digital».

O professor Pedro Veiga, da Faculdade de Ciências da Universidade de Lisboa, esclareceu que a tecnologia se baseia em infraestruturas que são geridas pelos Governos ou empresas comerciais que permitem certificar documentos, portanto «há tecnologia, há enquadramento legislativo, vontade de mudar é que não há, talvez por ignorância, por desconhecimento».

Aproveitando a temática da certificação, o professor lembrou que a utilização dos computadores por parte do cidadão comum mexe com essa questão porque «qualquer utilizador responde sempre “sim” a tudo de cada software que instala».

Ao questionar a legalidade dos certificados digitais no Portugal de hoje, a APDSI contou, também, com o testemunho de Armando Dias Ramos, da Polícia Judiciária, que exemplificou como a prova digital, informação passível de ser obtida ou extraída de um dispositivo eletrónico ou rede de comunicações, já é aceite e tida em conta em processo penal. Contudo, a prova digital ainda está dependente de despacho do juiz do processo e ainda tem muitos aspetos a melhorar: «Para a prova digital ser valorizada tem de ser assegurada a integridade dos dados e a prova é frágil, manipulável, volátil, latente, dissimulável e dependente do tempo. Na lei do cibercrime a legislação é confusa e contraditória». Armando Dias Ramos conclui que, futuramente, a prova digital levanta problemas ao nível da territorialidade.

No seguimento do mesmo pensamento, a advogada Sofia Ribeiro Branco, sócia da Vieira de Almeida & Associados, alertou para o fato de a criminalidade informática ligada à utilização da Internet estar cada vez mais intensificada. «A prova deve ser valorada em Tribunal. É preciso ter cuidado na fase inicial dos processos, quando são pedidas as provas, porque a perícia tem de ter a garantia de que os dados não foram alterados».

Numa perspetiva internacional, Francisco Aranda, do Ministério do Interior espanhol, partilhou na conferência da APDSI como vai ser o novo Documento de Identificação Digital no país. O Documento Nacional de Identidad vai contemplar «novas medidas de segurança, um novo chip, terá capacidade biométrica e um canal seguro autenticado. Há também várias entidades que vão ter interação com o novo DNI», revelou Francisco Aranda. O atual DNI tem o prazo de cinco anos para se poder ajustar às alterações da tecnologia.

Ainda assim, o representante do Ministério do Interior espanhol não escondeu as preocupações que existem como «o aumento do número de ataques, por isso há um serviço pronto a operar 24 horas para dar apoio a eventuais problemas, com especialistas em diversas áreas da criminologia disponíveis, e está prevista a colaboração com organismos internacionais e Administração Pública com ligação à cloud».

Por oposição, Gonçalo Caseiro, da Imprensa Nacional Casa da Moeda (INCM), acredita que o fim dos arquivos físicos não está à vista. «O e-learning nunca vai substituir uma universidade. O papel nunca nos vai abandonar, existe ainda muito papel a circular porque, tipicamente, assinamos papéis. As estatísticas do consumo de papel mundialmente dão conta de que continua a aumentar», apresentou Gonçalo Caseiro. Uma das soluções apontadas para contrariar os problemas que o representante da INCM anteviu, foi o recurso à digitalização com OCR, o sistema de captura automática de dados que permite que os documentos possam ser indexados e pesquisados no futuro.

Francisco Barbedo, da Direção-Geral do Livro, dos Arquivos e das Bibliotecas, afirma que a desconfiança no digital só abrandará quando a desmaterialização for produzida num contexto com boas práticas de gestão documental que passam por saber deitar fora o que não faz falta. Em seu entender, as alterações legais também têm de ocorrer para haver o reconhecimento de repositórios digitais certificados: «Preservar tudo é uma ideia falaciosa, é preciso assegurar a legitimidade do conteúdo digital e, para isso, determinar com consciência o que queremos e podemos preservar. Temos que aprender a lidar com as opções sobre aquilo que vamos ter de deixar para trás».

