Gestor público, pense bem antes de negar um investimento em segurança!
Romário César de Almeida
CISSP | CEH | XBA | CISO | BISO | DPO | Cibersegurança | Privacidade
⚠️Vou te explicar, mas antes, ressalto que este artigo expressa mera opinião, porém com argumentos baseados em aspectos legais. Não se trata de um documento oficial, e tampouco uma visão jurídica especializada. Trata-se de uma sensibilização quanto à importância do tema.
▪️▪️▪️▪️▪️▪️▪️▪️▪️▪️▪️
Ano após ano a economia muda, os projetos mudam, as prioridades mudam, as ideologias mudam, os políticos no poder mudam e os gestores mudam, mas uma afirmação sempre é mantida ao iniciar um ano: “tivemos corte no orçamento”. Claro que seria ilógico generalizar, mas é fato que em alguma parte ou em alguma repartição tem alguém afirmando isso, especialmente em unidades que tratam de temas não-finalísticos.
Quando pensamos em segurança da informação, essa afirmação fica ainda mais comum, pois investimentos em segurança não são nada palpáveis, principalmente diante das dificuldades de mensurar os custos de políticas públicas.
🤔Mas gestor, você se sente confortável em negar um investimento em segurança?
A Lei 9.784, de 29 de janeiro de 1999, que “regula o processo administrativo no âmbito da Administração Pública Federal”, estabelece que:
“Art. 50. Os atos administrativos deverão ser motivados, com indicação dos fatos e dos fundamentos jurídicos, quando
I - neguem, limitem ou afetem direitos ou interesses; (...)”:
Um dos requisitos de validade de atos administrativos é o motivo, que é a situação de fato e de direito que determina ou autoriza a prática do ato. A motivação por sua vez, é a exteriorização por escrito dos motivos existentes.
No presente contexto, quando um gestor público afirma por escrito e formalmente acerca da necessidade de um investimento em segurança, ele está emitindo um ato administrativo, e este deverá ser acompanhado pela motivação.
Mas como motivar tal necessidade? Bom, a motivação para um investimento em segurança deverá sempre estar vinculada à aplicação de controles para condução de um tratamento de riscos. Mesmo que a organização não realize o adequado processo de gestão de riscos, toda a necessidade de segurança convergirá para tratamento de riscos, ainda que feito de forma ad hoc.
🛑E se o investimento em segurança tiver uma boa motivação, mas mesmo assim for negado por outro gestor, na posição de autoridade competente?
Sem querer ser leviano, mas de forma geral, o gestor que emite um ato administrativo negando um investimento em segurança da informação, primeiramente precisa ser bastante corajoso! É claro que as motivações podem ser infinitas, mas voltando para a questão do orçamento, fica um tanto frágil e até perigosa uma motivação fundamentada em falta de orçamento.
Recomendados pelo LinkedIn
Com base em quais critérios é seguro dizer que não há orçamento para realizar uma melhoria de segurança? Se a necessidade de melhoria for razoável, proporcional e possuir alinhamento aos objetivos estratégicos da instituição, deixar de investir por falta de orçamento poderá resultar em sérias consequências:
I – para a instituição: que terá um ou mais riscos sem o adequado tratamento, ficando vulnerável a incidentes dos mais variados tipos, a exemplo do incidente cibernético envolvendo ransomware, artefato malicioso que possui a capacidade de sequestrar dados e informações da instituição, resultando em paralisação e até a eliminação de políticas públicas.
II – para o cidadão: que deixará de consumir um serviço público que lhe é de direito.
III – para o gestor que negou: que poderá ser responsabilizado por diversos impactos causados pela falta do investimento, inclusive impactos em vidas humanas, se considerarmos algumas infraestruturas críticas, como a saúde, a água e a energia, por exemplo.
💸Afinal, quanto custa uma política pública? E um incidente de segurança? Você está disposto a correr esses riscos? ☠️
É um campo muito aberto para discussões, e que pode render um livro inteiro sobre o tema se considerar todos os detalhes jurídicos e de boas práticas.
Mas fica a reflexão: pense bem antes de negar um investimento em segurança!
▪️▪️▪️▪️▪️▪️▪️▪️▪️▪️▪️
Me chamo Romário César, um entusiasta da Segurança da Informação!
Sou Servidor Público Federal, da carreira de Analista em Tecnologia da Informação (ATI). Hoje, atuo no Departamento de Privacidade e Segurança da Informação, da Secretaria de Governo Digital, do Ministério da Economia. Sou Pós-graduado em Fronteiras de Tecnologia da Informação pela UFMG e Pós-graduando em Cibersegurança Ofensiva pela ACADI-TI.
Excelente conteúdo Romário, se todos pensassem desta maneira com certeza teríamos ambientes de TI mais seguros no Brasil!
Editor do CISO Advisor
2 aExcelente argumento.
Especialista em Segurança e Defesa Cibernética |Certified Cybersecurity Analyst (CCSA) v2 | Lead Auditor | Palestrante | Professor | Coordenador Executivo do Exercício Guardião Cibernético 6.0
2 aExcelente artigo meu amigo
Senior Information Security and Infrastructure Analyst
2 aParabéns pelo artigo! E também pelos argumentos, nós que somos da "coisa pública" é realmente uma batalha apresentar aos gestores a importância dos atos em segurança da informação, ao qual são tão importantes como a aquisição de livros ou materiais hospitalares, pois os dados são a riqueza da organização e sem eles, nos moldes atuais, se torna inviável a continuidade do negocio.
Head of Public Sector Brazil at Elastic
2 aMuito bom artigo, Romário! É a velha história do barato pode sair caro! No momento em que o setor público está preocupado em reaproximar o cidadão do Estado, manter as informações e os dados da população seguros é primordial para os gestores públicos.