Divulgação: Os impactos da NIS2 em Portugal

A AP2SI tem a satisfação de apresentar um whitepaper sobre a Diretiva NIS2, resultado da colaboração de vários dos seus associados coletivos.

Este documento visa oferecer uma visão abrangente sobre a Diretiva e os seus possíveis impactos nas empresas portuguesas, considerando a entrada em vigor na União Europeia em 2024. Apesar da transposição para a legislação portuguesa ainda estar em curso, reconhecemos a importância de analisar, desde já, as suas implicações e partilhar mais informação na sociedade.

O documento, fruto do esforço conjunto de diversas empresas associadas da AP2SI, destaca a diversidade de perspetivas sobre como a NIS2 pode influenciar as operações empresariais em Portugal. Agradecemos aos Associados Colectivos Accenture PortugalArt ResiliaAxians PortugalCyberXDevoteam Cyber TrustDXC PortugalEthiack e Sincronideia pela colaboração neste projeto e esperamos que o whitepaper seja uma ferramenta útil para as empresas portuguesas no caminho rumo à conformidade com a Diretiva NIS2.

Mais informação e documento disponíveis aqui: https://ap2si.org/iniciativas-ap2si/os-impactos-dadiretiva-nis2-emportugal/

Divulgação: 10 anos de BSidesLisbon

A BSidesLisbon comemorou 10 anos de existência neste mês de Novembro.

Em 2013 a BSidesLisbon iniciava a sua jornada de forma modesta, no Fórum Picoas, juntando pouco mais de 100 profissionais e entusiastas de segurança da informação e cibersegurança para partilhar conhecimentos e experiências. Ao longo dos anos, o crescimento da conferência tornou-se evidente, culminando na última edição na Faculdade de Medicina Dentária, onde cerca de 550 participantes se reuniram para celebrar a uma década de inovação e partilha em segurança da informação e cibersegurança.

O percurso da BSidesLisbon ao longo desta última década não reflete apenas o aumento da consciencialização sobre a importância destas temáticas, mas também a consolidação do evento como a melhor conferência técnica de segurança em Portugal. O salto quantitativo de participantes não é apenas um indicador do crescimento numérico, refletindo também a qualidade das apresentações, workshops e atividades que se tornaram a marca registada do evento.

Hoje, a BSidesLisbon é reconhecida como uma das BSides de referência na Europa, destacando-se pela sua comunidade ativa, conteúdo técnico de excelência e pelo ambiente propício à colaboração e networking. Este marco de 10 anos é não apenas uma celebração da evolução da conferência, mas também um testemunho do papel que desempenha na promoção da segurança da informação e cibersegurança em Portugal e além-fronteiras, bem como do que é possível construir com o apoio da comunidade.

Esta trajetória de 10 anos da BSidesLisbon não seria possível sem a paixão e dedicação da comunidade de segurança da informação e cibersegurança que a sustentou ao longo dos anos:

  • os voluntários, da AP2SI e da comunidade, que dedicaram inúmeras horas para organizar um evento que cresceu exponencialmente em escala e qualidade,
  • os sponsors, que acreditando no propósito e impacto da conferência, forneceram apoio fundamental, contribuindo para a expansão e enriquecimento do evento, e
  • os oradores, especialistas nas suas áreas, que partilharam os seus conhecimentos, inspirando audiências e contribuindo para a reputação da BSidesLisbon como uma fonte importante de conhecimento.

No entanto, acima de tudo, é a comunidade de participantes, ávida por aprender, trocar experiências e construir redes de colaboração, que transformou a BSidesLisbon de um modesto encontro numa referência indispensável na agenda de todos os interessados na segurança digital.

Este décimo aniversário é, assim, uma celebração não só do evento em si, mas também do extraordinário espírito colaborativo que continua a impulsionar a Conferência.

Divulgação: Pedro Escaleira é o vencedor da 7ª Edição do Prémio de Mérito AP2SI

Pedro Escaleira, estudante da Universidade de Aveiro, é o vencedor da sétima edição do Prémio de Mérito AP2SI, com o trabalho “Proteção de Implementações Reais de 5G MEC“.

O trabalho, orientado pelos Professores Diogo Gomes e João Paulo Barraca, teve por principal objectivo propor uma nova arquitectura Multi-access Edge Computing (MEC)-Network Functions Virtualization (NFV), e um mecanismo de MTD as a Service (MTDaaS) de forma a proteger aplicações instanciadas num ambiente de Edge.

A sétima edição do Prémio de Mérito AP2SI contou com trabalhos de alunos de 3 instituições de Ensino Superior. Além da Universidade de Aveiro, estiveram também a concurso trabalhos de alunos do Instituto Superior Técnico e do ISCTE – Instituto Universitário de Lisboa. Todos os trabalhos foram analisados pelo nosso júri nas vertentes de Qualidade Académica, Aplicabilidade Prática, Originalidade e Pertinência actual do tema.

Queremos dar os parabéns a todos os concorrentes cuja participação demonstra a boa recepção do desafio da AP2SI nas instituições de ensino superior em Portugal, e a abrangência do tema tocando em várias áreas do conhecimento como informática, gestão de empresas ou privacidade de dados, demonstrando que a segurança da informação é um tema cada vez mais transversal à sociedade.

Pedro Escaleira – Vencedor da 7ª Edição do Prémio de Mérito AP2SI

Divulgação: AP2SI acompanha a Team PT no European Cybersecurity Challenge

A AP2SI esteve com a Team Portugal no European Cybersecurity Challenge 2023 (openECSC / ECSC) que decorreu entre os dias 24 e 26 de Outubro.

A competição deste ano levou a jogo equipas de 35 países, compostas por 10 jovens talentos captados através das iniciativas nacionais.

Os jovens talentos da Team Portugal, que pela primeira vez contou com um elemento feminino, foram selecionados no âmbito da iniciativa Cybersecurity Challenge PT, que resulta da cooperação entre o Centro Nacional de Cibersegurança, o Instituto Superior Técnico, a Universidade do Porto e a AP2SI.

Ao longo de três dias, as equipas de cada país resolveram desafios complexos relacionados com segurança informática, desde a segurança da web, segurança de dispositivos móveis, criptografia, engenharia reversa, engenharia social e análise forense, num formato de acumulação de pontos, bem como um dia dedicado a ataque – defesa, um modelo bastante dinâmico, em que as equipas lutam por manter ativos os serviços à sua guarda, ao mesmo tempo que atacam os serviços dos adversários.

A equipa contou ainda com a visita do Embaixador de Portugal na Noruega, Pedro Pessoa e Costa, na cerimónia de entrega de prémios.

Divulgação: AP2SI, D3 e ISOC em encontro com membros do Governo para discutir proposta de Regulamento da União Europeia

A Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI) esteve ontem, em conjunto com a Defesa dos Direitos Digitais (D3) e o capítulo português da Internet Society (ISOC PT) em reunião com a Exma. sra. Ministra da Justiça Catarina Sarmento e Castro, com o sr. Secretário de Estado para os Assuntos Europeus Tiago Antunes, bem como elementos das suas equipas.

A sessão decorreu de forma produtiva e tivemos oportunidade de discutir com os representantes do Governo as preocupações de todos em relação a alguns pontos específicos da proposta de Regulamento que a União Europeia está a preparar que visa estabelecer regras para prevenir e combater o abuso sexual de crianças, e alertar para os impactos da implementação, agora e no futuro, de alguns aspectos do Regulamento relacionados com o mundo online e a cifra de dados.

O clima de seriedade e preocupação com a proteção das crianças na Internet e no mundo físico esteve presente em toda a reunião e concordamos que esta não é, nem pode ser, uma discussão simplista entre ‘abuso sexual de crianças’ e ‘encriptação’.

Discutimos a melhor alocação de recursos dos Estados para esta temática, seja através de acções próprias seja através do apoio a Associações e outras instituições; reforçámos que devem ser fornecidos os meios de investigação necessários às forças policiais, para que possam fazer o seu trabalho, mantendo o respeito pelo devido processo e seguindo as regras já existentes; falámos de melhorar os processos educativos para que pais e encarregados de educação saibam educar as crianças e jovens para navegar em segurança na Internet.

Chamámos a atenção que é necessário trabalhar estes temas com seriedade e eficiência antes de chegarmos ao ponto de implementar um sistema de vigilância online em massa onde todos são considerados suspeitos, onde os Estados delegam em empresas privadas multinacionais o seu trabalho de segurança da sociedade, onde os nossos dispositivos verificam todas as nossas ações prontos para nos denunciar caso não cumpramos as regras implementadas por quem não conhecemos.

Chamámos também a atenção para a necessidade primária de aumentar os espaços seguros no mundo físico para que as crianças e jovens possam experimentar o mundo sem serem expostos a abusos. Nas suas casas, nas suas escolas, em instituições de acolhimento, onde se dão a grande maioria dos casos de abuso.

Agradecemos mais uma vez a disponibilidade da sra. Ministra da Justiça e do sr. Secretário de Estado para os Assuntos Europeus para discutirem estes temas com a Sociedade Civil e manifestamos o compromisso das organizações em continuar a trabalhar em conjunto com o governo, associações e instituições, e representantes da Sociedade Civil para alcançar melhores soluções.

Divulgação: André Brandão é o vencedor da 6ª Edição do Prémio de Mérito AP2SI

André Brandão, estudante da Faculdade de Ciências da Universidade do Porto, é o vencedor da sexta edição do Prémio de Mérito AP2SI, com o trabalho “Prediction of Privacy Preferences with User Profiles: A Federated Learning Approach“.

O trabalho, orientado pelo Professor João P. Vilela, teve por principal objectivo desenvolver uma estratégia segura para aprender e prever as preferências de privacidade dos  utilizadores de acordo com o contexto de utilização dos seus smartphones, assegurando também que os dados de utilização usados na aprendizagem se mantém privados.

A sexta edição do Prémio de Mérito AP2SI contou com 4 trabalhos de alunos de 3 instituições de Ensino Superior. Além da Faculdade de Ciências da Universidade do Porto, estiveram também a concurso trabalhos de alunos do Instituto Superior Técnico e da Universidade da Beira Interior. Todos os trabalhos foram analisados pelo nosso júri nas vertentes de Qualidade Académica, Aplicabilidade Prática, Originalidade e Pertinência actual do tema.

Queremos dar os parabéns a todos os concorrentes cuja participação demonstra a boa recepção do desafio da AP2SI nas instituições de ensino superior em Portugal, e a abrangência do tema tocando em várias áreas do conhecimento como informática, gestão de empresas ou privacidade de dados, demonstrando que a segurança da informação é um tema cada vez mais transversal à sociedade.

Divulgação: Membro Qualificado AP2SI

No ano em que a Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI) comemora o seu 10º aniversário, orgulhamo-nos de contribuir para mais um dos nossos objectivos como organização e para a Segurança da Informação em Portugal.

Com a figura do Membro Qualificado, a Associação visa colmatar uma lacuna até agora existente no nosso país – o reconhecimento regulado de competências dos profissionais de Segurança da Informação em Portugal.

Em 2021, a Direcção da AP2SI documentou e aprovou o Regulamento Relativo à Qualificação de Associados onde estão identificados os critérios e procedimentos para a análise dos pedidos do estatuto de Membro Qualificado(1). Os resultados da primeira iteração do processo foram apresentados na Assembleia Geral de Março deste ano e, após a recolha de autorizações dos titulares, estão agora publicados na Lista de Membros Qualificados, que é actualizada regularmente.

A atribuição do Estatuto de Membro Qualificado segue um processo de reconhecimento de competências que toma em conta a experiência e senioridade dos Associados que devem comprovar deter pelo menos 5 anos de experiência profissional nos últimos 10 anos em, pelo menos, 2 dos seguintes domínios afectos à Segurança da Informação:

  • Segurança no Desenvolvimento de Aplicações
  • Segurança de Sistemas
  • Resposta a Incidentes de Segurança
  • Análise Forense e Engenharia Reversa
  • Criptografia
  • Gestão de Segurança da Informação
  • Gestão de Risco em Segurança da Informação
  • Segurança Física e Electrónica
  • Desenho e Arquitecturas de Segurança
  • Segurança de Redes e Telecomunicações
  • Auditoria de Sistemas de Informação
  • Privacidade e Protecção de Dados
  • Continuidade de Negócio

Para todos os efeitos deste processo, a AP2SI considera também como experiência profissional as actividades de docência e investigação académicas que se enquadrem nos domínios referidos no ponto anterior, reconhecendo o trabalho destes profissionais para o avanço da profissão.

Sabendo que a certificação profissional é algo relevante para estes profissionais, estes podem também identificar certificações que detenham para apreciação pela Direcção. Actualmente o Regulamento contempla uma equiparação com as seguintes três certificações: Certified Information System Security Professional (CISSP), com gestão do (ISC)2; Certified Information Systems Auditor (CISA) e Certified Information Security Manager (CISM), com gestão do ISACA. Esta decisão está sustentada no facto de qualquer uma destas certificações ter em comum com os requisitos para o Estatuto de Membro Qualificado pelo menos dois dos domínios mencionados acima, exigirem cinco anos de experiência profissional e serem acreditadas ISO/IEC 17024:2012.

