CEO Jose Augusto Paixão Gomes

Administração Pública: Segurança da Informação como instrumento de política pública

Oli­vei­ra, Gomes, Lopes e Nobre (2019) carac­te­ri­zam a Segu­ran­ça da Infor­ma­ção, no que se refe­re a pro­te­ção de um gru­po de infor­ma­ções  com o obje­ti­vo de pre­ser­var o valo­res tan­to de indi­ví­du­os ou orga­ni­za­ções.  Des­ta­can­do que na con­tem­po­ra­nei­da­de são iden­ti­fi­ca­dos diver­sos dis­po­si­ti­vos tec­no­ló­gi­cos que tem a fun­ção para auxi­li­ar no desem­pe­nho das ati­vi­da­des da soci­e­da­de e ain­da  nos âmbi­tos  orga­ni­za­ci­o­nais. No que per­meia os mei­os tec­no­ló­gi­cos, não rara­men­te, são expres­si­va­men­te peque­nos,  dian­te do aper­fei­ço­a­men­to que tem fomen­ta­do a expan­são da  tec­no­lo­gia sem limi­tes. Des­tar­te, atu­al­men­te, con­si­de­ran­do a  exis­tên­cia de legis­la­ções que esta­be­le­cem e regu­la­men­tam os níveis dos avan­ços digi­tais sobre a Segu­ran­ça da Infor­ma­ção (SI).

Sob o pris­ma da pro­te­ção do cida­dão, pode-se veri­fi­car a mais atu­al Lei Geral de Pro­te­ção de Dados (LGPD), onde foram defi­ni­das as ordens para o tra­ta­men­to dos dados por uma par­ce­la de empre­sas e indi­ví­du­os.  Res­sal­tan­do que deve ser ana­li­sa­do ao tema da SI que manu­sei­am infor­ma­ções da soci­e­da­de e devem ser protegidas. 

Oli­vei­ra (et al, 2019, p. 4) dis­cor­re  que no arti­go Segu­ran­ça da Infor­ma­ção para inter­net das coi­sas (IoT), em que a   SI se apre­sen­ta negli­gen­ci­a­da, o que gera um gran­de desa­fio para a exis­tên­cia e a con­ti­nui­da­de, uma vez que, a  SI englo­ba  dis­tin­tos cam­pos da tec­no­lo­gia e docu­men­ta­ção, e pos­sui uma estri­ta liga­ção com seto­res jurí­di­cos e nos  Recur­sos Huma­nos das organizações.

Na pro­te­ção dos dados dos cida­dãos é de gran­de impor­tân­cia a ges­tão com capa­ci­da­de e efi­ci­ên­cia.  Nes­se sen­ti­do, pode­mos des­ta­car e pen­sar nas estru­tu­ras das orga­ni­za­ções. Com a APF cons­ti­tuí­da por docu­men­tos de arqui­vos sigi­lo­sos; res­sal­ta que a SI, bem como deman­da que sua capa­ci­ta­ção em lidar com o sis­te­ma espe­ci­al­men­te para rea­li­zar uma admi­nis­tra­ção segu­ra. Com­pre­en­den­do que sem segu­ran­ça, os impac­tos e pre­juí­zos as empre­sas são evidentes. 

Com a inser­ção das tec­no­lo­gi­as pro­por­ci­o­na­ram a trans­mis­são de infor­ma­ções sem a neces­si­da­de de docu­men­tos de arqui­vos físi­cos, trans­por­tes para essas infor­ma­ções, arqui­vos e uso de papel entre outras van­ta­gens. Que antes des­sa com­ple­xi­da­de para a  trans­mis­sões de con­teú­dos deman­da­va mai­or tem­po com­pa­ra­do dian­te das pra­ti­ci­da­des e velo­ci­da­de advin­das da tecnologia. 

Outro pon­to a ser des­ta­ca­do é que as orga­ni­za­ções eram com­pos­tas por arqui­vo físi­co, que pode­ri­am ser arma­ze­na­dos nas empre­sas, ou em depó­si­tos ter­cei­ri­za­dos.  Por um lado a SI, nes­se perío­do era menos com­pli­ca­da.  O que com a che­ga­da das tec­no­lo­gi­as de infor­ma­ção e comu­ni­ca­ção, pro­mo­veu a neces­si­da­des de segu­ran­ça aos supor­tes, que antes se tran­ca­vam em cai­xas  e que pas­sa­ram a ser  trans­por­ta­das para o ambi­en­te vir­tu­al; con­tu­do, sob uma visão for­ma com­ple­xa, pro­pi­ci­ou às idei­as sobre ins­tru­men­tos para a  segu­ran­ça do ambi­en­te virtual.

