Resumo: A Segurança Cibernética vem ganhando papel de destaque e mostrandose imprescindível para os avanços na transformação digital brasileira, inclusive no setor público. O objetivo desse trabalho foi mapear os principais desafios da segurança cibernética no setor público federal do Brasil sob a ótica de gestores de tecnologia da informação (TI). Para isso, foram realizadas entrevistas semiestruturadas com gestores de TI que atuam na área de segurança cibernética dos três poderes da república (executivo, legislativo e judiciário). As entrevistas foram transcritas e analisadas pela técnica de análise de conteúdo para formar construtos que representassem os principais desafios relatados na ótica dos entrevistados. A partir do resultado, identificou-se nove construtos que representam os desafios e, consequentemente, pontos de atenção para os gestores de segurança cibernética no setor público federal brasileiro. Este trabalho contribui para estudos relativos a adoção da segurança cibernética na área pública.
Palavras-chave: segurança cibernética; tecnologia da informaçâo; setor público; segurança da informaçâo.
Abstract: Cybersecurity has been gaining a prominent role and proving to be essential for advances in Brazilian digital transformation, including in the public sector. The objective of this work was to map the main challenges of cybersecurity in the federal public sector in Brazil from the perspective of information technology managers. For this, semi-structured interviews were carried out with information technology managers who work in the cyber security area of the three powers of the republic (executive, legislative and judicial). Many challenges reported from the perspective of the interviewees. From the result, nine constructs were identified that represent the challenges and, consequently, points of attention for cybersecurity managers in the Brazilian federal public sector. This work contributes to studies related to the adoption of cyber security in the public area.
Keywords: cybersecurity; information technology; public sector; information security.
1.Introduçao
A evoluçâo das atividades cibernéticas maliciosas aumentou os riscos cibernéticos para os individuos, organizaçoes e governos, tornando a Segurança Cibernética (SC) uma temática essencial das decisoes sociais, politicas e económicas (Geer et al., 2020). se de um complexo e relevante, sendo seu conhecimento essencial para pessoas e organizaçoes, abrangendo uma gama de aspectos técnicos, organizacionais e de governança que devem ser considerados para proteger os sistemas de informaçâo contra ameaças acidentais e deliberadas. Isso vai muito além dos pormenores da criptografia, firewalls, software antivírus, e ferramentas técnicas de segurança similares (Veale & Brown, 2020).
O desafio está em sair das soluçoes tradicionais, focadas na resiliencia, para programas nacionais, patrocinados pelos maiores interessados. A exemplo disso, EUA, Holanda, Alemanha e Reino Unido introduziram estratégias nacionais de segurança cibernética, assim como a Uniâo Europeia (UE), Organizaçâo das Naçoes Unidas (ONU) e a Organizaçâo do Tratado do Atlántico Norte (OTAN) desenvolvem políticas internacionais com foco na resiliencia a desastres, devendo, em seguida, de forma estratégica, seguir do "o que fazer" para o "como fazer" (Sharkov, 2016).
As organizaçoes precisam intensificar seus mecanismos de segurança, criando regras e politicas para seus usuários, que lhes permitam proteger seus sistemas e dados (Costa et al., 2019). No setor público brasileiro nao foi diferente, desafios complexos relacionados a SC e as rápidas transformaçoes na economia e na sociedade, proporcionadas pelo ambiente digital, impuseram novas açoes e estratégias no setor público federal brasileiro (Brasil, 2018), haja vista o quantitativo de ataques aos órgaos que vem sendo observado nos últimos anos (Alves et al., 2022)(Queiroz et al., 2022).
Contudo, além da implantaçao deframeworks de SC, tais como a série ISO 27000; o NIST CSF; o CIS Controls; ou o Mitre Att&ck, ou ainda, das próprias iniciativas do Departamento de Segurança da Informaçâo, vinculado ao Gabinete de Segurança Institucional da Presidencia da República (DSIC/GSI/PR), pouco se discute academicamente sobre os desafios enfrentados pelos gestores na adoçao e na implantaçao dos controles prescritos pelos frameworks, e que sâo muitas das vezes, positivados pelas normas do DSIC.
Para Shapira et al. (2021), alguns pontos acabam por impactar o enfrentamento aos desafios impostos pelo mundo cibernético: a falta de uma arquitetura da informaçao, a falta de conhecimento sobre as ameaças, procedimentos e tecnologias de segurança cibernética, o desconhecimento dos danos potenciais causados por ataques cibernéticos, uma comunicaçao incompleta e pouco eficaz aos funcionários, a falta de uma definiçao clara da responsabilidade e autoridades, a nao familiarizaçâo com as regulamentaçoes relevantes, a falta de profissionais dedicados no mercado, aumentando a dependencia de serviços externos, e regulamentos imprecisos e incompletos acessíveis ao público.
Nesse sentido, o objetivo geral desse trabalho é mapear os principais desafios da SC na setor público federal brasileiro sob a ótica de gestores de TI, realizando-se entrevistas semiestruturadas com gestores de TI dessse setor, com o objetivo de identificar os desafios. Além dessa introduçao, o trabalho apresenta outas quatro seçoes. Na seçao dois fez-se a revisao da literatura. Na seçao tres descreve-se a metodologia utilizada na pesquisa. A seçao quatro dedica-se a análise e discussao, e por fim, a quinta seçao dedica-se as conclusoes dos autores.
