3/3/2020
Em 6 de fevereiro de 2020 foi publicado o Decreto nº 10.222/2020 que estabeleceu a Estratégia Nacional de Segurança Cibernética (E-Ciber). A E-ciber é o primeiro módulo da implementação da Política Nacional de Segurança da Informação (Decreto 9.367/2018) e contém as principais ações pretendidas pelo Governo federal na área de segurança cibernética de 2020 a 2023.
A E-Ciber tem como objetivos i) preencher lacunas sobre segurança cibernética; ii) proteger o próprio Governo, tendo em vista ataques cibernéticos recentes em sistemas de governo com o objetivo de causar danos à imagem do Governo, e iii) realizar a proteção cibernética das empresas responsáveis infraestruturas críticas.
A fim de atingir os objetivos almejados, a E-Ciber, faz recomendações para o setor público, o setor privado e o terceiro setor. Dentre as recomendações ao setor público, destaca-se a negociação de tratados de assistência jurídica mútua (ou MLATs, Mutual Legal Assistance Treaties) e o compartilhamento de informações para cooperação nacional.
Infraestruturas críticas são aquelas que se interrompidas ou destruídas, provocariam sério impacto social, econômico, político, internacional ou à segurança nacional – como empresas de Telecomunicações, Transportes, Energia, Água e ao setor Financeiro. Essas infraestruturas estão cada vez mais dependentes de sistemas de informação e controles automatizados, que por sua vez são alvo de diversos ataques cibernéticos e por isso precisam implantar um alto nível de segurança.
A E-Ciber estabelece que tais infraestruturas devem considerar a segurança cibernética como ação prioritária de investimentos, por exemplo implementar políticas de segurança cibernética com avaliações, métricas e revisão; elaborar planos de gestão de riscos, tratamento e resposta a incidentes; planejar orçamento para combate aos incidentes de segurança; e participar em exercícios cibernéticos.
Além disso, destaca a importância da interação entre as agências reguladoras de tais setores para tratar de temas de segurança cibernética; incentiva a constituição de Equipes de Treinamento e Resposta a Incidentes Cibernéticos – ETIRs e estimula o envio de notificações sobre incidentes cibernéticos ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo – CTIR Gov.
Por fim, incentiva a educação cibernética de três formas: i) capacitação, ii) formação e iii) conscientização e entende que deve haver participação de entidades públicas e privadas em exercícios regionais e internacionais como forma de apoiar a cooperação com parceiros estratégicos e que as agências reguladoras são relevantes na adoção de procedimentos de segurança cibernética, por parte de seus entes regulados.
A nova iniciativa oferece espaço para desenvolvimento de novos modelos de negócios em serviços digitais para gerenciamento de risco, previsão e controle de falhas e ataques cibernético, sobretudo porque empresas atuantes em infraestrutura hoje estão integradas a aplicativos, contratos inteligentes com clientes e fornecedores, contratos de gestão e armazenamento de dados em nuvem, analíticas de big data, mídias e mobilidade sociais; a Estratégia exige das empresas conduta proativa para cumprimento da legislação, o que contribui para reduzir responsabilidade por violação de segurança e observância de obrigações de notificação em situações envolvendo vazamento de dados.
O Decreto nº 10.222/2020 pode ser acessado clicando aqui
