Por uma nova política de SI brasileira

O pesquisador e consultor Raphael Mandarino Jr. reflete sobre o momento atual referente à SI, sugere a criação de um Conselho Nacional de Segurança e Defesa Cibernética e anuncia a criação do Instituto de Pesquisa e Estudos sobre Segurança, Defesa E Inteligência Cibernética, o IP_CIBER

Compartilhar:

Faz algum tempo, convivemos com uma situação estranha na questão segurança da informação dentro do governo federal, e a Medida Provisória Nº 696, de 2 de outubro de 2015, veio dar uma contribuição fantástica para complicar mais ainda a questão.

 

Comecemos do conceito. No arcabouço jurídico nacional, no patamar das Leis, em apenas um lugar surge a questão segurança da informação: nas competências do Gabinete de Segurança Institucional. O Legislador à época, entendeu que o assunto era tão crítico e importante que ombreou lado a lado duas funções de Estado. Assim aparece na Lei, desde então, destacado em um inciso: “coordenação das atividades de inteligência federal e de segurança da informação”.

 

A atribuição destas competências, tratadas assim em conjunto, a um Órgão de Estado, tem sua primeira referência no ano de 2000. De lá para cá a cada mudança da estrutura administrativa de governo, a competência permanece inalterada e sempre atribuída a um Órgão de Estado.

 

A MP 696, mantém ipsis litteris esta competência, atribuindo-a a recém-criada Secretaria de Governo. Novo Órgão que constitui a Presidência da República, que em seu próprio nome reforça a lógica por traz da sua criação e acumula funções típicas de governo, misturando-as com essas duas funções de Estado.

 

A começar por seu Ministro, militante e filiado ao partido do governo. Não é foco deste texto tecer comentários a respeito da subordinação da Inteligência Federal à um órgão político, mudança implementada por aquela MP, mas não me furto a dizer que lamento profundamente e torço para que esta distorção seja sanada rapidamente.

 

Com relação a segurança da informação entendida aqui no seu latu sensu: proteção da informação não importando o meio pelo qual trafegue ou esteja armazenado. A sua gestão ficou mais embaralhada.

 

Todas as três Instruções Normativas e as vinte e duas Normas Complementares sobre segurança da informação, existentes na Administração Pública Federal – APF, que vão desde como construir e implementar a Política de Segurança da Informação até o uso de Criptografia, em cada um dos órgãos e entidades da APF, foram construídas por consenso, ao longo do período que vai de 2006 até 2014, pelos membros do Comitê Gestor de Segurança da Informação – CGSI, Órgão do Conselho de Segurança Nacional, sob a Coordenação do Departamento de Segurança da Informação e Comunicações – DSIC.

 

Ocorre que ao fatiarem as competências do antigo Gabinete de Segurança Institucional, o DSIC e o CGSI, foram abrigados em Órgãos distintos, Secretaria de Governo e Casa Militar, respectivamente.

 

Não parece um grande problema, pois ambos os órgãos pertencem a presidência da república. Entretanto, basta um olhar na conjuntura atual da gestão da segurança da informação, para perceber, que nada é tão simples como aparenta.

 

Há na Esplanada (e adjacências) uma série de Órgãos que buscam o protagonismo na gestão da segurança da informação ou de seus rótulos mais modernos: segurança cibernética, defesa cibernética, inteligência cibernética, e por aí vai, conceitos que se confundem, e que apesar de não serem exatamente sinônimos se complementam.

 

Não quero me tornar enfadonho, a literatura, ou a internet, está cheia de conceituações sobre cada uma dessas designações. Mas deixo aqui a minha visão. Segurança da informação é um guarda-chuva que abarca a proteção da informação em qualquer forma em que ela se apresente – analógica ou digital, e em qualquer meio que ela esteja armazenada, num papel ou em um computador.

 

As definições Segurança, Defesa e Inteligência Cibernética se aplicam a informação em formato digital e que trafegam pela Internet, por exemplo.

 

Sem maiores aprofundamentos nos conceitos, podemos dizer grosso modo que a Segurança Cibernética cuida das vulnerabilidades das redes de computadores e de seus softwares, além dos crimes praticados pelo uso destas redes. Ou seja, é uma responsabilidade das equipes de resposta a incidentes de redes e da Polícia. Defesa Cibernética é a proteção dos interesses (informações, sistemas e infraestruturas críticas) do Estado e da Sociedade brasileira contra ameaças externas, sem dúvida uma atribuição das nossas forças Armadas. E Inteligência Cibernética, é o uso de técnicas para detectar antecipadamente ameaças externas e tentativas de aproveitamento das vulnerabilidades de nossas redes. Em se tratando da defesa do Estado e da Sociedade é uma atividade que deve estar a cargo do órgão de Inteligência de Estado.

 

Funções complexas que devem estar perfeitamente coordenadas por cada um dos órgãos com papel a desempenhar. Entretanto, não há no governo federal um órgão ou entidade que centralize as políticas e as decisões nesta área. Que a coordene enfim. E a MP, veio acrescentar dois novos integrantes neste time.

 

Isso fica ainda mais crítico quando percebemos que o Governo, que não consegue nem mesmo coordenar esta atividade entre seus órgãos e entidades, ainda não deu um passo concreto em direção a coordenar a proteção cibernética da Sociedade. Estamos vivendo na chamada Sociedade da Informação, com todas as vantagens e desvantagens que isso traz.

 

Riscos cibernéticos não afetam apenas aos órgãos públicos, mas sim a toda a sociedade, cada empresa escola ou cidadão. Basta ter um celular conectado na internet.

 

Soluções existem. E outros países, que já entenderam que o Espaço Cibernético constitui a Nação Virtual, buscam soluções para proteger a sua Sociedade. Não seria a hora de voltarmos a pensar como Estado e buscar defender a nossa Sociedade?

 

Voltando a MP, no meio de tantos conselhos criados e existentes, será que não seria a hora de se pensar na criação de um Conselho Nacional de Segurança e Defesa Cibernética órgão de assessoramento vinculado à Presidência da República, composto por Ministros de Estado e por Conselheiros representantes da sociedade civil, designados pelo Presidente da República, entre representantes de usuários, de prestadores de serviços e de empresas dos setores de software e de hardware, infraestrutura de telecomunicações e Internet.

 

Não vejo clima político para isso acontecer no curto prazo. Por isso, estou fazendo a minha parte, criei e estou em fase de implantação do INSTITUTO DE PESQUISA E ESTUDOS SOBRE SEGURANÇA, DEFESA E INTELIGÊNCIA CIBERNÉTICA – IP_CIBER, sem fins lucrativos, com o objetivo fundamental de realizar estudos, pesquisas e capacitações na área de Segurança da Informação, Gestão do Conhecimento, Segurança, Defesa e Inteligência Cibernética que aprofundem e aprimorem o conhecimento e a cultura de Segurança da Informação no Brasil.

 

É uma grande empreitada e preciso da ajuda de todos que querem um Brasil melhor e mais seguro.

 

* Raphael Mandarino Jr. é ex-diretor do Departamento de Segurança da Informação e Comunicações da Presidência da República. Hoje é pesquisador em Segurança Cibernética, Consultor e Conferencista.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Colunas & Blogs

Minha organização foi invadida. E agora?

Diante de um cenário em que um ataque cibernético sem precedentes possa atingir a qualquer momento os players de mercado,...
Security Report | Colunas & Blogs

Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs

Diversos estudos mercadológicos a respeito das atividades de Segurança e sua relação com as corporações demonstram que a cultura empresarial...
Security Report | Colunas & Blogs

A importância da inclusão da disciplina de segurança da informação na formação escolar

Diante de uma realidade cada vez mais conectada, em que as crianças e jovens tem contato desde os primeiros anos...
Security Report | Colunas & Blogs

Estratégias essenciais para a Segurança de endpoints

A importância da integridade dos endpoints para a continuidade dos negócios torna a defesa desses elementos parte crítica das atividades...