O Gabinete Nacional de Segurança tem uma lista com todas as entidades autorizadas a fazer certificação digital, segundo Diogo Lacerda Machado, ex-Secretário de Estado da Justiça. «A determinação dos recursos adequados para assegurar maior proficiência deve ser o resultado e não o princípio de um conjunto de escolhas sobre os vários modos possíveis da atuação do Estado na Justiça. Uma nova política, também económica, para a Justiça supõe uma prévia reorientação e reescalonamento nas prioridades da aplicação dos recursos coletivos. Importa, por exemplo, escolher prosseguir no caminho de uma nova distribuição de competências entre o que é público e o que pode ser semipúblico e privado», conclui o antigo representante do Governo.

A conferência, intitulada “Certificação Digital: será que é para valer?”, realizou-se no Auditório da Escola Profissional Gustave Eiffel, Campus Académico do Lumiar, que também assegurou o serviço de coffe-break.

3.ª Conferência: Privacidade, Inovação e Internet

A APDSI vai realizar, no próximo dia 30 de janeiro, a terceira edição da conferência Privacidade, Inovação e Internet. A iniciativa realiza-se entre as 9h00 e as 13h00 na Sala 2 da Culturgest, em Lisboa.

A conferência, coordenada por José Gomes Almeida, pretende promover a discussão sobre como conjugar fatores com impacto nas nossas vidas, tanto os associados à proteção dos dados pessoais, como os relacionados com a adaptação aos desafios das novas soluções num contexto de estímulo e promoção da a economia.

É possível uma coexistência pacífica e equilibrada entre o direito e a proteção de dados, o desenvolvimento e a inovação? A regulamentação local para dar resposta aos desafios globais é eficiente? Appification: oportunidade ou desafio? Estas são algumas das questões que vão alimentar o espaço de debate com o objetivo de fomentar o debate público sobre este novo prisma da Internet no qual os alvos se encontram tanto no terreno técnico, como no jurídico, como no dos valores culturais e comportamentais.

Isto acontece, não só em resultado das soluções que vão sendo disponibilizadas para uso e exploração da Internet mas, principalmente, porque é cada vez mais aguda a consciência da população relativamente aos riscos a que estão expostos os seus valores associados à segurança e à estabilidade.

O programa está disponível no sítio na web da APDSI.

A inscrição na conferência é gratuita e pode fazê-la aqui.

APDSI apresenta guia sobre tratamento de dados pessoais que pretende «criar awareness às empresas e instituições»

A Associação para a Promoção e Desenvolvimento da Sociedade da Informação (APDSI) apresentou ontem um “Guia sobre tratamento de dados pessoais”, que pretende «chamar a atenção das empresas para a questão da proteção dos dados pessoais, para poderem desenvolver os seus negócios de uma maneira mais tranquila», afirma Magda Cocco, da VdA - Vieira de Almeida & Associados, que integra o Grupo de Segurança na Sociedade da Informação (GSSI), da APDSI. Magda Cocco esclareceu que esta ligação da VdA à APDSI se prende com a pertinência do tema que se torna cada vez mais importante no futuro dos clientes da associação de advogados, sendo, ao mesmo tempo, um dos propósitos da APDSI no âmbito da Sociedade da Informação. «Os dados pessoais são o petróleo deste século», compara Magda Cocco enquanto sublinha que os dados devem ser avaliados e tratados consoante a unidade de negócio de determinada empresa: «Os valores que os dados pessoais têm para a REN e para a EDP, por exemplo, são completamente diferentes».

Além das consequências jurídicas, a exploração indevida dos dados pessoais também tem consequências negativas para a imagem da empresa daí que no mundo actual as organizações precisem de focar cada vez mais a sua atenção sobre o assunto “privacidade”.

Tiago Azevedo, da REN, explica que na Rede Elétrica Nacional «não são usados os dados para nenhuma função» mas, socorrendo-se da sua experiência anterior num grupo de media, alerta para o facto de toda a informação ser explorável como unidade de negócio. «Quando damos informações sobre nós queremos acreditar que elas vão ser tratadas com o maior cuidado possível», afirma Tiago Azevedo, ao colocar-se do lado do consumidor. O responsável pelo tratamento de dados na REN garante que «podem cumprir-se as normas e tirar partido da informação ao mesmo tempo».

Virgílio Rocha, da EDP, reconhece que a empresa é detentora de um valioso conjunto de dados pessoais dos clientes mas que até terão um interesse mais aliciante para terceiros, já que, para a EDP, os aspectos legais sempre foram considerados: «Tomámos a decisão de acautelar todos os aspetos legais com muito cuidado, ao ponto de querermos saber onde ficavam os dados e foi importante perceber que os dados ficam nacomunidade europeia», afiançou Virgílio Rocha. O especialista lembrou, contudo, que a médio prazo os computadores inteligentes vão facilmente permitir saber quais os hábitos e rotinas de cada família.

Luís Neto Galvão, da SRS Advogados, afirma que o guia da APDSI «foca pontos fundamentais para uma empresa que esteja fora desta área de atuação e queira estar informada», lembrando que esta deveria ser uma função da Comissão Nacional de Proteção de Dados: «A lei de proteção de dados é hoje uma realidade omnipresente em empresas que tratam dados sensíveis. Este guia aborda a questão da proteção de dados de uma forma muito perceptível».

No debate complementar à apresentação do guia surgiu a necessidade de definição da expressão “dados pessoais”, que podem ser o e-mail, telefone e morada e os chamados “dados sensíveis” relativos a questões de saúde ou convicções filosóficas, por exemplo. A autorização de cedência de dados pessoais também é uma questão que preocupa os advogados, na medida em que demora muito tempo a obter-se: «Na maior parte dos casos é um dilema começar o tratamento dos dados o que pode levar à perda da oportunidade de negócio». As sanções criminais também estão previstas na lei, podendo variar entre os 30 mil euros e os 10 milhões de euros.

«O que o guia faz é alertar as empresas para diversas questões relacionadas com a privacidade», salientou José Gomes Almeida, da Direção da APDSI, e um dos autores do “Guia sobre tratamento de dados pessoais”. «A informação que vamos dando ao longo da vida, normalmente em forma digital, é recolhida, armazenada, tratada e explorada segundo ciclos de vida mais ou menos característicos. A qualquer uma das fases dos ciclos de vida estão associados riscos em que os agentes intervenientes nos processos existentes em cada fase de um ciclo têm responsabilidades específicas», mostrou José Gomes Almeida na sua apresentação, onde também deu o exemplo da Vodafone como uma das primeiras empresas a apresentar publicamente a sua preocupação nesta matéria.

Manuel Pedrosa de Barros, da ANACOM e também membro do GSSI, resumiu o debate lembrando a importância das questões de privacidade: «Qualquer entidade ao sentir-se mais exposta pode gerar um conflito. Todos têm direito a debater e a estar informados sobre o assunto».

A revisão da cultura de segurança enquanto tema importante para as linhas de orientação da Organização para a Cooperação e Desenvolvimento Económico (OCDE), foi a abordagem com que Manuel Pedrosa de Barros encerrou a sessão. «O tema traz assuntos como a defesa e o progresso científico nos quais a partilha de dados pessoais se aceita mas é bom por dúvidas sobre ela».

O guia, produzido pelo GSSI e apresentado no auditório da VdA Advogados, foi disponibilizado, em formato físico, a todos os presentes, além de estar disponível em versão e-book no sítio na web da APDSI.

Santa Casa aumenta segurança de apostadores online

A Santa Casa da Misericórdia de Lisboa diz querer aumentar a segurança dos apostadores online, por isso, passou a ser obrigatória a apresentação de NIB aos apostadores online.

Em causa estão resultados referentes ao ano de 2012, no qual, só até Setembro, ficaram por reclamar 6,4 milhões de euros de prémios do Euromilhões, por exemplo. A entidade gestora dos jogos sociais de sorte e azar em Portugal, transfere automaticamente, desde o dia 1 de julho, todos os prémios acima dos 150 euros para as contas bancárias dos apostadores online.

As novas regras dos Jogos Santa Casa são válidas há um mês para o Totoloto, o Joker, o Totobola, a Lotaria Popular, a Lotaria Clássica, o Euromilhões e a Raspadinha. Até aqui os apostadores online tinham 90 dias para verificar os boletins e reclamar os prémios, situação que se vai manter para todas os valores atribuídos abaixo dos 150 euros.

Será a América um Big Brother?

A revelação de que a Agência de Segurança norte americana tem um sistema que vigia todas as comunicações globais está a deixar o mundo em polvorosa com as questões da privacidade.

E-mails, chamadas telefónicas, conversas no Skype, fotografias e posts colocados nas redes sociais são tudo atividades de todos os cidadãos do mundo que estão a ser vigiadas por um sistema de informação, baseado em supercomputadores, usado, segundo o Governo americano, para controlar questões de segurança.

O PRISM (Planning Tool for Resource Integration, Synchronization, and Management) é um sistema descoberto por um espião, Edward Snowden, que agora procura asilo politico no Equador depois de ter aceite um cargo de consultor com o objetivo de desmascarar o PRISM.

A onda de protestos que surgiu depois das revelações é enorme e assume uma proporção cada vez maior, não só da parte de Governos de outros países como de utilizadores individuais e organizações de defesa da privacidade, mas também nos Estados Unidos os cidadãos se sentiram ameaçados por serem vigiados por uma agência que supostamente só deveria fazer vigilância externa. Mesmo as garantias dadas pela administração do presidente Barack Obama de que o programa foi descontinuado não acalmaram os ânimos, até porque continuam a ser contrariadas por novos dados.

Uma carta aberta, assinada pelo Diretor da NSA, procura explicar que todas as ações são legais. No entanto, até a Mozilla lançou uma campanha, designada Stop Watching Us, que junta várias organizações na defesa da privacidade e promove alguns conselhos sobre como proteger os dados usando diversos serviços online.

De recordar que já em 2006 a APDSI se mostrava preocupada com estas e outras questões relativas à questão da privacidade, que inspiraram mesmo dois dias de intenso debate e troca de ideias no Fórum da Arrábida. Recorde aqui a edição desse ano e descarregue o relatório gratuitamente.

Tecnologia do Dinheiro em época de crise do Euro

O nosso Sistema de Pagamentos (na verdade a face mais visivel da Tecnologia do Dinheiro para a Sociedade Portuguesa desde há mais de 25 anos) é um sistema maioritariamnente baseado em cartões de plástico, agora com chip, utilizando a rede SIBS, (antes rede Multibanco).
Nasceu,cresceu,evoluiu e lá vai fazendo o seu percurso de vida em base serena, com a sua lógica de um bom Modelo de Negócio, utilizando uma tecnologia tradicional e segura, operada por um grupo de profissionais dedicados e garantindo uma grande confiança por parte dos utilizadores diários.
E,principalmente, com a boa actuação tecnológica dos Bancos Portugueses que funcionam bem como bancos comerciais, como banca de proximidade com clientes satisfeitos (Tem dias ...).
Entretanto, enquanto esta tecnologia do dinheiro tem sido um nosso ponto de orgulho nacional, o mundo vai mudando (e a Europa tambem...)neste dominio mas não só.
E ainda que relativamente slow, esta mudança, com o tema da crise a alterar algum do caminho traçado, vai certamente acelerar no pós crise e tambem naturalmente no campo da tecnologia do dinheiro.Como sempre acontece, mesmo que de uma forma um pouco diferente da esperada.
Assim a crise financeira talvez até dê lugar ao FMI europeu.Talvez consolide a SEPA (single euro payments area) e reforce o principio humorístico "tecnologias há muitas seus palermas".Seriedade na sua utilização é que não.

Logo, porque me parece que o tema "Tecnologia do Dinheiro em sentido lato" em Portugal (mas não só, como a crise do Euro evidencia), é um tema que deverá ser discutido na directa relação com a util desmaterialização das transações financeiras e do combate à economia paralela (ainda está o Programa PRODIGI em execução?)em época de PEC e sem perder a necessidade de modernização segura (e não monopolista mesmo que temporariamente), o "Sistema Multibanco" tambem terá de mudará (ou talvez não dirão alguns sábios dos que sabem sempre tudo).
E tal como acontecerá com o Banco de Portugal, a mais curto prazo. Por "cause" evidente.
É claro que pode sempre fazer-se como a Coca Cola fez quando lançou com a Nestlé o Nestea.Aliar-se.Mas sempre e só no negócio das bebidas...ou tambem no do dinheiro (sob qualquer forma, para comprar bebidas?
A questão aqui está em saber se há ou não novo paradigma em aberto para cross production e cross selling, com novas tecnologia do dinheiro em sentido lato.Como bem viu o criativo dono do grupo Virgin noutras áreas ligadas à tecnologia do dinheiro.

