Sobre AP2SI

Associação Portuguesa para a Promoção da Segurança da Informação

2022: O ano em revista

2022 marcou o início do retorno à normalidade da sociedade portuguesa e do mundo em geral desde o início da pandemia COVID-19 em 2020. O ano passado marcou também o 10º aniversário da Associação, criada em 2012 e que conta agora com mais de uma centena de associados individuais.

Na nossa área de intervenção, o ano de 2022 foi marcado pelas várias notícias relacionadas com ciberataques, falhas de segurança e fugas de informação em diversas instituições portuguesas o que criou bastante visibilidade sobre os temas cibersegurança, segurança da informação e privacidade nos órgãos de comunicação social e na sociedade em geral. Phishing, ransomware e sensibilização são palavras que estão cada vez mais presentes no léxico dos cidadãos portugueses.

Neste clima de incerteza, alarmismo e algum receio gerado pelos meios de comunicação social e alguns comentadores, a AP2SI e os seus associados mantiveram a seriedade e objectividade nos comentários que partilharam com o público e continuamos a estar envolvidos em várias iniciativas de promoção do tema da Segurança da Informação, entre as quais gostaríamos de destacar as seguintes:

Em Janeiro, tivemos uma edição especial da Confraria com o convidado especial Paulo Veríssimo que nos falou, entre outros temas, sobre computação resiliente como resposta aos desafios que nos esperam no futuro.

Em Fevereiro, dedicámos uma Confraria ao tema da cibersegurança na saúde com as convidadas Ana Ferreira e Marie Moe, que nos trouxeram as apresentações “eHealth vs eBanking: The trust breaking points” e “A Man-in-the-Middle of my Heart Attack“. Celebrámos também a Semana da Internet Mais Segura em parceria com a ANPRI com um webinar sobre os desafios da cibersegurança, apresentado pelo Jorge Pinto.

A Confraria de Março contou com a presença de Dinis Cruz, com uma apresentação dedicada ao tema da escalabilidade de clusters K8, e de Ryan Polk que apresentou a Global Encryption Coalition, organização que conta com a presença da AP2SI. A Mais Magazine convidou-nos para uma entrevista que foi publicada na edição deste mês, em conjunto com o Jornal Expresso. O nosso Associado Qualificado Pedro Inácio também deu a conhecer a AP2SI no 3º Jantar Debate ‘Cibersegurança’ realizado no Fundão, promovido pela Associação Empresarial da Beira Baixa.

Em Abril a Confraria contou com um fantástico painel sobre cibersegurança e empreendedorismo com a presença de vários empreendedores em Portugal. Contámos com os nossos associados Pedro Borges, Nuno Loureiro e Flávio Shiga, bem como os convidados Pedro Fortuna e Rui Shantilal numa conversa inspiradora que teve a moderação do Celso Martinho. Ainda neste mês estivemos na 19 edição da Pós-Graduação de Gestão e Direcção de Segurança da Universidade Autónoma de Lisboa a leccionar o módulo “Segurança da Informação – Desafios para o Director de Segurança”, com o nosso parceiro ADSP.

Ainda em Abril a AP2SI respondeu ao convite da newDataMagazine e o Jorge Pinto assumiu a Direcção da revista número 13, que contou com vários artigos dos nossos associados, nomeadamente André Garrido, com “A velocidade não é inimiga da perfeição“; Bruno Morisson e Cláudio André, com “O que é Penetration Testing?“; “O elo mais forte” de Carla Bouça; “Disquetes, cibersegurança e proteção de dados pessoais” de Miguel Gonçalves e César Ribeiro; e “Encriptação” por Gonçalo Hermenegildo. Convidámos também a Raquel Porciúncula a escrever um artigo dedicado à nova versão da ISO27002.

Em Maio, o Carlos Serrão assumiu a Direcção do número 14 da newDataMagazine, onde também assina o artigo “Garantir a segurança das aplicações web com o OWASP Top 10“. O Jorge Pinto também participou com um artigo dedicado à iniciativa do Associado Qualificado AP2SI.

