Defesa cibernética: Governo e Teles repensam estratégias com o avanço do digital
Se de um lado o processo de transformação digital da sociedade e das empresas promete trazer saltos de produtividade e eficiência, de outro amplia a possibilidade da ocorrência de crimes cibernéticos. Preocupadas com isso, empresas e governos tomam medidas para adequar suas políticas de segurança a estas novas ameaças, conforme foi debatido nesta quinta-feira, 23/05, no Painel Estratégia Digital para Segurança Cibernética e Proteção de Dados, do Painel Telebrasil 2019.
No caso do governo federal, o chefe do Centro de Defesa Cibernético Brasileiro, Alan Costa, lembra que o governo percebeu, já em 2008, a necessidade de se proteger contra este tipo de ameaça. Hoje, segundo ele, a área de defesa cibernética está no nível estratégico do governo federal, definindo como proteger os sistemas de informação e defesa, além de atuar em conjunto com outros órgãos, como GSI (Gabinete de Segurança Institucional) nas ações de segurança cibernética.
Entre estas ações está a iniciativa Guardião Cibernético, que desde 2018 organiza exercícios de crise em conjunto com setores de mercado. Em 2018, os exercícios foram realizados com empresas dos setores elétrico e financeiro e, este ano, com companhias de energia nuclear e de telecomunicações. “A partir de uma simulação de crise, reunimos agentes destes setores para discutir como reagir neste cenário”, explica.
O general lembra que cada setor propõe seus meios de defesa e discute a melhor solução para aquela ameaça específica. Destes exercícios participam diretores das empresas e equipes das áreas de TI, segurança, jurídica e comunicação. “É um grande exercício de gestão de crise que proporcionamos a todos os setores”, contou.
Mas iniciativas como essa precisam vir acompanhadas de mudanças também no estabelecimento de novas práticas para a identificação de arquiteturas seguras. Para a general manager do Cert.br/NIC.br, Cristine Hoepers, já é hora de começar a substituir as certificações por requisitos mínimos de segurança. “Hoje em dia tudo é software e as certificações não garantem sua atualização”, lembra.
Por conta disso, o Cert.br vem trabalhando no desenvolvimento e divulgação de boas práticas que vão além das políticas de conformidade. A executiva lembrou que boa parte das vítimas de ataques são empresas que seguem regras de conformidade, que não são mais suficientes para garantir a segurança. Para ela, as boas práticas de segurança precisam chegar nas pontas: os celulares dos usuários finais ou os roteadores das empresas.
Ainda na ponta do usuário, Ruy Cesar Ramos, do ITI (Instituto de Tecnologia da Informação), destaca também a criação da identidade digital, que levará a certificação digital para todo cidadão brasileiro. Ele lembra que o país está razoavelmente bem quando se trata de infraestrutura, mas que a ponta do usuário precisa do reforço da certificação.
“Seguimos na cultura de login e senha, mas isso não funciona, porque as credenciais estão nas mãos de terceiros. A vulnerabilidade está no acesso a identidade do cidadão”, comenta. Ramos reforça a necessidade de garantir que quem está do outro lado da nuvem é realmente quem diz ser, o que vai possibilitar também a entrega de mais serviços digitais por parte do governo. Boa parte disso virá da identidade digital, em desenvolvimento em conjunto com o TSE (Tribunal Superior Eleitoral), que entregará uma identidade segura a cada cidadão.
Foco também nas empresas
O diretor de segurança cibernética da Oi, Angelo Coelho, diz que o maior sinal de compromisso dado pela companhia foi a colocação de toda a área de operações de TI da empresa sob sua responsabilidade. “O mind set tecnológico da OI é de proteção”, afirma. E diante do momento com a Huawei, o executivo não titubeou: “Temos tecnologia da Huawei e Cisco eporque elas são parceiras na estratégia que garantem os padrões de segurança cibernética”, afirmou.
Ele explica que uma das primeiras ações adotadas para que essa cultura se espalhasse pela empresa foi implementada no processo de compra: serviços, hardware ou software têm que atender requisitos de segurança para serem adquiridos. Na prática, a área definiu um padrão de segurança que deve ser atendido pelos fornecedores interessados em vender para a empresa.
Para o diretor para a área de cyber da Cisco para a América Latina, Ghassan Dreibi, é este tipo de cuidado interno que vai permitir às prestadoras de serviços de telecomunicações prover conectividade com segurança embarcada e de modo transparente para o usuário. “Isso exige um padrão mínimo e correto”, lembra.
E não se tratam apenas de padrões técnicos. A Huawei, por exemplo, vem atravessando um momento crítico por conta da guerra comercial entre os Estados Unidos e a China mas, segundo o diretor de relações internacionais da companhia, Carlos Lauria, isso não afetou as relações da companhia no Brasil. “A empresa há muitos anos se prepara para ser alvo a não ser abatida”, afirma.
O sócio e diretor de cibersegurança da KPMG, Afonso Coelho, reforça a necessidade dos exercícios de simulação. Segundo o executivo, as ameaças evoluíram para um ponto em que não se trata mais de saber se a empresa terá um vazamento, mas quando isso vai ocorrer. “Não é apenas uma obrigação para atender a legislação. Quando trabalhamos mostramos que é um treino que traz benefícios para as pessoas e as empresas”, diz.
Legislação
Outra das pontas a ser tratada quando se fala em segurança cibernética é a legal e, neste ponto, o Brasil vive a expectativa da aprovação da Lei Geral de Proteção de Dados. A nova lei é considerada um avanço, mas já é alvo de críticas, como as feitas pelo presidente da ConTIC (Confederação Nacional da Tecnologia da Informação e Comunicação), Edgar Serrano.
“A Lei Geral de Proteção de Dados avançou, mas as duas asas que permitiriam ao Brasil alçar voo: o PLC 79 e a lei de formação de mão de obra para o Brasil digital, não temos”, provoca. Além disso, ele acredita que a nova lei trará alguns problemas, como o tratamento igualitária a pequenas e grandes empresas. “Não podemos deixar que a Lei Geral seja mais um obstáculo a estas empresas: os pequenos varejos, que tem cadastro de seus clientes, como farão?”, questiona.
O presidente da Brasscom (Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação), Sergio Paulo Gallindo, apontou dois pontos positivos no processo de criação da lei. O primeiro é a criação da Autoridade Nacional de Segurança de Dados, que terá que definir as diretrizes da lei. O segundo ponto é o fato de a lei se focar mais em princípios do que em detalhes técnicos. “Isso é importante se trata de tecnologia, que envelhece rápido. Essa lei traz princípios e pode evoluir com o mercado”.