Por Aline Melsone Marcondes Trivino e Verônica Martin Batista dos Santos

 

Em 06 de Fevereiro de 2020, a Presidência da República publicou o Decreto nº 10.222, que aprova a Estratégia Nacional de Segurança Cibernética (E-Ciber), a qual traz a orientação do Governo Federal à sociedade sobre as ações pretendidas na área de segurança cibernética para o período de 2020 a 2023

 

A E-Ciber estabelece ações que visam consolidar a atuação nacional no que se refere a segurança cibernética, reconhecendo haver boas iniciativas gerenciais nesta área, mas que ainda são tímidas, pontuais e fragmentadas, resultando em diferentes níveis de maturidade da sociedade sobre o tema e desvirtuando a importância que requer.

 

A seguir, abordamos os pontos de maior relevância extraídos na Estratégia Nacional de Segurança Cibernética – E-Ciber.

 

VISÃO ESTRATÉGICA

Tornar-se país de excelência em segurança cibernética.

 

OBJETIVOS ESTRATÉGICOS:

 

  1. Tornar o Brasil mais próspero e confiável no ambiente digital;
  2. Aumentar a resiliência brasileiras às ameaças cibernéticas; e
  3. Fortalecer a atuação brasileira em segurança cibernética no cenário internacional.

 

AÇÕES ESTRATÉGICAS:

 

1.Fortalecer as ações de governança cibernética

  1. Estabelecer um modelo centralizado de governança no âmbito nacional
  2. Promover ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade
  3. Elevar o nível de proteção do Governo
  4. Elevar o nível de proteção das Infraestruturas Críticas Nacionais
  5. Aprimorar o arcabouço legal sobre segurança cibernética
  6. Incentivar a concepção de soluções inovadoras em segurança cibernética
  7. Ampliar a cooperação internacional do Brasil em Segurança cibernética
  8. Ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade
  9. Elevar o nível de maturidade da sociedade em segurança cibernética

 

A E-Ciber apresenta um diagnóstico da segurança cibernética no cenário nacional e internacional, passando pela análise das ameaças, ataques e vulnerabilidades cibernéticas e seus impactos na sociedade e instituições.

 

Os estudos, decorrente dos diagnósticos, foram apresentados em dois eixos temáticos, conforme dispostos:

 

EIXOS TEMÁTICOS:

 

  1. Proteção e Segurança:
  • Governança da Segurança Cibernética Nacional
  • Universo conectado e seguro: prevenção e mitigação de ameaças cibernéticas
  • Proteção Estratégica
  1. Eixos Transformadores:
  • Dimensão Normativa
  • Pesquisa, Desenvolvimento e Inovação
  • Dimensão Internacional e Parcerias Estratégicas
  • Educação

 

PONTOS RELEVANTES:

 

  • Elaboração de planos: A E-Ciber recomenda sejam elaborados planos para realização das ações estratégicas estabelecidas, de modo a contribuir com ambiente de crescimento econômico e desenvolvimento social, em ambiente próspero, resiliente e seguro.

 

  • Principais lacunas no Brasil:
  1. poucos profissionais especializados em segurança cibernética;
  2. Baixa conscientização dos usuários;
  3. poucos programas educacionais focados na área.

As lacunas demonstram a necessidade de reforçar o investimento em educação, ações de disseminação e capacitação de profissionais para atuação nas frentes preventiva, reativa e consultiva, a fim de se obter maior confiabilidade das instituições e menor resistências às recomendações. Ainda, esta capacitação precisa ser contínua, de modo a reduzir a disparidade entre a qualificação e a sofisticação das ameaças, de modo a enfrentar os constantes desafios. Em suas ações, dispõe sobre incentivos pelos órgãos públicos e empresas privadas para realização de campanhas de conscientização internas em segurança cibernética.

A prioridade de investimentos em programas de educação relacionados à segurança cibernética é um pilar essencial para reduzir os riscos às empresas e à sociedade.

“Recomenda-se, nesse contexto, o incentivo às iniciativas para aumentar o interesse e o acesso à educação em ciências da computação para alunos da educação básica, com possibilidade de expansão de parcerias público-privadas, repensar a educação profissional e treinar mais professores para qualificá-los adequadamente no tema.”

