O Decreto 10.222, publicado em 2020, estabelece a Estratégia Nacional de Segurança Cibernética (E-Ciber), com o objetivo de criar uma visão panorâmica sobre o papel do Brasil no que diz respeito à cyber security e nortear o desenvolvimento nesta área até 2023.
Como sabemos, a adaptação de processos e procedimentos para o ambiente virtual, que já era uma tendência, teve que ser acelerada por conta da pandemia da Covid-19.
Essa mudança trouxe diversos benefícios, mas também potencializou ameaças de ataques, exploração de vulnerabilidades e vazamento de dados.
Nesse contexto, a atualidade é um momento de muita preocupação em relação à cyber security, já que também entrou em vigência a Lei Geral de Proteção de Dados (LGPD).
A administração dos riscos cibernéticos já está no topo da lista de prioridades de gestores de negócios das mais diversas áreas e a atenção com tudo o que diz respeito à cyber security tem sido ininterrupta.
A meta é a constante identificação das vulnerabilidades e posterior direcionamento de esforços no sentido de reduzir os riscos.
Esta é uma abordagem bastante complexa que demanda empenho e envolve novas práticas, processos, índices, métricas e tecnologia avançada.
A gestão voltada para a cyber security com base em riscos parte do princípio de que esses riscos não se restringem à área da tecnologia.
Eles também precisam ser interpretados como riscos operacionais, pois dizem respeito a potenciais perdas para o negócio em diversas áreas.
Ou seja, um risco cibernético pode ocasionar a perda da produtividade, o descumprimento das regulamentações vigentes, os danos à imagem da empresa e, sobretudo, as perdas financeiras.
Podemos pensar também nas perdas físicas, como a inviabilidade do uso de equipamentos e dispositivos operacionais.
Portanto, os riscos operacionais são também riscos de negócio e o fortalecimento das medidas de proteção do ciberespaço foi, inclusive, recomendado pelo Fórum Econômico Mundial, pois as falhas de cyber security prejudicam a confiança e o crescimento econômico.
Por isso é tão importante implementar rotinas de cyber security que sejam simples e transparentes para que se possa ter uma visão real dos riscos e definir os esforços prioritários.
Quando não há clareza sobre essas rotinas, os cibercriminosos se beneficiam da incapacidade organizacional de lidar com os riscos e proteger seu ecossistema digital.
Nesta perspectiva, não basta contar com dispositivos avançados de cyber security. É necessária uma atuação mais estratégica e baseada nos riscos.
Os gestores precisam trabalhar com a priorização dos riscos mais importantes para o negócio. Essa habilidade é o termômetro da maturidade organizacional em relação à cyber security.
Elaboramos um guia para facilitar o entendimento sobre cyber security e a relação entre ela e a Estratégia Nacional de Segurança Cibernética.
Continue a leitura!
O que é cyber security?
Em tradução livre, cyber security significa segurança cibernética, mas não existe uma definição consensual sobre a definição do conceito.
Podemos partir da definição dada pelos padrões como a ISO/IEC 27032: cyber security diz respeito à preservação da confidencialidade, da integridade e da disponibilidade das informações no ciberespaço.
Ou seja, a cyber security define os princípios norteadores das atividades de segurança no ambiente online.
Podemos recorrer também a uma definição um pouco mais abrangente utilizada na União Europeia segundo a qual a cyber security diz respeito às atividades necessárias à proteção de redes e sistemas de informação e também dos usuários desses recursos e terceiros que possam vir a ser afetados por ameaças digitais.
Segundo essa definição, a cyber security não diz respeito apenas à segurança no ciberespaço, mas abrange a segurança dos sistemas, dos usuários e das informações.
Em outras palavras, tudo o que compõe, atua ou é afetado pelas vulnerabilidades, ameaças e ataques cibernéticos está ligado ao conceito e à função da cyber security.
Já no Reino Unido, a cyber security diz respeito à proteção de sistemas integrados, dos dados contidos nesses sistemas e dos serviços que atuam contra o acesso indevido e os prejuízos ligados a ele.
No caso, os sistemas incluem hardwares, softwares e toda a infraestrutura associada a ambos e os prejuízos que precisam ser evitados podem ser intencionais ou acidentais.