Entendemos que o reconhecimento pelos pares é a melhor forma de qualificar os profissionais de qualquer actividade e esperamos que esta iniciativa da Associação sirva para, perante o mercado e a sociedade, prestar o reconhecimento devido do trabalho daqueles que, diariamente, trabalham para manter segura a nossa vida digital.

Podem requerer o estatuto de Membro Qualificado, através do preenchimento deste formulário, quaisquer associados que estejam em dia com as suas obrigações perante a Associação e que preencham os requisitos delineados no Regulamento em vigor.

(1) Também é aceite pela Associação a designação Associado Qualificado.

Posição AP2SI relativa a atividades de monitorização dos cidadãos em contexto do ciberespaço

Introdução

O avanço das Tecnologias de Informação e Comunicação nas últimas décadas trouxe, sem qualquer dúvida, tremendos benefícios à Sociedade, permitindo-nos agilizar a troca de conhecimento entre indivíduos, organizações, empresas e muitos outros grupos com interesses comuns utilizando a infraestrutura conhecida como ciberespaço.

No entanto, como qualquer tecnologia, o ciberespaço pode também ser permissivo a atividades hostis e utilizado para a prossecução de fins desalinhados e danosos para com as liberdades, direitos e garantias de cada um de nós.

Neste sentido, é necessário dotar as entidades que arduamente trabalham na manutenção da lei e segurança de competências, mecanismos e enquadramento jurídico que lhes permita realizar, também no ciberespaço, as suas funções de garantir a ordem, a segurança e a tranquilidade públicas, proteger pessoas e bens, prevenir e reprimir a criminalidade e contribuir para assegurar o normal funcionamento das instituições democráticas, o regular exercício dos direitos, liberdades e garantias fundamentais dos cidadãos e o respeito pela legalidade democrática. Estas funções devem exercer-se nos termos da Constituição e de um quadro legislativo adequado de forma a garantir condições para a proteção da vida e a integridade das pessoas, a paz pública e a ordem democrática.

Numa altura em que em Portugal, a par de vários países, se debatem alterações legislativas com potencial para colocar em causa os direitos dos cidadãos através do abuso de autoridade, vigilância massiva e indiscriminada ou criando condições que possam ser exploradas por atores hostis, a Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI) torna pública a nossa posição relativa a estes temas.

Posição

1. Apoiamos uma atuação política no sentido de apoiar o combate ao crime, seja qual for a forma que tome, os locais onde ocorra ou os meios que utilize.

2. Entendemos que a atuação das forças da lei e segurança aos desafios colocados pela utilização do ciberespaço pela sociedade deve reger-se pelos princípios constitucionais existentes atualmente e que as normas que na ordem jurídica portuguesa consagram e tutelam direitos, liberdades e garantias são plenamente aplicáveis no ciberespaço, tal como referido na Carta Portuguesa de Direitos Humanos na Era Digital. 

3. Entendemos que que num Estado de direito democrático, respeitador das normas e direitos fundamentais, não é admissível a utilização de mecanismos jurídicos, tecnológicos ou outros que: obriguem entidades fornecedoras de serviços a realizar recolha, análise ou guarda de dados ou metadados referentes à vida de qualquer cidadão, de forma massiva e indiscriminada, para fins de investigação criminal ou análise por serviços de informações sem que haja indícios fundados de preparação de atividade criminosa ou de perturbação séria ou violenta da ordem pública. Tal obrigatoriedade de recolha e análise de informações, de forma massiva e indiscriminada, não acontece na prestação de serviços no mundo físico, não devendo existir nos serviços online apenas porque tal é possível.

4. Opomo-nos à utilização de mecanismos jurídicos, tecnológicos ou outros que de alguma forma proíbam, quebrem ou visem enfraquecer os mecanismos de cifra utilizados na proteção das comunicações com o intuito de facilitar a sua interceção e análise. Este tipo de mecanismos apenas serviria para enfraquecer a confiança dos cidadãos nos serviços online podendo colocar em risco a sua própria segurança, uma vez que podem também ser explorados por atores maliciosos em benefício próprio.

