154 views 21 mins

Tecnologia 19 a 21/03/2016

em Tecnologia
sexta-feira, 18 de março de 2016

Os Próximos Passos da Estratégia Cibernética de Defesa

O Brasil precisa de um novo órgão com as virtudes do CDCiber, mas com foco na segurança empresarial e na capacitação da indústria

th 1443578782 temproario

Rodrigo Jonas Fragola (*)

Os criticados eventos globais que ocorreram no Brasil desde 2010 podem não ter entregado à sociedade o conjunto de legados que havia sido prometido em troca do investimento estatal. Mas deles decorre, em grande parte, o fato de o Brasil possuir hoje uma estratégia cibernética de defesa com maturidade de fundamentos em níveis de doutrina, hierarquia, organização política, estrutura operacional, pessoas, iniciativas de P&D e instrumentos táticos de vigilância, monitoramento e resposta.

Não que as ações e investimentos nesse âmbito só tenham começado a existir a partir dos fóruns de preparação, iniciados em 2008, e que reuniram o governo, universidade,forças armadas e indústria para organizar a segurança dos eventos, incluindo-se aí a Copa das Confederações, Conferência Rio +20, Jornada da Juventude, Copa de 2014 e a Olimpíada 2016 que se aproxima.

Desde a década de 90, o Ministério da Defesa dispõe de orçamento médio anual de 1,5% PIB, no qual o gasto com segurança cibernética é contemplado, indiretamente, em projetos de maior abrangência, notadamente nas esferas das telecomunicações, aeroespacial e das estruturas de TI do estado como um todo. Mas foi com a instituição, em 2010, do Centro de Defesa Cibernética, o CDCiber, concebido naqueles fóruns de preparação, que o Brasil passou a contar com um órgão centralizador de coordenação e integração com resultados práticos já tangíveis.

Inaugurado em 2012, o CDCiber dotou o País de um catalisador com estrutura, recursos e competências que lidera ou executa diretamente 10 projetos estratégicos de boa consistência, entre os quais estão a Rede Nacional de Segurança da Informação e Criptografia (RENASIC), o sistema de comunicação por tecnologia SDN do exército (ou o Rádio Definido por Software), além de outras iniciativas impactantes, como a instituição da Escola Nacional de Segurança Cibernética (ENaDCiber).

O CDCiber teve o mérito de conferir objetividade para a questão do risco cibernético em nível de segurança nacional e, mais que isto, efetivou uma articulação de esforços envolvendo a esfera militar com a sociedade. Outro ganho notável do Centro, talvez um dos mais importantes, foi o de ter introduzido no País uma rubrica orçamentária específica para a defesa cibernética, a exemplo do que começa a acontecer hoje na maioria dos países desenvolvidos, sendo o maior exemplo o dos EUA, onde o presidente Obama pleiteia a alocação de US$ 19 bilhões para o nicho no próximo orçamento.

Logo que lançado em 2010, o CDCiber conquistou a expressiva liberação de R$ 400 milhões para o período de um quadriênio, o qual só se iniciou, na verdade, a partir de sua inauguração oficial, em 2012. De lá até o fim de 2015, o Centro executou gastos de R$ 190 milhões, abrangendo sua própria organização, o desenvolvimento do arcabouço documental do setor cibernético brasileiro e atividades operacionais de alta criticidade, como a defesa cibernética durante a Copa.

Para o exercício de 2016, o orçamento do Mindef prevê dotação de R$ 36 milhões para a defesa cibernética, valor que se demonstra compatível com a previsão orçamentária de R$ 840 milhões direcionados ao CDCiber até 2035, se considerarmos a média anual resultante de R$ 42 milhões e ponderando-se os efeitos do atual (e oxalá, passageiro) garrote orçamentário. É preciso ir Além do CDCiber Em síntese, o Brasil ganhou – e muito – em termos de visão estratégica, coordenação e posicionamento da questão cibernética em seu patamar de relevância, a ponto de poder contar agora com a existência de recursos estatais “carimbados”.

Deixamos para um segundo momento a discussão sobre a adequação ou não da magnitude desses recursos, até porque interessa muito mais no momento a definição de políticas claras para o setor, o que entendemos como pré-condição de seu desenvolvimento econômico. A restrição que se pode fazer ao Centro de Controle Cibernético (ou melhor, não exatamente ao CDCiber e ao que ele representa, mas à estratégia cibernética de defesa) está no caráter eminentemente militarizado de seus atuais alicerces.

É bem verdade que o CDCiber já coordena projetos com as universidades, como é o caso do convênio com a UNB na operação da ENaDCiber, além de manter articulação com empresas do governo, como é o caso do SERPRO e com desenvolvedores privados de tecnologia cibernética. Mas sua visão estratégica está totalmente focada para o universo da defesa nacional e para o controle de riscos e ações na perspectiva da guerra cibernética. Falta ao Brasil uma instância congênere ao CDCiber que possa assimilar a sua experiência de coordenação e sua bagagem de conhecimentos para se colocar como o catalisador da segurança cibernética em níveis de infraestrutura e operações civis.

