Presidência da República elegeu, em janeiro de 2019, a EstratégiaNacional de Segurança Cibernética - E-Ciber como
primeiro módulo da Estratégia Nacional de Segurança da Informação, a seu cargo, a ser elaborada.
Desse modo, por coordenação do Gabinete de Segurança Institucional da Presidência da República, e com
participação de mais de quarenta órgãos e entidades do Governo, além de instituições privadas e do setor acadêmico,
que foram distribuídos em três subgrupos de trabalho, foi elaborada a presente E-Ciber, após trinta e uma reuniões e
sete meses de estudos e de debates.
Por meio de metodologia bottom up, e com base nas conclusões dos subgrupos de trabalho, em avaliação
comparativa - benchmarking sobre estratégias correlatas de outros países, e em cumprimento ao contido na Política
Nacional de Segurança da Informação, chegou-se ao diagnóstico da segurança cibernética global e do Brasil. Em
seguida, foram estabelecidos os objetivos estratégicos nacionais, e as respectivas ações estratégicas, segundo sete
eixos de atuação, que demonstram à sociedade brasileira os pontos considerados relevantes para o País na área da
segurança cibernética.
1.2. INTRODUÇÃO
A revolução digital está transformando profundamente nossa sociedade. Nas últimas duas décadas, bilhões de
pessoas se beneficiaram do crescimento exponencial do acesso à internet, da rápida adoção dos recursos de
tecnologia da informação e comunicação, e das oportunidades econômicas e sociais oriundas do ambiente digital.
Os rápidos avanços na área de tecnologia da informação e comunicação resultaram no uso intenso do espaço
cibernético para as mais variadas atividades, inclusive a oferta de serviços por parte do Governo federal, em coerência
com as tendências globais. Entretanto, novas e crescentes ameaças cibernéticas surgem na mesma proporção, e
colocam em risco a administração pública e a sociedade.
Desse modo, proteger o espaço cibernético requer visão atenta e liderança para gerenciar mudanças contínuas,
políticas, tecnológicas, educacionais, legais e internacionais. Nesse sentido, o Governo, a indústria, a academia e a
sociedade em geral devem incentivar a inovação tecnológica e a adoção de tecnologias de ponta, e manter constante
atenção à segurança nacional, à economia e à livre expressão.
Em nível superior aos debates sobre a segurança no espaço cibernético está a Segurança da Informação, área
sistêmica, e diretamente relacionada à proteção de um conjunto de informações e ao valor que estas possuem para
um indivíduo ou para uma organização. Desse modo, segundo o art. 2º do Decreto nº 9.637, de 2018, a Segurança da
Informação abrange a segurança cibernética, a defesa cibernética, a segurança física e a proteção de dados
organizacionais, e tem como princípios fundamentais a confidencialidade, a integridade, a disponibilidade e a
autenticidade.
Entende-se que os recursos tecnológicos empregados na segurança sistêmica devem apoiar políticas que
garantam os princípios fundamentais da autenticidade e da integridade dos dados, e prover mecanismos para
proteção da legitimidade contra sua alteração ou eliminação não autorizada. Do mesmo modo, as informações
coletadas, processadas e armazenadas na infraestrutura de tecnologia da informação e comunicação devem ser
acessíveis apenas a pessoas, a processos ou a entidades autorizadas, a fim de garantir a confidencialidade das
informações. Adicionalmente, os recursos de tecnologia da informação e comunicação devem prover disponibilidade
permanente e apoiar de forma contínua todos os acessos autorizados.
A E-Ciber, além de preencher importante lacuna no arcabouço normativo nacional sobre segurança cibernética,
estabelece ações com vistas a modificar, de forma cooperativa e em âmbito nacional, características que refletem o
posicionamento de instituições e de indivíduos sobre o assunto. Em primeiro lugar, verifica-se que há boas iniciativas
gerenciais nessa área, entretanto, mostram-se fragmentadas e pontuais, o que dificulta a convergência de esforços no
setor. Em segundo, nota-se a falta de um alinhamento normativo, estratégico e operacional, o que frequentemente
gera retrabalho ou resulta na constituição de forças-tarefas para ações pontuais, que prejudicam a absorção de lições
aprendidas e colocam em risco a eficácia prolongada dessas ações. Em terceiro, vê-se a existência de diferentes
níveis de maturidade da sociedade em segurança cibernética, o que resulta em percepções variadas sobre a real
importância do tema.
Após a presente parte introdutória, discorre-se sobre a metodologia adotada nas linhas de análise, que tiveram
por base o estudo de dois conjuntos de eixos temáticos: os de proteção e segurança, e os denominados
transformadores. Aborda-se, ainda, como os subgrupos de trabalho se estruturaram, de acordo com os temas
propostos.
Na Parte I, apresenta-se um diagnóstico da segurança cibernética, baseado no cenário internacional e o no
cenário nacional, com especial atenção às ameaças, aos ataques e às vulnerabilidades cibernéticas, e ao modo como
esses elementos impactam a sociedade e as instituições.