2.Revisao de Literatura
2.1.Gerenciamento de Risco
Para Maček et al. (2021), o principal objetivo do gerenciamento de risco é a reduçao dos riscos a um nível aceitável, relacionando ao apetite de risco da gestao organizacional, sendo a seleçao de soluçoes adequadas de TI que atendam aos negocios e, também, aos requisitos regulatórios, conformidade e segurança. Entretanto, a escolha de soluçoes de TI é um processo complexo, caro e que toma tempo, que, muitas vezes, acabam por nao alcançar o nível adequado de segurança devido a um aumento de ameaças, tornando-se um desafio a ser enfrentado.
Para Alshahrani et al. (2022), o gerenciamento de risco relacionado a TI é crucial na defesa dos ativos de dados de uma empresa, sendo seu principal objetivo a garantia da proteçao da infraestrutura relacionadas a Tecnología da Informaçao e Comunicaçao (TIC). Para os autores, o gerenciamento de risco nao deve se limitar aos especialistas de TI, devendo ser uma tarefa crítica no gerenciamento de riscos da empresa.
Kitsios et al. (2022) abordam as etapas previstas pela norma ISO 31000:2018: "(1) definiçao de escopo, contexto e critérios; (2) avaliaçao de risco (incluindo identificaçao de risco, análise de risco e avaliaçao de risco); (3) tratamento de risco; (4) coleta de dados e relatórios; (5) monitoramento e revisao; e (6) comunicaçao e consulta". Os autores informam que a norma nao tem como papel a imposiçao de sistemas de gestao de risco uniformes, mas estabelece princípios, uma estrutura e métodos, podendo abranger qualquer tipo de risco, e em todos os setores da economia.
Uma avaliaçao de riscos de negocios / missao de uma organizaçao é um fator chave para a priorizaçao das mitigaçoes de riscos, se demonstrando um desafio complexo a decisao, poderaçao e quantificaçao dos critérios que farao parte desse processo, envolvendo múltiplas partes interessadas. A proteçao de ativos valiosos e a minimizaçao de ameaças a segurança da informaçao requererá uma ampla e abrangente implementaçao da avaliaçao de riscos. Sendo feita de forma inadequada, confidencialidade, integridade e disponibilidade poderao estar comprometidas. A avaliaçao de riscos, que faz parte do gerenciamento de risco, associados a segurança da informaçao é um processo em que a descoberta, a correçao e a prevençao de problemas de segurança devem ser seus principais objetivos (Awang et al., 2020).
2.2.Segurança Cibernética (SC)
A SC é um dos grandes desafios a ser enfrentado pelos govemos de diversos países, particularmente no que se refere a garantía do funcionamento de infraestruturas críticas, tais como energia, defesa, transporte, telecomunicaçoes, finanças, entre outros (Moresi et al., 2012). A sua importancia tem aumentado a medida que as atividades governamentais e empresariais do dia a dia migram para o ambiente on-line. A digitalizaçao dos processos de trabalhos por parte das organizaçoes será observada a carencia de recursos organizacionais, destacando-se os tecnológicos e os humanos, que sao chave para o sucesso a longo prazo (Kshetri, 2016), mas, por outro lado, sao negligenciadas nas priorizaçoes e, consequentemente, os seus procedimentos preventivos nesta matéria sao ainda ligeiramente incipientes (Costa et al., 2019).
A ciber-resiliencia passa a ser um ponto a ser alcançado para as infraestruturas críticas, possibilitando, de forma holística, o alinhamento entre a infraestrutura e o negócio da organizaçao, trazendo confiança ao sistema, permitindo a prevençao, absorçao, recuperaçao e adaptaçao após emergencias (Bejarano et al., 2021).
A resiliencia cibernética se caracteriza pela proteçao efetiva com resposta adequada as ameaças no espaço cibernético, a preservaçao e a continuidade das atividades e serviços fundamentais, sempre que possível, e a recuperaçao imediata das operaçoes (Sharkov, 2016).
Diversos governos tem demonstrado preocupaçao com a temática. A título de exemplo, destaca-se o governo austríaco, que desenvolveu, em 2013, a sua estratégia de SC, descrevendo os desafios, riscos e ameaças com base na análise do ambiente de segurança daquele país. A estratégia leva em consideraçao sete campos de açao: estruturas e processos, governança, proteçao de infraestruturas críticas, legislaçao, sensibilizaçao e capacitaçao, gestao de riscos, cooperaçao internacional (Kaponig, 2020).
O documento se assemelha com a Estratégia de Segurança Cibernética (E-Ciber) do governo brasileiro, entretanto o relatório brasileiro apresenta muito mais açoes a serem implementadas, sem contudo, identificar os desafios.
