Brasil

Brasil está duplicando su arquitectura de ciberseguridad al tiempo que consolida su emergente estado de poder.

Aunque el crimen organizado es una de las principales amenazas para el ciberespacio brasileño, los recursos se centran en cambio en soluciones más adecuadas para el caso excepcional de la guerra. Hay menos énfasis en ampliar las capacidades de aplicación de la ley para identificar y responder al delito cibernético y la malversación digital relacionada.

Debido a la ausencia de una posición gubernamental unificada sobre el problema o los datos confiables, Brasil ha desarrollado un enfoque desequilibrado de la seguridad cibernética.

Si Brasil quiere reequilibrar su enfoque, necesita llenar los vacíos de conocimiento. Como mínimo, los encargados de formular políticas requieren una mejor comprensión de las estrategias, tácticas y recursos de piratas informáticos y grupos de delitos cibernéticos, las formas en que el crimen tradicional está migrando en línea y las implicaciones de las nuevas tecnologías de vigilancia.

El gobierno también debe alentar un debate amplio con una estrategia de comunicación clara sobre los requisitos de ciberseguridad y qué formas podría tomar esto.

También se necesitan estrategias medidas y eficientes para enfrentar las amenazas cibernéticas. Coordinación mejorada entre las fuerzas policiales estatales para anticipar y responder mejor al delito cibernético es esencial. Si Brasil va a construir una estrategia de seguridad cibernética robusta y efectiva, debe comenzar de inmediato.

Legislación

Brasil está diseñando rápidamente la legislación nacional relacionada con Internet y el delito cibernético.

Hay más de 1.000 Proyectos de ley relacionados con Internet actualmente en consideración por el Congreso Nacional de Brasil.

Marco civil

El Marco Civil es una «Declaración de Derechos» para Internet en Brasil y el primero de su tipo en el mundo. Es una iniciativa muy popular en Brasil y recibió apoyo significativo de los usuarios de Internet durante sus etapas iniciales de redacción. Fue desarrollado a través de una participación de todo el país.

El Marco Civil establece principios fundamentales para Internet, incluida la libertad de expresión, la neutralidad de la red y la protección de la privacidad. El proyecto de ley fue aprobado en abril de 2014 y se espera que fortalezca y conserve los derechos de los usuarios, lo que a su vez puede ayudar a contrarrestar prácticas más nefastas que socavan los derechos del usuario.

Las empresas de telecomunicaciones intentaron obstruir el principio de neutralidad de la red al tratar de limitar las protecciones legales. La segunda área controvertida del proyecto de ley se refiere a infracciones de derechos de autor. Las industrias que dependen del derecho de autor que se defiende exigieron el poder exigir a los ISP que eliminen contenido ilegal sin una orden judicial.

Y a pesar de la oposición de las telecomunicaciones y industrias de derechos de autor, el Congreso actuó para preservar la neutralidad de la red e impedir la eliminación arbitraria de contenido. Brasil es actualmente el líder mundial en solicitudes para eliminar contenido de Google.

Los ISP deben mantener los datos de registro durante un año para que puedan ser revisados por las autoridades. Los proveedores de contenido pueden conservar esos datos hasta seis meses.

La Ley General de Protección de Datos Personales

La Ley General de Protección de Datos Personales de Brasil (Ley No 13,709/2018, la ‘LGPD’) se promulgó el 14 de agosto de 2018. La LGPD se completó con la Medida Provisional 869/2018, por la que se creó la Autoridad Nacional de Protección de Datos (ANPD).

Los artículos sobre la creación de la ANPD y la Junta Consultiva Brasileña sobre Privacidad y Protección de Datos entraron en vigor el 28 de diciembre de 2018. Sin embargo, la Medida Provisional pospuso la aplicación de los Artículos restantes de la LGPD hasta el 15 de agosto de 2020.

La finalidad de esta norma es proteger los datos personales, que son definidos como información sobre una persona física identificada o identificable.

Muy inspirada en el modelo europeo de protección de datos, la LGPD también tiene disposiciones en caso de violación de datos. El controlador debe enviar la notificación al ANPD y a los interesados, informándoles sobre la ocurrencia del incidente que puede crear riesgos o daños relevantes para los interesados ​​en un período razonable.

