Transformação digital impõe estratégia para segurança e defesa cibernética

Governo faz teste com a indústria de telecomunicações para a adoção de medidas proativas a possíveis ataques. Empresas montam suas políticas de proteção com a participação de todos os setores de comando. Estrratégia Digital para segurança cibernética e proteção de dados foi tema de debate no Painel Telebrasil 2019.

Se de um lado o processo de transformação digital da sociedade e das empresas promete trazer saltos de produtividade e eficiência, de outro amplia a possibilidade de ocorrência de crimes cibernéticos. Preocupados com isso, empresas e governos tomam medidas para adequar suas políticas de segurança para impedir essas novas ameaças, conforme foi debatido nesta quinta-feira, 23/05, no painel Estratégia Digital para Segurança Cibernética e Proteção de Dados do Painel Telebrasil 2019.

No caso do governo federal, o chefe do Centro de Defesa Cibernética Brasileiro, Alan Costa, lembrou que o governo percebeu, já em 2008, a necessidade de se proteger contra esse tipo de ameaça. Hoje, segundo ele, a área de defesa cibernética está no nível estratégico do governo federal, defininda como proteção aos sistemas de informação e defesa, além de atuar em conjunto com outros órgãos, como o GSI (Gabinete de Segurança Institucional), nas ações de segurança cibernética.

Entre essas ações está a iniciativa Guardião Cibernético, que desde 2018 organiza exercícios de crise em conjunto com setores de mercado. Em 2018, os exercícios foram realizados com empresas dos setores elétrico e financeiro e, este ano, com companhias de energia nuclear e de telecomunicações. “A partir de uma simulação de crise, reunimos agentes desses setores para discutir como reagir nesse cenário”, explicou.

O general disse que cada setor propõe seus meios de defesa e discute a melhor solução para aquela ameaça específica. Desses exercícios participam diretores das empresas e equipes das áreas de TI, segurança, jurídica e comunicação. “É um grande exercício de gestão de crise que proporcionamos a todos os setores”, contou.

Mas iniciativas como essa precisam vir acompanhadas de mudanças também no estabelecimento de novas práticas para a identificação de arquiteturas seguras. Para a general manager do Cert.br/NIC.br, Cristine Hoepers, é hora de começar a substituir as certificações por requisitos mínimos de segurança. “Hoje em dia, tudo é software e as certificações não garantem sua atualização”, lembrou.

Por conta disso, o Cert.br vem trabalhando no desenvolvimento e divulgação de boas práticas que vão além das políticas de conformidade. A executiva citou que boa parte das vítimas de ataques é composta de empresas que seguem regras de conformidade, que não são mais suficientes para garantir a segurança. Para ela, as boas práticas de segurança precisam chegar nas pontas: os celulares dos usuários finais ou os roteadores das empresas.

Ainda na ponta do usuário, Ruy Cesar Ramos, do ITI (Instituto de Tecnologia da Informação), destacou também a criação da identidade digital, que levará a certificação digital para todo cidadão brasileiro. Ele lembrou que o País está razoavelmente bem quando se trata de infraestrutura, mas que a ponta do usuário precisa do reforço da certificação.

“Seguimos na cultura de login e senha, mas isso não funciona, porque as credenciais estão nas mãos de terceiros. A vulnerabilidade está no acesso à identidade do cidadão”, comentou. Ramos reforçou a necessidade de garantir que quem está do outro lado da nuvem é realmente quem diz ser, o que vai possibilitar também a entrega de mais serviços digitais por parte do governo.

Boa parte disso virá da identidade digital, em desenvolvimento conjunto com o TSE (Tribunal Superior Eleitoral), que entregará uma identidade segura a cada cidadão.

Foco também nas empresas

O diretor de segurança cibernética da Oi, Angelo Coelho, diz que o maior sinal de compromisso dado pela companhia foi a colocação da área de operações de TI da empresa sob sua responsabilidade. “O mind set tecnológico da Oi é de proteção”, afirma. Ele explicou que uma das primeiras ações adotadas para que essa cultura se espalhasse pela empresa foi implementada no processo de compra: serviços, hardware ou software têm de atender requisitos de segurança para serem adquiridos. Na prática, a área definiu um padrão de segurança que deve ser atendido pelos fornecedores interessados em vender para a empresa.

Para o diretor para a Área de Cyber da Cisco para a América Latina, Ghassan Dreibi, é esse tipo de cuidado interno que vai permitir às prestadoras de serviços de telecomunicações prover conectividade com segurança embarcada e de modo transparente para o usuário. “Isso exige um padrão mínimo e correto”, enfatizou.

E não se trata apenas de padrões técnicos. A Huawei, por exemplo, vem atravessando um momento crítico por conta da guerra comercial entre os Estados Unidos e a China mas, segundo o diretor de Relações Internacionais da companhia, Carlos Lauria, isso não afetou as relações da Huawei no Brasil. “A empresa há muitos anos se prepara para ser um alvo a não ser abatido”, afirmou.

O sócio e diretor de Cibersegurança da KPMG, Afonso Coelho, sublinhou a necessidade dos exercícios de simulação. Segundo o executivo, as ameaças evoluíram para um ponto em que não se trata mais de saber se a empresa terá um vazamento, mas quando isso vai ocorrer. “Não é apenas uma obrigação para atender à legislação. Quando trabalhamos, mostramos que é um treino que traz benefícios para as pessoas e as empresas”, disse.

Legislação

Outra das pontas a serem tratadas quando se fala em segurança cibernética é a legal e, neste ponto, o Brasil vive a expectativa da aprovação da Lei Geral de Proteção de Dados. A nova lei é considerada um avanço, mas já é alvo de críticas, como as feitas pelo presidente da ConTIC (Confederação Nacional da Tecnologia da Informação e Comunicação), Edgar Serrano.

“A Lei Geral de Proteção de Dados avançou, mas as duas asas que permitiriam ao Brasil alçar voo: o PLC 79 e a lei de formação de mão de obra para o Brasil digital, não temos”, provocou. Além disso, ele acredita que a nova lei trará alguns problemas, como o tratamento igualitário a pequenas e grandes empresas. “Não podemos deixar que a Lei Geral seja mais um obstáculo a essas empresas: os pequenos varejos, que tem cadastro de seus clientes, como farão?”, questionou.

O presidente da Brasscom (Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação), Sergio Paulo Gallindo, apontou dois pontos positivos no processo de criação da lei.  O primeiro é a criação da Autoridade Nacional de Segurança de Dados, que terá de definir as diretrizes da lei. O segundo ponto é o fato de a lei se focar mais em princípios do que em detalhes técnicos. “Isso é importante quando se trata de tecnologia, que envelhece rápido. Essa lei traz princípios e pode evoluir com o mercado.”