Autoridade da Concorrência Aposta na Segurança

A Autoridade da Concorrência foi criada pelo DL 10-2003 de 18/1/2003 e sucede ao Conselho da Concorrência e à Direcção Geral de Concorrência e Comércio, tendo poderes transversais sobre a economia portuguesa para a aplicação das regras de concorrência, em coordenação com os órgãos de regulação sectorial.

O Contexto

Criada à semelhança das entidades reguladoras anti-trust europeias e dos demais países desenvolvidos, a Autoridade da Concorrência goza de substancial independência e pretende constituir-se como uma instituição de excelência entre os seus pares europeus. Desta forma, a missão da Autoridade consiste em assegurar a aplicação das regras de concorrência em Portugal, no respeito pelo princípio da economia de mercado e da livre concorrência, tendo em vista:

• O funcionamento eficiente dos mercados;
• Um elevado nível de progresso técnico;
• O prosseguimento do maior benefício para os consumidores.

Esta missão traduz-se em actividades que se vão desenvolver ao longo dos seguintes eixos prioritários de actuação:

• Eixo 1. Controlar as estratégias empresariais (cooperativa e concentrativa) e combater as práticas restritivas e abusivas com vista a assegurar um nível adequado de concorrência.
• Eixo 2. Identificar mercados em que a concorrência esteja restringida e promover soluções em benefício dos consumidores e que melhorem a eficiência.
• Eixo 3. Elevar a consciência pública sobre o contexto e os benefícios da concorrência.
• Eixo 4. Proporcionar serviços ao governo, às agências de regulação e à sociedade, conformes com os padrões das melhores práticas a nível internacional.
• Eixo 5. Participação de elevada credibilidade nas Relações Internacionais.

A defesa da concorrência constitui um bem público que cabe à Autoridade da Concorrência preservar numa perspectiva instrumental, nos termos consagrados na Constituição da República Portuguesa (artigo 81º, alínea e). Desta forma, a política da concorrência deve constituir um instrumento ao serviço do desenvolvimento económico e de promoção do bem-estar geral.

A Autoridade possui poderes de regulamentação, de supervisão e sancionatórios, pelo que a sua missão inclui aspectos como:

• Propor leis aos órgãos competentes e aprovar regulamentos necessários para a defesa da concorrência;
• Emitir recomendações e directrizes genéricas sobre os casos analisados e as práticas seguidas;
• Propor e homologar códigos de conduta e boas práticas;
• Decidir sobre as notificações de aquisições e fusões, dando a sua não oposição ou rejeição;
• Identificar e investigar práticas restritivas da concorrência, segundo as leis nacionais e comunitárias, além de realizar estudos, inquéritos, ou inspecções que ajudeà detecção dessas práticas;
• Instruir e decidir os processos, aplicando sanções ou tomando providências cautelares;
• Instruir e decidir procedimentos administrativos sobre a compatibilidade de certas práticas restritivas da concorrência com a legislação em vigor, considerando-as como não atentatórias da lei da concorrência.

Além do que foi dito atrás, a Autoridade da Concorrência tem as seguintes funções complementares:

• Formação da opinião pública, fomentando práticas sãs de concorrência nos agentes económicos;
• Cooperação, colaborando com as outras instituições de concorrência, sobretudo as pertencentes à rede europeia e, em especial, com a Comissão Europeia;
• Representação, representando o Estado português a nível comunitário e internacional em "fora" relativos à concorrência;
• Apoio às empresas portuguesas que estão em mercados estrangeiros, de forma a esclarecê-las sobre as regras de concorrência nesses mercados;
• Investigação e estudos, promovendo a investigação científica nestas matérias, contribuindo para o aperfeiçoamento da legislação portuguesa e elaborando estudos a pedido do governo.

O objectivo das políticas de concorrência é promover o funcionamento eficiente dos mecanismos de mercado. Assim, o núcleo das actividades da Autoridade deve incidir sobre as seguintes operações:

• Fusões e aquisições que possam constituir um poder de mercado que coarcte a concorrência e prejudique os consumidores;
• Acordos de cartelização do mercado (acordos horizontais);
• Acordos verticais de restrição da concorrência;
• Abusos de posição dominante;
• Restrições estatais à concorrência, seja por regulamentação, seja por actuação através do sector público empresarial ou de entidades autónomas públicas.

A Necessidade

A Autoridade da Concorrência é uma organização de conhecimento, cuja actividade se desenrola completamente em torno do processamento da informação. Consequentemente, a informação é um bem crítico que é necessário proteger contra qualquer tipo de ataque. Impunha-se, portanto, uma auditoria global à segurança da informação existente na instituição. Desta forma, o serviço de auditoria abrangeu, entre outras matérias, as instalações físicas (edifício), os sistemas (infra-estrutura informática) e a informação electrónica e em papel.

O backup da informação e o armazenamento externo dessas cópias de segurança já são uma medida corrente na prática da Autoridade da Concorrência. O serviço de gestão documental é outra das áreas em que estão a ser implementadas normas de segurança acrescidas, neste caso incluindo o recurso a clusters e a UPSs (unidades de protecção contra interrupções de energia).

O recurso à auditoria de segurança, seguindo a norma BS7799-2, enquadrou-se nas preocupações normais de qualquer organização que é bem gerida. Ou seja, é necessário identificar as vulnerabilidades existentes em termos de segurança da informação e tomar medidas para as resolver, assegurando que não subsistam vulnerabilidades significativas.

A Solução (ou melhor, o início da solução)

Claramente, existiu por parte da Autoridade da Concorrência a preocupação de abordar a segurança de uma forma global e de adoptar um serviço de auditoria conforme a norma BS7799-2.

A auditoria ficou a cargo da Sinfic - através da sua unidade estratégica de negócio de Segurança da Informação. Esta unidade, além de serviços de auditoria, presta ainda serviços de consultoria e de formação em segurança da informação, tomando como referencial a norma ISO/IEC 17799 e BS7799-2.

Esta norma internacional preconiza 10 matérias essenciais que devem ser abordadas por qualquer organização que pretenda estabelecer uma postura de minimização dos riscos que pairam sobre a segurança da sua informação (ver artigo "Os 10 Aspectos Essenciais de Segurança a Abordar por Qualquer Organização" na secção Dossier).

No entanto, a auditoria levada a cabo pela Sinfic na Autoridade da Concorrência tomou em consideração apenas sete desses aspectos: política de segurança; controlo e classificação de recursos; segurança dos elementos humanos; segurança física e ambiental; gestão de operações e comunicações; controlo de acessos e conformidades.

A auditoria gerou um relatório das vulnerabilidades identificadas pela Sinfic na Autoridade da Concorrência. A parti deste primeiro passo, caberá à na Autoridade tomar as medidas que considerar mais adequadas para colmatar as vulnerabilidades apontadas.