O elevado grau de digitalização da sociedade, das empresas e do governo brasileiros, evidentemente uma fortaleza, traz consigo também desafios: as ameaças à segurança cibernética e seu custo para o Brasil. Em2023, o país ficou em segundo lugar na América Latina e Caribe em número de tentativas de ataques, atrás apenas do México. Além disso, cada incidente de violação de dados custou, em média, US$ 1, 22 milhão ao Brasil. Esses números indicam a necessidade de o país estar pronto para barrar as ameaças e ataques, desafio que deve ser enfrentado pelos diversos níveis de governo.
No âmbito dos estados, o cenário foi mapeado por um levantamento do subgrupo de trabalho de Segurança Cibernética do GTD.GOV, Grupo de Transformação Digital formado por uma rede de especialistas de todas as unidades federativas. A pesquisa analisou modelos de governança de cibersegurança e capital humano designado para trabalhar com esse tema.
Com base nesse panorama, o Banco Interamericano de Desenvolvimento (BID) elaborou a publicação “Cibersegurança nos estados brasileiros: diagnóstico e recomendações”, com ações que podem ser adotadas para fortalecer a governança, estabelecer normas e estruturar as áreas de segurança da informação e cibernética. O objetivo é a apoiar a tomada de decisão sobre iniciativas que aumentem a segurança e a confiabilidade dos cidadãos nos serviços públicos digitais.
Um dos principais achados do levantamento nos estados traz um dado positivo: três em cada quatro unidades da federação possuem uma política de segurança da informação em vigor ou em processo de elaboração. Mais especificamente, 42% já publicaram sua política (principalmente por meio de decreto estadual) e 31% estão elaborando suas diretrizes.
Por outro lado, entre as políticas já em vigor, a maioria (73%) tem alcance limitado, aplicando-se somente aos órgãos do poder executivo estadual, sem valer para as entidades, os demais poderes ou o setor privado. No restante dos casos, a política em vigor é transversal, e apenas o setor privado não é alcançado.
Com relação à responsabilidade pela agenda de segurança da informação e privacidade e proteção de dados, a pesquisa indica que, em 42% das unidades da federação, esse papel é desempenhado por uma pessoa responsável que trabalha em uma secretaria estadual. Em outros 27%, é alguém que trabalha em uma diretoria ou superintendência.
Também é possível identificar oportunidades de melhoria no compartilhamento de informações sobre ameaças cibernéticas e incidentes no âmbito estadual. Cerca da metade das entidades estaduais e públicas de tecnologia da informação e comunicação (chamadas de PROD no levantamento) destacaram que o WhatsApp é a ferramenta mais utilizada para compartilhamento de informações sobre ameaças cibernéticas ou incidentes de cibersegurança, sem que haja, por exemplo, uma plataforma automatizada para isso.
Uma boa prática de intercâmbio mencionada na publicação do BID vem da Espanha, onde foi criado um núcleo de informações baseado na MISP (Malware Information Sharing Plataform) para acelerar a análise de ciberincidentes. No Brasil, o GTD.GOV, com apoio do BID, está pilotando uma iniciativa do MISP que já conta com 8 estados conectados.
PROD – entidades estaduais e públicas de tecnologia da informação e comunicação
Nos últimos anos, os estados avançaram na composição de suas equipes de cibersegurança, embora permaneçam alguns desafios em relação ao capital humano nos órgãos executivos estaduais. Embora com metodologia ligeiramente diferente, pesquisa feita pelo BID em 2020, também em parceria com GTD.GOV, havia revelado que 19,2% dos estados contavam com equipes exclusivamente dedicadas ao tema, 26,9% com equipes parcialmente dedicadas e 53,8% não contavam com equipes dedicadas. A nova pesquisa mostra que apenas 2 estados não possuem equipes dedicadas nem nas PRODs nem nas Secretarias.
Ações para fortalecimento das iniciativas nos estados
Diante do cenário identificado pela pesquisa do Grupo de Trabalho, é possível dizer que há espaço para avanços nos estados com relação ao arranjo institucional e aos mecanismos de governança da segurança da informação e cibernética. Três elementos são fundamentais nesse processo:
1) Publicação de uma política de segurança da informação e cibernética com alcance transversal e que, além de guiar as ações no estado, dialogue com as diretrizes nacionais, para obter ganhos em escala.
2) Definição de uma autoridade estadual para cibersegurança com equipe dedicada e orçamento definido.
3) Estabelecimento de um modelo de governança com mecanismos de coordenação. A criação de instâncias formais para tomar decisões vinculadas também pode ajudar a estruturar mecanismos colegiados de coordenação em um tema que exige colaboração entre os diferentes atores.
Além disso, é importante avançar no fortalecimento do capital humano, por meio da estruturação de processos de recrutamento e formação de profissionais especializados, tanto no nível de gestão como no operacional. A definição dos perfis necessários, inclusive os de liderança, é essencial.
Outro ponto que merece atenção é a atualização periódica da situação do estado em segurança da informação e privacidade. Um caminho para isso é adotar frameworks de maturidade padronizados nos estados, para permitir comparações e medir o progresso de forma consistente.
Por fim, como mencionado anteriormente, a coordenação federativa e o intercâmbio de informações sobre cibersegurança é essencial. A Rede de Tratamento de Incidentes do Governo Federal (ReGIC) pode ser uma estratégia de integração da entidade ou do estado, ajudando a aumentar a resiliência em todo o país.
O BID tem apoiado iniciativas de fortalecimento da cibersegurança em todos os níveis no Brasil, promovendo uma abordagem integrada entre o governo federal, estados, municípios e outros atores estratégicos, para que o país possa fazer frente a ameaças cibernéticas cada vez mais presentes.
Leave a Reply