Na última quinta-feira, dia 30 de março, foi publicada pelo Ministério da Gestão e da Inovação em Serviços Públicos, por meio da Secretaria de Governo Digital, a Portaria SGD/MGI nº 852/23, que estabelece o Programa de Privacidade e Segurança da Informação (PPSI), institui o Framework de Privacidade e Segurança da Informação (que já havia sido lançado em novembro de 2022), cria o Centro Integrado de Segurança Cibernética do Governo Digital – CISC Gov.br, além do Centro de Excelência em Privacidade e Segurança da Informação.
O Programa de Privacidade e Segurança da Informação – PPSI estipula a criação de diversos processos e controles subdivididos nas áreas de governança, maturidade, metodologias, pessoas e tecnologia e tem por objetivo uma elevação da maturidade em segurança da informação dos órgãos públicos e o fortalecimento na cultura de privacidade e proteção de dados, sendo direcionada a todas as 251 entidades e órgãos que compõem o Sistema de Administração de Recursos em Tecnologia da Informação – SISP, com a estruturação da governança do programa em cada um dos órgãos.
Já o Framework de Privacidade e Segurança da Informação é fruto de estudo baseado nos principais frameworks de privacidade e segurança cibernética, como CIS, NIST e ISO/IEC. O documento, dividido em oito capítulos, disponibiliza 31 controles (dezoito de segurança cibernética e treze de privacidade) a serem implementados pelas repartições, além de ferramentas capazes de auxiliar no diagnóstico e na melhoria de seu nível de segurança.
A criação do Centro Integrado de Segurança Cibernética do Governo Digital – CISC Gov.br e do Centro de Excelência em Privacidade e Segurança da Informação objetiva elevar ainda mais o apoio técnico de segurança e de resposta a incidentes, tendo em vista que o CISC Gov.br fornecerá às entidades pertencentes ao SISP serviços avançados de cibersegurança, como a execução de testes de penetração (pentests), análises de vulnerabilidades e atividades de inteligência de ameaças cibernéticas (threat intelligence), enquanto o Centro de Excelência tem a missão de promover a cultura de privacidade e segurança da informação, a partir de parcerias com entidades públicas e privadas, bem como de ações de conscientização.
A iniciativa é de grande importância, uma vez que pretende o aumento do nível de proteção dos ambientes digitais públicos, principalmente em relação aos sistemas críticos do Governo, justamente em um momento em que os ciberataques direcionados a entidades governamentais sofrem considerável aumento[1].
Como as medidas podem impactar no setor privado?
Embora todas as medidas trazidas pela Portaria 852/23 sejam voltadas especificamente ao setor público, a norma certamente trará impactos ao setor privado. Isso porque, quando se fala no aumento de maturidade na proteção de dados pessoais e ativos de informação, é necessário que toda a sociedade caminhe na mesma direção, não bastando que apenas um setor específico se destaque. Caso contrário, incidentes de segurança da informação continuarão ocorrendo nos setores com menor capacidade de proteção, afinal, uma corrente é tão forte quanto o seu elo mais fraco.
Nesse sentido, acaba sendo uma tendência natural que a Autoridade Nacional de Proteção de Dados (ANPD) siga as diretrizes já elaboradas para o setor público em sua agenda regulatória, passando a utilizá-las como referência. Dessa forma, empresas que estruturem seu Sistema de Gestão de Segurança da Informação seguindo as metodologias e os controles em harmonia com o proposto pelo Governo Federal no Framework de Privacidade e Segurança da Informação, por exemplo, têm a chance de se adiantarem em seus processos de adequação, mitigando riscos em eventual incidente de segurança e, consequentemente, de autuação por parte da ANPD.
[1] CISO Advisor. Ciberataques a governos subiram 95% no 2º semestre de 2022. https://www.cisoadvisor.com.br/ciberataques-a-governos-cresceram-95-no-2o-semestre-de-2022/#:~:text=O%20n%C3%BAmero%20de%20ataques%20direcionados,seguran%C3%A7a%20cibern%C3%A9tica%20baseada%20em%20IA.