A SC visa a proteçao do próprio espaço cibernético, das informaçoes que trafegam por ele, das áreas de TIC que dao suporte a esse ciberespaço, das pessoas que se utilizam dele, assim como de seus interesses (Larsen & Lund, 2021). A maioria dos ataques cibernéticos é evitável, devendo fazer parte uma cultura de segurança cibernética com foco na proteçao de sistemas de informaçoes, redes de computadores, dados e usuários que utilizam o ciber espaço (Herath et al., 2022). Para Desolda et al. (2021), a segurança cibernética envolve segurança, salvaguardas, políticas, diretrizes, abordagens de gerenciamento de riscos, boas práticas, ferramentas com foco na proteçao do ambiente cibernético e nos ativos de risco.
Na busca por fatores críticos de sucesso relacionados a segurança cibernética, Yeoh et al. (2022) elaboraram uma revisao sistemática da literatura, na qual informam que 68% da liderança empresarial acredita que os riscos relacionados a SC estao aumentando, trazendo como exemplo um ataque de ransomware, em 2021, a área de TI da Colonial Pipeline, provocando o desligamento do maior oleoduto dos Estados Unidos, responsável por 45% do suprimento de combustível da costa leste norte-americana. Para Yeoh et al. (2022), a busca por medidas que tragam sucesso a SC contempla compreensao dos fatores críticos de sucesso da SC. A formulaçao das estrategias organizacionais nao tem levado em consideraçao os riscos associados a introduçao de novas tecnologías, dentre elas a Internet das Coisas (IoT), mídia social, big data e inteligencia artificial (IA).
2.3.A Segurança Cibernética no setor público do Brasil
A E-Ciber define SC como uma arte focada na continuidade da Sociedade da Informaçao, buscando a a garantia e proteçao do espaço cibernético, de seus ativos de informaçao, assim como de suas infraestruturas críticas (Brasil, 2015). Sao planos que direcionam o Estado para a melhoria da resiliencia, assegurando a segurança de infraestruturas, de serviços e, consequentemente, a segurança do cidadao (Hurel, 2021).
No Brasil, a SC encontra-se sob responsabilidade do DSIC/GSI/PR, responsável pela coordenaçao do Comite de Segurança da Informaçao, além de outros órgaos, como Grupos de Trabalho e Grupos Técnicos relacionados a Segurança das Infraestruturas Críticas, Segurança das Infraestruturas Críticas da Informaçao, Segurança Cibernética e Criptografia. Ou seja, não existe um órgao específico parar coordenar a SC no país. Assim sendo, a dimensao e a assimetria da estrutura de SC do país representa um desafio a ser enfrentado pelo Brasil (Brasil, 2015).
Evidencia-se, assim, os desafios enfrentados pelo Governo Federal brasileiro, em especial a ausencia de um órgao central que exerça coordenaçao executiva de tais temas, de forma sistemica e participativa - "multistakeholders" e multissetores, somada a ausencia de destaque orçamentârio específico e adequado ao tamanho do problema, além da falta de incentivo na criaçao de órgaos específicos relacionados a SC. Somados a carencia do estabelecimento de governança da Segurança da Informaçao e Comunicaçoes (SIC) e da SC, e da segurança dos ativos de informaçao críticos (Brasil, 2015).
Segundo o governo brasileiro, sao essenciais açoes colaborativas entre o Setor de Defesa e a comunidade academica nacional, e os setores público e privado para, assim, contribuir para o desenvolvimento do potencial nacional na área da TI. Além de propor açoes no setor, com objetivo de tornar a SC cada vez mais relevante e eficiente, também recomenda que cada órgao do setor público e do setor privado, planeje e realize gestoes no sentido de alcançar as propostas do plano, em um esforço conjunto e dedicado, em prol do pleno alcance dos objetivos estratégicos do país, no tema da SC (Decreto No 10.222, de 5 de Fevereiro de 2020, 2020).
3.Metodologia
Trata-se de uma pesquisa de natureza aplicada, com objetivos descritivos e exploratórios. Ela é descritiva pois "tem como principal objetivo descrever características de determinada populaçao, fenómeno ou estabelecimento de relaçoes entre variáveis" (Gil, 2002, p. 42). Ela é exploratória pois tem a intençao de se ter maior familiaridade com o problema estudado, compreendendo os desafios que os gestores da administraçao pública federal enfrentam na gestao da SC. Ainda nesse quesito, Marconi & Lakatos (2022) informam que a pesquisa exploratória permite que a coleta dos dados pode se dar por meio de entrevistas com pessoas experientes em relaçao ao assunto, situando-se na abordagem qualitativa, pois buscou-se a compreensão detalhada dos significados por meio de percepçoes dos entrevistados.
Com isso, elaborou-se um roteiro com 15 perguntas abertas que serviram como roteiro para entrevistas semiestruturadas em profundidade. Selecionaram-se, para essas entrevistas, entrevistados que possuem funçao de gestor do setor público federal que tenham experiencia da área de SC. Dessa forma, o mapeamento dos desafios seria mais claro a partir das respostas dos entrevistados. Foram realizadas 9 entrevistas com individuos de organizaçoes públicas federais dos tres poderes da república brasileira: executivo, legislativo e judiciário. As entrevistas foram realizadas por meio de videoconferencia, entre os meses de março e abril de 2022.