Ainda neste mês de Maio tivemos também o evento Confraria – Conversas Inseguras, organizado em conjunto com a APDPO dedicado ao tema Cibersegurança e Privacidade. Contámos com a presença de Inês Oliveira, presidente da APDPO, Jessica Maranny, nossa associada, e os convidados João Gabriel e Vitorino Gouveia. O painel teve a moderação do nosso associado Miguel Gonçalves. Ainda neste mês o Jorge Pinto apresentou o webinar “BYOD e os dispositivos móveis” englobado no programa “Protege o teu campus” da Metared. Também celebrámos o dia internacional da mulher com uma entrevista a duas das nossas associadas – a Ana Respício e a Sílvia Cardoso.

Durante o mês de Junho, o Paulo Morgado esteve presente no 1º Congresso da Secção Regional Sul da Ordem dos Engenheiros Técnicos com a apresentação “Reconhecimento de competências em Segurança da Informação”. Ainda durante este mês colaborámos com o CERT.PT e a comunidade 0xOPOSEC para dar visibilidade ao trabalho dos profissionais portugueses na conferência C-Days, nomeadamente na organização da track de sessões técnicas da conferência. Ressalvamos também a participação no evento dos nossos associados Carlos Pires, Cláudio Gamboa, Cristina Almeida, Flávio Shiga, Miguel Pupo Correia, Ofélia Malheiros, Paulo Rosado, Pedro Inácio, e Tiago Mendo.

Também em Junho demos um passo importantíssimo para o reconhecimento dos profissionais de segurança da informação com a implementação da figura do Associado Qualificado, sendo esta a primeira iniciativa do género em Portugal na área de Segurança da Informação. Ainda em Junho, demos a conhecer ao público a Posição da Associação relativa a atividades de monitorização dos cidadãos em contexto do ciberespaço e apoiamos a posição da EDRI relativa à proposta de lei anti-CSAM avançada pela União Europeia.

Em Julho, estivemos, novamente com o Instituto Superior Técnico, a Universidade do Porto e o Centro Nacional de Cibersegurança na organização do Cyber Security Challenge PT para o apuramento da equipa portuguesa que representou as cores nacionais na edição europeia em Viena. Um enorme agradecimento aos nossos associados Pedro Adão e André Baptista por todo o esforço que colocaram nesta organização. Publicámos um artigo na IT Security intitulado “Os temas da segurança da informação, digital, informática, de computadores, e cibersegurança não são novos“, e outro na versão impressa do Jornal Expresso, ambos assinados pelo Jorge Pinto.

Em Setembro, estivemos em Viena, Áustria, a acompanhar a equipa portuguesa para o European Cyber Security Challenge, que conquistaria o 16° lugar, entre 28 equipas. Na primeira Confraria presencial desde há uns anos tivemos os nossos associados Paulo Rosado e Vítor Ventura a partilhar informação nas sessões “Cibersegurança e 5G” e “MagicRAT e os amigos vão com o Lazarus às compras”. A AP2SI aparece novamente mencionada pelo Pedro Inácio na sua apresentação “Cybersecurity in the Remote Work Era” realizada no contexto dos webinars OSIRIS (Open Social Innovation policies driven by co-creative Regional Innovation eco-systemS (OSIRIS) Project).

Em Outubro, estivemos englobados no Mês da Cibersegurança com uma deslocação a Óbidos onde participámos no Festival Literário Internacional de Óbidos, na mesa “Vidas Binárias – As Biografias não autorizadas dos Metadados” com o Jorge Pinto juntamente com Mário Antunes, professor do Instituto Politécnico de Leiria, o moderador Miguel Silvestre, da organização do FOLIO. O David Marques também esteve presente na Semana de Curso da Licenciatura em Gestão de Sistemas de Informação do Instituto Politécnico de Setúbal, onde falou sobre cibersegurança como tema actual na sociedade e como opção profissional para quem inicia agora os seus estudos nas áreas de sistemas de informação. A Confraria de Outubro foi na Serra, organizada em conjunto com a iniciativa The Rock. Celebrámos ainda o 2º Global Encryption Day na defesa dos direitos dos cidadãos na Internet, nomeadamente a sua privacidade e liberdade de comunicação.

Em Novembro atribuímos o 6º Prémio de Mérito AP2SI ao vencedor André Brandão, estudante da Faculdade de Ciências da Universidade do Porto, em reconhecimento do seu trabalho “Prediction of Privacy Preferences with User Profiles: A Federated Learning Approach“. Também apoiámos e estivemos presentes na 3 edição da Cyber&Cloud Expo com o painel “A importância da gestão de topo na cibersegurança das organizações“, do qual participaram o David Marques e o Nuno Teodoro, com moderação do Jorge Pinto. Na Cyber&Cloud Expo também participaram como oradores os nossos associados David Sopas, Tiago Mendo, André Baptista, e Ofélia Malheiros. Ainda em Novembro, no âmbito da Global Encryption Coalition, a Associação juntou-se a mais 70 organizações e especialistas com o objectivo de alertar o governo britânico para as preocupações decorrentes da proposta de lei “Online Safety Bill”.

