Por Aline Melsone Marcondes Trivino e Verônica Martin Batista dos Santos
Em 06 de Fevereiro de 2020, a Presidência da República publicou o Decreto nº 10.222, que aprova a Estratégia Nacional de Segurança Cibernética (E-Ciber), a qual traz a orientação do Governo Federal à sociedade sobre as ações pretendidas na área de segurança cibernética para o período de 2020 a 2023
A E-Ciber estabelece ações que visam consolidar a atuação nacional no que se refere a segurança cibernética, reconhecendo haver boas iniciativas gerenciais nesta área, mas que ainda são tímidas, pontuais e fragmentadas, resultando em diferentes níveis de maturidade da sociedade sobre o tema e desvirtuando a importância que requer.
A seguir, abordamos os pontos de maior relevância extraídos na Estratégia Nacional de Segurança Cibernética – E-Ciber.
VISÃO ESTRATÉGICA
Tornar-se país de excelência em segurança cibernética.
OBJETIVOS ESTRATÉGICOS:
- Tornar o Brasil mais próspero e confiável no ambiente digital;
- Aumentar a resiliência brasileiras às ameaças cibernéticas; e
- Fortalecer a atuação brasileira em segurança cibernética no cenário internacional.
AÇÕES ESTRATÉGICAS:
1.Fortalecer as ações de governança cibernética
- Estabelecer um modelo centralizado de governança no âmbito nacional
- Promover ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade
- Elevar o nível de proteção do Governo
- Elevar o nível de proteção das Infraestruturas Críticas Nacionais
- Aprimorar o arcabouço legal sobre segurança cibernética
- Incentivar a concepção de soluções inovadoras em segurança cibernética
- Ampliar a cooperação internacional do Brasil em Segurança cibernética
- Ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade
- Elevar o nível de maturidade da sociedade em segurança cibernética
A E-Ciber apresenta um diagnóstico da segurança cibernética no cenário nacional e internacional, passando pela análise das ameaças, ataques e vulnerabilidades cibernéticas e seus impactos na sociedade e instituições.
Os estudos, decorrente dos diagnósticos, foram apresentados em dois eixos temáticos, conforme dispostos:
EIXOS TEMÁTICOS:
- Proteção e Segurança:
- Governança da Segurança Cibernética Nacional
- Universo conectado e seguro: prevenção e mitigação de ameaças cibernéticas
- Proteção Estratégica
- Eixos Transformadores:
- Dimensão Normativa
- Pesquisa, Desenvolvimento e Inovação
- Dimensão Internacional e Parcerias Estratégicas
- Educação
PONTOS RELEVANTES:
- Elaboração de planos: A E-Ciber recomenda sejam elaborados planos para realização das ações estratégicas estabelecidas, de modo a contribuir com ambiente de crescimento econômico e desenvolvimento social, em ambiente próspero, resiliente e seguro.
- Principais lacunas no Brasil:
- poucos profissionais especializados em segurança cibernética;
- Baixa conscientização dos usuários;
- poucos programas educacionais focados na área.
As lacunas demonstram a necessidade de reforçar o investimento em educação, ações de disseminação e capacitação de profissionais para atuação nas frentes preventiva, reativa e consultiva, a fim de se obter maior confiabilidade das instituições e menor resistências às recomendações. Ainda, esta capacitação precisa ser contínua, de modo a reduzir a disparidade entre a qualificação e a sofisticação das ameaças, de modo a enfrentar os constantes desafios. Em suas ações, dispõe sobre incentivos pelos órgãos públicos e empresas privadas para realização de campanhas de conscientização internas em segurança cibernética.
A prioridade de investimentos em programas de educação relacionados à segurança cibernética é um pilar essencial para reduzir os riscos às empresas e à sociedade.
“Recomenda-se, nesse contexto, o incentivo às iniciativas para aumentar o interesse e o acesso à educação em ciências da computação para alunos da educação básica, com possibilidade de expansão de parcerias público-privadas, repensar a educação profissional e treinar mais professores para qualificá-los adequadamente no tema.”
