A Brasscom (Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação) acha fundamental que o Brasil encaminhe um debate sobre segurança da informação, sobretudo no setor público, mas quer que esse debate seja feito de forma completa, e que não fique concentrada apenas em alguns aspectos, como certificação e auditoria de equipamentos. Para a entidade, é importante discutir processos de governança e boas práticas, bem como mecanismos de controle de acesso, proteção e criptografia das redes e sistemas de armazenamento.
"Desde o ano passado estamos manifestando ao governo a importância de promover uma discussão ampla sobre a questão da segurança da informação. Isso é fundamental, mas o debate precisa ser feito de maneira holística", diz Sérgio Paulo Gallindo, presidente executivo da Brasscom. "Precisamos de um framework sobre gestão de segurança da informação", diz ele. "Não adianta ter auditoria mas não cuidar dos processos, por exemplo".
O ponto que está incomodando as empresas multinaconais fornecedoras de TIC, muitas delas associadas à Brasscom (que também tem como associados empresas brasilerias e instituições de pesquisa nacionais) é a política de auditoria que o Brasil está desenvolvendo para equipamentos e sistemas de tecnologia da informação comprados pelo setor público. A proposta da Brasscom, já manifestada a autoridades brasilerias, é que o país siga o Common Criteria, um padrão de certificação homologado por 26 países. "Adotar essa certificação pode trazer ganhos de escala importantes e dar escala global para a indústria nacional", diz o presidente da Brasscom.
Nesta quinta, 12, foi realizada uma audiência pública no Ministério do Planejamento para construir os critérios para a auditoria em programas e equipamentos para os serviços de tecnologia da informação e comunicações (TIC) fornecidos aos órgãos do governo federal. "Existe uma diferença entre ter os equipamentos certificados e ter mecanismos de auditoria", diz Gallindo, lembrando que na área de telecomunicações, por exemplo, o Brasil sempre seguiu padrões internacionais. "É impossível garantir que um software não tenha nenhuma falha, mas podemos assegurar que ele esteja dentro de determinadas especificações e parâmetros".
Isso leva ao segundo ponto da política brasileira, que é a entrega dos códigos fonte e firmwares de softwares e equipamentos de TICs. Para as empresas fornecedoras, sobretudo as internacionais, isso é inconcebível, segundo fontes destas empresas. Gallindo não é tão categórico, mas ressalta que essa é uma questão muito mais jurídica do que técnica. "Estamos falando essencialmente de propriedade intelectual", diz ele, lembrando que as empresas certamente avaliarão as garantias que o governo dará de preservação dessa propriedade intelectual antes de abrirem seus códigos. "O que queremos é que (a política de segurança da informação) seja a melhor para o país, mas não podemos afirmar que o caminho que está sendo seguido levará a isso".
Cristiano Heckert, secretário de logística e tecnologia da informação do Mibistério do Planejamento, em vídeo de divulgação elaborado pelo ministério para divulgação da audiência pública, ressaltou que o governo está aberto a ouvir todas as contribuições do setor empresarial e da academia, mas que não vai abrir mão de garantir a segurança das comunicações governamentais.