Guía de Referencia para la Protección de Infraestructuras Críticas de Información

En 2010 el Departamento de Seguridad de la Información y Comunicaciones publicó la Guía de Referencia para la Protección de Infraestructuras Críticas de Información y el Libro Verde de Seguridad Cibernética en Brasil.

La Estrategia Nacional de Seguridad de las Comunicaciones de Información y Seguridad Cibernética de la Administración Pública Federal ha tomado como base estos documentos.

Las Fuerzas Armadas brasileñas también discuten las preocupaciones sobre defensa cibernética en su Libro Blanco de Defensa Nacional 2012. Recientemente crearon un Comando de Defensa Cibernética formal y una Escuela Nacional de Defensa Cibernética, además del Centro para la Defensa Cibernética del Ejército (CDCiber).

Ley núm. 12737 sobre delitos cibernéticos

Esta ley modifica el Código penal y tipifica los delitos cibernéticos. Según esta norma, las personas que violen las contraseñas u obtengan datos privados y comerciales sin el consentimiento del titular de la cuenta, serán condenadas a penas de entre tres meses y dos años de cárcel, además de abonar una multa.

Sin embargo esta ley se considera insuficiente para disuadir a los delincuentes.

Ha estado recientemente bajo consulta pública una ley específica para hacer frente a la privacidad en Internet y regular la conservación de datos por parte de los Proveedores de Servicios de Internet, pero no se ha adoptado formalmente.

La comprensión pública de los problemas de seguridad cibernética en Brasil es generalmente baja y organizaciones como el CGI.br y el NIC.br han tratado de abordarla mediante la emisión de numerosos boletines y campañas de sensibilización.

El sector privado está cada vez más informado acerca de la necesidad de tener una mejor protección contra las amenazas cibernéticas.

Las empresas y los operadores de infraestructuras críticas han implementado requisitos de privacidad para sus empleados y están desarrollando estándares de adquisiciones y tecnología.

En el país existe un importante mercado de tecnologías de ciberseguridad. La academia ofrece una gran cantidad de oportunidades para la educación en seguridad cibernética con varias universidades que tienen programas de maestría y doctorado.

Organismos

Diferenciaremos los organismos responsables en materia de ciberseguridad y en materia de Protección de datos.

Ciberseguridad

La Oficina para la Represión de la Delincuencia Cibernética de la Policía Federal es la principal entidad encargada de investigar los delitos cibernéticos y cuenta con un laboratorio forense digital. Algunos estados de Brasil también cuentan con equipos de enjuiciamiento especializados.

Aunque el sector privado no está obligado a revelar incidentes cibernéticos, la Oficina para la Represión de la Delincuencia Cibernética tiene una relación laboral con las empresas.

Sus competencias van desde la investigación de delitos contra instituciones públicas federales a infacciones con ramificaciones interestatales e internacionales. Dado que la criminalidad involucra invariablemente individuos y tecnologías que abarcan múltiples estados y actores más allá de Brasil, la Policía Federal es un actor operativo especialmente crítico.

Está involucrado en la investigación electrónica del fraude (banca electrónica y estafas de tarjetas de crédito) y redes criminales que promueven el abuso infantil en línea.

La Policía Federal pronto será responsable de abordar los casos no autorizados acceso a sistemas y redes de TI.

Brasil tiene varios de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), que van desde entidades administradas por el gobierno a equipos del sector privado o académicos.

El Comité Gestor de Internet en Brasil (CGI.br) tiene la función de coordinar todas las iniciativas de servicios de Internet en el Brasil.

El Centro de Información de la Red Brasileña (NIC.br) es el encargado de aplicar esas iniciativas.

El equipo Nacional de Respuesta a Incidentes Informáticos de Brasil (CERT.BR), que trabaja bajo la supervisión del CGI.br y el NIC.br, tiene la tarea de coordinar y dar respuesta a incidentes y realizar campañas de capacitación y concienciación.

El Departamento de Seguridad de Información y Comunicaciones de Brasil también mantiene un CSIRT, el CTIR.gov , que proporciona servicios de respuesta a incidentes y recopilación de datos para la Administración Pública Federal.

Protección de datos

En materia de Protección de datos, los organismos responsables son:

  • Agencia Nacional de Telecomunicaciones (ANATEL) para asuntos de protección de datos relacionados con los servicios de telecomunicaciones,
  • Secretaría Nacional de Protección al Consumidor (SENACON) para la protección de los datos personales de los consumidores y
  • Consejo Administrativo de Defensa Económica (CADE) para asuntos de protección de datos que pueden socavar los esfuerzos antimonopolio.

Además de estos organismos administrativos, los fiscales también son responsables de investigar las infracciones de datos y presentar demandas contra los controladores o procesadores.

Una vez que la LGPD esté en vigor, el regulador clave será la ANPD, un organismo directamente vinculado a la Presidencia de la República, con autonomía técnica.

La ANPD no tiene poderes para auditar a los controladores o procesadores, sino para solicitar información a través de procedimientos administrativos. También será responsable de aplicar sanciones a las entidades infractoras.

Medidas de ciberseguridad

Cuando la LGPD sea aplicable, los procesadores de datos deben adoptar medidas de seguridad para proteger las bases de datos e implementar un programa de gobernanza para la privacidad que establezca políticas y salvaguardas adecuadas basadas en un proceso de evaluación sistemática de los impactos y riesgos para la privacidad.

Según la LGPD, se recomienda un plan de respuesta a incidentes como una buena práctica.

No existen requisitos legales referentes al nombramiento de un jefe de seguridad de la información. La medida puede ser importante para algunas entidades, dependiendo de la naturaleza de sus actividades. Pero puede resultar excesivamente onerosa para otras.

No existen requisitos legales que se refieran a la participación de la junta directiva en asuntos de seguridad de la información. Sin embargo, dicha participación es altamente recomendada como una buena práctica sobre la cual descansará el éxito de cualquier política interna en la materia.

Tampoco se establecen requisitos legales que se refieran a medidas preventivas como evaluaciones internas de riesgos, escaneo de vulnerabilidades o pruebas de penetración. La LGPD puede considerar estas medidas como una buena práctica y, en el futuro, puede disminuir el valor eventual de la multa aplicada al controlador/procesador.

No existen requisitos legales que se refieran a la debida diligencia, supervisión y monitorización de proveedores de servicios. Sin embargo, los procesadores de datos deben ser diligentes para evitar reclamaciones de negligencia grave en el caso de violaciones de seguridad.

El LGPD considera que la capacitación de los empleados es una buena práctica y, en el futuro, podría disminuir el valor eventual de la multa aplicada.

No hay permiso o prohibición para monitorizar las redes de seguridad cibernética específicamente en la legislación actual o incluso en la LGPD. Sin embargo, el uso de herramientas de monitorización está muy extendido por las empresas.

Conclusión

Brasil está duplicando su arquitectura de ciberseguridad mientras consolida simultáneamente su emergente estado de energía. Las autoridades públicas se centran no solo en la ciberdelincuencia y el ciberactivismo interno, sino también en ampliar la capacidad del estado para mitigar las amenazas cibernéticas a nivel internacional.

Un pilar central de Brasil para dar respuesta estratégica a ambos tipos de riesgos es CDCiber.

El hecho es que Brasil tiene comparativamente pocas amenazas cibernéticas externas de gobiernos extranjeros o grupos terroristas. Y, sin embargo, el aumento de la protesta digital y la delincuencia cibernética es obvio.

La arquitectura de seguridad cibernética de Brasil todavía está evolucionando. Todavía hay líneas conflictivas de responsabilidad entre instituciones, prioridades de financiación distorsionadas, debate público confuso, medidas legislativas contradictorias y la importación de soluciones extranjeras para desafíos locales.

Hay algunos críticos que sostienen que la «respuesta» del estado a las amenazas cibernéticas está equivocada y no está alineada con los desafíos reales que enfrenta el país.

En cambio, el ejército ha «capturado» recursos para la defensa cibernética, con implicaciones potencialmente peligrosas para libertades civiles en general.

La falta de coordinación entre las instituciones gubernamentales y la fragmentación de respuestas es otro gran desafío.

Lo que se necesita es una estrategia equilibrada de seguridad cibernética que mida con precisión las amenazas en evolución, pero también elabore proporcionalmente respuestas prospectivas.