Nova norma eleva gestor de segurança da informação a função estratégica e limita acúmulo com TI

Função estratégica – O Gabinete de Segurança Institucional (GSI) da Presidência da República publicou nesta sexta-feira (9) uma Instrução Normativa que muda a estrutura de governança da segurança da informação na Administração Pública Federal. A norma confere status estratégico ao gestor de segurança da informação e impõe novas exigências para o exercício da função.

Com a nova regulamentação, a designação do gestor de segurança da informação passa a exigir vínculo efetivo com o serviço público, seja civil ou militar. Além disso, o ocupante do cargo deverá exercer função comissionada executiva de alto nível ou possuir posto de oficial-general, reforçando o caráter institucional e estratégico da atividade.

LEIA: Dados de milhões de usuários do Instagram circulam em fóruns criminosos após vazamento

Um dos pontos centrais da Instrução Normativa é a vedação expressa ao acúmulo da função de gestor de segurança da informação por responsáveis pela área de tecnologia da informação ou por seus subordinados. A medida rompe com um modelo historicamente orientado pela lógica operacional da TI e reposiciona a segurança da informação como um tema de governança, gestão de riscos e controle.

“O responsável pela unidade de tecnologia da informação deverá colaborar e fornecer os subsídios necessários ao Gestor de Segurança da Informação para a execução de suas competências”, diz o texto.

Novas atribuições do gestor de segurança

Entre as competências atribuídas ao gestor de segurança da informação estão a realização de avaliações de risco e análises de impacto antes da adoção de tecnologias emergentes, o planejamento e a proposição de recursos orçamentários específicos e o acompanhamento das equipes responsáveis pela prevenção e resposta a incidentes cibernéticos.

O gestor também atuará como segunda linha de defesa no sistema de controle interno, além de assumir papel ativo na verificação de conformidade com a Política Nacional de Segurança da Informação e no suporte a auditorias internas e externas.

Implementação

A IN estabelece um prazo de 60 dias, contados a partir da data de sua publicação, para que os órgãos da Administração Federal designem formalmente seus gestores de segurança da informação. Esse intervalo será decisivo para a adaptação das estruturas internas e a redefinição de responsabilidades.

A iniciativa do GSI ocorre em paralelo às discussões do governo federal sobre a possibilidade de designar a Agência Nacional de Telecomunicações (Anatel) como autoridade provisória para funções relacionadas à segurança cibernética em redes e serviços de telecomunicações. A proposta recolocou a agência no centro do debate sobre a arquitetura nacional de defesa cibernética e a coordenação das políticas públicas do setor.

(Com informações de Convergência Digital)
(Foto: Reprodução/Freepik)