terça-feira, 27 de outubro de 2020

MIGALHAS DE PESO

Publicidade

Temas relevantes do E-Ciber (Estratégia Nacional de Segurança Cibernética)

Abordamos os pontos de maior relevância extraídos na Estratégia Nacional de Segurança Cibernética - E-Ciber.

terça-feira, 11 de fevereiro de 2020

t

Em 6 de fevereiro de 2020, a presidência da República publicou o decreto 10.222, que aprova a Estratégia Nacional de Segurança Cibernética (E-Ciber), a qual traz a orientação do Governo Federal à sociedade sobre as ações pretendidas na área de segurança cibernética para o período de 2020 a 2023.

A E-Ciber estabelece ações que visam consolidar a atuação nacional no que se refere a segurança cibernética, reconhecendo haver boas iniciativas gerenciais nesta área, mas que ainda são tímidas, pontuais e fragmentadas, resultando em diferentes níveis de maturidade da sociedade sobre o tema e desvirtuando a importância que requer.

A seguir, abordamos os pontos de maior relevância extraídos na Estratégia Nacional de Segurança Cibernética - E-Ciber.

Visão estratégica

Tornar-se país de excelência em segurança cibernética.

Objetivos estratégicos:

1. Tornar o Brasil mais próspero e confiável no ambiente digital;

2. Aumentar a resiliência brasileiras às ameaças cibernéticas; e

3. Fortalecer a atuação brasileira em segurança cibernética no cenário internacional.

Ações estratégicas:

1.Fortalecer as ações de governança cibernética

2. Estabelecer um modelo centralizado de governança no âmbito nacional

3. Promover ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade

4. Elevar o nível de proteção do Governo

5. Elevar o nível de proteção das Infraestruturas Críticas Nacionais

6. Aprimorar o arcabouço legal sobre segurança cibernética

7. Incentivar a concepção de soluções inovadoras em segurança cibernética

8. Ampliar a cooperação internacional do Brasil em Segurança cibernética

9. Ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade

10. Elevar o nível de maturidade da sociedade em segurança cibernética

A E-Ciber apresenta um diagnóstico da segurança cibernética no cenário nacional e internacional, passando pela análise das ameaças, ataques e vulnerabilidades cibernéticas e seus impactos na sociedade e instituições.

Os estudos, decorrente dos diagnósticos, foram apresentados em dois eixos temáticos, conforme dispostos:

Eixos temáticos:

1. Proteção e Segurança:

  • Governança da Segurança Cibernética Nacional
  • Universo conectado e seguro: prevenção e mitigação de ameaças cibernéticas
  • Proteção Estratégica

2. Eixos Transformadores:

  • Dimensão Normativa
  • Pesquisa, Desenvolvimento e Inovação
  • Dimensão Internacional e Parcerias Estratégicas
  • Educação

Pontos relevantes:

  • Elaboração de planos: A E-Ciber recomenda sejam elaborados planos para realização das ações estratégicas estabelecidas, de modo a contribuir com ambiente de crescimento econômico e desenvolvimento social, em ambiente próspero, resiliente e seguro.
  • Principais lacunas no Brasil:

a) poucos profissionais especializados em segurança cibernética;

b) Baixa conscientização dos usuários;

c) poucos programas educacionais focados na área.

As lacunas demonstram a necessidade de reforçar o investimento em educação, ações de disseminação e capacitação de profissionais para atuação nas frentes preventiva, reativa e consultiva, a fim de se obter maior confiabilidade das instituições e menor resistências às recomendações. Ainda, esta capacitação precisa ser contínua, de modo a reduzir a disparidade entre a qualificação e a sofisticação das ameaças, de modo a enfrentar os constantes desafios. Em suas ações, dispõe sobre incentivos pelos órgãos públicos e empresas privadas para realização de campanhas de conscientização internas em segurança cibernética.

A prioridade de investimentos em programas de educação relacionados à segurança cibernética é um pilar essencial para reduzir os riscos às empresas e à sociedade.

"Recomenda-se, nesse contexto, o incentivo às iniciativas para aumentar o interesse e o acesso à educação em ciências da computação para alunos da educação básica, com possibilidade de expansão de parcerias público-privadas, repensar a educação profissional e treinar mais professores para qualificá-los adequadamente no tema."

