Os Próximos Passos da Estratégia Cibernética de DefesaO Brasil precisa de um novo órgão com as virtudes do CDCiber, mas com foco na segurança empresarial e na capacitação da indústria Rodrigo Jonas Fragola (*) Os criticados eventos globais que ocorreram no Brasil desde 2010 podem não ter entregado à sociedade o conjunto de legados que havia sido prometido em troca do investimento estatal. Mas deles decorre, em grande parte, o fato de o Brasil possuir hoje uma estratégia cibernética de defesa com maturidade de fundamentos em níveis de doutrina, hierarquia, organização política, estrutura operacional, pessoas, iniciativas de P&D e instrumentos táticos de vigilância, monitoramento e resposta. Não que as ações e investimentos nesse âmbito só tenham começado a existir a partir dos fóruns de preparação, iniciados em 2008, e que reuniram o governo, universidade,forças armadas e indústria para organizar a segurança dos eventos, incluindo-se aí a Copa das Confederações, Conferência Rio +20, Jornada da Juventude, Copa de 2014 e a Olimpíada 2016 que se aproxima. Desde a década de 90, o Ministério da Defesa dispõe de orçamento médio anual de 1,5% PIB, no qual o gasto com segurança cibernética é contemplado, indiretamente, em projetos de maior abrangência, notadamente nas esferas das telecomunicações, aeroespacial e das estruturas de TI do estado como um todo. Mas foi com a instituição, em 2010, do Centro de Defesa Cibernética, o CDCiber, concebido naqueles fóruns de preparação, que o Brasil passou a contar com um órgão centralizador de coordenação e integração com resultados práticos já tangíveis. Inaugurado em 2012, o CDCiber dotou o País de um catalisador com estrutura, recursos e competências que lidera ou executa diretamente 10 projetos estratégicos de boa consistência, entre os quais estão a Rede Nacional de Segurança da Informação e Criptografia (RENASIC), o sistema de comunicação por tecnologia SDN do exército (ou o Rádio Definido por Software), além de outras iniciativas impactantes, como a instituição da Escola Nacional de Segurança Cibernética (ENaDCiber). O CDCiber teve o mérito de conferir objetividade para a questão do risco cibernético em nível de segurança nacional e, mais que isto, efetivou uma articulação de esforços envolvendo a esfera militar com a sociedade. Outro ganho notável do Centro, talvez um dos mais importantes, foi o de ter introduzido no País uma rubrica orçamentária específica para a defesa cibernética, a exemplo do que começa a acontecer hoje na maioria dos países desenvolvidos, sendo o maior exemplo o dos EUA, onde o presidente Obama pleiteia a alocação de US$ 19 bilhões para o nicho no próximo orçamento. Logo que lançado em 2010, o CDCiber conquistou a expressiva liberação de R$ 400 milhões para o período de um quadriênio, o qual só se iniciou, na verdade, a partir de sua inauguração oficial, em 2012. De lá até o fim de 2015, o Centro executou gastos de R$ 190 milhões, abrangendo sua própria organização, o desenvolvimento do arcabouço documental do setor cibernético brasileiro e atividades operacionais de alta criticidade, como a defesa cibernética durante a Copa. Para o exercício de 2016, o orçamento do Mindef prevê dotação de R$ 36 milhões para a defesa cibernética, valor que se demonstra compatível com a previsão orçamentária de R$ 840 milhões direcionados ao CDCiber até 2035, se considerarmos a média anual resultante de R$ 42 milhões e ponderando-se os efeitos do atual (e oxalá, passageiro) garrote orçamentário. É preciso ir Além do CDCiber Em síntese, o Brasil ganhou – e muito – em termos de visão estratégica, coordenação e posicionamento da questão cibernética em seu patamar de relevância, a ponto de poder contar agora com a existência de recursos estatais “carimbados”. Deixamos para um segundo momento a discussão sobre a adequação ou não da magnitude desses recursos, até porque interessa muito mais no momento a definição de políticas claras para o setor, o que entendemos como pré-condição de seu desenvolvimento econômico. A restrição que se pode fazer ao Centro de Controle Cibernético (ou melhor, não exatamente ao CDCiber e ao que ele representa, mas à estratégia cibernética de defesa) está no caráter eminentemente militarizado de seus atuais alicerces. É bem verdade que o CDCiber já coordena projetos com as universidades, como é o caso do convênio com a UNB na operação da ENaDCiber, além de manter articulação com empresas do governo, como é o caso do SERPRO e com desenvolvedores privados de tecnologia cibernética. Mas sua visão estratégica está totalmente focada para o universo da defesa nacional e para o controle de riscos e ações na perspectiva da guerra cibernética. Falta ao Brasil uma instância congênere ao CDCiber que possa assimilar a sua experiência de coordenação e sua bagagem de conhecimentos para se colocar como o catalisador da segurança cibernética em níveis de infraestrutura