Novembro foi ainda marcado pelo regresso da BSidesLisbon, com um dia e meio de imersão em segurança da informação, desafios, networking e muitos reencontros. A BSidesLisbon contou com duas keynotes e um rol de fantásticos oradores. Veja aqui algumas entrevistas efectuadas durante a conferência bem como as várias apresentações.

Ainda em Novembro estivemos na 20 edição da Pós-Graduação de Direcção e Gestão de Segurança da Universidade Autónoma de Lisboa a leccionar o módulo “Segurança da Informação – Desafios para o Director de Segurança”, com o nosso parceiro ADSP. O nosso associado Pedro Inácio também mencionou a AP2SI na sua apresentação “Engenharia em Discussão – Segurança no Ciberespaço” realizada no Instituto de Telecomunicações, por altura da celebração dos seus 30 anos de atividade. Neste mês, colaborámos também para o Relatório Sociedade 2022 do Observatório de Cibersegurança (CNCS).

Dezembro foi um mês mais tranquilo em que trabalhámos essencialmente a vertente da sensibilização nas redes sociais.

Em termos de vantagens para [email protected]:

  • Firmámos, mais uma vez, um protocolo de apoio à conferência ICISSP em 2023 terá lugar de 16 a 18 de Fevereiro de 2023, em Lisboa. Os associados da AP2SI  usufruem de um desconto no registo para a conferência igual ao praticado para os membros do INSTICC.
  • Apoiámos, mais uma vez, a Pós-Graduação em Auditoria, Risco e Cibersegurança do nosso parceiro ISEG Executive Education. Como em edições anteriores, os associados da AP2SI tiveram condições preferenciais no acesso, bem como uma redução de 10% no valor da Pós-Graduação.
  • Apoiámos também a Pós-Graduação Cyber Security & Data Protection do nosso parceiro Rumos, onde os associados da AP2SI beneficiam de um desconto de 10% em formações relacionadas com cibersegurança e privacidade de dados.

Ainda em 2022 demos as boas-vindas à Huawei, Accenture, Integrity, Checkmarx, Probely, Visionware e Cyberawareness que se juntaram à S21SEC, Sincronideia, ClaraNet Portugal, NX Security, Axians, Siemens Portugal e Cipher como associados coletivos. Os nossos sinceros agradecimentos pelo apoio que nos dão!

Não poderíamos terminar este resumo sem uma nota especial de agradecimento aos membros do Júri do Prémio de Mérito AP2SI – os nossos associados Bruno Morisson, Carlos Serrão, Pedro Inácio, e Sérgio Nunes a quem se junta o convidado Paulo Moniz – que durante várias semanas leram e avaliaram as dissertações a concurso.

Resta-nos agradecer a [email protected] @s [email protected] que depositaram em nós a sua confiança durante este ano e fazemos votos de continuar a contar com, e a merecer, o vosso apoio em 2022. Seguimos para 2023 com confiança e estamos já a preparar diversas atividades que ocorrerão naquele que é o ano em que se comemora o 10° aniversário da BSidesLisbon.

A Direcção

11º Aniversário AP2SI

A AP2SI comemora hoje o seu 11º aniversário com muita gratidão e orgulho.

Durante estes 11 anos, ajudámos a construir uma comunidade dedicada ao tema da segurança da informação. Com o apoio e voluntariado de mais de uma centena de [email protected] individuais e 15 organizações, conseguimos amplificar a visibilidade do tema da segurança da informação no nosso país.

Em acções próprias e em conjunto com parceiros, temos trabalhado para que cidadãos, organizações e Estado melhorem sua postura de segurança, através de uma abordagem positiva, construtiva, integradora e aberta.

Embora haja ainda muito trabalho pela frente, estamos confiantes de que, juntos, continuaremos esta progressão rumo a uma sociedade mais informada, esclarecida e segura.

Muito obrigado a [email protected] que partilham connosco esta missão.