 

 

  1. Âmbito internacional: enfatiza a importância da Lei Geral de Proteção de Dados (Lei nº 12.965 de 2014), pois esta, juntamente com as políticas de desenvolvimento da internet brasileira, reforçam a atuação do País nos foros internacionais de discussão da tecnologia da informação e comunicação e, em especial, a segurança cibernética. Demonstram que o país pauta-se princípios constitucionais e pelos valores fundamentais, respeitando a democracia e direitos humanos.

 

  1. Conformidade: reconhece as iniciativas e esforços realizados para a segurança cibernética nacional, citando inclusive a aprovação do Marco Civil da Internet (Lei 12.965 de 2014) e Lei Geral de Proteção de Dados (Lei 12.709 de 2018). Contudo, identifica como baixa a movimentação das instituições em realizar as adaptações necessárias à conformidade com a LGPD. Menciona haver uma tendência de ocorrência de crimes cibernéticos, com maior frequência, nas pequenas e médias empresas, pois geralmente não adotam medidas e ações hábeis a prevení-los. Neste sentido, reforça a importância da LGPD para as entidades públicas e privadas.

 

“A tendência é que os crimes cibernéticos ocorram com maior frequência no nicho das pequenas e médias empresas, porque, em geral, essas empresas não adotam as devidas medidas e ações preventivas. Como, frequentemente, empresas menores são fornecedoras de serviços das maiores, isso torna as menores um canal de conexão para grandes organizações, que possibilitam ataques por infiltração.”

 

“Ressalta-se a importância da conscientização de gestores, tanto do setor público quanto do setor privado, sobre segurança cibernética, uma vez que, em sua maioria, decidem a alocação de recursos e o tempo destinado aos projetos definidos como prioritários. Essa iniciativa cresce de importância com a premente conformidade de entidades públicas e privadas à recente Lei nº 13.709, de 2018 – Lei Geral de Proteção de Dados Pessoais, que evidencia a necessidade de que tais instituições invistam em programas de capacitação sobre proteção e privacidade desses dados”.

 

  1. Privacy by default and design: A E-Ciber reconhece a importância do uso de padrões de privacy by design[1] and default[2] e security by design and default, internacionalmente conhecidos, no desenvolvimento de novas soluções pelas empresas, com intuito de promover a segurança cibernética. A aplicação destes conceitos está prevista na LGPD, em seu artigo 46, § 2º, quando dispõe que medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

 

“Neste contexto, ressalta-se a importância de as empresas, que produzem ou comercializam serviços no campo da segurança cibernética, adotarem padrões nacionais e internacionais no desenvolvimento de novas soluções, desde a sua concepção, o que é internacionalmente conhecido pelos termos privacy by design and default e security by design and default. Para tanto, destaca-se o papel do Estado em garantir às empresas a flexibilidade para continuar a criar mecanismos de aperfeiçoamento, com o uso de tecnologia de ponta para garantir a segurança de seus produtos, serviços e soluções e, assim, proteger seus usuários”.

 

Ao final, a E-Ciber concluiu que “a efetividade do desenvolvimento de uma cultura de segurança cibernética por intermédio da conscientização, formação e capacitação depende de uma gestão de conhecimento bem estruturada, a fim de dar continuidade a todos os processos envolvidos, formar profissionais no estado-da-arte e em função da dinâmica do surgimento e da obsolescência das competências de segurança cibernética”.

 

Leia a íntegra do documento em:

http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2020/Decreto/D10222.htm

 

_________________

Aline Melsone Marcondes Trivino é advogada, especialista em Direito Penal e Processual Penal, especialista em Crimes informáticos, professora na pós-graduação em Compliance Digital e Proteção de dados e DPO Certificada.

 

Verônica Martin Batista dos Santos é advogada, especialista em Compliance pela Legal Ethics Compliance, L.LM Business & Law pelo IBMEC, experiência em departamento jurídico no mercado financeiro e membro do Compliance Women Committee.

 

[1] Por `privacy by design entende-se que todas as etapas de um processo de desenvolvimento de um serviço ou produto devem ter a privacidade de dados em primeiro lugar, totalmente embutido no projeto, desde o início.

[2] Privacy by defaut significa que um produto ou serviço, quando lançado ao mercado, deve possuir toda e qualquer configuração de privacidade no modo mais restrito possível, por padrão.

Deixe seu comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.