e operações civis. Este novo órgão poderia encapsular a parte cibernética inerente a uma miríade de programas como o Projeto Proteger (também tocado pelo Exército), que prevê recursos de R$ 19 bilhões em 10 anos para a segurança das concessionárias de serviços públicos. Poderia também coordenar projetos hoje sob o guarda-chuva de outros instrumentos de fomento e direcionamento de P&D do estado, sem necessariamente excluí-los. É o caso de projetos da FINEP com claros vasos comunicantes com a área cibernética. O programa “Inova Empresa”, por exemplo, aporta financiamento para a evolução das redes utilities (“smart grid”) das elétricas e resvala, naturalmente,na segurança cibernética, mas não distingue de forma clara os recursos e as iniciativas a ela pertinentes. Há também o “Inova Telecom”, que prevê a dotação de cerca de R$ 1 bilhão para o aprimoramento da estrutura de comunicações estratégicas e que apresenta ligação com os recursos do Funttel (Fundo para o Desenvolvimento Tecnológico das Telecomunicações), compreendendo incentivos para a prevenção, detecção, resposta a incidentes e gestão de crise cibernética. Este nível específico de coordenação aqui proposto é vital para a segurança cibernética brasileira e para a evolução da nossa capacidade industrial e independência tecnológica. Ele poderá contar com parte da estrutura ou base de conhecimento do próprio CDCiber e integrar novos setores representativos da academia e da indústria. Sua constituição e funcionamento dependem, porém, de ações concretas na esfera político-econômica, que envolvem um direcionamento “nacional” do poder de compra do governo. Existem hoje programas louváveis. como o que abrange a certificação CERTICS, para atestar a nacionalidade da tecnologia em TI, afetando diretamente o setor cibernético. Há também o selo EED (Empresa Estratégica de Defesa) que, em tese, favorece o agregado tecnológico genuinamente nacional nas compras de insumos militares. Mas não se pode afirmar que tais programas realmente estabeleçam prática formal e sistemática na hora da definição de fornecedores e produtos para o setor estatal brasileiro. Aliás, para uma política mais eficiente de financiamento do setor seria recomendável a criação de dispositivos indutores para a aquisição de tecnologia nacional, inclusive pelas empresas do setor privado (via incentivo, cotas ou instrumento semelhante). Outra pré-condição para nosso avanço cibernético está em enfrentar urgentemente a questão da escassez de massa crítica. Não falamos aqui exatamente de “grandes talentos” ou “mentes inovadoras”, mas de recursos intelectuais preparados para as necessidades práticas da indústria. Cabe ressaltar que, além da ENaDCiber, esta iniciativa ambiciosa, mas factível e já em operação, existe no âmbito do MEC volume considerável de recursos para o ensino profissional e universitário que poderia ser objeto do poder de influência do novo órgão que aqui proponho. Mas de nada adiantará formarmos pessoal preparado se o ecossistema não fechar. Ou seja, se não houver um nível de pujança industrial capaz de reter esses profissionais e impedir a perda do nosso investimento em treinamento ou educação especializada. Enfim, se a experiência do CDCiber já pode nos ensinar algo é que o grande sucesso da sua iniciativa deve nos servir de incentivo para avançar para além da tutela das forças armadas. (*) É especialista em segurança de TI, Segurança Web e defesa cibernética. É Vice-Presidente de Segurança da Informação e Combate à Pirataria do Sindicato das Indústrias da Informação (SINFOR-DF); Diretor Adjunto de Segurança e Defesa da ASSESPRO-DF e cofundador e CEO da Aker Security Solutions. | Campanha: “O que você tem a dizer sobre corrupção?”Os últimos acontecimentos no país tem despertado a atenção para um tema que, na maioria das vezes, passa despercebido no cotidiano das pessoas e empresas: a corrupção. Motivada a não se manter alheia, a InformaMídia, agência de comunicação especializada em empresas de pequeno e médio porte, coloca toda a sua estrutura e conhecimento em prol da campanha “O que você tem a dizer sobre corrupção?”. Shadow IT: como diminuir seus riscos e usá-la a favor de sua corporaçãoAntonio Carlos Guimarães (*) No princípio, era o uso de disquetes pessoais. Permitindo que informações fossem armazenadas diretamente do sistema da empresa e transportada para qualquer outro lugar com diferentes fins – além do aparecimento dos “superusuários” que desenvolviam seus próprios sistemas departamentais –, a Shadow IT começava a surgir Hoje, dado a um mundo cada vez mais conectado à internet, à cloud e a uma vasta gama de aplicações disponíveis, essa “sombra” tem se tornado ainda mais densa e complexa, podendo expor a segurança e as informações de uma companhia a riscos de diversos tamanhos se não analisada e controlada com cautela. (*) É Evangelista de Cloud da Fujitsu do Brasil. |
146 views
21 mins