Mas como e porquê, é que é a grande questão!E é também a razão porque aqui a coloco, com justificação simples: o comportamento dos clientes vindouros e actuais (pessoas,familias,empresas num contexto Euro cheio de problemas)face a um "cartão bancário", já não estarão para grandes " temas de chip ou não chip", máquina ou não máquina", mas para outra formas tecnológicas seguras de "receber ou pagar" em que o controlo interactivo do processo "seja tão natural como a sua sede".E isso até vai aparecendo.

As alterações para os pagamentos, por exemplo, que ainda estão demasiado no dinheiro vivo, exactamente como eram para os nossos pais vão ou não mudar?
E esta crise poderá criar condições para repensar bem o tema?
Ou só depois de o Euro estabilizar se pode pensar bem no tema?
E como ultrapassar muitas das utilizações tradicionais dos cartões financeiros / bancários, como o que já está a acontecer no campo dos social media systems?

Aqui deixo link para artigo da revista Wired, para lançar o debate (para simples cidadãos que pagam e por vezes não recebem) e que se orgulham, dos êxitos portugueses (como o do sistema Multibanco) mesmo que sejam por vezes mais "rosé " do que puro tinto ou branco na SICSS.
E, no caso Europeu, face à necessidade de salvação do Euro, para já, como dizia o saudos Vasco Santana o " tema é politicamente palheto".
Mas será "carrascão" tecnológicamente falando?

http://www.wired.com/magazine/2010/02/ff_futureofmoney/

FVRoxo

Free Information Society

Comunicar não é um tema fácil.
É como sorir.Algo muito diferente de gargalhar.
Comunicar, particularmete na SICSS, tem muito de educar as novas gerações, sobre as mudanças que as velhas gerações foram introduzindo e os problemas de mudança que as "velhas" instituições enfrentam, em especial em tempos de crise.
Vem esta introdução a propósito de um tema actual:
Muito do que se tem passado com o Sistema financeiro Internacional no pós susto, prova, para além de tudo, que este sistema comunica deficientemente (em particular em Portugal para o caso que me interessa evidenciar).

Neste quadro, deixo um exemplo que evidencia como o que é simples está para ser feito, mas alguns vão fazendo.
E em Portugal poderia e deveria ser seguido.

Federal Reserve Releases Propaganda Video to Explains What it Does to Kids
http://www.youtube.com/watch?v=Kj9-kRv0e6s

Desde Setembro de 2008 que o Sistema Finaceiro Portugues tem provado que resistiu bem à crise internacional.
Os únicos "bicos de obra" são conhecidos.
No meio de todos os problemas, assistimos a tentativas várias de "descridibilização dessa Grande Instituição que é o Banco de Portugal", acusado de, apesar dos seus mais de 1000 funcionários, não ter sido eficaz nalgumas das suas tarefas de supervisão.E comunicando, para esclarecer, que há comunicação e há confusão, quando se quer deturpar a comunicação.
Entristeceu-me tudo isto, em especial pela dimensão política de "ataque" ao Governador (que considero não actuou bem), mas sobretudo, entristeceu-me pensar que os nossos jovens, grandes utilizadores das TIC, poderiam a estar a ser influenciados mais do que informados, sobre o interesse nacional de ter Instituições Prestigiadas como o Banco de Portugal que o é e tem de continuar a ser no contexto da Eurolandia.
Daí este meu post.
Comunicar coisas simples para publicos complexos (as novas gerações) é um tema free of charges na SICSS.
Mas obrigatório não falhar!!
A Comunicação das Empresas Financeiras é sobretudo publicidade encantadora.Falham muito na explicação dos seus "lucros" (ainda bem que os têm)
A Comunicação do Banco Portugal tem sido centrada sobretudo no papel do Governador.Falha na explicação do seu papel no contexto nacional e internacional das economias de moeda e crédito.
A Comunicação de um Sistema Financeiro tem de ser um mix de Bom Senso, Descrição e Educação das várias gerações.
Com o apoio das tecnologias de comunicação e informação.
E nem é necessário Banda Larga para isto.
Basta Larga Visão e estratégia KISS(keep it simple stupid.
Até porque é (quase) free.

