Voltar

Governo refaz política de Segurança da Informação e admite ‘fragilidades’

08/07/2015
Imagem retirada de http://www.pbti.com.br/news/seguran%C3%A7a-da-informa%C3%A7%C3%A3o-nas-empresas%3A-sobram-riscos,-faltam-cuidados/
Imagem retirada de http://www.pbti.com.br/news/seguran%C3%A7a-da-informa%C3%A7%C3%A3o-nas-empresas%3A-sobram-riscos,-faltam-cuidados/

Ligado à Presidência da República, o Gabinete de Segurança Institucional elaborou uma estratégia plurianual de segurança da informação que visa dar ao Brasil “uma robusta capacidade de posicionamento e resposta frente a potenciais quebras de segurança e ameaças cibernéticas”. O plano inicial, com metas graduais até 2018, passa pela criação de um órgão central de segurança e, especialmente, pela “alocação de recursos financeiros, tecnológicos e humanos”.

Nessa direção de um órgão central com “orçamento adequado”, o plano de metas da ‘Estratégia’ prevê em seu cronograma que a partir do próximo ano seja realizado um estudo de viabilidade da criação de carreira de Estado em segurança da informação e defesa cibernética, com sua respectiva estrutura organizacional. A ideia é que tal estudo seja concluído até 2018 para ser apresentado ao governo.

Enquanto isso não acontece, a proposta prevê a criação, já, de uma ‘Câmara Multissetorial de SIC e SegCiber’. Pelo plano, essa Câmara deve ser estabelecida até meados de agosto. Coordenada pelo GSI, ela terá caráter consultivo e deve reunir “no máximo 20 instituições”. O desenho parece inspirado no Comitê Gestor da Internet, visto que teria “55% de representação do governo e os demais distribuídos entre academia, setor privado e terceiro setor”.

A ideia é ter reuniões periódicas de aconselhamento. “Certamente, há que se definir, com base em amplos debates com atores chave do governo, da academia, do setor privado e do terceiro setor, percentual do PIB a ser formalizado como patamar mínimo de investimento em SIC e em SegCiber, de forma a estabelecer um ciclo virtuoso de desenvolvimento em prol da soberania nacional e da segurança institucional como um todo.”

Fragilidades
O documento “Estratégia de segurança da informação e comunicações e de segurança cibernética da administração pública federal 2015-2018” não chega a entrar em minúcias, mas começa por reconhecer as “fragilidades do Brasil frente à espionagem eletrônica internacional” – fraquezas essas diretamente ligadas ao sistema de telecomunicações brasileiro e à “forte dependência externa e ausência de domínio em tecnologias sensíveis de SIC e SegCiber”.

Nem podia ser diferente. Dois anos depois de Edward Snowden detalhar como o Brasil, entre muitos, tem suas comunicações devassadas pelos Estados Unidos, muito pouco se avançou além da retórica indignada. Ou, no palavreado do GSI: “Não obstante os esforços do governo em fortalecer as ações de SIC e de SegCiber, o nível de maturidade ainda encontra-se em patamar aquém do desejado nos órgãos e entidades da Administração Pública Federal”.

A ‘Estratégia’ alinha metas de elevar essa maturidade, aprimorar a capacitação e a pesquisa em “hardware e algoritmos criptográficos proprietários de Estado”. Mas evidencia que pouco terá sucesso sem que a segurança da informação conquiste “destaque no planejamento, bem como aportes contínuos e adequados de recursos do orçamento federal”. Ainda naquele 2013, o então ministro da Defesa Celso Amorim já explicitava o pouco caso nessa questão: o orçamento era inferior a R$ 400 milhões – um quarto disso contingenciado.

Além de dinheiro, a ‘Estratégia’ defende “o estabelecimento de um órgão central e de um sistema nacional, objetivando a coordenação executiva, o acompanhamento e a avaliação da implantação e execução da Política Nacional de SIC e SegCiber”. Nas 80 páginas do documento não fica explícito onde tal órgão seria ‘pendurado’ no governo, mas os sinais são de que isso seria a partir do próprio GSI – que, afinal, já comanda a parte normativa sobre o tema.

A ausência desse órgão central é exposta em diversas passagens da ‘Estratégia’, associada à “carência do estabelecimento de governança efetiva da SIC e da SegCiber, e da segurança dos ativos de informação críticos”, em contraposição à necessidade de “coordenação executiva de tais temas, de forma sistêmica e participativa”, sempre “somada a ausência de destaque orçamentário específico e adequado ao tamanho do problema”.

Fonte: Imasters, com informações do Convergência Digital