Após a transcriçao das entrevistas, utilizou-se a técnica de análise de conteúdo como mais adequada para análise dos dados, que por meio de procedimentos sistemáticos permite inferir conhecimento dos discursos analisados seguindo as etapas propostas em Marconi & Lakatos (2022): (i) pré-análise; (ii) exploraçao do material; e (iii) tratamento dos resultados, a inferencia e a interpretaçao. A etapa de pré-análise, consistiu na transcriçao das entrevistas para organizar as informaçoes e obter um material consistente e pronto para a análise. Assim, realizou-se uma análise prévia das transcriçoes das entrevistas a fim de destacar trechos importantes que poderiam estar alinhados aos objetivos da pesquisa, ou seja, a partir das respostas dos gestores, mapear os principais desafios relacionados a SC no setor público. A Tabela 1 traz uma visão sucinta do perfil dos entrevistados.
Na segunda etapa, de exploraçao do material, os trechos destacados foram analisados e agrupados constituindo construtos, ou seja, temas ou frases capazes de representar um grupo de características citadas pelos entrevistados conforme o julgamento do pesquisador e das impressoes observadas. Por fim, como etapa final, precedeu-se com o tratamento das informaçoes obtidas através da análise anterior permitindo, assim, a sua interpretaçâo, reflexao e discussão com a literatura.
4.Resultados e Discussão
A Tabela 2 consolida os principais pontos destacados pelos entrevistados, divididos em nove grupos de construtos que representam os desafios da SC no setor público fededral brasileiro. Esses resultados serão apresentados e discutidos com maior detalhe nas seçoes posteriores.
4.1. Infraestrutura de TI
Para os entrevistados, o setor público possui deficiencia na infraestrutura de TI. Alguns gestores afirmaram que os equipamentos e softwares utilizados sao defasados, além dos procedimentos nao serem adequados para a defesa de constantes ataques, apresentando a existencia de equipamentos ultrapassados. Ou seja, investimentos na parte estrutural sao necessários para a evoluçao da SC no país e para tornar a segurança parte elementar em todos os órgaos. Outro ponto destacado foram os processos, já que os gestores majoritariamente afirmaram que falta o foco em prevençao e que, na maioria das vezes, a alta gestao percebe o setor de TI apenas quando existe algum problema, ou quando ocorrem ataques cibernéticos, assim sendo, açoes voltadas para a prevençao sao, muitas vezes, negligenciadas.
O setor público federal constantemente é alvo de ataques, o que demanda maior cuidado com a segurança. Identificar todos os ataques em tempo real e responder as ameaças de forma efetiva é fundamental (Paiva, 2020). Portanto, a sinalizaçao de falta de infraestrutura de TI adequada torna-se um grande desafio da SC, uma vez que é fundamental existir na organizaçao uma infraestrutura adequada para a manipulaçao dos dados e do bom funcionamento do órgao (Sousa, 2013).
4.2.Estrutura
A maioria dos gestores afirmaram que a estrutura atual nao é adequada e que a criaçao de um órgao central que coordenasse a SC no país seria essencial. Segundo eles, o GSI emite portarías que nao sao operacionais, e seu trabalho tem abrangencia pequena. Na visao da maioria dos gestores, uma agencia específica para fazer essa coordenaçao seria o mais adequado.
Os relatos dos gestores demonstram, entretanto, certa discordancia da ótica deles com a literatura. Segundo Souza & Almeida (2016), o Estado brasileiro possui uma estrutura basilar pronta para atuar nas áreas de segurança e defesa cibernética, ainda que em desenvolvimento, perante os desafios presentes.
4.3.Governança
Para os gestores, existe ainda um grande desafio na GSC da área pública, já que a grande maioria afirma que as áreas mais estratégicas nao se importam adequadamente a temática, e a GSC é ainda incipiente. Percebe-se, portanto, a partir das afirmaçoes, a dificuldade de relacionamento entre as áreas mais estratégicas com a parte operacional relacionada a SC, o que aponta para a necessidade de que a temática seja tratada por estruturas vinculadas ao nível estratégico do órgao.
A GSC é ponto fundamental em qualquer instituiçao, seja pública ou privada. Os processos e a tomada de decisao devem considerar a segurança como aspecto elementar. Os relatos dos entrevistados vao ao encontro do que foi prescrito, por exemplo, na E-Ciber, onde foi descrito que o Brasil ainda precisa fortalecer e aperfeiçoar seus órgaos de governo que tratam das ameaças e que combatem os crimes cibernéticos. Uma vez que o CTIR. Gov é o órgao central do governo que coordena e realiza açoes destinadas a gestao de incidentes computacionais, os relatos dos entrevistados sugerem certa reflexao sobre as atribuiçoes desse órgao.
Em complemento, o planejamento e as medidas elaboradas e realizadas nao sao exemplos de uma governança efetiva com base nas respostas dos entrevistados, pois apresentam lacunas, como superar a falta de comunicaçao entre a área estrégica e a área de TI. O alinhamento estratégico nao tem sido atingido, segundo os gestores, em parte pela falta de percepçao da relevancia da área de SC para o alcance das metas organizacionais. Importa mencionar sobre a importancia da própria estrutura de governança e gestao de riscos para o alcance da eficiencia da administraçao pública brasileira (Nunes et al., 2022).
4.4.Ataques cibernéticos e credibilidade
A preocupaçao com os constantes ataques cibernéticos se mostrou um dos desafios mais citados perante as vulnerabilidades das instituiçoes. Além dos ataques em si, há preocupaçao quanto a perda de credibilidade do órgao diante da sociedade.