Um agradecimento especial aos Associados Colectivos que iniciam connosco mais um ano S21secSincronideia – Data Privacy and SecurityClaranet Portugal, NXSecurity, Axians PortugalSiemensCipher | A Prosegur CompanyHuaweiAccenture PortugalINTEGRITY part of DevoteamCheckmarxProbelyVisionWare – Sistemas de Informação SACyberawareness

70 organizações, especialistas em cibersegurança e representantes eleitos assinam carta aberta expressando os perigos da Lei de Segurança Online (Online Security Bill) do Reino Unido

Nota: O texto seguinte é uma tradução livre para português do texto que pode ser encontrado no sítio da Global Encryption Coalition aqui: https://www.globalencryption.org/2022/11/70-organizations-cyber-security-experts-and-elected-officials-sign-open-letter-expressing-dangers-of-the-uks-online-safety-bill/

Em 24 de Novembro de 2022, setenta organizações da sociedade civil, empresas, representantes eleitos e especialistas em cibersegurança, incluindo membros da Global Encryption Coalition, publicaram uma carta aberta ao primeiro-ministro britânico, Rishi Sunak, destacando as suas preocupações com a ameaça que a Online Security Bill do Reino Unido representa para a criptografia ponto a ponto.


Estimado Primeiro Ministro Sunak,

Com o aumento da frequência e sofisticação dos ciberataques [1] a confiança dos cidadãos e empresas do Reino Unido na criptografia ponto a ponto para se manterem seguros e protegidos nunca esteve tão alta.

A criptografia é fundamental para garantir que os utilizadores da Internet estejam protegidos online, para criar segurança económica através de uma economia pró-negócios do Reino Unido que possa enfrentar a crise do custo de vida, e para garantir a segurança nacional. Ao iniciar as suas novas funções como Primeiro Ministro, as organizações e empresas da sociedade civil abaixo assinadas, incluindo membros da Global Encryption Coalition, [2] instam-no e ao seu governo para garantir que a criptografia não seja enfraquecida.

Apesar de ter como intenção tornar o Reino Unido mais seguro, a Online Safety Bill contém actualmente cláusulas que enfraqueceriam a criptografia ponto a ponto em mensagens privadas. Conforme observado numa carta recente das principais organizações de direitos digitais do Reino Unido, o projecto-lei apresenta sérias ameaças à privacidade e à segurança no Reino Unido “ao criar um novo poder para obrigar os intermediários online a usar ‘tecnologias credenciadas’ para realizar actividades de verificação e vigilância em massa de todos os cidadãos em canais de mensagens privadas.” [3] Os principais especialistas em cibersegurança deixaram claro que mesmo a visualização de mensagens, erroneamente citada como segura e eficaz por seus proponentes, na verdade “cria sérios riscos de segurança e privacidade para toda a sociedade, ao passo que o apoio que pode fornecer para a aplicação da lei é, na melhor das hipóteses, problemático”. [4] 

Enfraquecer as protecções para criptografia ponto a ponto tornaria empresas e indivíduos do Reino Unido menos seguros online, incluindo os mesmos grupos que a Online Security Bill pretende proteger. Além disso, como o direito à privacidade e o direito à liberdade de expressão estão interligados, essas propostas prejudicariam a liberdade de expressão, uma característica fundamental das sociedades livres que diferenciam o Reino Unido de agressores que usam a opressão e a coerção para atingir os seus objectivos.

As empresas do Reino Unido terão menos protecção para seus fluxos de dados do que suas contra-partes nos Estados Unidos ou na União Europeia, deixando-as mais susceptíveis a ciberataques e ao roubo de propriedade intelectual. As empresas digitais do Reino Unido também enfrentarão novos desafios nos mercados estrangeiros. Quando a Austrália aprovou uma lei semelhante minando a criptografia ponto a ponto em 2018, a indústria digital australiana perdeu cerca de mil milhões de dólares australianos em vendas actuais e previstas bem como em investimentos estrangeiros como resultado da diminuição da confiança nos seus produtos. [5] Como a economia do Reino Unido enfrenta desafios significativos após o COVID-19 e os impactos da Guerra na Ucrânia, é fundamental que o projecto de lei não prejudique a liderança tecnológica e a segurança económica do Reino Unido. [6]

Minar a criptografia ponto a ponto ou introduzir obrigações de verificação de conteúdo para mensagens privadas também removerá as protecções para dados de cidadãos privados. Disponibilizar acessos (backdoors) para verificação de mensagens também abre a mesma possibilidade para cibercriminosos que tenham a intenção de aceder aos detalhes das nossas contas bancárias, mensagens privadas e até mesmo fotos que compartilhamos online em particular com familiares e amigos. Todos nós merecemos a protecção que a criptografia ponto a ponto oferece, mas os mais vulneráveis ​​da sociedade – crianças e membros de comunidades de risco – precisam dela acima de tudo.

Para a segurança económica, uma sociedade livre e para uma Internet o mais segura possível para os cidadãos do Reino Unido, pedimos-lhe a si e ao governo do Reino Unido que garantam que a Online Security Bill não prejudique a criptografia ponto a ponto. 

Signatários

Access Now

The Adam Smith Institute

Advocacy for Principled Action in Government 

Aspiration

Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI)

Betapersei, S.C.

Big Brother Watch

Blacknight Internet Solutions Ltd

Jon Callas, Director of Public Interest Technology, EFF

L. Jean Camp, Professor, Indiana University

Center for Data Innovation

Center for Democracy and Technology

Center for New Liberalism 

Centre for Policy Studies 

CIPPIC (Samuelson-Glushko Canadian Internet Policy and Public Interest Clinic)

Lord Tim Clement-Jones

Collaboration on International ICT Policy for East and Southern Africa

comun.al, Digital Resilience Lab

CRYPTO ID – BRAZIL

DNS Africa Media and Communications

Electric Coin Co. (creators and supporters of Zcash)

Electronic Frontier Foundation

Encrypt Uganda

Fight for the Future

Global Partners Digital

Markéta Gregorová, Member of the European Parliament

Index on Censorship

Dr. Philip Inglesant

Internet Freedom Foundation, India

Internet Society

Internet Society – Brazil Chapter

Internet Society Catalan Chapter

Internet Society Côte d’Ivoire Chapitre

Internet Society Colombia Chapter

Internet Society Ghana Chapter

Internet Society India Hyderabad Chapter

Internet Society Tanzania Chapter 

Internet Society Tchad chapter 

Internet Society Liberia Chapter 

Internet Society Niger Chapter

Internet Society Portugal Chapter

Internet Society UK England Chapter

Interpeer gUG (haftungsbeschraenkt)

JCA-NET(Japan)

Kijiji Yeetu

C. de Larrinaga

Matthew Lesh, Head of Public Policy, Institute of Economic Affairs

Liberty

MEGA

Alec Muffett, Security Researcher

New America’s Open Technology Institute 

Numex

OpenMedia

Open Rights Group

Organization for Identity and Cultural Development

Ranking Digital Rights

People’s Privacy Network

Chip Pitts

Sharon Polsky MAPP, President, Privacy & Access Council of Canada

Runa Sandvik, Founder, Granitt

Jamie Stone MP, Liberal Democrats

Superbloom

Surfshark

Susan Landau, Bridge Professor of Cyber Security and Policy, Tufts University 

Tech for Good Asia

The Tor Project

Tutanota

TwelveDot Incorporated

University of Bosaso

Phil Zimmermann

*Afiliações identificadas apenas para efeitos de identificação

[1] https://www.gov.uk/government/news/businesses-urged-to-boost-cyber-standards-as-new-data-reveals-nearly-a-third-of-firms-suffering-cyber -ataques-acerto-toda-semana

[2] Com mais de 300 membros distribuídos em todas as regiões do mundo, a Global Encryption Coalition promove e defende a criptografia em países-chave e fóruns multilaterais onde se encontre sob ameaça. Também apoia os esforços das empresas para oferecer serviços baseados em criptografia aos seus utilizadores. https://www.globalencryption.org/

[3] https://cloud.openrightsgroup.org/nextcloud/s/irGJD4GSRx3d4Mb

[4] https://arxiv.org/abs/2110.07450

[5] https://www.internetsociety.org/news/press-releases/2021/new-study-finds-australias-tola-law-poses-long-term-risks-to-australian-economy/

[6] https://www.gov.uk/government/news/uk-tech-sector-achieves-best-year-ever-as-success-feeds-cities-outside-london 

Divulgação: André Brandão é o vencedor da 6ª Edição do Prémio de Mérito AP2SI

André Brandão, estudante da Faculdade de Ciências da Universidade do Porto, é o vencedor da sexta edição do Prémio de Mérito AP2SI, com o trabalho “Prediction of Privacy Preferences with User Profiles: A Federated Learning Approach“.