5. Opomo-nos à utilização de mecanismos jurídicos, tecnológicos ou outros que visem a criação de acessos não documentados a software e hardware (vulgo backdoors) para uso exclusivo das forças da lei e segurança. Nos mesmos moldes do ponto 4, entendemos que não é possível obter garantias que este tipo de acessos não possa ser utilizado por actores maliciosos, sendo o risco para o cidadão mais elevado que quaisquer benefícios que possam advir deste tipo de medidas.

7. Aceitamos a utilização de mecanismos jurídicos, tecnológicos ou outros que autorizem a exploração de vulnerabilidades existentes em software ou hardware com o intuito de aceder a dados, comunicações, ou dispositivos de indivíduos, quando exista autorização ou validação da entidade judiciária competente. Entendemos que deve ser possível este tipo de actuação e que esta deve ocorrer com um nível de supervisão que impeça a utilização abusiva de tais mecanismos.

8. Condenamos de uma forma geral, a implementação de quaisquer medidas que visem o enfraquecimento ou aproveitamento das tecnologias de informação e comunicações de formas que violem ou possam colocar em causa os direitos constitucionais dos cidadãos, perante o Estado ou quaisquer outros actores. As soluções estudadas devem ser sujeitas a uma análise dos riscos que possam trazer para o cidadão e que o legislador deve suportar esta análise no conhecimento existente na sociedade.

9. Apoiamos um investimento público adequado por forma a dotar as forças da lei e serviços de informações, que arduamente trabalham para manter a nossa segurança, de ferramentas modernas e adequadas bem como das competências necessárias à realização do seu trabalho, sem que para tal seja necessário colocar em causa os direitos digitais dos cidadãos.

Conclusão

Os problemas do Século XXI necessitam de soluções do Século XXI.

Entendemos que é obrigação do Estado Português, na figura dos seus legisladores, assegurar um quadro legislativo adequado e proporcional. Para tal exortamos a um diálogo informado, multidisciplinar e inclusivo que leve a uma aproximação baseada no conhecimento de todas as partes interessadas. Apenas desta forma será possível encontrar um caminho transparente, adequado aos desafios modernos, respeitador dos direitos digitais e que assegure que o cidadão, o seu bem-estar e a sua segurança se mantêm o centro da questão.

Faça download do PDF aqui.

Divulgação: Evento conjunto Confraria | Conversas Inseguras em Maio com painel sobre Privacidade e Cibersegurança

Nesta edição, online, especial das Conversas Inseguras e da Confraria vamos falar de Privacidade e Cibersegurança, na primeira pessoa, com um painel composto por quatro especialistas.

Nesta sessão irão partilhar connosco as suas experiências, desafios e opiniões sobre a relação entre Privacidade e Cibersegurança, de que modo as duas áreas concorrem para assegurar a proteção de dados pessoais, e qual o estado da arte em Portugal, 4 anos após a aplicação do Regulamento Geral de Proteção de Dados, num painel moderado pelo Miguel Goncalves, onde participarão a Inês Oliveira, Presidente da APDPO Portugal e a nossa associada Jéssica Maranny, Partner na B10SEC, a quem se juntam os convidados João Gabriel, Presidente da AEPD e Vitorino Gouveia, COO no XIS Group.

Junte-se a nós. Inscrições em https://confraria.eventbrite.co.uk.

Divulgação: Confraria de Abril com painel sobre Cibersegurança e Empreendedorismo

Nesta edição especial da Confraria vamos falar de empreendedorismo, na primeira pessoa, com um painel composto por cinco especialistas em segurança da informação e cibersegurança.

Confraria: Painel Cibersegurança e Empreendedorismo

Uma excelente oportunidade de conhecer o que é ser empreendedor nestas áreas no nosso país, num painel moderado pelo Celso Martinho, onde participarão os nossos associados Nuno Loureiro da Probely, Pedro Borges da LOQR, e Flávio Shiga da B10SEC, bem como os convidados Rui Shantilal da Integrity e Pedro Fortuna da JScrambler.

Nesta sessão irão partilhar connosco as suas experiências e desafios como fundadores de empresas em Portugal dedicadas a estes temas, o caminho que estão a percorrer para alcançar os seus objectivos bem como partilhar recomendações para quem esteja a iniciar o seu caminho no empreendedorismo.

Junte-se a nós. Inscrições em https://confraria.eventbrite.co.uk.