Temas relevantes do E-Ciber (Estratégia Nacional de Segurança Cibernética)
Abordamos os pontos de maior relevância extraídos na Estratégia Nacional de Segurança Cibernética - E-Ciber.
terça-feira, 11 de fevereiro de 2020
Atualizado às 10:22
Em 6 de fevereiro de 2020, a presidência da República publicou o decreto 10.222, que aprova a Estratégia Nacional de Segurança Cibernética (E-Ciber), a qual traz a orientação do Governo Federal à sociedade sobre as ações pretendidas na área de segurança cibernética para o período de 2020 a 2023.
A E-Ciber estabelece ações que visam consolidar a atuação nacional no que se refere a segurança cibernética, reconhecendo haver boas iniciativas gerenciais nesta área, mas que ainda são tímidas, pontuais e fragmentadas, resultando em diferentes níveis de maturidade da sociedade sobre o tema e desvirtuando a importância que requer.
A seguir, abordamos os pontos de maior relevância extraídos na Estratégia Nacional de Segurança Cibernética - E-Ciber.
Visão estratégica
Tornar-se país de excelência em segurança cibernética.
Objetivos estratégicos:
1. Tornar o Brasil mais próspero e confiável no ambiente digital;
2. Aumentar a resiliência brasileiras às ameaças cibernéticas; e
3. Fortalecer a atuação brasileira em segurança cibernética no cenário internacional.
Ações estratégicas:
1.Fortalecer as ações de governança cibernética
2. Estabelecer um modelo centralizado de governança no âmbito nacional
3. Promover ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade
4. Elevar o nível de proteção do Governo
5. Elevar o nível de proteção das Infraestruturas Críticas Nacionais
6. Aprimorar o arcabouço legal sobre segurança cibernética
7. Incentivar a concepção de soluções inovadoras em segurança cibernética
8. Ampliar a cooperação internacional do Brasil em Segurança cibernética
9. Ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade
10. Elevar o nível de maturidade da sociedade em segurança cibernética
A E-Ciber apresenta um diagnóstico da segurança cibernética no cenário nacional e internacional, passando pela análise das ameaças, ataques e vulnerabilidades cibernéticas e seus impactos na sociedade e instituições.
Os estudos, decorrente dos diagnósticos, foram apresentados em dois eixos temáticos, conforme dispostos:
Eixos temáticos:
1. Proteção e Segurança:
- Governança da Segurança Cibernética Nacional
- Universo conectado e seguro: prevenção e mitigação de ameaças cibernéticas
- Proteção Estratégica
2. Eixos Transformadores:
- Dimensão Normativa
- Pesquisa, Desenvolvimento e Inovação
- Dimensão Internacional e Parcerias Estratégicas
- Educação
Pontos relevantes:
- Elaboração de planos: A E-Ciber recomenda sejam elaborados planos para realização das ações estratégicas estabelecidas, de modo a contribuir com ambiente de crescimento econômico e desenvolvimento social, em ambiente próspero, resiliente e seguro.
- Principais lacunas no Brasil:
a) poucos profissionais especializados em segurança cibernética;
b) Baixa conscientização dos usuários;
c) poucos programas educacionais focados na área.
As lacunas demonstram a necessidade de reforçar o investimento em educação, ações de disseminação e capacitação de profissionais para atuação nas frentes preventiva, reativa e consultiva, a fim de se obter maior confiabilidade das instituições e menor resistências às recomendações. Ainda, esta capacitação precisa ser contínua, de modo a reduzir a disparidade entre a qualificação e a sofisticação das ameaças, de modo a enfrentar os constantes desafios. Em suas ações, dispõe sobre incentivos pelos órgãos públicos e empresas privadas para realização de campanhas de conscientização internas em segurança cibernética.
A prioridade de investimentos em programas de educação relacionados à segurança cibernética é um pilar essencial para reduzir os riscos às empresas e à sociedade.
"Recomenda-se, nesse contexto, o incentivo às iniciativas para aumentar o interesse e o acesso à educação em ciências da computação para alunos da educação básica, com possibilidade de expansão de parcerias público-privadas, repensar a educação profissional e treinar mais professores para qualificá-los adequadamente no tema."