O trabalho, orientado pelo Professor João P. Vilela, teve por principal objectivo desenvolver uma estratégia segura para aprender e prever as preferências de privacidade dos  utilizadores de acordo com o contexto de utilização dos seus smartphones, assegurando também que os dados de utilização usados na aprendizagem se mantém privados.

A sexta edição do Prémio de Mérito AP2SI contou com 4 trabalhos de alunos de 3 instituições de Ensino Superior. Além da Faculdade de Ciências da Universidade do Porto, estiveram também a concurso trabalhos de alunos do Instituto Superior Técnico e da Universidade da Beira Interior. Todos os trabalhos foram analisados pelo nosso júri nas vertentes de Qualidade Académica, Aplicabilidade Prática, Originalidade e Pertinência actual do tema.

Queremos dar os parabéns a todos os concorrentes cuja participação demonstra a boa recepção do desafio da AP2SI nas instituições de ensino superior em Portugal, e a abrangência do tema tocando em várias áreas do conhecimento como informática, gestão de empresas ou privacidade de dados, demonstrando que a segurança da informação é um tema cada vez mais transversal à sociedade.

Associação: Cyberawareness torna-se associado colectivo

A AP2SI dá as boas-vindas à Cyberawareness como associado colectivo apoiando-nos no trabalho de sensibilização para os temas da segurança da informação.

A Cyberawareness é uma empresa portuguesa especializada na área de Cyber Security Awareness, com foco na na implementação de projetos de sensibilização, comunicação e formação em cibersegurança apoiando as empresas nacionais e internacionais na gestão do risco humano para a cibersegurança. 

Conheça melhor a Cyberawareness.

AP2SI no Festival Literário Internacional de Óbidos

O FOLIO Tec foi uma das novidades da edição deste ano do FOLIO – Festival Literário Internacional de Óbidos, e que surgiu com a curadoria do Óbidos Parque – Parque Tecnológico de Óbidos. Fez parte do capítulo Folio Educa, e foi desenhado para refletir a ligação da tecnologia à literatura.

A AP2SI teve o prazer de participar na mesa “Vidas Binárias – As Biografias não autorizadas dos Metadados”, que decorreu quarta-feira, 12 de Outubro. Jorge Pinto, que representou a AP2SI, esteve em conversa com Mário Antunes, professor do Instituto Politécnico de Leiria, o moderador Miguel Silvestre perante uma plateia de jovens bastante interessados em saber mais sobre estes temas.

Veja aqui a resenha do evento.

Associação: Visionware torna-se associado colectivo

A AP2SI dá as boas-vindas à Visionware como associado colectivo apoiando-nos no trabalho de sensibilização para os temas da segurança da informação.

A VisionWare é uma empresa portuguesa, fundada em 2005 e especializada em segurança de informação: cibersegurança, TI, investigação forense, compliance, privacidade, formação e intelligence. Reconhecida como detentora de capacidade técnica relevante por instituições portuguesas e estrangeiras ligadas à justiça e com interesse no tema da segurança, a VisionWare tem estado envolvida em diversos projetos internacionais e apoiados pela UE.

Sob o mote ‘Challenging an Unsafe World’, a missão da VisionWare consiste em contribuir para o Sucesso dos seus clientes, em estreita relação de parceria, num mundo que é marcado pelas constantes inovações tecnológicas.

Conheça melhor a Visionware.

Associação: Probely torna-se associado colectivo

A AP2SI dá as boas-vindas à Probely como associado colectivo apoiando-nos no trabalho de sensibilização para os temas da segurança da informação.

A Probely encontra vulnerabilidades ou problemas de segurança em aplicações Web e APIs de forma totalmente automatizada, e fornece instruções de como resolver os problemas encontrados. É uma ferramenta que pode ser integrada no ciclo de desenvolvimento de software para que este possa ser testado na fase de desenvolvimento do mesmo, de forma autónoma e eficiente. A Probely capacita ambas as equipas de segurança e de desenvolvimento, a trabalharem em conjunto para garantir a produção de aplicações seguras. 

Conheça melhor a Probely.

Divulgação: Membro Qualificado AP2SI

No ano em que a Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI) comemora o seu 10º aniversário, orgulhamo-nos de contribuir para mais um dos nossos objectivos como organização e para a Segurança da Informação em Portugal.

Com a figura do Membro Qualificado, a Associação visa colmatar uma lacuna até agora existente no nosso país – o reconhecimento regulado de competências dos profissionais de Segurança da Informação em Portugal.

Em 2021, a Direcção da AP2SI documentou e aprovou o Regulamento Relativo à Qualificação de Associados onde estão identificados os critérios e procedimentos para a análise dos pedidos do estatuto de Membro Qualificado(1). Os resultados da primeira iteração do processo foram apresentados na Assembleia Geral de Março deste ano e, após a recolha de autorizações dos titulares, estão agora publicados na Lista de Membros Qualificados, que é actualizada regularmente.

A atribuição do Estatuto de Membro Qualificado segue um processo de reconhecimento de competências que toma em conta a experiência e senioridade dos Associados que devem comprovar deter pelo menos 5 anos de experiência profissional nos últimos 10 anos em, pelo menos, 2 dos seguintes domínios afectos à Segurança da Informação:

  • Segurança no Desenvolvimento de Aplicações
  • Segurança de Sistemas
  • Resposta a Incidentes de Segurança
  • Análise Forense e Engenharia Reversa
  • Criptografia
  • Gestão de Segurança da Informação
  • Gestão de Risco em Segurança da Informação
  • Segurança Física e Electrónica
  • Desenho e Arquitecturas de Segurança
  • Segurança de Redes e Telecomunicações
  • Auditoria de Sistemas de Informação
  • Privacidade e Protecção de Dados
  • Continuidade de Negócio

Para todos os efeitos deste processo, a AP2SI considera também como experiência profissional as actividades de docência e investigação académicas que se enquadrem nos domínios referidos no ponto anterior, reconhecendo o trabalho destes profissionais para o avanço da profissão.

Sabendo que a certificação profissional é algo relevante para estes profissionais, estes podem também identificar certificações que detenham para apreciação pela Direcção. Actualmente o Regulamento contempla uma equiparação com as seguintes três certificações: Certified Information System Security Professional (CISSP), com gestão do (ISC)2; Certified Information Systems Auditor (CISA) e Certified Information Security Manager (CISM), com gestão do ISACA. Esta decisão está sustentada no facto de qualquer uma destas certificações ter em comum com os requisitos para o Estatuto de Membro Qualificado pelo menos dois dos domínios mencionados acima, exigirem cinco anos de experiência profissional e serem acreditadas ISO/IEC 17024:2012.

Entendemos que o reconhecimento pelos pares é a melhor forma de qualificar os profissionais de qualquer actividade e esperamos que esta iniciativa da Associação sirva para, perante o mercado e a sociedade, prestar o reconhecimento devido do trabalho daqueles que, diariamente, trabalham para manter segura a nossa vida digital.

Podem requerer o estatuto de Membro Qualificado, através do preenchimento deste formulário, quaisquer associados que estejam em dia com as suas obrigações perante a Associação e que preencham os requisitos delineados no Regulamento em vigor.

(1) Também é aceite pela Associação a designação Associado Qualificado.

Posição AP2SI relativa a atividades de monitorização dos cidadãos em contexto do ciberespaço

Introdução

O avanço das Tecnologias de Informação e Comunicação nas últimas décadas trouxe, sem qualquer dúvida, tremendos benefícios à Sociedade, permitindo-nos agilizar a troca de conhecimento entre indivíduos, organizações, empresas e muitos outros grupos com interesses comuns utilizando a infraestrutura conhecida como ciberespaço.

No entanto, como qualquer tecnologia, o ciberespaço pode também ser permissivo a atividades hostis e utilizado para a prossecução de fins desalinhados e danosos para com as liberdades, direitos e garantias de cada um de nós.

Neste sentido, é necessário dotar as entidades que arduamente trabalham na manutenção da lei e segurança de competências, mecanismos e enquadramento jurídico que lhes permita realizar, também no ciberespaço, as suas funções de garantir a ordem, a segurança e a tranquilidade públicas, proteger pessoas e bens, prevenir e reprimir a criminalidade e contribuir para assegurar o normal funcionamento das instituições democráticas, o regular exercício dos direitos, liberdades e garantias fundamentais dos cidadãos e o respeito pela legalidade democrática. Estas funções devem exercer-se nos termos da Constituição e de um quadro legislativo adequado de forma a garantir condições para a proteção da vida e a integridade das pessoas, a paz pública e a ordem democrática.

Numa altura em que em Portugal, a par de vários países, se debatem alterações legislativas com potencial para colocar em causa os direitos dos cidadãos através do abuso de autoridade, vigilância massiva e indiscriminada ou criando condições que possam ser exploradas por atores hostis, a Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI) torna pública a nossa posição relativa a estes temas.

Posição

1. Apoiamos uma atuação política no sentido de apoiar o combate ao crime, seja qual for a forma que tome, os locais onde ocorra ou os meios que utilize.

2. Entendemos que a atuação das forças da lei e segurança aos desafios colocados pela utilização do ciberespaço pela sociedade deve reger-se pelos princípios constitucionais existentes atualmente e que as normas que na ordem jurídica portuguesa consagram e tutelam direitos, liberdades e garantias são plenamente aplicáveis no ciberespaço, tal como referido na Carta Portuguesa de Direitos Humanos na Era Digital. 

3. Entendemos que que num Estado de direito democrático, respeitador das normas e direitos fundamentais, não é admissível a utilização de mecanismos jurídicos, tecnológicos ou outros que: obriguem entidades fornecedoras de serviços a realizar recolha, análise ou guarda de dados ou metadados referentes à vida de qualquer cidadão, de forma massiva e indiscriminada, para fins de investigação criminal ou análise por serviços de informações sem que haja indícios fundados de preparação de atividade criminosa ou de perturbação séria ou violenta da ordem pública. Tal obrigatoriedade de recolha e análise de informações, de forma massiva e indiscriminada, não acontece na prestação de serviços no mundo físico, não devendo existir nos serviços online apenas porque tal é possível.

4. Opomo-nos à utilização de mecanismos jurídicos, tecnológicos ou outros que de alguma forma proíbam, quebrem ou visem enfraquecer os mecanismos de cifra utilizados na proteção das comunicações com o intuito de facilitar a sua interceção e análise. Este tipo de mecanismos apenas serviria para enfraquecer a confiança dos cidadãos nos serviços online podendo colocar em risco a sua própria segurança, uma vez que podem também ser explorados por atores maliciosos em benefício próprio.

5. Opomo-nos à utilização de mecanismos jurídicos, tecnológicos ou outros que visem a criação de acessos não documentados a software e hardware (vulgo backdoors) para uso exclusivo das forças da lei e segurança. Nos mesmos moldes do ponto 4, entendemos que não é possível obter garantias que este tipo de acessos não possa ser utilizado por actores maliciosos, sendo o risco para o cidadão mais elevado que quaisquer benefícios que possam advir deste tipo de medidas.

7. Aceitamos a utilização de mecanismos jurídicos, tecnológicos ou outros que autorizem a exploração de vulnerabilidades existentes em software ou hardware com o intuito de aceder a dados, comunicações, ou dispositivos de indivíduos, quando exista autorização ou validação da entidade judiciária competente. Entendemos que deve ser possível este tipo de actuação e que esta deve ocorrer com um nível de supervisão que impeça a utilização abusiva de tais mecanismos.

8. Condenamos de uma forma geral, a implementação de quaisquer medidas que visem o enfraquecimento ou aproveitamento das tecnologias de informação e comunicações de formas que violem ou possam colocar em causa os direitos constitucionais dos cidadãos, perante o Estado ou quaisquer outros actores. As soluções estudadas devem ser sujeitas a uma análise dos riscos que possam trazer para o cidadão e que o legislador deve suportar esta análise no conhecimento existente na sociedade.

9. Apoiamos um investimento público adequado por forma a dotar as forças da lei e serviços de informações, que arduamente trabalham para manter a nossa segurança, de ferramentas modernas e adequadas bem como das competências necessárias à realização do seu trabalho, sem que para tal seja necessário colocar em causa os direitos digitais dos cidadãos.

Conclusão

Os problemas do Século XXI necessitam de soluções do Século XXI.

Entendemos que é obrigação do Estado Português, na figura dos seus legisladores, assegurar um quadro legislativo adequado e proporcional. Para tal exortamos a um diálogo informado, multidisciplinar e inclusivo que leve a uma aproximação baseada no conhecimento de todas as partes interessadas. Apenas desta forma será possível encontrar um caminho transparente, adequado aos desafios modernos, respeitador dos direitos digitais e que assegure que o cidadão, o seu bem-estar e a sua segurança se mantêm o centro da questão.

Faça download do PDF aqui.