A tendencia é que os ataques cibernéticos a órgaos públicos se tornem cada vez mais sofisticados (Paiva, 2020), e isso tem aumentado a preocupaçao dos gestores, que destacaram a necessidade de mitigar os ataques com as ferramentas disponíveis, principalmente quando está relacionado a Advanced Persistent Threats (APTs). Ao mesmo tempo, verifica-se que ataques já se mostram práticos quanto a própria finalidade de órgaos, por exemplo, quando hackers obtiveram acesso ao sistema processual eletrônico, modificando pareceres, convertendo sentenças de condenaçao em absolviçao e a alterando as contas destinatárias para o recebimento de valores legítimos em processos (Moura & Borges, 2022).
4.5. Cultura
Um desafio apontado pelos gestores é a necessidade de uma mudança cultural nas organizaçoes públicas. Os servidores públicos em geral nao enxergam a SC como elementar, apenas como uma área de apoio, o que impede seu desenvolvimento.
Percebe-se, portanto, que há resistencia das áreas estratégicas em tratar a SC como tema prioritário nas suas agendas. Isso, é um fator cultural que prejudica o desenvolvimento da SC no país, segundo os gestores. Consequentemente, toda a estruturaçao da área de TI dentro de um órgao público resta prejudicada com a desconsideraçao da importancia do tema pelas áreas estratégicas.
Para Veiga et al. (2020), os investigadores de SC tem defendido consistentemente que é necessário construir uma cultura de SC para mudar atitudes, percepçoes, e incutir bons comportamentos de segurança. Isso vai ao encontro com a afirmaçao dos gestores que alertaram sobre a necessidade da criaçao de uma cultura de SC para o desenvolvimento do tema no país. Em complemento, onstatou-se necessária uma mudança de ideias, comportamentos e atitudes.
4.6.Capacitaçao e Sensibilizaçao
Foi perguntado aos gestores se eles acreditavam que os colaboradores de órgaos públicos da área de SC possuem a capacitaçao adequada e se os órgaos publicos forneciam essa capacitaçao. Segundo eles, os órgaos fornecem a capacitaçao adequada, porém, existe uma resistencia para liberar recursos para cursos específicos, uma vez que os superiores nao enxergam a importancia nesse investimento. Outro ponto que foi destacado é o da sensibilizaçao dos gestores, segundo os entrevistados é difícil gerar interesse e engajamento dos colaboradores em geral, sem a sensibilizaçao da importância da SC.
Assim sendo, a sensibilizaçao dos colaboradores em geral torna-se outro desafio para manter a segurança e mitigar os riscos presentes no dia a dia. Alertar e conscientizar os colaboradores é ponto fundamental, uma vez que o fator humano é o ponto de maior vulnerabilidade dentro da área de segurança da informaçao, segundo os gestores. A capacitaçao dos funcionários é essencial segundo afirmaçao dos gestores nas entrevistas. As organizaçoes nao devem apenas fornecer treinamento e recursos para seus funcionários (Chatterjee, 2019), mas também devem criar e manter uma cultura de conscientizaçao de SC (Norris et al., 2019).
4.7. Legislaçao
A legislaçao em SC é um ponto de grande discussao: enquanto alguns teóricos afirmam que as leis sao essenciais para o desenvolvimento da segurança em um país, outros afirmam que o excesso de burocracia pode atrapalhar. O Brasil possui algumas leis específicas para a temática podendo-se citar: o Marco Civil da Internet; a Lei de Acesso a Informaçâo; e a Lei Geral de Proteçao de Dados.
Os entrevistados foram perguntados sobre o nível de maturidade e sobre a importância dessas legislaçoes na área pública. Segundo grande parte dos gestores, o arcabouço normativo brasileiro tem um bom nível de maturidade, porém em certos pontos, faltam diretrizes mais operacionais, já que as legislaçoes atuais sao mais estratégicas e muitas vezes nao tem efeito prático. Segundo os gestores, as leis nao sao tao efetivas no nível operacional pois faltam orientaçoes para os problemas que os gestores encontram dentro das organizaçoes diariamente.
4.8.E-Ciber
A E-Ciber foi um marco na legislaçao brasileira acerca do tema SC. O documento estabeleceu políticas e diretrizes a serem seguidas pelos órgaos da Administraçao Pública. Assim sendo, os entrevistados foram questionados se o órgao em que eles trabalham absorveram as orientaçoes do documento e se a estratégia se mostrou relevante para a área pública em geral.
Isto posto, a E-Ciber mostrou-se um documento importante para a SC brasileira, porém as diretrizes propostas foram criticadas pelos gestores, devido a falta de orientaçoes práticas na sua implementaçao o que a afasta da realidade das instituiçoes.
Os relatos indicaram que os normativos brasileiros sao de desconhecimento de alguns entrevistados, e um exemplo disso foi a E-Ciber, formalizada por meio de um decreto para área que alguns gestores desconhecima a existencia. Isso pode sinalizar certa necessidade de alinhamento entre o que a legislaçao descreve e a realidade vivenciada pelos gestores.