- Âmbito internacional: enfatiza a importância da Lei Geral de Proteção de Dados (Lei nº 12.965 de 2014), pois esta, juntamente com as políticas de desenvolvimento da internet brasileira, reforçam a atuação do País nos foros internacionais de discussão da tecnologia da informação e comunicação e, em especial, a segurança cibernética. Demonstram que o país pauta-se princípios constitucionais e pelos valores fundamentais, respeitando a democracia e direitos humanos.
- Conformidade: reconhece as iniciativas e esforços realizados para a segurança cibernética nacional, citando inclusive a aprovação do Marco Civil da Internet (Lei 12.965 de 2014) e Lei Geral de Proteção de Dados (Lei 12.709 de 2018). Contudo, identifica como baixa a movimentação das instituições em realizar as adaptações necessárias à conformidade com a LGPD. Menciona haver uma tendência de ocorrência de crimes cibernéticos, com maior frequência, nas pequenas e médias empresas, pois geralmente não adotam medidas e ações hábeis a prevení-los. Neste sentido, reforça a importância da LGPD para as entidades públicas e privadas.
“A tendência é que os crimes cibernéticos ocorram com maior frequência no nicho das pequenas e médias empresas, porque, em geral, essas empresas não adotam as devidas medidas e ações preventivas. Como, frequentemente, empresas menores são fornecedoras de serviços das maiores, isso torna as menores um canal de conexão para grandes organizações, que possibilitam ataques por infiltração.”
“Ressalta-se a importância da conscientização de gestores, tanto do setor público quanto do setor privado, sobre segurança cibernética, uma vez que, em sua maioria, decidem a alocação de recursos e o tempo destinado aos projetos definidos como prioritários. Essa iniciativa cresce de importância com a premente conformidade de entidades públicas e privadas à recente Lei nº 13.709, de 2018 – Lei Geral de Proteção de Dados Pessoais, que evidencia a necessidade de que tais instituições invistam em programas de capacitação sobre proteção e privacidade desses dados”.
- Privacy by default and design: A E-Ciber reconhece a importância do uso de padrões de privacy by design[1] and default[2] e security by design and default, internacionalmente conhecidos, no desenvolvimento de novas soluções pelas empresas, com intuito de promover a segurança cibernética. A aplicação destes conceitos está prevista na LGPD, em seu artigo 46, § 2º, quando dispõe que medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
“Neste contexto, ressalta-se a importância de as empresas, que produzem ou comercializam serviços no campo da segurança cibernética, adotarem padrões nacionais e internacionais no desenvolvimento de novas soluções, desde a sua concepção, o que é internacionalmente conhecido pelos termos privacy by design and default e security by design and default. Para tanto, destaca-se o papel do Estado em garantir às empresas a flexibilidade para continuar a criar mecanismos de aperfeiçoamento, com o uso de tecnologia de ponta para garantir a segurança de seus produtos, serviços e soluções e, assim, proteger seus usuários”.
Ao final, a E-Ciber concluiu que “a efetividade do desenvolvimento de uma cultura de segurança cibernética por intermédio da conscientização, formação e capacitação depende de uma gestão de conhecimento bem estruturada, a fim de dar continuidade a todos os processos envolvidos, formar profissionais no estado-da-arte e em função da dinâmica do surgimento e da obsolescência das competências de segurança cibernética”.
Leia a íntegra do documento em:
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2020/Decreto/D10222.htm
_________________
Aline Melsone Marcondes Trivino é advogada, especialista em Direito Penal e Processual Penal, especialista em Crimes informáticos, professora na pós-graduação em Compliance Digital e Proteção de dados e DPO Certificada.
Verônica Martin Batista dos Santos é advogada, especialista em Compliance pela Legal Ethics Compliance, L.LM Business & Law pelo IBMEC, experiência em departamento jurídico no mercado financeiro e membro do Compliance Women Committee.
[1] Por `privacy by design entende-se que todas as etapas de um processo de desenvolvimento de um serviço ou produto devem ter a privacidade de dados em primeiro lugar, totalmente embutido no projeto, desde o início.
[2] Privacy by defaut significa que um produto ou serviço, quando lançado ao mercado, deve possuir toda e qualquer configuração de privacidade no modo mais restrito possível, por padrão.