O que é a Lei da Segurança das infraestruturas Críticas?
Em 25 de novembro de 2024, o projeto de lei sobre a segurança das infraestruturas críticas e outras alterações legislativas (reforço da resposta e da prevenção) de 2024 (Lei SOCI), incluído no pacote legislativo sobre cibersegurança, foi transformado em lei. A Lei SOCI confere ao Governo poderes mais amplos para concretizar o escudo 4 da Estratégia de Cibersegurança 2023-2030 (proteção das infraestruturas críticas) e para colmatar as lacunas e os problemas decorrentes da evolução do panorama das ciberameaças.
- Os sistemas de armazenamento de dados que contêm dados críticos para as empresas seriam regulamentados como activos de infraestruturas críticas ao abrigo das alterações.
- Novos poderes governamentais de gestão das consequências ao abrigo dos quais o governo pode dar instruções a uma entidade para tomar medidas para responder a incidentes de forma mais ampla do que apenas incidentes cibernéticos.
- Nova definição de "informação protegida" que inclui uma avaliação baseada nos danos e uma lista não exaustiva de informações relevantes, além de esclarecimentos sobre quando a informação protegida pode ser partilhada ou utilizada para outros fins.
- Novo poder para o regulador emitir instruções a uma entidade responsável para resolver quaisquer deficiências graves que sejam identificadas num programa de gestão de riscos de infraestruturas críticas.
Sistemas de armazenamento de dados que contêm dados críticos para as empresas
- #16: "...reforçar a proteção dos sistemas de armazenamento de dados e dos dados críticos para as empresas"
- #19: "O programa não deve abranger todos os sistemas não operacionais que contêm dados críticos para as empresas, mas apenas aqueles em que as vulnerabilidades podem ter um impacto relevante nas infraestruturas críticas. Exemplos dos tipos de sistemas que podem ser capturados incluem: sistemas de armazenamento de dados que contêm dados críticos para o negócio, onde existe uma segregação de rede inadequada entre sistemas de informação e sistemas de tecnologia operacional, ou sistemas de armazenamento de dados que contêm dados operacionais, tais como planos de rede, chaves de encriptação, algoritmos, código de sistema operacional e tácticas, técnicas e procedimentos."
- #20: "...Quando a entidade responsável subcontrata um terceiro, este torna-se responsável pelo sistema de armazenamento de dados."
- #31: Os vários critérios propostos deixam clara a intenção de que nem todos os sistemas não operacionais que contêm dados críticos para as empresas devem ser capturados, apenas aqueles em que as vulnerabilidades podem ter um impacto relevante nas infraestruturas críticas. Esclarecem também que a entidade responsável pelo ativo principal da infraestrutura crítica é responsável pelos sistemas de armazenamento de dados que possui ou explora.
RESUMO DA CONFORMIDADE
Conformidade com a Lei SOCI da Austrália
Saiba como a Thales ajuda as organizações a cumprir a Lei SOCI da Austrália, protegendo infraestruturas críticas, protegendo dados e gerindo chaves de encriptação.
Como a Thales ajuda na conformidade com a Lei SOCI (Emendas)
As soluções da Thales podem ajudar as organizações a cumprir a Lei SOCI, simplificando a conformidade e automatizando a segurança, reduzindo a carga sobre as equipas de segurança e conformidade.
Fornecemos soluções abrangentes de segurança cibernética em três áreas-chave da segurança cibernética: Segurança de aplicações, segurança de dados e gestão de identidades e acessos.
Soluções de conformidade SOCI
Segurança de aplicações
Proteja aplicações e APIs em escala na nuvem, on-premises ou em um modelo híbrido. O nosso conjunto de produtos líder de mercado inclui Web Application Firewall (WAF), proteção contra ataques DDoS (Distributed Denial of Service) e BOT maliciosos, segurança para APIs, uma CDN (Content Delivery Network) segura e RASP (Runtime Application Self-Protection).
Segurança dos dados
Descubra e classifique dados confidenciais em toda a TI híbrida e proteja-os automaticamente em qualquer lugar, seja em repouso, em movimento ou em uso, usando tokenização de criptografia e gestão de chaves. As soluções da Thales também identificam, avaliam e priorizam riscos potenciais para uma avaliação de risco precisa, bem como identificam comportamentos anômalos e monitoram a atividade para verificar a conformidade, permitindo que as organizações priorizem onde gastar seus esforços.
Gestão de identidade e acesso
Forneça acesso contínuo, seguro e fiável a aplicações e serviços digitais para clientes, colaboradores e parceiros. As nossas soluções limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com políticas de acesso granulares e autenticação multi-fator que ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo.
Cumpra os requisitos da Lei SOCI (alterações) - REGIME 1
Como é que a Thales ajuda:
- Descobra e classifique o risco potencial para todas as APIs públicas, privadas e obscuras.
- Identifique dados sensíveis estruturados e não estruturados em risco no local e na nuvem.
- Identifique o estado atual de conformidade, documentando as lacunas e fornecendo um caminho para a conformidade total.
Como é que a Thales ajuda:
- Monitorização da atividade de dados para dados estruturados e não estruturados em sistemas na nuvem e no local.
- Produza pistas de auditoria e relatórios de todos os eventos de acesso a todos os sistemas e transmite registos para sistemas SIEM externos.
Como é que a Thales ajuda:
- Encripte dados em repouso (data-at-rest) em ambientes on-premises, em múltiplas clouds, e em ambientes de big data ou contentores.
- Proteja os dados em movimento com encriptação de alta velocidade.
- Obtenha visibilidade total da atividade de dados sensíveis, acompanhe quem tem acesso, audite o que estão a fazer e documente.
Como é que a Thales ajuda:
- Limite o acesso dos utilizadores internos e externos aos sistemas e dados com base nas funções e no contexto das políticas.
- Aplique medidas de segurança contextuais com base na classificação dos riscos.
- Utilize cartões inteligentes para implementar o acesso físico a instalações sensíveis de infraestruturas críticas.
Soluções:
Segurança dos dados
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Crie e implemente políticas de autenticação adaptáveis com base na sensibilidade dos dados/aplicação.
- Proteja contra ataques de phishing e man-in-the-middle.
Como é que a Thales ajuda:
- Proteja chaves criptográficas num ambiente FIPS 140-2 de nível 3.
- Simplifique a gestão de chaves em ambientes de nuvem e on-premise.
- Efetue a gestão e proteja todos os segredos e credenciais sensíveis.
Recursos relacionados
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.