A FIFA Governa o Futebol. E Quem Governa a Cibersegurança?

A FIFA Governa o Futebol. E Quem Governa a Cibersegurança?

Belo Horizonte, 27 de Novembro de 2022

Nesses tempos de copa do mundo, ouvimos muito falar da FIFA, a federação internacional que governa o futebol, o futebol de praia e o futsal. A FIFA é responsável por promover os principais torneios internacionais de futebol da associação, notadamente a Copa do Mundo. Ela define uma série de objetivos nos Estatutos organizacionais, incluindo o crescimento internacional da associação de futebol, acompanhando e fornecendo esforços para garantir que seja acessível a todos e defendendo o jogo limpo. Embora a FIFA não estabeleça as leis do jogo, sendo essa responsabilidade do Conselho da Associação Internacional de Futebol do qual a FIFA é membro, ela aplica e reforça as regras em todas as competições. A FIFA governa o futebol! 

De forma direta, a governança significa encontrar um equilíbrio entre controle e conformidade a regras e políticas, de um lado; e a entrega rápida de resultados e desempenho, de outro. Como você já deve imaginar, os interesses e objetivos desses dois lados são muitas vezes diferentes e até mesmo contraditórios e, portanto, atingir esse equilíbrio é um grande desafio. A importância crescente dos serviços da Internet para a sociedade chama cada vez mais a atenção para a definição de políticas e regulamentações na busca pelos benefícios das novas tecnologias enquanto gerenciam os riscos associados.

No escopo da Internet, o conceito de governança de uma forma mais ampla compreende o estabelecimento das cadeias de responsabilidade, a definição do processo para mensurar a sua eficácia, o estabelecimento e a divulgação de políticas para guiar a organização a atingir seus objetivos, os mecanismos de controle para garantir conformidade e a comunicação para manter todas as partes informadas. Na aplicação do conceito de governança para tecnologia da informação (TI), a governança é instanciada para a perspectiva das pessoas, processos e informação com o objetivo de guiar a forma como esses ativos apoiam e se relacionam com as necessidades dos negócios. 

A governança requer uma integração mais próxima entre os dirigentes e suas equipes a fim de desenvolver habilidades, competências e responsabilidades capazes de guiar as ações das organizações, controlar os processos, aplicar os recursos de forma otimizada, suportar as tomadas de decisão em todos os níveis, além de tratar a segurança, privacidade e resiliência dos sistemas e da informação. O Fórum Econômico Mundial, através do relatório intitulado “Global Cybersecurity Outlook 2022, reforçou esta tendência e a importância de uma governança pautada na coordenação entre os dirigentes de diferentes níveis e suas equipes no contexto de cibersegurança. Esta tendência atrai a atenção diante das mudanças na forma de trabalho e nos sistemas atuais.   

Existem arcabouços de referência para governança de sistemas, por exemplo, o Control Objectives for Information and Related Technology (COBIT) e a ISO/IEC 38500, a definição do processo de governança para cada organização é desafiadora e requer atenção. Ponderação é uma palavra-chave neste contexto, esses arcabouços são gerais, desconsiderando, às vezes, a cultura organizacional, o ambiente político, social e econômico ao qual se insere. A regulamentação do meio digital sucinta uma série de discussões. Entretanto, cabe ressaltar pontos evidentes. A ampliação do uso da Internet, especialmente como ferramenta de comunicação e de interação social, trouxe à tona questões desafiadoras para a legislação cível e de consumo, ante as particularidades das relações no meio digital. Verificou-se a necessidade de regulamentar os direitos, deveres e responsabilidades no uso da rede, com atenção às peculiaridades desse ambiente virtual.  

A discussão em torno da regulamentação do uso da própria Internet teve seu ápice no Brasil com a Lei 12.965/14, conhecida como Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. As regulamentações relacionadas ao meio digital vêm se expandindo e se especializando diante da evolução das várias tecnologias relacionadas como a Inteligência Artificial, a cibersegurança e os sistemas em nuvem.

Quando se fala de segurança cibernética e segurança da informação, particularmente sobre os riscos e as vulnerabilidades em segurança, o cenário atual brasileiro merece atenção, especialmente quanto à real capacidade da Administração Pública federal de responder e tratar incidentes de segurança, tanto por parte de cada organização, individualmente, quanto por parte da rede formada pelas equipes de tratamento de incidentes e resposta a eles em redes computacionais – Equipes de Tratamento de Incidentes de Redes. Este aspecto por si é considerado um alto risco na administração pública federal, segundo a lista de alto risco na administração pública do tribunal de contas da união de 2022.  

Por exemplo, algo que deveria ser básico como uma política de backup, o relatório de alto risco na adminsitração pública federal do TCU mostra que 74,6% das organizações pesquisadas por ele não possuem política de backup aprovada formalmente – documento básico, negociado entre as áreas de negócio (“donas” dos dados/sistemas) e a TI da organização, com vistas a disciplinar questões e procedimentos relacionados à execução das cópias de segurança (backups); 66% das organizações avaliadas afirmam realizar backups, apesar de implementarem mecanismos de controle de acesso físico ao local de armazenamento desses arquivos, não os armazenam criptografados, o que acarreta risco de vazamento de dados da organização, podendo causar enormes prejuízos, sobretudo se envolver informações sensíveis e/ou sigilosas; e 60,2% das organizações avaliadas não mantêm suas cópias em, ao menos, um destino não acessível remotamente, o que acarreta risco de que, em caso de ataque cibernético, os próprios arquivos dos backups acabem sendo corrompidos, excluídos e/ou criptografados pelo atacante ou malware, tornando igualmente sem efeito o processo de backup/restore da organização. 

Em 2021, ao avaliar as práticas de segurança da informação no âmbito do perfil de governança e gestão de TI, o TCU também verificou que mais de 80% das organizações estão nos estágios iniciais de capacidade em gestão de continuidade institucional e de continuidade de serviços de TI. E, pior, a gestão de continuidade institucional está no estágio de capacidade inexpressivo em 62% das organizações avaliadas e continuidade de serviços de TI inexpressiva em 46% dessas organizações. O que se quer mostrar com esses dados é que mesmo políticas e governanças básicas ainda são deficitárias neste contexto brasileiro, colocando muitos dos nossos serviços em risco. É, sem dúvidas, necessário avançar rapidamente as políticas e a governança da cibersegurança.

Deixo esse texto como reflexão sobre o assunto e sobre como, quanto comunidade acadêmica, podemos contribuir nessa direção! Aguardo seus comentários: michele@dcc.ufmg.br

Eu também escrevi essas outras matérias relacionadas ao assunto, talvez você se interesse:

Boas leituras,

Michele Nogueira, D.Sc.

Professora Associada do Departamento de Ciência da Computação da Universidade Federal de Minas Gerais. Pesquisadora do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) – nível 1D e membro titular do Conselho Nacional de Proteção dos Dados Pessoais e da Privacidade

Compartilhe: