Migalhas

Terça-feira, 31 de março de 2020

ISSN 1983-392X

Temas relevantes do E-Ciber (Estratégia Nacional de Segurança Cibernética)

Verônica Martin Batista e Aline Melsone Marcondes Trivino

Abordamos os pontos de maior relevância extraídos na Estratégia Nacional de Segurança Cibernética - E-Ciber.

terça-feira, 11 de fevereiro de 2020

t

Em 6 de fevereiro de 2020, a presidência da República publicou o decreto 10.222, que aprova a Estratégia Nacional de Segurança Cibernética (E-Ciber), a qual traz a orientação do Governo Federal à sociedade sobre as ações pretendidas na área de segurança cibernética para o período de 2020 a 2023.

A E-Ciber estabelece ações que visam consolidar a atuação nacional no que se refere a segurança cibernética, reconhecendo haver boas iniciativas gerenciais nesta área, mas que ainda são tímidas, pontuais e fragmentadas, resultando em diferentes níveis de maturidade da sociedade sobre o tema e desvirtuando a importância que requer.

A seguir, abordamos os pontos de maior relevância extraídos na Estratégia Nacional de Segurança Cibernética - E-Ciber.

Visão estratégica

Tornar-se país de excelência em segurança cibernética.

Objetivos estratégicos:

1. Tornar o Brasil mais próspero e confiável no ambiente digital;

2. Aumentar a resiliência brasileiras às ameaças cibernéticas; e

3. Fortalecer a atuação brasileira em segurança cibernética no cenário internacional.

Ações estratégicas:

1.Fortalecer as ações de governança cibernética

2. Estabelecer um modelo centralizado de governança no âmbito nacional

3. Promover ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade

4. Elevar o nível de proteção do Governo

5. Elevar o nível de proteção das Infraestruturas Críticas Nacionais

6. Aprimorar o arcabouço legal sobre segurança cibernética

7. Incentivar a concepção de soluções inovadoras em segurança cibernética

8. Ampliar a cooperação internacional do Brasil em Segurança cibernética

9. Ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade

10. Elevar o nível de maturidade da sociedade em segurança cibernética

A E-Ciber apresenta um diagnóstico da segurança cibernética no cenário nacional e internacional, passando pela análise das ameaças, ataques e vulnerabilidades cibernéticas e seus impactos na sociedade e instituições.

Os estudos, decorrente dos diagnósticos, foram apresentados em dois eixos temáticos, conforme dispostos:

Eixos temáticos:

1. Proteção e Segurança:

  • Governança da Segurança Cibernética Nacional
  • Universo conectado e seguro: prevenção e mitigação de ameaças cibernéticas
  • Proteção Estratégica

2. Eixos Transformadores:

  • Dimensão Normativa
  • Pesquisa, Desenvolvimento e Inovação
  • Dimensão Internacional e Parcerias Estratégicas
  • Educação

Pontos relevantes:

  • Elaboração de planos: A E-Ciber recomenda sejam elaborados planos para realização das ações estratégicas estabelecidas, de modo a contribuir com ambiente de crescimento econômico e desenvolvimento social, em ambiente próspero, resiliente e seguro.
  • Principais lacunas no Brasil:

a) poucos profissionais especializados em segurança cibernética;

b) Baixa conscientização dos usuários;

c) poucos programas educacionais focados na área.

As lacunas demonstram a necessidade de reforçar o investimento em educação, ações de disseminação e capacitação de profissionais para atuação nas frentes preventiva, reativa e consultiva, a fim de se obter maior confiabilidade das instituições e menor resistências às recomendações. Ainda, esta capacitação precisa ser contínua, de modo a reduzir a disparidade entre a qualificação e a sofisticação das ameaças, de modo a enfrentar os constantes desafios. Em suas ações, dispõe sobre incentivos pelos órgãos públicos e empresas privadas para realização de campanhas de conscientização internas em segurança cibernética.

A prioridade de investimentos em programas de educação relacionados à segurança cibernética é um pilar essencial para reduzir os riscos às empresas e à sociedade.

