A Organização dos Estados Americanos (OEA) divulgou, em outubro de 2020, o relatório “Revisão da Capacidade de Cibersegurança – República Federativa do Brasil” ¹, preparado entre agosto de 2018 e junho de 2020, direcionado a investigação da maturidade da capacidade de segurança cibernética no país e ao apoio à priorização estratégica de investimentos no setor.
Segurança cibernética é um desafio exponencial que precisa acompanhar a velocidade das transformações tecnológicas. Busca-se garantir a integridade e a privacidade de dados, por meio de tecnologias e procedimentos voltados a gestão de riscos e incidentes, conformidade técnica, legal e regulamentar, controles internos, padrões de governança e campanhas educativas.
Essa discussão, apesar de não ser recente, disseminou-se de forma acelerada por causa da migração massiva e praticamente em tempo real de operações presenciais para a modalidade remota, desencadeada pela pandemia. A preocupação com a segurança cibernética, no entanto, deve ser permanente. Afinal, entre os riscos tecnológicos mais acentuados estão os ataques cibernéticos, quebra de infraestrutura de informações, fraude e roubo de dados (Global Risks Report 2020), ao mesmo tempo em que se observa o crescimento de ataques cibernéticos a empresas globais (Global Information Security Survey).
Este é o contexto no qual se mostrou relevante a aprovação da Estratégia Nacional de Segurança Cibernética (“E-Ciber”) por intermédio do Decreto nº 10.222/2020. O seu conteúdo associa-se a planejamento estratégico na área, que projeta as bases para um debate nacional por meio de conjunto amplo de recomendações sobre o design de modelo de governança cibernética, ciber-resiliência, arcabouço legal, participação, parceria e colaboração entre as partes interessadas.
O relatório da OEA divide-se em cinco dimensões da capacidade de segurança cibernética, integrantes do modelo de maturidade de capacitação, concebido pelo Centro Global de Capacidade de Segurança Cibernética, de Oxford, quais sejam: política e estratégia de segurança cibernética; cultura cibernética e sociedade; educação, treinamento e competências em segurança cibernética; estruturas jurídicas e regulamentares; normas, organizações e tecnologia.
Constatou-se que “a maturidade da capacidade do Brasil de proteger a infraestrutura crítica varia entre operadores públicos e privados”. Apesar das iniciativas, a legislação sobre segurança cibernética no Brasil continua em desenvolvimento, carecendo de uma estrutura regulamentar abrangente que considere expressamente esse tópico. O que se reflete na disseminação de uma cultura nessa área, tendo em vista a ausência de um programa nacional de conscientização e a necessidade de formar profissionais especialistas nessa temática.
A conclusão do relatório é dividida em sete grupos de recomendações, feitas a partir das informações prestadas durante a elaboração do documento. A finalidade é proporcionar orientação ao Brasil no que toca ao aprimoramento da capacidade existente de segurança cibernética. Em resumo, as recomendações são as seguintes:
(1) Adesão às normas: adotar, em nível nacional, normas e boas práticas de segurança cibernética nos setores público e privado, estabelecendo uma instituição responsável pela implementação, auditoria e avaliação da eficácia dessas normas, por meio de métricas de monitoramento, bem como legislação que permita a aplicação de medidas disciplinares por violação de políticas;
(2) Resiliência da infraestrutura de internet: melhorar a coordenação e a colaboração nos setores público e privado, realizando avaliações regulares, segundo diretrizes internacionais, a fim de identificar e mapear falhas críticas. Além disso, estabelecer um sistema para administrar formalmente a infraestrutura nacional;
(3) Qualidade de software: desenvolver catálogo de plataformas e aplicativos de software seguro nos setores público e privado, designando instituição para estipular os requisitos comuns de qualidade e funcionalidade de softwares nesses setores, monitorando e a avaliando a qualidade daqueles;
(4) Controles técnicos de segurança: conjunto de iniciativas que abrange treinamento frequente para funcionários de TI, oferta de serviços de proteção contra malware e vírus por provedores de serviços de internet, instituição de controles técnicos de segurança amplos e atualizados, com métricas para medir a sua eficácia, promoção de melhores práticas para os usuários e realização de testes regulares;
(5) Controles criptográficos: incentivo ao desenvolvimento e a divulgação desses controles em todos os setores e para todos os usuários, visando proteger dados em repouso e em trânsito, de acordo com normas e diretrizes internacionais;
(6) Mercado de segurança cibernética: estender a colaboração ao setor privado e ao meio acadêmico relativamente à P&D, promovendo o intercâmbio de informações e melhores práticas entre as organizações;
(7) Divulgação responsável: desenvolver estrutura responsável pela divulgação de vulnerabilidades no setor público, estimulando a sua adoção no setor privado, sendo necessária a indicação de prazo de divulgação, resolução programada e relatório de reconhecimento, em conjunto com a definição de requisitos de notificação para todos os setores.
Espera-se, pois, que o relatório da OEA incentive as discussões a respeito de segurança cibernética no Brasil, com a participação de todas as partes interessadas, desenhando-se esforço conjunto e colaborativo de arquitetura de governança nessa área, o que contribui diretamente para a percepção de confiança do mercado e dos usuários.
Wilson Sales Belchior – Graduado em Direito, especialista em Processo Civil e Energia Elétrica, MBA em Gestão Empresarial, Mestre em Direito e Gestão de Conflitos, Doutorando em Direito Constitucional. Advogado, palestrante, professor universitário em cursos de pós-graduação em diferentes estados e autor de diversos artigos e livros, publicados em revistas, jornais, portais de notícias e editoras de circulação nacional. Atualmente é Conselheiro Federal da OAB eleito para o triênio 2019-2021 e Presidente da Comissão Nacional de Direito Bancário.