  • Proteção de Dados (LGPD):

a) Âmbito internacional: enfatiza a importância da Lei Geral de Proteção de Dados (lei 12.709 de 2018), pois esta, juntamente com as políticas de desenvolvimento da internet brasileira, reforçam a atuação do País nos foros internacionais de discussão da tecnologia da informação e comunicação e, em especial, a segurança cibernética. Demonstram que o país pauta-se princípios constitucionais e pelos valores fundamentais, respeitando a democracia e direitos humanos.

b) Conformidade: reconhece as iniciativas e esforços realizados para a segurança cibernética nacional, citando inclusive a aprovação do Marco Civil da Internet (lei 12.965 de 2014) e Lei Geral de Proteção de Dados (lei 12.709 de 2018). Contudo, identifica como baixa a movimentação das instituições em realizar as adaptações necessárias à conformidade com a LGPD. Menciona haver uma tendência de ocorrência de crimes cibernéticos, com maior frequência, nas pequenas e médias empresas, pois geralmente não adotam medidas e ações hábeis a prevení-los. Neste sentido, reforça a importância da LGPD para as entidades públicas e privadas.

"A tendência é que os crimes cibernéticos ocorram com maior frequência no nicho das pequenas e médias empresas, porque, em geral, essas empresas não adotam as devidas medidas e ações preventivas. Como, frequentemente, empresas menores são fornecedoras de serviços das maiores, isso torna as menores um canal de conexão para grandes organizações, que possibilitam ataques por infiltração."

"Ressalta-se a importância da conscientização de gestores, tanto do setor público quanto do setor privado, sobre segurança cibernética, uma vez que, em sua maioria, decidem a alocação de recursos e o tempo destinado aos projetos definidos como prioritários. Essa iniciativa cresce de importância com a premente conformidade de entidades públicas e privadas à recente lei 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais, que evidencia a necessidade de que tais instituições invistam em programas de capacitação sobre proteção e privacidade desses dados".

c) Privacy by default and design: A E-Ciber reconhece a importância do uso de padrões de privacy by design1 and default2 e security by design and default, internacionalmente conhecidos, no desenvolvimento de novas soluções pelas empresas, com intuito de promover a segurança cibernética. A aplicação destes conceitos está prevista na LGPD, em seu artigo 46, § 2º, quando dispõe que medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

"Neste contexto, ressalta-se a importância de as empresas, que produzem ou comercializam serviços no campo da segurança cibernética, adotarem padrões nacionais e internacionais no desenvolvimento de novas soluções, desde a sua concepção, o que é internacionalmente conhecido pelos termos privacy by design and default e security by design and default. Para tanto, destaca-se o papel do Estado em garantir às empresas a flexibilidade para continuar a criar mecanismos de aperfeiçoamento, com o uso de tecnologia de ponta para garantir a segurança de seus produtos, serviços e soluções e, assim, proteger seus usuários".

Ao final, a E-Ciber concluiu que "a efetividade do desenvolvimento de uma cultura de segurança cibernética por intermédio da conscientização, formação e capacitação depende de uma gestão de conhecimento bem estruturada, a fim de dar continuidade a todos os processos envolvidos, formar profissionais no estado-da-arte e em função da dinâmica do surgimento e da obsolescência das competências de segurança cibernética".

Leia a íntegra do documento aqui.

__________

1  Por `privacy by design entende-se que todas as etapas de um processo de desenvolvimento de um serviço ou produto devem ter a privacidade de dados em primeiro lugar, totalmente embutido no projeto, desde o início.

2 Privacy by defaut significa que um produto ou serviço, quando lançado ao mercado, deve possuir toda e qualquer configuração de privacidade no modo mais restrito possível, por padrão.

___________________________________________________________________________

*Verônica Martin Batista é advogada, especialista em Compliance pela Legal Ethics Compliance, L.LM Business & Law pelo IBMEC. 

*Aline Melsone Marcondes Trivino é advogada, especialista em Direito Penal e Processual Penal, especialista em Crimes informáticos. 

t

Atualizado em: 11/2/2020 10:22

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

AUTORES MIGALHAS VIP

Gilberto Giusti

Migalheiro desde 2003

Valmir Pontes Filho

Migalheiro desde 2004

Luís Roberto Barroso

Migalheiro desde 2003

Maria Berenice Dias

Migalheira desde 2002

Luis Felipe Salomão

Migalheiro desde 2014

Júlio César Bueno

Migalheiro desde 2004

Sérgio Roxo da Fonseca

Migalheiro desde 2004

Marco Aurélio Mello

Migalheiro desde 2014

Selma Ferreira Lemes

Migalheira desde 2005

Carla Domenico

Migalheira desde 2011

Publicidade