Dia da Protecção de Dados (28 Janeiro de 2010)

4th DATA PROTECTION DAY (28 JANUARY 2010)

Uma iniciativa do Concelho Europeu com o apoio do comissão Europeia sobre a protecção de dados.

http://www.coe.int/t/e/legal_affairs/legal_co-operation/data_protection/Default_DP_Day_en.asp#TopOfPage

Onde estão os eventos Portugueses, o que se faz?
PS. onde está o Wally (bandeira Portuguesa)

Luis Manuel Santos

Mutibanco e segurança

Já ouviu falar do "LAÇO LIBANÊS" nas ATM's?
Aqui estão as provas do aspecto real do dito acessório.
Sempre que vir uma ATM com este aspecto (ver foto) não introduza o seu cartão e alerte as autoridades.

O que acontece é o seguinte:
Na situação da 1.ª foto, a pessoa insere o cartão, marca o código e o cartão fica preso, o que faz com que a pessoa fique aborrecida e abandona o local e nem sempre telefona para o banco a pedir a anulação do cartão, o que acontece depois é que chega um "artista" tira a "caixa" e o Multibanco fica com o aspecto normal (foto da direita) e o "artista" fica com acesso ao código do cartão da pessoa, podendo para isso fazer levantamentos do cartão da própria pessoa, até a pessoa anular o cartão."

A Segurança da Informação na Sociedade da Informação (Portuguesa)

Gostaria de comentar/debater convosco, alguns pontos que me parecem curiosos numa perspectiva da Segurança da Informação na Sociedade da Informação Portuguesa, tendo com base o último estudo Global Information Security 2010 (pwcsurvey2010_report.pdf) realizado em conjunto pelas revistas CSO e CIO em parceria com a PwC:

Uma das principais conclusões do estudo, refere que a actual crise, obrigou as empresas a fazer menos investimentos na generalidade. Mas, (felizmente) os orçamentos das empresas dedicados à segurança mantêm-se estáveis e no topo da lista das preocupações, nomeadamente, os investimentos para a continuidade do negócio (BC) e Compliance. (Finding/Figure #1).
Será que este cenário também se aplica às empresas portuguesas?
ou a crise em Portugal teve outras repercussões?

É conhecida, a diferença de importância que a Gestão e os gestores de TI (CIO) atribuem na tomada de decisão quanto às questões sobre a Segurança da Informação. No entanto, esta situação parece estar a convergir no mesmo sentido, ou seja, começam a perceber que têm as mesmas preocupações e a pensar da mesma forma, alinhando estratégias. (Finding/Figure #5 and #6)
Para esta mudança, terá contribuído a actual crise e a relevância da função de CISO (from 29% in 2008 to 44% this year) e o seu reconhecimento na hierarquia da empresa (74% vs. 65% India e 50% US). (Figure 14)?
Em Portugal, estas mudanças também se reflectem nas empresas?
Será que a função de CISO (Chief Information Security Officer) é reconhecida nas empresas portuguesas?

Acho este ponto particularmente interessante.
A América do Sul passou do final da tabela para o topo da tabela, em apenas dois anos, na preocupação com as praticas de Segurança da Informação, deixando a Europa em último, comparativamente com a Ásia e a América do Norte (Finding/Figure #12).
Para tal contribuíram, factores como a definição e importância da Segurança da informação pela Gestão (62% América do Norte vs. 38% Europa) e principalmente porque consideram como factor de liderança o “Client requirement” para justificar os investimentos, em contraste com a Europa que considera o factor “Legal or Regulatory requirement”.
Será que a Europa está a limitar-se a cumprir regulamentos e responsabilidades legais e a menosprezar o mais importante, a Segurança da Informação (da empresa ou do cliente)?

Estes pontos, revelam que a Segurança da Informação na Sociedade da Informação é bastante pertinente, principalmente, numa altura em que é necessário conter investimentos e alinhar estratégias, não descurando o mais importante: a Segurança da Informação. Pelo que, considero esta matéria bastante interessante para seer abordada futuramente por um GAN.

Por fim, este estudo lembra-me a minha dissertação de mestrado com o tema "Factores de Sucesso na Gestão de Segurança da Informação nas empresas Portuguesas" que debate esta problemática. (em http://tiny.cc/7jDks, 2008)

Luis Manuel Santos