O Gabinete de Segurança Institucional da Presidência da República (GSI-PR) publicou neste mês a “Coletânea da Normas de Segurança da Informação Classificada”, para listar todas as leis e decretos essenciais para a proteção de dados sigilosos. O documento, segundo CISOs do grupo Security Leaders, é uma ação importante do Governo Federal para padronizar as demandas de conformidade com as leis atuais sobre o tema.
Ainda de acordo com os Líderes de SI, a iniciativa é um esforço necessário de consolidação e acessibilidade aos marcos legais mais básicos de proteção de informações classificadas, existentes hoje tanto no poder público quanto na iniciativa privada, sendo útil para ambas as áreas. Assim, a partir dessa reunião de arcabouços legais, os profissionais de Cyber poderão navegar mais habilmente em um cenário complexo de orientações normativas.
“Pode parecer trivial, mas, na prática, esse sempre foi um dos maiores obstáculos para o CISO no setor público e nas entidades privadas que lidam com informação dessa gravidade. A coletânea do GSI é uma tentativa necessária de dar coerência ao mosaico global de leis que existe hoje, ao menos entre os dados classificados”, comentou à Security Report o CISO na Secretaria de Gestão e Governo Digital do Governo de São Paulo, Julio Signorini.
Além disso, é possível citar benefícios concretos para a atuação dos próprios Líderes de SI, como consolidação do credenciamento de Segurança para dados classificados, redução de complexidade operacional, alinhamento de conformidade entre o público e o particular, padronização de processos críticos e alinhamento de responsabilidades dentro dos órgãos governamentais em todas as esferas.
Conforme acrescenta o Gerente de SI das Centrais Elétricas de Santa Catarina (CELESC), Ricardo Gazola, isso dá ao CISO um ponto único de referência para mapear obrigações, evitar omissões e sustentar decisões com segurança jurídica. “A coletânea nos ajuda também como um guia de requisitos implementáveis e testáveis, bem dá base normativa para ‘cobrar’ estrutura e orçamento, formalizando responsabilidades com outros setores-chave”, disse ele.
Marco Legal da Cibersegurança no horizonte
Os líderes de Segurança consultados pela SR também apontaram a importância dessa padronização em um contexto em que o Marco Legal da Cibersegurança, que visa centralizar as normativas desse tema, avança no Congresso Nacional. Nesse sentido, é de grande importância que os profissionais de Cibersegurança conheçam o atual cenário normativo que englobam suas organizações para poderem estar preparados para eventuais mudanças na lei.
“Essa coordenação indica que o país está caminhando para um marco mais ‘sistêmico’ e menos fragmentado, possivelmente com algum órgão regulador central. Portanto, na prática, será exigido mais maturidade e ações concretas, como plano de resposta a incidentes, plano de continuidade dos negócios e plano de recuperação de desastres. Isso deixa de ser boa prática e se torna obrigação mensurável”, comenta Gazola.
Signorini aponta também que alterações podem ajudar a elevar a Cibersegurança a uma política de Estado, para proteger ativos críticos no mundo contemporâneo. “Não podemos continuar tratando isso como um problema de compliance documental — é uma questão de segurança nacional e de sobrevivência democrática. Por isso, a pergunta que todo CISO deve se fazer agora é: o que pode mudar na cadeia de comando normativa?”, conclui ele.
