Debate sobre estratégia de segurança cibernética precisa avançar

Debate sobre estratégia de segurança cibernética precisa avançar

Wilson Sales Belchior*

14 de fevereiro de 2020 | 11h00

Wilson Sales Belchior. FOTO: DIVULGAÇÃO

É um desafio exponencial, atualmente, o cenário da segurança cibernética enquanto proteção de sistemas de informação, networks, computadores, dispositivos móveis, softwares, servidores, datacenters contra-ataques digitais que afetam dados sensíveis, transações bancárias, fluxos de negócios, promovendo acessos não autorizados, com danos variados que prejudicam utilizadores e pessoas. Porém, esse cenário deve acompanhar a velocidade das transformações tecnológicas para assegurar a integridade e a privacidade de dados, gestão de riscos e incidentes, conformidade técnica, legal e regulamentar, procedimentos, controles internos, padrões de governança e campanhas educativas.

A publicação do Decreto nº 10.222/2020 com a Estratégia Nacional de Segurança Cibernética (“E-Ciber”) representa um passo importante para ajustar o Brasil à transformação digital dos fluxos econômicos globais em um cenário de hiperconectividade entre empresas, órgãos públicos, pessoas naturais e softwares. Esse cenário ressignifica o ambiente de negócios, as cadeias de produção, as relações de consumo, a transmissão e o acesso às informações, em meio a uma íntima relação entre tecnologias da informação e comunicação e os mais variados aspectos da vida em sociedade. São eles que fazem funcionar a economia e os setores estratégicos, mostrando a premência de serem estabelecidas as diretrizes de governança e aperfeiçoamento da segurança cibernética no país.

O conteúdo da E-Ciber associa-se a um planejamento estratégico na área, dependendo de iniciativas diversas para concretizar objetivos e ações previstas no Decreto. É o que se observa, por exemplo, pela opção de adequar a estrutura do Gabinete de Segurança Institucional da Presidência da República através de um lei específica, para que se viabilize a atuação nacional na condução da governança em segurança cibernética. E mais: reconhecimento no eixo “dimensão normativa” da indispensabilidade de elaborar legislação sobre a temática, que estipule diretrizes para todas as partes interessadas, concretizando um marco legal que supra a insuficiência de normas, ao mesmo tempo que alinhe as ações de governança e conformidade; vínculo entre a implementação de ações estratégicas e a atuação de órgãos e entidades da Administração Pública Federal; necessidade de os órgãos públicos e entidades do setor privado “identificarem, planejarem e executarem as ações de sua competência”; intenção de serem firmados acordos bilaterais de cooperação, participação do país em esforços internacionais, negociação de tratados de assistência jurídica mútua e iniciativas de estruturação normativa futura e inclusão de novas tipificações de crimes cibernéticos no Código Penal.

Mas, deve ser sublinhada a relevância de organização das bases para um debate nacional sobre a questão urgente da segurança cibernética por intermédio de conjunto amplo de recomendações sobre um modelo de governança cibernética, ciber-resiliência (compreensão do risco no planejamento estratégico de instituições e organizações), arcabouço legal, participação, parceria e colaboração entre as partes interessadas. Isso com incentivo à cooperação internacional e ao desenvolvimento de soluções inovadoras, as quais demonstram que estes são aspectos relevantes para o país nessa área, a fim de que se atenda, dentre outros objetivos anunciados no Anexo, “um crescimento econômico guiado pela inovação, de modo inclusivo e sustentável”.

Na perspectiva das principais ações para a segurança cibernética no quadriênio 2020-2023, poderia ter sido acrescentado um detalhamento das fases de implementação da Estratégia Nacional, incluindo formas de avaliação, desenvolvimento, adaptação, revisão e aperfeiçoamento, linha do tempo para execução, previsão orçamentária, aproximando-se, por isso, de um plano de ação para concretizar os objetivos elencados no Anexo, com a participação de todos os stakeholders, organizando as oitenta e oito iniciativas previstas nas dez ações estratégicas, de forma semelhante ao que está previsto para os planos nacionais na Política Nacional de Segurança da Informação.

Essa especificidade também poderia ter sido adotada quanto à gestão de riscos. Apesar de o Anexo reconhecê-la como “um dos principais pontos de sustentação da governança cibernética” e um fator chave de proteção, as recomendações são muito amplas – particularmente no que se refere a estabelecer rotina de verificações e compartilhar informações sobre incidentes e vulnerabilidades, contudo sem esmiuçar diretrizes gerais que norteiem a formulação de metodologias próprias de instituições públicas e privadas, como é feito, por exemplo, pelo Bank for International Settlements para infraestruturas do mercado financeiro na área de ciber-resiliência. E, também, pela The European Union Agency for Cybersecurity ao propor uma avaliação nacional de riscos, baseada na identificação, análise e avaliação, com foco em infraestruturas críticas de informação. Na Política Nacional de Ciberseguridad no Chile, em que a gestão de riscos orienta o desenvolvimento de uma infraestrutura de informação robusta e resiliente, há integração de uma agenda de políticas públicas com responsáveis e prazo para execução, além de conter uma descrição de riscos e ameaças.

Espera-se, por isso, que as discussões sobre a segurança cibernética no Brasil avancem no sentido de execução dos objetivos e ações estratégicas. A expectativa é que haja um amplo debate com todas as partes interessadas para que as próximas etapas de implementação da E-Ciber gerem resultados positivos para o país.

*Wilson Sales Belchior é sócio do Rocha, Marinho e Sales Advogados e conselheiro da OAB

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Tendências: