Passos recentes do governo brasileiro em prol da construção da trilha da segurança cibernética para o país

A notícia abaixo, aliada à procura por hackers pelo TSE, nos faz refletir sobre a segurança cibernética e a defesa nacional, mas também sobre a importância dessa segurança nas nossas vidas priovadas, cujos dados encontram-se nas bases governamentais.

Abrs.

Thereza.

JC e-mail 3845, e 10 de Setembro de 2009.

Passos recentes do governo brasileiro em prol da construção da trilha da segurança cibernética para o país, artigo de Claudia Canongia

"A Segurança Cibernética vem se caracterizando como uma função essencial à manutenção e preservação das infraestruturas críticas de um país, tais como Saúde, Energia, Defesa, Transporte, Telecomunicações e Informação"

Claudia Canongia é doutora em gestão da inovação, pesquisadora tecnologista do Inmetro e atua, desde fevereiro de 2009, na assessoria técnica do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSIPR). Artigo enviado pela autora ao "JC e-mail":



Em decorrência dos avanços científicos e tecnológicos dos últimos 30 anos e da velocidade com que os mesmos vêm ocorrendo é possível verificar um movimento acentuado de rearranjo das proposições das nações em termos de segurança e defesa, em especial no que concerne aos aspectos cibernéticos.



Os ataques cibernéticos no cenário atual apresentam escala mundial crescente e se caracterizam como o grande desafio do século. Portanto, disponibilidade, integridade, confidencialidade e autenticidade da informação são essenciais para a formulação de estratégias e para o processo decisório, especialmente no âmbito do amplo espectro de competências da administração pública federal. No caso do Brasil, por exemplo, em relação às grandes redes de governo, há cerca de 2.000 ataques por hora. Esse número se refere apenas às tentativas de invasão para roubar dados e informação, não estando contabilizados os ataques de vírus e spams.



A Segurança Cibernética, portanto, vem se caracterizando cada vez mais como uma função estratégica de Governo, e essencial à manutenção e preservação das infraestruturas críticas (1) de um país, tais como Saúde, Energia, Defesa, Transporte, Telecomunicações, e da própria Informação, dentre outras.



Como um ponto de partida para a constituição de uma base conceitual nesta temática, ainda em construção, a seguinte conceituação de segurança cibernética, vem sendo adotada na esfera pública, mais focadamente na comunidade de segurança da informação e comunicações, qual seja, segurança cibernética é entendida como a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infra-estruturas críticas (2). É, portanto, maior que segurança em TI, pois envolve pessoas e processos.



Os conceitos adotados de "infraestrutura crítica da informação", bem como de "ativos de informação" como parte dos fundamentos que sustentam o escopo da segurança cibernética, são: a) "infraestrutura crítica da informação" o subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade; b) "ativos de informação", os meios de armazenamento, transmissão e processamento da informação, os sistemas de informação, bem como os locais onde se encontram esses meios, e as pessoas que a eles têm acesso (Portaria n. 34, de 5 de agosto de 2009, publicada no Diário Oficial da União (D.O.U) n. 149 de 6 de agosto de 2009).



Como passos iniciais para a construção da trilha da segurança cibernética no âmbito da administração pública federal, direta e indireta (APF), o Gabinete de Segurança Institucional da Presidência da República (GSIPR), por intermédio de seu Departamento de Segurança da Informação e Comunicações (DSIC), vem articulando e promovendo com a efetiva colaboração de representantes de vários órgãos da APF, membros do Comitê Gestor de Segurança da Informação (CGSI), um conjunto de normas visando assegurar a segurança da informação e comunicações no governo, bem como vem alavancando a instituição de grupos de trabalhos e a formação de recursos humanos, para o tratamento de temas relacionados à segurança cibernética (3).



As recentes ações estimulam que a sociedade participe de perto desta construção, notadamente, tanto a comunidade científica e tecnológica, com sua P&D de excelência, na proposição e desenvolvimento da(s) melhor(es) solução(ões) tecnológica(s) e metodológica(s), quanto a comunidade do setor privado, atuando de forma inovadora, no lançamento no mercado de produtos, processos e serviços de valor agregado.



Como marco mais recente e relevante para o tema, pode-se citar a publicação da Instrução Normativa IN GSIPR n. 01/20086, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, a qual define que Segurança da Informação e Comunicações (SIC) são ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações, inovando e ampliando, portanto, o escopo de atuação da segurança da informação.



Os desdobramentos necessários à implementação do que é disciplinado pela citada IN são produzidos e publicados na forma de Normas Complementares (NC). A publicação no D.O.U de NCs ocorreu mais intensamente em 2009, quais sejam: a) "Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal", Portaria No. 29, publicada no D.O.U n. 125, de 3/7/2009; b) "Gestão de Risco de Segurança da Informação e Comunicações - GRSIC nos Órgãos e Entidades da Administração Pública Federal", Portaria No. 37, publicada no D.O.U n. 156, de 17/8/2009; e, c) "Criação de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR nos Órgãos e entidades da Administração Pública Federal," Portaria No. 38, publicada no D.O.U n. 156, de 17/8/2009. Certamente tais NCs representam um desafio a ser enfrentado pelos órgãos e entidades da APF, portanto, meios e mecanismos deverão ser articulados para o sucesso das implementações nos mesmos.



Outros temas de igual relevância encontram-se em construção com previsão de lançamento de novas NCs, ainda em 2009, tais como: a) gestão da continuidade dos negócios, tendo a SIC como o foco de destaque para as recomendações, sem perder de vista que para uma GCN robusta é essencial o envolvimento e ações de outras áreas e/ou processos da organização; e b) gestão de tratamento e resposta a incidentes de redes computacionais, que em considerando sua abrangência e especificidades técnicas, por vezes altamente especializadas, poderá se desdobrar em mais de uma NC.



Destacam-se, ainda, os avanços até então alcançados pelo DSIC/GSIPR, como resposta à percepção de necessidade de prover quadros em SIC na APF, em que desde 2006 até julho de 2009 apóia a formação de recursos humanos nas modalidades: a) eventos de sensibilização: 24.000 pessoas; b) eventos de conscientização: 2.372 servidores públicos distribuídos; c) eventos de capacitação: 395 servidores públicos; e d) eventos de especialização 40 servidores públicos e militares da APF, por turma. No processo de evolução, está planejada para 2009 a formatação e execução de cursos básicos de fundamentos à distância.



O Curso de Especialização em Gestão da Segurança da Informação e Comunicações, iniciado em 2007, realizado no âmbito do Departamento de Ciência da Computação da UnB, tem previsão de lançamento da 3a turma no final deste ano, com novo modelo de desenvolvimento, passando a ser disponibilizado à distância. Além disso, avançar na modelagem e na articulação deste curso de especialização para um mestrado profissional faz parte dos desafios colocados para 2010 aos parceiros da academia que colaborarão no novo processo.



Diante da necessária atualização conceitual e metodológica, outras iniciativas que visam promover a SIC na APF estão sendo empreendidas com apoio e no âmbito do CGSI, como é o caso da Portaria que institui o "Grupo de Trabalho de Segurança das Infraestruturas Críticas da Informação" (Portaria n. 34, D.O.U. n. 149 de 6/8/2009), em que há a oportunidade de convidar especialistas da academia e do setor privado.



Não se pode deixar de registrar como mais um importante passo na trilha da segurança e da defesa cibernética do país que o Decreto n. 6.703/2008 aprova a Estratégia Nacional de Defesa (4), e tem em sua dimensão a questão cibernética tratada no que se refere às tecnologias, capacitações, parcerias estratégicas e intercâmbios com nações amigas.



Certamente, a segurança cibernética requer um maior diálogo e consequente fortalecimento nas relações da tríplice hélice (governo, academia e setor privado), bem como o fortalecimento, em nível nacional e internacional, da cooperação técnica e da inserção do país em fóruns de formação de opinião e de decisão.



Finalmente, este texto não pretendeu ser exaustivo em relação às estratégias e às ações do governo brasileiro no âmbito deste tema tão complexo e instigante, e sim disseminar os passos recentes do governo brasileiro, por meio do GSIPR, em prol da construção da trilha da segurança cibernética para o país, como forma de subsidiar o debate nacional e a criação de agenda específica.



Notas:



1 - Segundo o Art. 2o. da Portaria No. 196 de 8 de junho de 2009, publicada no D.O.U. No. 109, de 10 de junho de 2009, por infraestruturas críticas entendem-se como sendo as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da Sociedade.



2 - Mandarino Jr., R. Um Estudo sobre a Segurança e a Defesa do Espaço Cibernético Brasileiro. (monografia aprovada no Curso de Especialização em Gestão da Segurança da Informação e Comunicações; orientador: Prof. Dr. Jorge Henrique Cabral Fernandes). Universidade de Brasília - UnB/ Departamento de Ciência da Computação - DCE:Brasília. Junho de 2009. pág. 29



3 - A competência e o escopo de atuação dos órgãos citados, são definidos nos seguintes instrumentos legais: a) criação do GSIPR: Lei n. 10.683 de 28/5/2003; b) criação do DSIC/GSIPR: Decreto n. 5.772 de 8/5/2006; e c) criação do CGSI: Art. 6 do Decreto n. 3.505 de 13/6/2000. Mais informações: http://dsic.planalto.gov.br



4 - Estratégia Nacional de Defesa - acesso em 7/5/2009 - http://www.fab.mil.br/portal/defesa/estrategia_defesa_nacional_portugues.pdf




Anterior
8. Pré-sal: emendas preservam fatia da indústria
Próxima
10. Senadores pedem investimento em tecnologia militar
Índice de Noticías
- imprimir
- enviar
- comentário