Este novo órgão poderia encapsular a parte cibernética inerente a uma miríade de programas como o Projeto Proteger (também tocado pelo Exército), que prevê recursos de R$ 19 bilhões em 10 anos para a segurança das concessionárias de serviços públicos. Poderia também coordenar projetos hoje sob o guarda-chuva de outros instrumentos de fomento e direcionamento de P&D do estado, sem necessariamente excluí-los. É o caso de projetos da FINEP com claros vasos comunicantes com a área cibernética.

O programa “Inova Empresa”, por exemplo, aporta financiamento para a evolução das redes utilities (“smart grid”) das elétricas e resvala, naturalmente,na segurança cibernética, mas não distingue de forma clara os recursos e as iniciativas a ela pertinentes. Há também o “Inova Telecom”, que prevê a dotação de cerca de R$ 1 bilhão para o aprimoramento da estrutura de comunicações estratégicas e que apresenta ligação com os recursos do Funttel (Fundo para o Desenvolvimento Tecnológico das Telecomunicações), compreendendo incentivos para a prevenção, detecção, resposta a incidentes e gestão de crise cibernética.

Este nível específico de coordenação aqui proposto é vital para a segurança cibernética brasileira e para a evolução da nossa capacidade industrial e independência tecnológica. Ele poderá contar com parte da estrutura ou base de conhecimento do próprio CDCiber e integrar novos setores representativos da academia e da indústria. Sua constituição e funcionamento dependem, porém, de ações concretas na esfera político-econômica, que envolvem um direcionamento “nacional” do poder de compra do governo.

Existem hoje programas louváveis. como o que abrange a certificação CERTICS, para atestar a nacionalidade da tecnologia em TI, afetando diretamente o setor cibernético. Há também o selo EED (Empresa Estratégica de Defesa) que, em tese, favorece o agregado tecnológico genuinamente nacional nas compras de insumos militares. Mas não se pode afirmar que tais programas realmente estabeleçam prática formal e sistemática na hora da definição de fornecedores e produtos para o setor estatal brasileiro. Aliás, para uma política mais eficiente de financiamento do setor seria recomendável a criação de dispositivos indutores para a aquisição de tecnologia nacional, inclusive pelas empresas do setor privado (via incentivo, cotas ou instrumento semelhante).

Outra pré-condição para nosso avanço cibernético está em enfrentar urgentemente a questão da escassez de massa crítica. Não falamos aqui exatamente de “grandes talentos” ou “mentes inovadoras”, mas de recursos intelectuais preparados para as necessidades práticas da indústria. Cabe ressaltar que, além da ENaDCiber, esta iniciativa ambiciosa, mas factível e já em operação, existe no âmbito do MEC volume considerável de recursos para o ensino profissional e universitário que poderia ser objeto do poder de influência do novo órgão que aqui proponho. Mas de nada adiantará formarmos pessoal preparado se o ecossistema não fechar. Ou seja, se não houver um nível de pujança industrial capaz de reter esses profissionais e impedir a perda do nosso investimento em treinamento ou educação especializada.

Enfim, se a experiência do CDCiber já pode nos ensinar algo é que o grande sucesso da sua iniciativa deve nos servir de incentivo para avançar para além da tutela das forças armadas.

(*) É especialista em segurança de TI, Segurança Web e defesa cibernética. É Vice-Presidente de Segurança da Informação e Combate à Pirataria do Sindicato das Indústrias da Informação (SINFOR-DF); Diretor Adjunto de Segurança e Defesa da ASSESPRO-DF e cofundador e CEO da Aker Security Solutions.

Campanha: “O que você tem a dizer sobre corrupção?”

Os últimos acontecimentos no país tem despertado a atenção para um tema que, na maioria das vezes, passa despercebido no cotidiano das pessoas e empresas: a corrupção. Motivada a não se manter alheia, a InformaMídia, agência de comunicação especializada em empresas de pequeno e médio porte, coloca toda a sua estrutura e conhecimento em prol da campanha “O que você tem a dizer sobre corrupção?”.
Fundada há oito anos pela jornalista especializada em comunicação empresarial e marketing, Marília Cardoso, a InformaMídia vem se destacando na construção e solidificação da imagem de empresas que tem algo interessante a compartilhar com a sociedade por meio da imprensa. A ideia agora é colocar toda essa expertise a favor dos cidadãos que querem amplificar suas opiniões para além das redes sociais. “A agência foi criada para democratizar o acesso à imprensa brasileira. Agora queremos democratizar também o acesso de pessoas comuns, que tem algo relevante a dizer sobre o que estamos vivendo”, afirma.
A empresa está convocando toda a sua rede para produzir artigos opinativos, de no máximo três mil caracteres com espaço, abordando o tema corrupção sob os mais diversos aspectos. Será enviado um texto por semana à imprensa, que poderá publicá-lo na íntegra nos cadernos de opinião ou até mesmo convidar o autor para entrevistas e debates. O conteúdo, que é de responsabilidade exclusiva da fonte, não pode ter teor agressivo, partidarista ou radical. Os textos devem ser enviados para o e-mail [email protected].
Segundo Marília, o objetivo é contribuir para a construção de um debate mais produtivo e realmente enriquecedor para o país. “As pessoas tem se manifestado de forma muito binária nas redes sociais. Estão de um lado ou de outro. São contra ou a favor. Na verdade, entendemos que tudo o que está acontecendo é muito mais complexo e que, por isso mesmo, merece uma abordagem mais profunda, sob pontos de vista variados. Queremos dar voz e vez a quem tem o que dizer. Achamos que é possível, necessário e urgente, reescrever o Brasil”, finaliza.

