Novo Decreto institui a Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança
- Quarta, 17th Janeiro, 2024
- 11:55am
oi publicado hoje o Decreto 11.856/2023, que institui a Política Nacional de Cibersegurança (PNCiber) e o Comitê Nacional de Cibersegurança (CNCiber). A publicação da PNCiber representa uma grande conquista para todos os profissionais que trabalham diariamente e arduamente no combate a crimes e incidentes cibernéticos.
Com constantes novas ameaças e agentes maliciosos iminentes, atender às necessidades atuais da segurança cibernética exige adaptação e evolução contínuas das legislações e regulamentações e a PNCiber foi criada neste sentido, com a finalidade de contribuir, fortalecer, estruturar e regulamentar as ações de Segurança Cibernética.
Dentre os principais objetivos da Política Nacional de Cibersegurança, destacamos:
Promoção do desenvolvimento de produtos, serviços e tecnologias relacionados à segurança cibernética;
Combate aos crimes cibernéticos e ações maliciosas;
Estimular a adoção de medidas de proteção cibernética e de gestão de riscos para prevenir, evitar, mitigar, diminuir e neutralizar vulnerabilidades, incidentes e ataques cibernéticos, e seus impactos;
Desenvolver a educação e capacitação profissional em cibersegurança;
Desenvolver mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança e a resiliência cibernéticas nacionais;
Implementar estratégias de colaboração para desenvolver a cooperação internacional em segurança cibernética.
Esse movimento não apenas fortalece a importância da implementação das práticas de resiliência cibernética nas organizações corporativas, mas também demonstra o quão esse processo deve estar enraizado na cultura das empresas e alinhado com o plano estratégico e de continuidade dos negócios.
A PNCiber reforça a necessidade de uma atuação conjunta, colaborativa e multidisciplinar entre organizações públicas e privadas a fim de alcançar uma resiliência cibernética, baseada em avaliações de riscos e combate aos ataques cibercriminosos e incidentes cibernéticos.
A própria composição do Comitê Nacional de Cibersegurança, proposta pelo Decreto, demonstra o quão necessário é ter uma equipe multidisciplinar para alcançar os objetivos da resiliência cibernética.
Dentro de uma organização privada, isso significa a atuação multidisciplinar conjunta na mitigação dos riscos e combate aos crimes e incidentes cibernéticos, o que pode incluir a criação de Comitês de Crise e Comitês de Governança de Segurança Cibernética ou, ainda, a atuação conjunta das áreas de Tecnologia, Riscos, Auditoria interna, Controles internos, Compliance, Privacidade, Jurídico, Comunicação e Alta Gestão.
Cada uma dessas áreas, com suas especialidades, participa de uma fase do processo de construção do Programa de Segurança Cibernética através das seguintes atividades:
Mapear potenciais riscos cibernéticos;
Mensurar impactos e probabilidades dos riscos se materializarem, por meio da construção de uma matriz de riscos cibernéticos;
A partir da identificação de riscos, criar um plano de ação de forma a mitigá-los ou reduzi-los a um nível aceitável pela organização;
Implementar o plano de ação com a aplicação de medidas técnicas e organizacionais como forma de controle dos riscos;
Avaliar e monitorar se os controles estão sendo implementados;
Avaliar a maturidade da organização sob aspectos de cibersegurança;
Treinar e capacitar os colaboradores para identificarem riscos, incidentes e adotarem em seu dia a dia medidas que reforcem a segurança cibernética;
Trazer para a pauta de Governança perante os Conselhos e Diretoria os temas relacionados a segurança cibernética;
Em caso de incidentes, atuar com diligência e tempestividade a fim de ter insumos para realizar a investigação, além de maior e melhor visibilidade da causa raiz para realizar a contenção de forma mais rápida, com impactos menores possíveis para o negócio;
Comunicar autoridades regulatórias, se necessário, a depender do enquadramento nos critérios legais e regulatórios (ANPD, BACEN, CVM etc.).
Cada uma das atividades acima contribui para um ambiente cibernético mais seguro, e estão em linha com os objetivos da Política Nacional de Cibersegurança.
A Política Nacional de Segurança da Informação (PNSI) abrange segurança cibernética, defesa cibernética, segurança física e a proteção de dados organizacionais1.
A Estratégia Nacional de Segurança Cibernética (E-Ciber) é um conjunto de ações estratégicas do governo federal relacionadas a área de segurança cibernética até 2023234.
O PL sugere um Sistema Nacional de Cibersegurança, que prevê três órgãos, com diferentes funções: uma Agência Nacional de Cibersegurança (ANCiber), um Comitê Nacional de Cibersegurança (CNCiber) e um Gabinete de Gerenciamento de Cibercrises (GGCiber)54.
https://www.in.gov.br/en/web/dou/-/decreto-n-11.856-de-26-de-dezembro-de-2023-533845289