- Proteção de Dados (LGPD):
a) Âmbito internacional: enfatiza a importância da Lei Geral de Proteção de Dados (lei 12.709 de 2018), pois esta, juntamente com as políticas de desenvolvimento da internet brasileira, reforçam a atuação do País nos foros internacionais de discussão da tecnologia da informação e comunicação e, em especial, a segurança cibernética. Demonstram que o país pauta-se princípios constitucionais e pelos valores fundamentais, respeitando a democracia e direitos humanos.
b) Conformidade: reconhece as iniciativas e esforços realizados para a segurança cibernética nacional, citando inclusive a aprovação do Marco Civil da Internet (lei 12.965 de 2014) e Lei Geral de Proteção de Dados (lei 12.709 de 2018). Contudo, identifica como baixa a movimentação das instituições em realizar as adaptações necessárias à conformidade com a LGPD. Menciona haver uma tendência de ocorrência de crimes cibernéticos, com maior frequência, nas pequenas e médias empresas, pois geralmente não adotam medidas e ações hábeis a prevení-los. Neste sentido, reforça a importância da LGPD para as entidades públicas e privadas.
"A tendência é que os crimes cibernéticos ocorram com maior frequência no nicho das pequenas e médias empresas, porque, em geral, essas empresas não adotam as devidas medidas e ações preventivas. Como, frequentemente, empresas menores são fornecedoras de serviços das maiores, isso torna as menores um canal de conexão para grandes organizações, que possibilitam ataques por infiltração."
"Ressalta-se a importância da conscientização de gestores, tanto do setor público quanto do setor privado, sobre segurança cibernética, uma vez que, em sua maioria, decidem a alocação de recursos e o tempo destinado aos projetos definidos como prioritários. Essa iniciativa cresce de importância com a premente conformidade de entidades públicas e privadas à recente lei 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais, que evidencia a necessidade de que tais instituições invistam em programas de capacitação sobre proteção e privacidade desses dados".
c) Privacy by default and design: A E-Ciber reconhece a importância do uso de padrões de privacy by design1 and default2 e security by design and default, internacionalmente conhecidos, no desenvolvimento de novas soluções pelas empresas, com intuito de promover a segurança cibernética. A aplicação destes conceitos está prevista na LGPD, em seu artigo 46, § 2º, quando dispõe que medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
"Neste contexto, ressalta-se a importância de as empresas, que produzem ou comercializam serviços no campo da segurança cibernética, adotarem padrões nacionais e internacionais no desenvolvimento de novas soluções, desde a sua concepção, o que é internacionalmente conhecido pelos termos privacy by design and default e security by design and default. Para tanto, destaca-se o papel do Estado em garantir às empresas a flexibilidade para continuar a criar mecanismos de aperfeiçoamento, com o uso de tecnologia de ponta para garantir a segurança de seus produtos, serviços e soluções e, assim, proteger seus usuários".
Ao final, a E-Ciber concluiu que "a efetividade do desenvolvimento de uma cultura de segurança cibernética por intermédio da conscientização, formação e capacitação depende de uma gestão de conhecimento bem estruturada, a fim de dar continuidade a todos os processos envolvidos, formar profissionais no estado-da-arte e em função da dinâmica do surgimento e da obsolescência das competências de segurança cibernética".
Leia a íntegra do documento aqui.
__________
1 Por `privacy by design entende-se que todas as etapas de um processo de desenvolvimento de um serviço ou produto devem ter a privacidade de dados em primeiro lugar, totalmente embutido no projeto, desde o início.
2 Privacy by defaut significa que um produto ou serviço, quando lançado ao mercado, deve possuir toda e qualquer configuração de privacidade no modo mais restrito possível, por padrão.
___________________________________________________________________________
*Verônica Martin Batista é advogada, especialista em Compliance pela Legal Ethics Compliance, L.LM Business & Law pelo IBMEC.
*Aline Melsone Marcondes Trivino é advogada, especialista em Direito Penal e Processual Penal, especialista em Crimes informáticos.