Dian­te dos avan­ços tec­no­ló­gi­cos e a Era Digi­tal na APF, a vul­ne­ra­bi­li­da­de e os encon­tra­das na ges­tão das orga­ni­za­ções do Esta­do, tan­to em fur­tar as infor­ma­ções bem como pre­ju­di­car o fun­ci­o­na­men­to de ser­vi­ços bási­cos pres­ta­dos à soci­e­da­de. Reco­nhe­cen­do que essa vul­ne­ra­bi­li­da­de tem capa­ci­da­de de influ­en­ci­ar e nas Infra­es­tru­tu­ra Crí­ti­cas (IC).  De acor­do com o Gabi­ne­te de Segu­ran­ça Ins­ti­tu­ci­o­nal da Pre­si­dên­cia da Repú­bli­ca (GSI/PR), Decre­to n° 9.573 de 22 de novem­bro de 2018, IC cita que: 

As ins­ta­la­ções, ser­vi­ços, bens e sis­te­mas cuja inter­rup­ção ou des­trui­ção, total ou par­ci­al, pro­vo­que sério impac­to soci­al, ambi­en­tal, econô­mi­co, polí­ti­co, inter­na­ci­o­nal ou à segu­ran­ça do Esta­do e da soci­e­da­de (BRASIL, 2018).

No Setor públi­co com esse avan­ço foi pos­sí­vel ado­tar os sis­te­mas infor­ma­ti­za­dos no desem­pe­nho de suas ati­vi­da­des, no âmbi­to estra­té­gi­co de uma cole­ti­vi­da­de no con­tex­to  das IC,  tais como os ser­vi­ços essen­ci­ais como água, ener­gia, saú­de entre outros.  Nes­ses ser­vi­ços bási­cos, de expres­si­va rele­vân­cia, asse­gu­ram a sobre­vi­vên­cia da soci­e­da­de. E uma vez ata­ca­dos geram gran­des impac­tos, rela­ci­o­na­dos ain­da com à segu­ran­ça naci­o­nal. Nes­se con­tex­to pode­mos veri­fi­car que as Infra­es­tru­tu­ras Crí­ti­cas são essen­ci­ais para o desen­vol­vi­men­to do país, espe­ci­al­men­te pelas suas faci­li­da­des e uti­li­da­des que aten­dem à sociedade.

Como se vê no  (CDN/SE, 2009) e (CANONGIA et al 2010):

As Infra­es­tru­tu­ras Crí­ti­cas da Infor­ma­ção (ICI) são defi­ni­das como o sub­con­jun­to de Ati­vos de Infor­ma­ção — mei­os de arma­ze­na­men­to, trans­mis­são e pro­ces­sa­men­to, sis­te­mas de infor­ma­ção, bem como os locais onde se encon­tram esses mei­os e as pes­so­as que a eles têm aces­so — que afe­tam dire­ta­men­te a con­se­cu­ção e a con­ti­nui­da­de da mis­são do Esta­do e a segu­ran­ça da soci­e­da­de (CDN/SE, 2009).

Nes­sa dimen­são, os mei­os de arma­ze­na­men­to, em que estão guar­da­das as infor­ma­ções impor­tan­tes para a manu­ten­ção das estru­tu­ras bási­cas de ser­vi­ços pres­ta­dos à soci­e­da­de, no e que deman­dam uma aten­ção espe­ci­al de segu­ran­ça, por ser um meio ati­vo das áre­as na rea­li­za­ção des­ses  ser­vi­ços essen­ci­ais, uma vez  pre­ju­di­ca­do, impac­ta em toda a cadeia que fica­rá comprometida. 

No que con­cer­ne a SETI (2020) os inci­den­tes ciber­né­ti­cos como a  vul­ne­ra­bi­li­da­de e a fra­que­za da infra­es­tru­tu­ra de TI de uma orga­ni­za­ção, que pos­suir bre­chas para vári­os tipos de ata­ques dos ciber­cri­mi­no­sos. Nota-se, que os inci­den­tes se apre­sen­tam com a estru­tu­ra, pre­ven­ção, ris­cos e a per­cep­ção das vul­ne­ra­bi­li­da­des para pre­ve­nir o aci­den­te, isto é, o ata­que cibernético.

