Cibersegurança

Novo decreto cria política e comitê nacional de cibersegurança

insight featured image
Contents

Foi publicado hoje o Decreto 11.856/2023, que institui a Política Nacional de Cibersegurança (PNCiber) e o Comitê Nacional de Cibersegurança (CNCiber). A publicação da PNCiber representa uma grande conquista para todos os profissionais que trabalham diariamente e arduamente no combate a crimes e incidentes cibernéticos.

Com constantes novas ameaças e agentes maliciosos iminentes, atender às necessidades atuais da segurança cibernética exige adaptação e evolução contínuas das legislações e regulamentações e a PNCiber foi criada neste sentido, com a finalidade de contribuir, fortalecer, estruturar e regulamentar as ações de Segurança Cibernética.

Dentre os principais objetivos da Política Nacional de Cibersegurança, destacamos:

  • Promoção do desenvolvimento de produtos, serviços e tecnologias relacionados à segurança cibernética;
  • Combate aos crimes cibernéticos e ações maliciosas;
  • Estimular a adoção de medidas de proteção cibernética e de gestão de riscos para prevenir, evitar, mitigar, diminuir e neutralizar vulnerabilidades, incidentes e ataques cibernéticos, e seus impactos;
  • Desenvolver a educação e capacitação profissional em cibersegurança;
  • Desenvolver mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança e a resiliência cibernéticas nacionais;
  • Implementar estratégias de colaboração para desenvolver a cooperação internacional em segurança cibernética.

Esse movimento não apenas fortalece a importância da implementação das práticas de resiliência cibernética nas organizações corporativas, mas também demonstra o quão esse processo deve estar enraizado na cultura das empresas e alinhado com o plano estratégico e de continuidade dos negócios.

A PNCiber reforça a necessidade de uma atuação conjunta, colaborativa e multidisciplinar entre organizações públicas e privadas a fim de alcançar uma resiliência cibernética, baseada em avaliações de riscos e combate aos ataques cibercriminosos e incidentes cibernéticos.

A própria composição do Comitê Nacional de Cibersegurança, proposta pelo Decreto, demonstra o quão necessário é ter uma equipe multidisciplinar para alcançar os objetivos da resiliência cibernética.

Dentro de uma organização privada, isso significa a atuação multidisciplinar conjunta na mitigação dos riscos e combate aos crimes e incidentes cibernéticos, o que pode incluir a criação de Comitês de Crise e Comitês de Governança de Segurança Cibernética ou, ainda, a atuação conjunta das áreas de Tecnologia, Riscos, Auditoria interna, Controles internos, Compliance, Privacidade, Jurídico, Comunicação e Alta Gestão.

Cada uma dessas áreas, com suas especialidades, participa de uma fase do processo de construção do Programa de Segurança Cibernética através das seguintes atividades:

  • Mapear potenciais riscos cibernéticos;
  • Mensurar impactos e probabilidades dos riscos se materializarem, por meio da construção de uma matriz de riscos cibernéticos;
  • A partir da identificação de riscos, criar um plano de ação de forma a mitigá-los ou reduzi-los a um nível aceitável pela organização;
  • Implementar o plano de ação com a aplicação de medidas técnicas e organizacionais como forma de controle dos riscos;
  • Avaliar e monitorar se os controles estão sendo implementados;
  • Avaliar a maturidade da organização sob aspectos de cibersegurança;
  • Treinar e capacitar os colaboradores para identificarem riscos, incidentes e adotarem em seu dia a dia medidas que reforcem a segurança cibernética;
  • Trazer para a pauta de Governança perante os Conselhos e Diretoria os temas relacionados a segurança cibernética;
  • Em caso de incidentes, atuar com diligência e tempestividade a fim de ter insumos para realizar a investigação, além de maior e melhor visibilidade da causa raiz para realizar a contenção de forma mais rápida, com impactos menores possíveis para o negócio;
  • Comunicar autoridades regulatórias, se necessário, a depender do enquadramento nos critérios legais e regulatórios (ANPD, BACEN, CVM etc.).

Cada uma das atividades acima contribui para um ambiente cibernético mais seguro, e estão em linha com os objetivos da Política Nacional de Cibersegurança.

Ainda existe um longo caminho a percorrer e mecanismos de regulamentação, controles e fiscalizações a ser criados, mas o fato é que o pontapé inicial foi dado. Isso significa que o compromisso com a relevância do tema tende apenas a crescer e ganhar robustez nas organizações públicas e privadas, rumo ao fortalecimento das ações de resiliência e segurança cibernética.

Autora: Nathalia Rocha de Araujo - Especialista em Cibersegurança e Privacidade, Everson Probst - Sócio líder de Cibersecurity

Cta solicite uma proposta