4.ç.Cooperaçâo Internacional
Os gestores foram questionados, de forma geral, como eles enxergavam a importancia da cooperaçao internacinal sobre SC entre os países. Alguns afirmaram que nao tinham conhecimento suficiente para opinar, porém alguns afirmaram que essa cooperaçao é fundamental, no entanto, protegendo a soberania nacional do Brasil, uma vez que existem dados que sao extremamente sigilosos e nao podem ser compartilhadas. Portanto, os gestores alertam sobre a importancia da cooperaçao entre os países para o desenvolvimento geral, como o compartilhamento de boas práticas. Os relatos obtidos, de certa maneira, alinham-se a literatura. A cooperaçao internacional sobre a SC embora seja tema complexo e delicado, evidenciou-se, acordo com revisao de literatura, como essencial para o desenvolvimento da SC entre os países.
5. Conclusoes
A Segurança Cibernética é fundamental para qualquer organizaçao. Sao açoes e práticas que guiam as organizaçoes com o objetivo de se protegerem contra ataques. Posto isto, nas organizaçoes públicas a SC deve ser vista como fundamental, uma vez que todo o Estado depende do bom funcionamento dos processos tecnológicos e da proteçao contra ataques cibernéticos. Observando a dinámica da SC no setor público no Brasil, este trabalho teve como objetivo mapear os principais desafios da segurança cibernética no setor público federal do Brasil, na ótica de gestores de TI.
Os principais resultados evidenciaram a necessidade de sensibilizaçao dos gestores de níveis mais estratégicos acerca da segurança cibernética em todos os processos da organizaçao. A grande maioria dos gestores afirmam que possuem dificuldades em tornar a segurança como ponto elementar. Outro desafio citado foi a necessidade de mudança cultural dos servidores em geral, pois na ótica dos entrevistados eles nao tratam a segurança cibernética como prioridade, consequentemente, tal desconsideraçao pode se tornar um ponto de vulnerabilidade.
Um outro importante desafio que foi identificado foi a carencia de diretrizes operacionais para que os gestores executem suas tarefas. Os entrevistados informaram que a legislaçao brasileira possui um bom nível de maturidade no campo estratégico, porém, faltam orientaçoes funcionais que os instrua nas suas rotinas.
Ademais, estes resultados refletem a análise das entrevistas realizadas com 9 gestores do setor público que trabalham diretamente com a SC, portanto, o estudo realizado apresentou limitaçoes quanto ao número de entrevistados, uma vez que por ser um tema delicado, alguns gestores recusaram a participaçao o que permitiu considerar os resultados encontrados considerando os relatos dos entrevistados da Tabela 1. Outro ponto a ser lembrado é que as entrevistas sao uma representaçao do discurso pessoal em um período específico e nao necessariamente refletem o discurso dos gestores em outros períodos.
Acredita-se que este trabalho possa contribuir para uma discussao cada vez mais aprofundada sobre a SC no setor público no Brasil. Compreender os desafios é elementar para encontrar pontos de superaçao e desenvolver a SC no país. Como citado anteriormente, as pesquisas referentes ao tema no país ainda iniciais e como estudos futuros novas pesquisas podem ser executadas em outros períodos e com um número maior de participantes. Dessa forma, sugere-se como trabalhos futuros a própria continuidade e alargamento do estudo; a validaçao dos construtos identificados por meio de propriedades psicométricas; e o uso desses construtos para formar a base de um questionário consolidado a ser aplicado as instituiçoes do governo federal brasileiro como forma de identificar a evoluçao e o desenvolvimento da SC no país ao longo dos próximos anos. Além disso, as questoes também poderao subsidiar pesquisas de natureza similar em organizaçoes públicas de outros países.
Agradecimentos
O autor Rafael Rabelo Nunes agradece o suporte do Centro Universitário Atenas; da Universidade de Brasilia, por meio do Edital DPI/DPG 02/2022; e do Departamento de Administraçâo da Universidade de Brasilia, por meio dos recursos provenientes da Resoluçâo ADM/UnB 01/2016.
Referencias
Alshahrani, H. M., Alotaibi, S. S., Ansari, M. T. J., Asiri, M. M., Agrawal, A., Khan, R. A., Mohsen, H., & Hilal, A. M. (2022). Analysis and Ranking of IT Risk Factors Using Fuzzy TOPSIS-Based Approach. Applied Sciences 2022, Vol. 12, Page 5911, 12(12), 5911. https://doi.org/10.3390/APP12125911
Alves, R. S., Georg, M. A. C., Nunes, R. R. (2022). Judiciário sob ataque hacker: fatores de risco para a segurança do processo decisório em sistemas judiciais eletrônicos. Encontró de Administraçâo da Justiça - ENAJUS.
Awang, N., Samya, G. N., Hassana, N. H., Maaropa, N., Magalingama, P., & Kamaruddina, N. (2020). Identification of Information Security Threats Using Data Mining Approach in Campus Network. Journal of Physics: Conference Series, 1551(1), 12. https://doi.org/10.1088/1742-6596/1551/1/012006
Bejarano, M. H., Rodriguez, R. J., & Merseguer, J. (2021). A Vision for Improving Business Continuity through Cyber-resilience Mechanisms and Frameworks. Iberian Conference on Information Systems and Technologies, CISTI. https://doi.org/10.23919/CISTI52073.2021.9476324
Brasil. (2015). Estratégia de Segurança da Informaçâo e Comunicaçoes e de Segurança Cibernética da Administraçâo Pública Federal 2015-2018. In DOU.
