Assim como os ataques atravessam fronteiras, os limites territoriais de países, muitas vezes, deixam de fazer sentido quando o assunto é segurança digital. Esse é mais um desafio aos esforços para criar soluções para as ameaças cibernéticas. Nessa missão, na visão de especialistas do setor, empresas e governos precisam trabalhar em conjunto — diferentemente de uma abordagem em que o setor público impõe exigências e as companhias apenas atendem.
“É necessário que se tenha uma abordagem transparente, com o compartilhamento de expertises e recursos, para assim definir as melhores práticas”, afirmou John Miller, conselheiro-geral do Information Technology Industry Council (ITI), em evento na Casa JOTA nesta quarta-feira (29/6). Realizado pelo JOTA, o debate contou com o apoio da Microsoft e organização do ITI e da Associação Brasileira de Empresas de Software (ABES).
No painel “Experiências e melhores práticas internacionais em segurança cibernética”, Miller avaliou que práticas como o cumprimento de requisitos e a obtenção de certificações apenas não garantem a segurança cibernética.
“Muitos dos legisladores pelo mundo entendem a certificação como resposta, mas ela só tem valor se há padrões bem estabelecidos; hoje, uma certificação nacional isolada não teria valor. A segurança cibernética é um processo contínuo. A certificação nunca irá reduzir riscos por si só”, afirmou ele.
Taylor Roberts, diretor global das políticas de cyber e confiança da Intel, defendeu que a regulamentação seja capaz de manter certa flexibilidade. “Não podemos ter um ambiente altamente regulamentado. É importante que os desafios trazidos pelas exigências restritivas de regulamentação não travem os processos. Uma certificação nacional não permite a flexibilidade que é exigida por uma cadeia de suprimentos global, por exemplo”, disse Roberts.
Entretanto, por se tratar de serviços com forte impacto para o público, a regulamentação pode atuar como forma de garantir que os riscos estão sendo mitigados — ao menos, dentro da fronteira de países.
“Cada empresa já nasce fazendo seu esforço de segurança cibernética, porque é um risco do negócio, então há práticas de gestão de riscos. Mas a Anatel entende que não é suficiente, porque estamos falando de um serviço essencial hoje: os celulares e a banda larga são essenciais para a comunicação, pagar contas, pegar transporte”, disse Gustavo Santana Borges, superintendente de Controle de Obrigações da Agência Nacional de Telecomunicações (Anatel).
“Posso confiar que a gestão de risco das empresas é suficiente? É preciso ter acompanhamento, intervenção, mas sempre com cuidado para respeitar a liberdade das prestadoras”, completou.
Um sistema que atenda aos requisitos formais também não necessariamente tem riscos plenamente mitigados, segundo Adam Sedgewick, consultor de políticas de tecnologia da informação da agência do governo americano National Institute of Standards and Technology (NIST).
“Risco sempre foi difícil de mensurar e com segurança cibernética é um desafio. Temos focado ultimamente em ter uma uniformização maior em padrões de segurança internacional, para que eles não sejam uma barreira. Porém, não temos um método de avaliação de riscos que serve para todos os setores”, pontuou.