Essa visão sobre a segurança cibernética inclui elementos específicos relacionados aos riscos e danos que podem ser causados por ações maliciosas associadas também aos dados e sistemas.
Para fechar nossa lista de definições, vamos lembrar também da visão colombiana sobre cyber security.
Segundo ela, o conceito diz respeito à capacidade estatal de minimizar os riscos aos quais os cidadãos estão expostos, protegendo também os ativos do estado.
Nesse sentido, a segurança cibernética engloba um conjunto de recursos, conceitos de segurança, diretrizes, políticas e métodos de investigação e de gestão de riscos.
É notável a ênfase dada ao cidadão na definição colombiana e a colocação do Estado como o principal responsável pela cyber security.
Diante de todas essas diferentes definições, vamos agora ao que se entende por cyber security no Brasil.
Segundo o Glossário de Segurança da Informação publicado pela Presidência da República, a cyber security ou segurança cibernética compreende:
“Ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis”.
Essa definição destaca os três princípios compartilhados pela comunidade de segurança da informação: a confiabilidade, a integridade e a disponibilidade.
Ela também destaca a importância do papel da resiliência dos sistemas e adota a linguagem oriunda da Lei Geral de Proteção de Dados.
Uma diferença importante entre a definição brasileira e a colombiana é que aqui o papel do indivíduo não é destacado dentro da segurança cibernética.
O fato é que a cada dia acontecem milhares de ataques cibernéticos em redes de todo o mundo que prejudicam pessoas e empresas por conta da exposição de dados sensíveis.
Ou seja, a cyber security deve ser uma preocupação da sociedade como um todo e, por isso, deve passar pela atuação estatal.
Relação entre a Cyber Security e a Estratégia Nacional de Segurança Cibernética
A confiabilidade do ambiente digital e a garantia de sua segurança passam, certamente, pela atuação estatal e dependem da conscientização da sociedade como um todo, sobretudo nos gestores de negócios.
Isso significa que a cyber security envolve muito mais do que os recursos técnicos mais avançados no combate aos ataques.
É preciso construir e aprimorar constantemente uma sociedade preparada e resiliente no que diz respeito aos desafios de segurança.
Um esforço nesse sentido está visivelmente presente no texto da LGPD e nas ações relacionadas ao seu cumprimento nos diferentes setores da sociedade.
A busca por essa preparação também está presente na elaboração de documentos como a Estratégia Nacional de Segurança Cibernética (E-Cyber), que foi lançada em fevereiro de 2020.
Esse decreto (10.222/2020) estabelece diretrizes e orientações a respeito das ações pretendidas para a área da cyber security no quadriênio 2020-2023.
O documento foi elaborado com vistas a atender o inciso I do artigo 6º do Decreto 9637/2018, relacionado à Política Nacional de Segurança da Informação.
Este é um componente do conjunto de medidas que também inclui a defesa cibernética, a segurança das informações sigilosas e das infraestruturas críticas e a proteção contra o vazamento de dados.
Nesse sentido, há uma ligação clara entre o e-Cyber e a LGPD, já que a estratégia traçada contribui, seja de forma direta ou indireta, para que a conformidade com a Lei seja alcançada de maneira eficaz.
A Estratégia Nacional de Segurança Cibernética foi elaborada a partir de dois grupos de eixos temáticos: o da proteção e segurança e os eixos transformadores.
No primeiro deles, as estratégias expostas são voltadas para a governança da segurança cibernética nacional e a para a criação de um universo conectado.
Esse universo deve ser seguro e focar na mitigação das ameaças cibernéticas e na proteção estratégica.
O segundo eixo temático diz respeito à expansão da questão normativa e ao amadurecimento de uma cooperação internacional relativa à cyber security.
Assim, seu foco está na criação de parcerias estratégicas e no fomento ao desenvolvimento, à pesquisa e à inovação tecnológica.
Também encontramos nesse segundo eixo a questão da elaboração de uma educação direcionada para a cyber security.
Nesse contexto, ao fazer a leitura e análise dos eixos da Estratégia Nacional, é possível perceber que os tópicos abordados implicam diretamente na aplicabilidade das regras da LGPD.
