Contexto

Governos, empresas e consumidores enfrentam um cenário de ameaças à segurança cibernética que evolui a cada nova tecnologia trazida ao mercado, e em um ritmo mais rápido do que nunca. O aumento acentuado de dispositivos habilitados para a Internet nos órgãos públicos, na indústria e nos lares torna esse desafio ainda mais difícil. Os desafios que enfrentamos são muito significativos para que uma única empresa ou entidade os resolva por conta própria. Precisamos de colaboração, e um modelo eficaz de colaboração é a parceria público-privado.

O Framework for Improving Critical Infrastructure Cybersecurity, conhecido como NIST Cybersecurity Framework, é amplamente reconhecido como um modelo altamente bem-sucedido de colaboração público-privado. Ele vem sendo adotado por órgãos públicos e empresas de infraestrutura crítica. A abordagem do NIST foi bem-sucedida porque os criadores de políticas e o setor privado definiram uma necessidade real: a melhoria da segurança das infraestruturas críticas. Além disso, o processo foi aberto, o NIST ouviu o setor privado e ganhou a confiança das principais partes interessadas. Para concluir, o produto final (uma estrutura flexível) foi baseado em colaboração voluntária, e não em normas rígidas. Os criadores de políticas devem ter em mente os recentes êxitos dessa estrutura como uma maneira positiva de chegar ao resultado desejado.

Importância para a McAfee

A McAfee acredita que a colaboração na segurança cibernética é a melhor maneira de derrotar atacantes cibernéticos e proteger nossas redes, dados, infraestruturas e até nossas vidas. Nós acreditamos que parcerias fortes e voluntárias de âmbito público-privado são o melhor caminho para a solução dos grandes desafios de segurança que enfrentamos. Essas parcerias promovem a confiança e a inovação, e são muito mais propensas ao sucesso de longo prazo do que normas e regulamentações governamentais excessivamente restritivas e que abalam a confiança.

A McAfee tem atuado em parcerias público-privado gerenciadas pelo Departamento de Segurança Interna dos EUA, o NIST e outras agências há mais de dez anos. Temos papéis de liderança em órgãos como National Security Telecommunications Advisory Committee (NSTAC) do presidente, Information Technology Sector Coordinating Council, Information Technology-Information Sharing and Analysis Center, National Cyber Security Alliance e National Cybersecurity Center of Excellence (NCCoE).

Também acreditamos que a tecnologia, quando combinada a uma forte colaboração, pode ser distribuída rapidamente às plataformas de segurança, permitindo que elas se comuniquem umas com as outras através de protocolos de comunicação abertos. Essa tecnologia pode ser guiada pelo intelecto estratégico que apenas os seres humanos podem fornecer. Sendo assim, a única maneira de contar com uma estratégia vencedora de segurança cibernética é reunir a tecnologia, o setor de segurança cibernética e os esforços do governo e do setor privado. É assim que funciona uma colaboração real.

Recomendações de políticas

Os formuladores de políticas devem evitar a imposição de mandatos e normas de segurança cibernética. Em vez disso, eles devem apoiar a colaboração voluntária e o uso de padrões e melhores práticas da indústria. A indústria deve contribuir para a responsabilidade na segurança cibernética, aumentando os orçamentos e intensificando o foco gerencial e organizacional na segurança cibernética.

Os criadores de políticas fizeram um trabalho admirável com o uso de incentivos para proteção da responsabilidade, e também tornando as regras antitruste mais brandas. Com isso, ajudaram a promover o compartilhamento abrangente de informações entre os setores privado e público, e ainda entre entidades do setor privado. Porém, poucas empresas compartilham ativamente informações sobre ameaças com o governo e entre si. Isso restringe a realização de nosso objetivo: um ecossistema altamente funcional de compartilhamento de informações, que permitirá aos setores público e privado competir com redes globais de hackers sofisticados.

Os órgãos federais precisam publicar categorias mais amplas de dados sobre ameaças e compartilhá-los ativamente com o setor privado. O Departamento de Segurança Interna dos EUA deveria emitir mais avisos de segurança para representantes de empresas qualificados para permitir o acesso aos dados mais confidenciais, e potencialmente mais valiosos, sobre ameaças. A administração deve aprovar como lei o ato de crédito fiscal de compartilhamento de informações cibernéticas, que incentiva empresas de todos os tamanhos a se unirem às organizações de compartilhamento de informações específicas do setor, conhecidas como Information Sharing and Analysis Centers (ISACs), fornecendo créditos fiscais reembolsáveis para todos os custos associados ao ingresso nas ISACs.