Política de segurança cibernética deve impor exigências mínimas

22/09/2016

Ao discutir caminhos para uma política de segurança cibernética para o Brasil, bancos e empresas de segurança do país alertam para os primeiros cuidados que, por aqui, não são ainda levados em consideração, como obrigações mínimas para uso de ferramentas como antivírus ou mesmo para dar publicidade aos ataques cibernéticos ocorridos.

“No Brasil temos uma frequência muito alta de casos não solucionados. Mas sentimos carência de cooperação desde com outras indústrias do setor privado, mas principalmente com o setor público. É importante compartilhar informações de defesa, padrões, tipos de ataques. Mas no Brasil não há obrigação nem de reportar ataques, o que prejudica as estatísticas”, afirmou o vice coordenador da comissão de segurança da Febraban, Daniel Ho.

Ele participou nesta terça, 20/9, do ICT Week, seminário promovido pelo MCTIC e pela União Europeia em Brasília para tratar de vários assuntos de TI. No dia voltado a segurança cibernética, Daniel Ho ressaltou a necessidade do que chamou de “padrões mínimos de segurança”. “Instruções e até obrigatoriedade de coisas simples, como proteções de antivírus, software legalizado, mas isso muitas vezes não é empregado nem nas empresas, nem no setor privado. Deveria se pensar em uma diretriz nacional de segurança da informação. ”

Na mesma linha, o presidente da empresa de soluções de segurança Kryptus, Ricardo Gallo, também defendeu ações do Estado para incentivar a defesa cibernética. “Uma política pública deve trabalhar fundamentalmente na divulgação dos riscos que a sociedade corre. Tem que ser material, tem que ser assustador. As empresas precisam se enxergar nas vulnerabilidades. Mas também precisa de responsabilidade objetiva legal. Se tem um negócio que ganha com a informação do cliente, é razoável que a empresa seja responsabilidade quando vazar dados. A lei não morde, mas precisa morder. ”

Segundo ele, essa postura ajuda a explicar porque os investimentos em segurança ainda representam uma parte muito pequena dos aportes em tecnologia. “O gasto com segurança da informação é apenas 3% do gasto de TI. Na Europa é 10% a 12%. Nos Estados Unidos chega a 15%. Com esse tipo de orçamento, compra a commodity, um firewall, um antivírus. Os investimentos precisam aumentar para soluções customizadas”, sustentou.

Como também ressalta Cláudio Neiva, da consultoria Gartner, compartilhamento de informações já faria diferença. “A maioria dos ataques usa vulnerabilidades conhecidas. Precisa controle, padrões de configurações, enfim, troca de informações. Seria muito importante o governo montar um programa de compartilhamento de informações sobre falhas de segurança. Não temos legislação que obrigue isso, mas se o governo não formula, o próprio mercado pode se regular. ”

Autor: Luís Osvaldo Grossmann.

Fonte: Convergência Digital.

Voltar