Brasil. (2018). Decreto no 9.637, de 26 de dezembro de 2018, (2018). https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/ content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembrode-2018-56969938
Decreto no 10.222, de 5 de fevereiro de 2020, (2020). https://www.in.gov.br/en/web/ dou/-/decreto-n-10.222-de-5-de-fevereiro-de-2020-241828419
Chatterjee, D. (2019). Should executives go to jail over cybersecurity breaches? Https://Doi.Org/io.io8o/i09i9392.20i9.i5687i3, 29(1), 1-3. https://doi.org/10. 1080/10919392.2019.1568713
Costa, P., Montenegro, R., Pereira, T., & Pinto, P. (2019). The Security Challenges Emerging from the Technological Developments: A Practical Case Study of Organizational Awareness to the Security Risks. Mobile Networks and Applications, 24(6), 2032-2037. https://doi.org/10.1007/S11036-018-01208-0/FIGURES/8
Desoída, G., di Bari Aldo Moro LAUREN FERRO, U. S., Marrella, A., Catarci, T., Francesca Costabile, M., & di Bari Aldo Moro, U. (2021). Human Factors in Phishing Attacks: A Systematic Literature Review. Human Factors in Phishing Attacks: A Systematic Literature Review. ACM Comput. Surv, 54. https://doi.org/10.1145/3469886
Geer, D., Jardine, E., & Leverett, E. (2020). On market concentration and cybersecurity risk. Https://Doi.Org/i0.i080/2373887i.2020.i728355, 5(1), 9-29. https://doi.org/10.1080/23738871.2020.1728355
Gil, A. C. (2002). Como classificar as pesquisas. Como elaborar projetos de pesquisa.
Herath, T. B. G., Khanna, P., & Ahmed, M. (2022). Cybersecurity Practices for Social Media Users: A Systematic Literature Review. Journal of Cybersecurity and Privacy 2022, Vol. 2, Pages 1-18, 2(1), 1-18. https://doi.org/10.3390/JCP2010001
Hurel, L. M. (2021). Uma análise da estratégia nacional de cibersegurança - Instituto Igarapé. https://igarape.org.br/ciberseguranca-no-brasil-uma-analise-daestrategia-nacional/
Kaponig, M. G. H. (2020). Austria's national cyber security and defense policy: Challenges and the way forward. Connections, 19(1), 21-37. https://doi.org/10.11610/CONNECTIONS.19.1.03
Kitsios, F., Chatzidimitriou, E., & Kamariotou, M. (2022). Developing a Risk Analysis Strategy Framework for Impact Assessment in Information Security Management Systems: A Case Study in IT Consulting Industry. Sustainability, i4(3), 1269. https://doi.org/10.3390/su14031269
Kshetri, N. (2016). Cybersecurity and Development. Markets, Globalization & Development Review, 1(2). https://doi.org/10.23860/MGDR-2016-01-02-03
Larsen, M. H., & Lund, M. S. (2021). Cyber Risk Perception in the Maritime Domain: A Systematic Literature Review. IEEE Access, 9, 144895-144905. https://doi.org/10.1109/ACCESS.2021.3122433
Maček, D., Magdaleni'c, I. M., Begičevi', N., Re, B., Francisco, A., & López De Hierro, R. (2021). A Model for the Evaluation of Critical IT Systems Using Multicriteria Decision-Making with Elements for Risk Assessment. Mathematics 2021, Vol. 9, Page 1045, 9(9), 1045. https://doi.org/10.3390/MATH9091045
Marconi, M. de A., & Lakatos, E. M. (2022). Metodologia Científica. Ediçâo do Kindle (Editora At).
Moresi, E. A. D., Santini Júnior, N., Fragola, R. J., Bassi, M. C., & Alonso, J. E. T. (2012). Defesa cibernética: um estudo sobre a proteçao da infra-estrutura e o software seguro. Conferencia Iberoamericana de Complejidad, Informática Y Cibernética. https://bit.ly/3bSjRQi
Moura, R. M., & Borges, L. (2022, March 28). A impunidade dos hackers que colocaram o Judiciário de joelhos. Veja. https://veja.abril.com.br/politica/a-impunidade-doshackers-que-colocaram-o-judiciario-de-joelhos/
Norris, D. F., Mateczun, L., Joshi, A., & Finin, T. (2019). Cyberattacks at the Grass Roots: American Local Governments and the Need for High Levels of Cybersecurity. Public Administration Review, 79(6), 895-904. https://doi.org/10.1111/PUAR.13028
Nunes, R. R., Perini, M. T. B. S., Pinto, I. E. M. M. (2021). A gestão de riscos como instrumento para a aplicaçao efetiva do Principio Constitucional da Eficiencia. Revista Brasileira de Políticas Públicas, 11(3), 259-281. https://doi.org/10.5102/ rbpp.v11i3.7903
Paiva, Y. C. (2020, October 20). Conscientizaçâo sobre segurança cibernética na Administraçâo Pública. Conteúdo Jurídico. https://conteudojuridico.com.br/ consulta/artigos/55351/conscientizao-sobre-segurana-ciberntica-na-administraopblica
Queiroz, C. E. M., Nunes, R. R., Cunha, J. H. C, Silveira Junior, A. (2022). Os Tribunais do Distrito Federal possuem estruturas para gerenciar riscos de segurança da informaçao? Um estudo a luz das tres linhas de defesa. Encontro de Administraçâo da Justiça - ENAJUS.
