A proteção das infraestruturas críticas e a segurança cibernética são imperativos para assegurar a continuidade dos negócios no Brasil. O conhecimento e a conformidade com as legislações pertinentes são fundamentais para mitigar riscos e garantir a resiliência das operações.
Neste artigo, exploraremos as principais legislações que regem essas áreas e discutiremos como o seguro cibernético pode atuar como um aliado estratégico. Como líderes de segurança e tecnologia, é crucial reconhecer que a continuidade dos negócios depende de uma proteção robusta das infraestruturas críticas e da segurança cibernética.
No contexto brasileiro, a adesão às legislações específicas não é apenas uma exigência legal, mas também uma estratégia essencial para mitigar riscos, assegurar a resiliência operacional e fortalecer a confiança dos clientes.
Infraestruturas críticas
Política Nacional de Segurança de Infraestruturas Críticas (PNSIC):
Decreto nº 9.573/2018: Este decreto define infraestruturas críticas como instalações, serviços, bens e sistemas cuja interrupção ou destruição pode causar impacto significativo na sociedade, economia, segurança pública ou saúde. A PNSIC estabelece diretrizes para identificar, proteger e responder a ameaças contra essas infraestruturas. As medidas incluem a avaliação de riscos, implementação de planos de contingência e cooperação entre setores público e privado.
Decreto nº 9.573/2018: Leia mais sobre o decreto aqui.
Informações adicionais sobre a PNSIC: Gabinete de Segurança Institucional
Estratégia Nacional de Segurança de Infraestruturas Críticas (ENSIC):
A ENSIC complementa a PNSIC ao detalhar ações estratégicas específicas para a proteção das infraestruturas críticas. Isso inclui a promoção de uma cultura de segurança, desenvolvimento de capacidades técnicas e operacionais, e a criação de mecanismos de coordenação e comunicação entre diferentes órgãos e setores.
Decreto nº 10.569/2020: Leia mais sobre o decreto aqui.
Informações adicionais sobre a ENSIC: Gabinete de Segurança Institucional.
Segurança cibernética
Estratégia Nacional de Segurança Cibernética (E-Ciber):
A E-Ciber estabelece diretrizes para a proteção do ciberespaço brasileiro, com foco na segurança das informações e na resiliência das infraestruturas digitais. As principais ações incluem a promoção da educação e conscientização em segurança cibernética, desenvolvimento de capacidades de resposta a incidentes, e a cooperação internacional para combater ameaças cibernéticas.
Decreto nº 10.222/2020: Leia mais sobre o decreto aqui.
Informações adicionais sobre a E-Ciber: Gabinete de Segurança Institucional
Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber):
Este regulamento, emitido pela Agência Nacional de Telecomunicações (Anatel), define requisitos de segurança para equipamentos e redes de telecomunicações. As medidas incluem a certificação de equipamentos, implementação de controles de segurança nas redes, e a obrigatoriedade de notificação de incidentes de segurança. O objetivo é proteger os usuários e garantir a integridade e disponibilidade das redes de telecomunicações. Resolução nº 740/2020: Leia mais sobre a resolução aqui.
Informações adicionais sobre o R-Ciber: Agência Nacional de Telecomunicações (Anatel).
Política Nacional de Segurança da Informação (PNSI):
A PNSI orienta a gestão da segurança da informação no âmbito federal, abrangendo a proteção de dados sensíveis, a prevenção de incidentes cibernéticos e a promoção de boas práticas de segurança. A política inclui a criação de normas e procedimentos para a gestão de riscos, a implementação de controles de segurança e a capacitação de servidores públicos em temas relacionados à segurança da informação.
Decreto nº 9.637/2018: Leia mais sobre o decreto aqui.
Informações adicionais sobre a PNSI: Gabinete de Segurança Institucional.
A implementação dessas legislações é crucial para a continuidade dos negócios. Identificar e proteger infraestruturas críticas e dados sensíveis ajuda a mitigar riscos operacionais e financeiros. Além disso, os planos de contingência e respostas rápidas a incidentes garantem que as operações possam continuar mesmo diante de ameaças. É importante destacar ainda a relevância da conformidade legal, ou seja, seguir as normas e regulamentos evita penalidades e danos à reputação, e o processo de confiança do cliente, já que demonstrar compromisso com a segurança aumenta a confiança dos clientes e parceiros de negócios.
O seguro cibernético é uma ferramenta essencial para complementar as medidas de segurança e garantir a continuidade dos negócios. Ele oferece cobertura para diversos tipos de incidentes cibernéticos, incluindo:
Violação de dados: Cobertura para custos associados à notificação de clientes, monitoramento de crédito e serviços de recuperação de identidade.
Interrupção de negócios: Proteção contra perdas financeiras decorrentes da interrupção das operações devido a um ataque cibernético.
Responsabilidade cibernética: Cobertura para reivindicações de terceiros por danos causados por uma violação de dados.
Extorsão cibernética: Assistência e cobertura para demandas de resgate em casos de ransomware.
Explorar e seguir as legislações de infraestrutura crítica e segurança cibernética, juntamente com a adoção de um seguro cibernético, é uma abordagem estratégica para garantir a continuidade dos negócios. Isso não só protege a empresa contra ameaças, mas também fortalece a confiança dos clientes e parceiros, promovendo um ambiente de negócios mais seguro e resiliente.
Ronaldo Andrade, CISO (Chief Information Security Officer) na Horiens.