O ter­mo aci­den­te sobre ao ata­que ciber­né­ti­co, que pode oca­si­o­nar per­da de dados, rou­bo de senhas e pre­juí­zos finan­cei­ros em decor­rên­cia des­tes ata­ques. O ata­que ciber­né­ti­co, carac­te­ri­za­do de uma for­ma mais gené­ri­ca, como des­cre­ve Sil­va e Noguei­ra (2019 p. 44) deno­ta uma ten­ta­ti­va mali­ci­o­sa pre­me­di­ta­da de ata­que para inva­dir a con­fi­den­ci­a­li­da­de, inte­gri­da­de ou dis­po­ni­bi­li­da­de de infor­ma­ções exis­ten­tes em com­pu­ta­do­res ou redes com­pu­ta­ci­o­nais. Nes­sa com­pre­en­são dos dis­tin­tos tipos de ata­ques um pon­to fun­da­men­tal para rea­li­zar o a desen­vol­vi­men­to de reso­lu­ções e tra­ta­men­to a cada tipo espe­cí­fi­co de ataque.

Como pon­tua Washing­ton, Sil­va; Noguei­ra (2019, p. 45) os ata­ques ciber­né­ti­cos pos­sui diver­sas pos­si­bi­li­da­des de ocor­rer,  entre os quais o Cava­los de Tróia, back­do­ors, bot­nets, spywa­res, phishing, spe­ar phishing, entre outros.

No ins­tru­men­to de ação públi­ca, a área de segu­ran­ça ciber­né­ti­ca foi colo­ca­da no âmbi­to de dis­cus­são no  pri­mei­ro módu­lo por se tra­tar da área mais crí­ti­ca e atu­al a ser abor­da­da. Por meio do Decre­to que abor­da a E‑Ciber que tem a fun­ção de aten­der uma impor­tan­te lacu­na no mar­co regu­la­tó­rio naci­o­nal de segu­ran­ça ciber­né­ti­ca, em que essa Estra­té­gia desen­vol­veu uma série de ações que visam modi­fi­car, de for­ma cola­bo­ra­ti­va, em nível naci­o­nal, por meio de,  carac­te­rís­ti­cas que refle­tem o posi­ci­o­na­men­to de ins­ti­tui­ções e indi­ví­du­os sobre o tema.

Na  Ins­tru­ção Nor­ma­ti­va (IN) n° 4, de 26 de mar­ço de 2020 (Bra­sil, 2020b), que defi­ne os requi­si­tos míni­mos de segu­ran­ça ciber­né­ti­ca a ser  uti­li­za­dos no esta­be­le­ci­men­to das redes 5G.  Des­ta­can­do que esse ins­tru­men­to de ação públi­ca deter­mi­na  nor­mas com o cum­pri­men­to obri­ga­tó­rio por par­te das enti­da­des e órgãos da APF, que são res­pon­sá­veis pela imple­men­ta­ção des­sas redes de quin­ta geração.

E onde as IN são abor­da­dos sobre os con­cei­tos em ter­mos orga­ni­za­ci­o­nais com dire­tri­zes a serem segui­das pela empre­sa pres­ta­do­ra de tal ser­vi­ço. Como des­cre­ve o arti­go ter­cei­ro des­ta IN, cita­da em Bra­sil (2020b) e na con­di­ção deter­mi­na­da nes­ta IN com o obje­ti­vo de ele­var a pro­te­ção da soci­e­da­de e das ins­ti­tui­ções naci­o­nais, com a decor­rên­cia da pos­si­bi­li­da­de de haver vul­ne­ra­bi­li­da­des e back­do­ors nos sis­te­mas de tec­no­lo­gi­as de quin­ta geração 

E na IN n° 01, de 27 de maio de 2020, refe­re se às ori­en­ta­ções para ges­tão de SI onde são obser­va­das e imple­men­ta­das pelos órgãos e enti­da­des da APF, dire­ta e indi­re­ta, em bus­ca  de asse­gu­rar a dis­po­ni­bi­li­da­de, a con­fi­den­ci­a­li­da­de, a inte­gri­da­de e a auten­ti­ci­da­de da infor­ma­ção em âmbi­to nacional.

De for­ma que, a dúvi­da de como o gover­no fede­ral bra­si­lei­ro foi pri­mor­di­al para abor­dar essa temá­ti­ca a fim de abor­dar as polí­ti­cas públi­cas de segu­ran­ça da infor­ma­ção na pre­ven­ção e tra­ta­men­to de inci­den­tes cibernéticos.

Por José Auu­gus­to Pai­xão Gomes, MSC, MBA

Admi­nis­tra­dor | Ino­va­ção e Smart Citi­es Expert | Con­sul­tor Trans­for­ma­ção Digi­tal| Coor­de­na­dor Ges­tão de Pro­je­tos| ESG| Ana­lis­ta de Negó­ci­os| Estra­té­gia Cor­po­ra­ti­va| Data Sci­en­ce | Con­sul­tor ges­tão Pública|Researcher.

REFERÊNCIAS 

BRASIL. Decre­to n° 9.573, de 22 de novem­bro de 2018. Apro­va a Polí­ti­ca Naci­o­nal de Segu­ran­ça de Infra­es­tru­tu­ras Crí­ti­cas. Bra­sí­lia, DF: Palá­cio do Pla­nal­to, 2018. Dis­po­ní­vel em: www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Decreto/D9573.htm. Aces­so em: 21.08.2022

BRASIL. Ins­tru­ção Nor­ma­ti­va n° 03, de 28 de maio de 2021b. Dis­põe sobre os pro­ces­sos rela­ci­o­na­dos à ges­tão de segu­ran­ça da infor­ma­ção nos órgãos e nas enti­da­des da admi­nis­tra­ção públi­ca fede­ral. Bra­sí­lia, DF: Palá­cio do Pla­nal­to, 2020. Dis­po­ní­vel em: https://www.in.gov.br/en/web/dou/-/instrucao-normativa-gsi/pr-n-3-de-28-de-maio-de-2021-

322963172. Aces­so em: 21.08.2022

BRASIL. Ins­tru­ção Nor­ma­ti­va n° 02, de 24 de julho de 2020e. Alte­ra a Instrução

Nor­ma­ti­va nº 1, de 27 de maio de 2020, que dis­põe sobre a Estru­tu­ra de Ges­tão da Segu­ran­ça da Infor­ma­ção nos órgãos e nas enti­da­des da admi­nis­tra­ção públi­ca fede­ral. Bra­sí­lia, DF: Palá­cio do Pla­nal­to, 2020. Dis­po­ní­vel em: https://www.in.gov.br/en/web/dou/-/instrucaonormativa- n‑2-de-24-de-julho-de-2020–268684700. Aces­so em: 21.08.2022

CANONGIA et al. Guia de refe­rên­cia para a segu­ran­ças das infra­es­tru­tu­ras crí­ti­cas da infor­ma­ção. Ver­são 01, nov. 2010. Dis­po­ní­vel em:

https://livroaberto.ibict.br/bitstream/1/607/2/GUIA%20DE%20REFER%C3%8ANCIA%20P ARA%20A%20%20SEGURAN%C3%87A%20DAS%20INFRAESTRUTURAS%20CR%C3%8DTICAS%20DA%20INFORMA%C3%87%C3%83O.pdf. Aces­so em: 21.08.2022

CDN/SE. Por­ta­ria Nº 34, de 5 de agos­to de 2009. Con­se­lho de Defe­sa Naci­o­nal, Secre­ta­ria Exe­cu­ti­va. Ins­ti­tui Gru­po de Tra­ba­lho de Segu­ran­ça das Infra­es­tru­tu­ras Crí­ti­cas da Infor­ma­ção, no âmbi­to do Comi­tê Ges­tor de Segu­ran­ça da Infor­ma­ção. CGSI: Bra­sí­lia, 2009.

OLIVEIRA, Nai­ro­bi; GOMES, Moi­ses; LOPES, Ronal­do; NOBRE, Jéfer­son. Segu­ran­ça da Infor­ma­ção para inter­net das coi­sas (IoT): uma abor­da­gem sobre a Lei Geral de Pro­te­ção de Dados (LGPD). 2019. Dis­po­ní­vel em:

https://sol.sbc.org.br/journals/index.php/reic/article/view/1704/1553. Aces­so em: 21.08.2022

SETI (Solu­ções em Tec­no­lo­gia). Inci­den­tes Ciber­né­ti­cos — O que são e como se pro­te­ger. Jara­guá do Sul-SC, 13 de janei­ro de 2020. Dis­po­ní­vel em: https://www.seti.com.br/incidentesciberneticos- o‑que-sao-e-como-se-pro­te­ger/. Aces­so em: 21.08.2022

SILVA; NOGUEIRA. Ata­ques ciber­né­ti­cos e medi­das gover­na­men­tais para com­ba­tê-los, 2019. Dis­po­ní­vel em: ebrevistas.eb.mil.br/OC/article/view/2127. Aces­so em: 21.08.2022

/por