Shapira, N., Ayalon, O., Ostfeld, A., Farber, Y., & Housh, M. (2021). Cybersecurity in Water Sector: Stakeholders Perspective. Journal of Water Resources Planning and Management. https://doi.org/10.1061/(ASCE)WR.1943-5452.0001400
Sharkov, G. (2016). From Cybersecurity to Collaborative Resiliency. ACM Digital Library. https://doi.org/10.1145/2994475.2994484
Sousa, E. S. de. (2013). A gestão da TI dentro do serviço público. Gestāo e Tecnología Para Competitividade. https://www.aedb.br/seget/arquivos/artigos13/25218236. pdf
Souza, E. A. A. de, & Almeida, N. N. de. (2016). A questão da segurança e defesa do espaço cibernético brasileiro, e o esforço político-administrativo do estado. Revista Da Escola de Guerra Naval, 22(2), 381-410. https://doi.org/10.21544/1809-3191/ REGN.V22N2P381-410
Veale, M., & Brown, I. (2020). Cybersecurity. Internet Policy Review, 9(4), 1-22. https://doi.org/10.14763/2020.4.1533
Veiga, A. da, Astakhova, L. V., Botha, A., & Herselman, M. (2020). Defining organisational information security culture-Perspectives from academia and industry. Computers & Security, 92, 101713. https://doi.0rg/10.1016/J.COSE.2020.101713
Yeoh, W., Wang, S., Popovič, A., & Chowdhury, N. H. (2022). A systematic synthesis of critical success factors for cybersecurity. Computers and Security, 118. https://doi. org/10.1016/j.cose.2022.102724
You have requested "on-the-fly" machine translation of selected content from our databases. This functionality is provided solely for your convenience and is in no way intended to replace human translation. Show full disclaimer
Neither ProQuest nor its licensors make any representations or warranties with respect to the translations. The translations are automatically generated "AS IS" and "AS AVAILABLE" and are not retained in our systems. PROQUEST AND ITS LICENSORS SPECIFICALLY DISCLAIM ANY AND ALL EXPRESS OR IMPLIED WARRANTIES, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES FOR AVAILABILITY, ACCURACY, TIMELINESS, COMPLETENESS, NON-INFRINGMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Your use of the translations is subject to all use restrictions contained in your Electronic Products License Agreement and by using the translation functionality you agree to forgo any and all claims against ProQuest or its licensors for your use of the translation functionality and any output derived there from. Hide full disclaimer
© 2022. This work is published under https://creativecommons.org/licenses/by-nd/4.0/ (the “License”). Notwithstanding the ProQuest Terms and Conditions, you may use this content in accordance with the terms of the License.
Abstract
The objective of this work was to map the main challenges of cybersecurity in the federal public sector in Brazil from the perspective of information technology managers. For this, semi-structured interviews were carried out with information technology managers who work in the cyber security area of the three powers of the republic (executive, legislative and judicial). From the result, nine constructs were identified that represent the challenges and, consequently, points of attention for cybersecurity managers in the Brazilian federal public sector. Keywords: cybersecurity; information technology; public sector; information security. 1.Introduçao A evoluçâo das atividades cibernéticas maliciosas aumentou os riscos cibernéticos para os individuos, organizaçoes e governos, tornando a Segurança Cibernética (SC) uma temática essencial das decisoes sociais, politicas e económicas (Geer et al., 2020). se de um complexo e relevante, sendo seu conhecimento essencial para pessoas e organizaçoes, abrangendo uma gama de aspectos técnicos, organizacionais e de governança que devem ser considerados para proteger os sistemas de informaçâo contra ameaças acidentais e deliberadas.
You have requested "on-the-fly" machine translation of selected content from our databases. This functionality is provided solely for your convenience and is in no way intended to replace human translation. Show full disclaimer
Neither ProQuest nor its licensors make any representations or warranties with respect to the translations. The translations are automatically generated "AS IS" and "AS AVAILABLE" and are not retained in our systems. PROQUEST AND ITS LICENSORS SPECIFICALLY DISCLAIM ANY AND ALL EXPRESS OR IMPLIED WARRANTIES, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES FOR AVAILABILITY, ACCURACY, TIMELINESS, COMPLETENESS, NON-INFRINGMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Your use of the translations is subject to all use restrictions contained in your Electronic Products License Agreement and by using the translation functionality you agree to forgo any and all claims against ProQuest or its licensors for your use of the translation functionality and any output derived there from. Hide full disclaimer
Details
1 Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, Brasília, Brasil - Zipcode 70297-400
2 Universidade de Brasília, Faculdade de Economia, Administração, Contabilidade e Gestão de Políticas Públicas - FACE, Departamento de Administração, Brasília, Brasil - Zipcode 70910-900