Shadow IT: como diminuir seus riscos e usá-la a favor de sua corporação

Antonio Carlos Guimarães (*)

No princípio, era o uso de disquetes pessoais. Permitindo que informações fossem armazenadas diretamente do sistema da empresa e transportada para qualquer outro lugar com diferentes fins – além do aparecimento dos “superusuários” que desenvolviam seus próprios sistemas departamentais –, a Shadow IT começava a surgir

Hoje, dado a um mundo cada vez mais conectado à internet, à cloud e a uma vasta gama de aplicações disponíveis, essa “sombra” tem se tornado ainda mais densa e complexa, podendo expor a segurança e as informações de uma companhia a riscos de diversos tamanhos se não analisada e controlada com cautela.
Descrita pelo Wikipedia como “um termo frequentemente usado para descrever sistemas e soluções de TI construídos e usados dentro de empresas sem aprovação organizacional explícita”, a Shadow IT acontece quando as políticas de governança de uma empresa não atendem à dinâmica mercadológica ou processual de um determinado departamento e, assim, alternativas são adotadas. Por exemplo, um departamento de vendas que – por ficar “refém” de um longo processo burocrático de aprovação interna – faz uso de ferramentas paralelas, como aplicativos, para ter acesso rápido a informações e evitar o risco da perda de oportunidades.
Essa ausência de um afinamento entre a governança e as áreas da companhia pode acontecer por diversas razões, sendo a mais comum o corte de orçamento devido à atual situação econômica que o país enfrenta. No departamento de TI, esse enxugamento de verbas geralmente está associado ao orçamento de novos projetos e tecnologias. Enquanto isso, os colaboradores vão encontrando outros meios para manter suas tarefas rodando que independam do sistema fornecido pela empresa e, assim, a bola de neve se forma.
Antes de propor uma saída, é necessário refletir sobre algo importante: a TI nasceu para transformar a necessidade de um negócio, automatizando processos e possibilitando o crescimento sustentável da companhia. De tal forma, uma vez que se empoderam pessoas por meio de tecnologias que as suportem, a capacidade de realização aumenta.
Com isso, é necessário rever alguns conceitos dentro da companhia, como o direcionamento do orçamento para o departamento de TI. Cortar investimentos em modernização e profissionais estratégicos no setor pode funcionar a curto prazo, já que alivia o orçamento momentaneamente. Porém, a longo prazo, a ausência de perfis que consigam entender a necessidade do negócio e alinha-la às práticas de TI pode sair caro, já que a empresa poderá ficar presa ao status quo e impedida de se modernizar para manter suas operações. Por isso, fortalecer relações com parceiros que trabalhem de forma consultiva, que tenham visão de futuro e conheçam o seu negócio é fundamental para garantir que a companhia continue alinhada com as tendências de mercado.
Feito isso, é preciso entender que alternativas estão sendo utilizadas pelos colaboradores para suprir suas necessidades tecnológicas antes de condená-las ao limbo por não fazerem parte das políticas da empresa. Se analisada com cuidado, a Shadow IT pode ser exatamente o feedback que a organização precisa para dar o suporte necessário a todas as áreas, possibilitando a atualização da governança por meio da padronização e homologação da melhor solução que se encaixe às necessidades do negócio. Isso também permite mitigar riscos de segurança e informação, evitando que o orçamento ora antes planejado para investir seja utilizado para reparar danos.
Por fim, a melhor alternativa para “iluminar” essa sombra é usa-la com estratégia, entendendo que ignorar a sua existência ou bloquear a iniciativa dos usuários é um erro. É preciso estabelecer regras claras de governança, garantindo que a segurança das informações seja mantida, sim, sem nunca perder de vista os movimentos internos realizados para agilizar os processos. Dessa forma, agiliza-se o compliance e permite que a empresa atravesse tanto a tempestade quanto a bonança com resiliência e tranquilidade.

(*) É Evangelista de Cloud da Fujitsu do Brasil.