Isso fica especialmente evidenciado nos tópicos relacionados à educação, que é a forma mais eficaz de buscar a maturidade plena da sociedade sobre a importância da cyber security.
A LGPD, inclusive, prevê a promoção do conhecimento das políticas públicas e normas relacionadas à proteção de dados pessoais e das medidas de segurança necessárias.
Sendo assim, é fundamental o incentivo à pesquisa, à inovação, ao desenvolvimento e à educação para que a sociedade se torne consciente sobre os seus direitos e sobre as tecnologias à sua disposição.
A Cyber Security e a Área de TI
Os riscos cibernéticos não podem ser tomados isoladamente até porque o ambiente digital perpassa todas as rotinas de um negócio.
Segundo o Fórum Econômico Mundial de 2020, 2021 e 2022, os ataques cibernéticos e o comprometimento das infraestruturas de informação estão na lista dos 10 maiores riscos globais no que diz respeito ao potencial impacto.
Esses riscos ganharam muito mais amplitude com a pandemia da Covid-19, que acelerou a digitalização das empresas sem que a maioria delas estivesse preparada para lidar com as ameaças digitais.
Assim, foi criada uma nova superfície de vulnerabilidades e consequentes ataques, já que muitas pessoas passaram a efetuar o trabalho remoto sem contarem com orientações sobre boas práticas de segurança da informação.
Os setores público e privado sofreram com diversos ataques durante este período. Foi o que ocorreu com o Superior Tribunal de Justiça em novembro de 2020.
Um ransomware criptografou os arquivos do órgão, deixando ainda mais evidente a falha da administração pública em prevenir e responder a ataques.
Com este exemplo, dentre tantos outros que surgem semanalmente, conseguimos entender a real dimensão do problema da negligência com a cyber security e também que ela não está restrita à área de tecnologia da informação.
Um ataque deste porte pode expor informações inclusive de pessoas que não lidam diretamente com nenhum sistema tecnológico e as consequências podem ser catastróficas.
Por isso, é preciso entender que a cyber security está compreendida na área da segurança da informação e se relaciona profundamente com a gestão de risco e continuidade de um negócio.
É nesse sentido que ela deve ser pensada e planejada no contexto organizacional para que se insira em uma estratégia de gestão eficiente e agregadora.
Em outras palavras, a cyber security é da competência não apenas dos gestores de tecnologia da informação, mas também (e sobretudo) daqueles que administram o negócio como um todo.
Se as falhas de segurança da informação podem potencializar ataques que vão prejudicar a imagem, as finanças e a própria continuidade do negócio, não há razão para minimizar o problema restringindo-o apenas a uma área ou setor da empresa.
Para que a cyber security ganhe a devida atenção e dedicação de que necessita dentro das empresas, existe uma palavra-chave a ser priorizada: a comunicação.
A criação de uma jornada eficiente de resiliência cibernética deve começar pela criação de um amplo canal de comunicação entre os executivos e as equipes envolvidas com a segurança.
A partir dessa comunicação, será possível visualizar a superfície de potenciais ataques e analisar os riscos.
O passo seguinte será o foco na proteção dos sistemas e informações tendo como base os riscos de maior impacto.
Do ponto de vista da escolha das ferramentas, é importante contar com plataformas que auxiliem decisivamente no mapeamento e na gestão das vulnerabilidades com aprimoramentos constantes.
As tecnologias cloud, 5G, IoT e IaC estão entre as tendências no setor de cyber segurança para os próximos anos.
Mas é fundamental nunca esquecer da priorização da criação e manutenção de uma cultura organizacional consciente sobre os riscos e seus diferentes impactos possíveis.
É a partir dela que você e sua equipe poderão definir as diretrizes das suas ações preventivas e, inclusive, utilizá-las como parâmetros dentro de plataformas como a EcoTrust.
A EcoTrust é uma plataforma SaaS de cyber security que utiliza uma abordagem de inteligência em riscos cibernéticos (Cyber Risk Intelligence) e funciona com um BI de Cyber Security. Ela possibilita a descoberta e gerenciamento de vulnerabilidades e riscos cibernéticos de forma orquestrada, simplificada e automatizada. Quer conhecê-la? Solicite uma demo!