En este artículo analizaremos la ley de ciberseguridad en Brasil, organismos y medidas de ciberseguridad.
Brasil está redoblando su arquitectura de ciberseguridad a medida que consolida su estatus como potencia emergente.
Aunque el crimen organizado es una de las principales amenazas en el ciberespacio brasileño, los recursos se concentran en soluciones más adecuadas a la situación de guerra particular. Se ha puesto menos énfasis en ampliar la capacidad de aplicación de la ley para identificar y responder al delito cibernético y la mala conducta digital relacionada.
Brasil ha desarrollado un enfoque desequilibrado de la ciberseguridad debido a la falta de una postura gubernamental unificada sobre problemas o datos confiables.
Si Brasil quiere reequilibrar su enfoque, necesita llenar el vacío de conocimiento. Como mínimo, los legisladores deben comprender mejor las estrategias, tácticas y recursos de los grupos de piratas informáticos y grupos de delitos cibernéticos, las formas en que el crimen tradicional está migrando en línea y las implicaciones de las nuevas tecnologías de vigilancia.
Los gobiernos también deben fomentar un debate amplio y desarrollar una estrategia de comunicación clara sobre los requisitos de seguridad cibernética y la forma que podrían adoptar.
También es necesario contar con estrategias mesuradas y eficaces para hacer frente a las ciberamenazas. Es fundamental mejorar la coordinación entre las fuerzas policiales estatales para predecir y responder mejor al delito cibernético. Si Brasil va a construir una estrategia de seguridad cibernética fuerte y efectiva, debe comenzar ahora.
▶ El secreto que nadie te ha contado sobre la ley de ciberseguridad en Argentina
Ley de ciberseguridad en Brasil
Brasil está desarrollando rápidamente una legislación nacional relacionada con Internet y el delito cibernético.
La Asamblea Nacional de Brasil está considerando actualmente más de 1.000 proyectos de ley relacionados con Internet.
Marco Civil
Marco Civil es la «Declaración de Derechos» de Internet de Brasil y el primero de su tipo en el mundo. Esta es una iniciativa que es muy popular en Brasil y ha recibido un fuerte apoyo de los usuarios de Internet en la etapa inicial de redacción.
Se desarrolló con la participación de todo el país.
Marco Civil estableció los principios fundamentales de Internet, incluida la libertad de expresión, la neutralidad de la red y la protección de la privacidad. Aprobado en abril de 2014, se espera que el proyecto de ley fortalezca y salvaguarde los derechos de los usuarios, ayudando así a combatir prácticas más nefastas que socavan los derechos de los usuarios.
Las empresas de telecomunicaciones han tratado de frustrar la neutralidad de la red limitando las protecciones legales. La segunda área de controversia de la Ley se refiere a la infracción de derechos de autor. Las industrias que se basan en la defensa de los derechos de autor exigen el derecho de exigir a los ISP que eliminen contenido ilegal sin una orden judicial.
Y a pesar de la oposición de las telecomunicaciones y industrias de derechos de autor, el Congreso actuó para preservar la neutralidad de la red e impedir la eliminación arbitraria de contenido. Brasil es actualmente líder mundial en solicitudes para eliminar contenido de Google.
Los datos de registro deben ser conservados por el ISP durante un año para que puedan ser revisados por las autoridades. Los proveedores de contenido pueden retener estos datos hasta por seis meses.
La Ley General de Protección de Datos Personales
La Ley General de Protección de Datos Personales de Brasil (Ley N° 13.709/2018, “LGPD”) promulgada el 14 de agosto de 2018. La LGPD se hizo bajo la Medida Transitoria 869/2018, mediante la cual se creó la Autoridad Nacional de Protección de Datos (ANPD).
Los términos relativos a la creación de la ANPD y del Comité Consultivo Brasileño de Privacidad y Protección de Datos entraron en vigor el 28 de diciembre de 2018. Sin embargo, la medida cautelar retrasa la aplicación de las restantes disposiciones de la LGPD hasta el 15 de agosto de 2020.
El propósito de esta regla es proteger los datos personales, que se definen como información sobre una persona física identificada o identificable.
Inspirándose en el modelo europeo de protección de datos, la LGPD también cuenta con normativa sobre violaciones de datos. El responsable del tratamiento deberá dar aviso a la ANPD ya los interesados de la ocurrencia de hechos que puedan, en un plazo razonable, generar riesgos o perjuicios relevantes para los interesados.
Guía de Referencia para la Protección de Infraestructuras Críticas de Información
En 2010 el Departamento de Seguridad de la Información y Comunicaciones publicó la Guía de Referencia para la Protección de Infraestructuras Críticas de Información y el Libro Verde de Seguridad Cibernética en Brasil.
La Estrategia Nacional de Seguridad de las Comunicaciones de Información y Seguridad Cibernética de la Administración Pública Federal ha tomado como base estos documentos.
Las Fuerzas Armadas brasileñas también discuten las preocupaciones sobre defensa cibernética en su Libro Blanco de Defensa Nacional 2012. Recientemente crearon un Comando de Defensa Cibernética formal y una Escuela Nacional de Defensa Cibernética, además del Centro para la Defensa Cibernética del Ejército (CDCiber).
Ley núm. 12737 sobre delitos cibernéticos
La ley reforma el Código Penal y tipifica los delitos cibernéticos. Según la regla, cualquiera que viole las contraseñas u obtenga datos privados y comerciales sin el consentimiento del titular de la cuenta será condenado a tres meses a dos años de prisión y multado.
Sin embargo, la ley se consideró insuficiente para disuadir a los delincuentes
Recientemente, una ley específica que trata sobre la privacidad en Internet y regula la retención de datos por parte de los proveedores de servicios de Internet está bajo consulta pública, pero aún no se ha adoptado formalmente.
La conciencia pública sobre los problemas de seguridad cibernética en Brasil es generalmente baja y organizaciones como CGI.br y NIC.br han intentado abordar este problema con numerosos boletines y campañas
El sector privado es cada vez más consciente de la necesidad de protegerse mejor frente a las ciberamenazas.
Las empresas y los operadores de infraestructura crítica han implementado requisitos de privacidad para sus empleados y están desarrollando estándares de adquisición y tecnología.
Existe un gran mercado para las tecnologías de seguridad cibernética en el país. La academia ofrece muchas oportunidades para la educación en seguridad cibernética con muchas universidades que ofrecen programas de maestría y doctorado.
Organismos
Caracterizaremos a las organizaciones responsables de la ciberseguridad y la Protección de datos.
Ciberseguridad
La Oficina para la Represión de la Delincuencia Cibernética de la Policía Federal es la principal entidad encargada de investigar los delitos cibernéticos y cuenta con un laboratorio de análisis forense digital. Algunos estados de Brasil también cuentan con equipos de fiscalía especializados.
Si bien el sector privado no está obligado a divulgar incidentes cibernéticos, la Oficina de Cumplimiento de Delitos Cibernéticos tiene relaciones de trabajo con las empresas.
Sus facultades van desde la investigación de delitos contra organismos públicos federales hasta infracciones con implicaciones interestatales e internacionales. La policía federal es un actor particularmente importante ya que la actividad delictiva siempre involucra a personas y tecnologías que abarcan múltiples estados y actores fuera de Brasil.
Está involucrado en la investigación de fraude electrónico (fraude de tarjetas de crédito y banca electrónica) y redes criminales que facilitan el abuso infantil en línea.
La Policía Federal pronto será responsable de abordar los casos no autorizados acceso a sistemas y redes de TI.
Brasil tiene muchos Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), que van desde entidades administradas por el gobierno hasta equipos académicos o del sector privado.
El Comité Gestor de Internet en Brasil (CGI.br) coordina todos los planes de servicios de Internet en Brasil.
El Centro de Información de la Red Brasileña (NIC.br) es responsable de implementar estas iniciativas.
El Equipo Nacional de Respuesta a Incidentes Informáticos de Brasil (CERT.BR) trabaja bajo la supervisión de CGI.br y NIC.br y tiene la tarea de coordinar y responder a incidentes, así como de realizar actividades de capacitación y divulgación.
El Departamento de Seguridad de Información y Comunicaciones de Brasil también mantiene un CSIRT, el CTIR.gov, que brinda servicios de respuesta a incidentes y recopilación de datos para la Administración Pública Federal.
Protección de datos
En materia de Protección de datos, las autoridades responsables son:
- Agencia Nacional de Telecomunicaciones (ANATEL) para asuntos de protección de datos relacionados con los servicios de telecomunicaciones,
- Secretaría Nacional de Protección al Consumidor (SENACON) para la protección de los datos personales de los consumidores y
- Consejo Administrativo de Defensa Económica (CADE) para asuntos de protección de datos que pueden socavar los esfuerzos antimonopolio.
Además de estos órganos administrativos, los fiscales también son responsables de investigar violaciones de datos e iniciar procedimientos contra monitores o procesadores.
Cuando entre en vigor la LGPD, el principal órgano de gobierno será la ANPD, organismo directamente vinculado al Presidente de la República, al que se le otorga independencia técnica.
La ANPD no tiene la autoridad para investigar a los monitores o contratistas, sino que solicita información a través de procedimientos administrativos. También será responsable de imponer sanciones a las entidades infractoras.
- NG911: Transformando la Coordinación de Emergencias Urbanas en la Era Digital
- Impacto del IoT en la Ciberseguridad Empresarial: Desafíos y Soluciones
- LTE Privados: La Solución Ideal para Comunicaciones de Alta Disponibilidad
- Innovación en Seguridad: Drones para el Control de Acceso en Grandes Instalaciones
- Guía Completa sobre Sistemas de Rociadores Automáticos para Edificios Comerciales: Seguridad y Eficiencia
Medidas de ciberseguridad
Cuando se aplica la LGPD, los procesadores de datos deben tomar medidas de seguridad para proteger las bases de datos e implementar un plan de gobierno de la privacidad que establezca políticas y salvaguardas apropiadas basadas en un proceso de evaluación sistemático de los impactos y riesgos de la privacidad.
La planificación de respuesta a incidentes se recomienda como una buena práctica según la LGPD.
No existen requisitos legales para el nombramiento de un jefe de seguridad de la información. Esta medida puede ser importante para algunas entidades, dependiendo de la naturaleza de sus actividades. Pero podría ser demasiado oneroso para otros.
No existen requisitos legales que involucren la participación del directorio en asuntos de seguridad de la información. Sin embargo, se recomienda encarecidamente dicha participación como una buena práctica de la que dependerá el éxito de cualquier política interna en la materia.
Tampoco existen requisitos legales para las medidas de precaución, como evaluaciones internas de riesgos, análisis de vulnerabilidades o pruebas de penetración. La LGPD puede ver estas medidas como una buena práctica y puede reducir el valor final de las multas impuestas a los controladores/procesadores en el futuro.
No existen requisitos legales para la diligencia debida, la supervisión y la supervisión de los proveedores de servicios. Sin embargo, los procesadores de datos deben esforzarse por evitar reclamos por negligencia grave en caso de una violación de la seguridad.
La LGPD cree que capacitar a los empleados es una buena práctica y puede reducir el valor final de las multas en el futuro.
Ni la legislación vigente ni siquiera la LGPD permiten o prohíben específicamente la vigilancia de las redes de ciberseguridad. Sin embargo, las empresas suelen utilizar herramientas de seguimiento.
¿Qué opina sobre la ley de ciberseguridad en Brasil?