“Recomenda-se, nesse contexto, o incentivo às iniciativas para aumentar o interesse e o acesso à educação em ciências da computação para alunos da educação básica, com possibilidade de expansão de parcerias público-privadas, repensar a educação profissional e treinar mais professores para qualificá-los adequadamente no tema.”

  • Proteção de Dados (LGPD):

a) Âmbito internacional: enfatiza a importância da Lei Geral de Proteção de Dados (lei 12.709 de 2018), pois esta, juntamente com as políticas de desenvolvimento da internet brasileira, reforçam a atuação do País nos foros internacionais de discussão da tecnologia da informação e comunicação e, em especial, a segurança cibernética. Demonstram que o país pauta-se princípios constitucionais e pelos valores fundamentais, respeitando a democracia e direitos humanos.

b) Conformidade: reconhece as iniciativas e esforços realizados para a segurança cibernética nacional, citando inclusive a aprovação do Marco Civil da Internet (lei 12.965 de 2014) e Lei Geral de Proteção de Dados (lei 12.709 de 2018). Contudo, identifica como baixa a movimentação das instituições em realizar as adaptações necessárias à conformidade com a LGPD. Menciona haver uma tendência de ocorrência de crimes cibernéticos, com maior frequência, nas pequenas e médias empresas, pois geralmente não adotam medidas e ações hábeis a prevení-los. Neste sentido, reforça a importância da LGPD para as entidades públicas e privadas.

“A tendência é que os crimes cibernéticos ocorram com maior frequência no nicho das pequenas e médias empresas, porque, em geral, essas empresas não adotam as devidas medidas e ações preventivas. Como, frequentemente, empresas menores são fornecedoras de serviços das maiores, isso torna as menores um canal de conexão para grandes organizações, que possibilitam ataques por infiltração.”

“Ressalta-se a importância da conscientização de gestores, tanto do setor público quanto do setor privado, sobre segurança cibernética, uma vez que, em sua maioria, decidem a alocação de recursos e o tempo destinado aos projetos definidos como prioritários. Essa iniciativa cresce de importância com a premente conformidade de entidades públicas e privadas à recente lei 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais, que evidencia a necessidade de que tais instituições invistam em programas de capacitação sobre proteção e privacidade desses dados”.

c) Privacy by default and design: A E-Ciber reconhece a importância do uso de padrões de privacy by design1 and default2 e security by design and default, internacionalmente conhecidos, no desenvolvimento de novas soluções pelas empresas, com intuito de promover a segurança cibernética. A aplicação destes conceitos está prevista na LGPD, em seu artigo 46, § 2º, quando dispõe que medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

“Neste contexto, ressalta-se a importância de as empresas, que produzem ou comercializam serviços no campo da segurança cibernética, adotarem padrões nacionais e internacionais no desenvolvimento de novas soluções, desde a sua concepção, o que é internacionalmente conhecido pelos termos privacy by design and default e security by design and default. Para tanto, destaca-se o papel do Estado em garantir às empresas a flexibilidade para continuar a criar mecanismos de aperfeiçoamento, com o uso de tecnologia de ponta para garantir a segurança de seus produtos, serviços e soluções e, assim, proteger seus usuários”.

Ao final, a E-Ciber concluiu que “a efetividade do desenvolvimento de uma cultura de segurança cibernética por intermédio da conscientização, formação e capacitação depende de uma gestão de conhecimento bem estruturada, a fim de dar continuidade a todos os processos envolvidos, formar profissionais no estado-da-arte e em função da dinâmica do surgimento e da obsolescência das competências de segurança cibernética”.

Leia a íntegra do documento aqui.

__________

1  Por `privacy by design entende-se que todas as etapas de um processo de desenvolvimento de um serviço ou produto devem ter a privacidade de dados em primeiro lugar, totalmente embutido no projeto, desde o início.

2 Privacy by defaut significa que um produto ou serviço, quando lançado ao mercado, deve possuir toda e qualquer configuração de privacidade no modo mais restrito possível, por padrão.

___________________________________________________________________________

*Verônica Martin Batista é advogada, especialista em Compliance pela Legal Ethics Compliance, L.LM Business & Law pelo IBMEC. 

*Aline Melsone Marcondes Trivino é advogada, especialista em Direito Penal e Processual Penal, especialista em Crimes informáticos. 

t

-