A cibersegurança protege a privacidade e a segurança dos dados contra ameaças cibernéticas e é essencial para garantir a confiança do público na Administração Digital. A partir de 2021, o Índice de Maturidade Digital (IMD) inclui a segurança cibernética na avaliação do nível de transformação digital das administrações locais, graças à colaboração da Agência Catalã de Segurança Cibernética.
Por que avaliamos a segurança cibernética?
A segurança cibernética visa proteger os sistemas informáticos, redes e dados contra ameaças cibernéticas, como vírus, malware ou ataques de negação de serviço. À medida que os conselhos avançam em seu processo de digitalização, sua exposição a essas ameaças também aumenta. Segundo a Agência Catalã de Cibersegurança (ACC), ciberataques publicados que afetaram o setor público catalão aumentaram mais de 60% entre 2020 e 2021.
Um ataque cibernético pode trazer sérias consequências, tanto para a própria prefeitura quanto para os cidadãos, como o roubo e publicação de dados sensíveis, la suspensão dos serviços municipais e da normal atividade da câmara municipal o sofrem perdas econômicas significativas. Além disso, se o cidadão perceber que seus dados não estão protegidos, poderá perder a confiança na instituição.
Por outro lado, muitos dos dados geridos por uma câmara municipal são dados pessoais dos cidadãos e estão sujeitos a regulamentos de proteção de dados. A cibersegurança pode ser considerada uma medida preventiva para evitar a perda, alteração ou divulgação de dados pessoais
Então, eua maturidade digital de um município depende não só da sua capacidade de oferecer serviços digitais, mas também da sua capacidade de garantir segurança e privacidade dos dados contra ataques maliciosos.
Vulnerabilidade de segurança cibernética de órgãos locais
O IMD avalia a vulnerabilidade a ataques cibernéticos usando o indicador de vulnerabilidade de segurança cibernética, que é obtido a partir do nível de exposição a vulnerabilidades calculado pela Agencia de Cyberseguretat de Catalunya dentro do modelo de segurança cibernética que implantou para conselhos e órgãos locais.
O nível de exposição a vulnerabilidades é obtido através da verificação periódica dos serviços acessíveis na Internet das entidades locais. A análise consiste em uma série de testes automatizados de detecção de vulnerabilidades baseados em versões ou testes ativos (não-invasões, verificações) em todos os serviços. Dependendo das vulnerabilidades detectadas, o valor do nível de exposição varia entre 0 pontos, quando a gravidade é zero, e 10 pontos, quando a gravidade é crítica.
o indicador vulnerabilidade de segurança cibernética do IMD obtém-se normalizando o valor do nível de exposição a vulnerabilidades e atribuindo-se mais pontos quando o grau de gravidade detetado é inferior. Em 2022, 74% das autoridades locais tinham uma vulnerabilidade de segurança cibernética baixa ou média.
Conformidade com o Esquema de Segurança Nacional
O Sistema Nacional de Segurança (ENS) é um conjunto de medidas e procedimentos que devem ser adotados pelas administrações públicas para garantir a segurança dos serviços eletrónicos e da informação que gerem. Um dos objetivos da última revisão, publicada em 22 de maio de 2022, é justamente atualizar os princípios básicos, requisitos mínimos e medidas de segurança da ENS para fortalecer a segurança cibernética do setor público.
Por este motivo, o IMD inclui o cumprimento da ENS como um dos indicadores no domínio da cibersegurança. O indicador avalia se a câmara municipal publicou um certificado de conformidade da ENS no seu site ou se o fornecedor do sistema de gestão eletrónica utilizado pela câmara municipal aparece no lista de entidades certificadas do National Cryptologic Center.
o ano de 2022 79% das entidades locais utilizam plataformas eletrónicas de administração com certificado de conformidade ENS.
Nomeação do delegado de proteção de dados
O Regulamento Geral de Proteção de Dados (RGPD) e a Lei Orgânica de Proteção de Dados Pessoais (LOPDGDD) estabelecem as obrigações legais que as organizações devem cumprir para proteger os dados pessoais. No contexto atual, a segurança cibernética está se tornando parte fundamental da gestão da proteção de dados pessoais e, portanto, do cumprimento dos regulamentos de proteção de dados pessoais.
O Data Protection Officer (DPD) é o garante do cumprimento dos regulamentos de proteção de dados em uma organização. Todos os órgãos locais são obrigados a nomear um DPD e comunicar a sua nomeação à APDCAT, conforme estabelecido pelo RGPD e LOPDGDD.
O IMD avalia se as entidades locais nomearam um DPD consulta aos Delegados de Proteção de Dados comunicados à APDCAT. No ano de 2022, 72% das entidades locais comunicaram o DPD à Autoridade Catalã de Proteção de Dados.
Pode consultar todos os indicadores de maturidade digital no relatório Vista detalhada do corpo doÍndice de Maturidade Digital 2022.
