ANATEL: Guia orientativo de segurança cibernética para prestadoras de serviços de telecomunicações

No último dia 05 de outubro, a Agência Nacional de Telecomunicações (ANATEL) disponibilizou dois importantes instrumentos que servirão para orientar a manutenção da segurança cibernética das prestadoras de telecomunicações: (i) Guia Orientativo de Segurança Cibernética para Prestadoras de Serviços de Telecomunicações e (ii) DevSecOps: Guia Orientativo. Neste alert, mesmo sem deixar de reconhecer a relevância do DevSecOps (veja aqui) que, segundo a ANATEL, “visa integrar boas práticas de segurança ao ciclo de vida de desenvolvimento de software nas empresas, promovendo abordagem que enfatiza a segurança desde a concepção até a operação dos sistemas e serviços de telecomunicações”, focaremos no primeiro documento.

Tendo sido elaborado em conjunto pelo Grupo de Estudos do Exercício Guardião Cibernético 5.0 (EGC 5.0) e pelo Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), o Guia Orientativo de Segurança Cibernética para Prestadoras de Serviços de Telecomunicações traz orientações, diretrizes e recomendações de práticas a serem adotadas, com fundamento no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), aprovado pela Resolução nº 740, de 21 de dezembro de 2020.

A edição desse instrumento é justificada pelo crescente número de ataques cibernéticos praticados sobre empresas de telecom, as quais gerenciam uma imensa quantidade de redes, sistemas e dados, considerados ativos corporativos. O Guia propõe-se a direcionar o modelo adequado de proteção informacional, garantindo a segurança e a sustentabilidade de suas redes e serviços, protegendo consumidores, colaboradores e prestadores de serviços.

O Guia é estruturado essencialmente em 11 capítulos: (i) Inventário de Ativos; (ii) Proteção de Dados; (iii) Configuração Segura de Ativos e Gestão de Vulnerabilidades; (iv) Controle de Acesso e Contas; (v) Monitoramento de Atividades e Gestão de Registros de Auditoria; (vi) Backup e Recuperação de Dados; (vii) Conscientização dos Funcionários sobre Segurança Cibernética; (viii) Conscientização dos Consumidores sobre Segurança Cibernética; (ix) Segurança Física; (x) Plano de Resposta a Incidentes e (xi) Política de Segurança Cibernética.

Destacamos abaixo algumas das principais medidas sugeridas para serem adotadas, conforme cada eixo temático:

• Proteção de Dados: configurar listas de controle de acesso a dados; descartar dados com segurança e criptografar dados sensíveis em dispositivos de usuário final;
• Configuração Segura de Ativos e Gestão de Vulnerabilidades: usar serviços de filtragem de DNS; instalar e manter um software anti-malware e acelerar a transição completa para o IPv6 o mais breve possível;
• Controle de Acesso e Contas: exigir mudanças periódicas de senhas; limitar as permissões de administrador exclusivamente a contas designadas com esse propósito e estabelecer um processo de concessão e revogação de acesso;
• Conscientização dos Funcionários sobre Segurança Cibernética: treinar membros da força de trabalho sobre as causas da exposição não intencional de dados; treinar a força de trabalho sobre os perigos de se conectar e transmitir dados corporativos em redes inseguras e conscientizar sobre as fragilidades críticas em equipamentos instalados;
• Plano de Resposta a Incidentes: designar pessoal para gerenciar tratamento de incidentes e estabelecer e manter informações de contato para relatar incidentes de segurança.

Possível Agência Nacional de Cibersegurança

Na esteira das edições da Política Nacional de Segurança da Informação (Decreto nº 9.637/2018) e da Estratégia Nacional de Segurança Cibernética (Decreto nº 10.222/2020), a Secretaria de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional da Presidência da República disponibilizou minuta de projeto de lei (veja aqui) que institui Política Nacional de Cibersegurança (PNCiber) e o Sistema Nacional de Cibersegurança (SNCiber).

Uma das proposições de maior impacto é a criação da Agência Nacional de Cibersegurança, estruturada enquanto agência reguladora vinculada ao Gabinete de Segurança Institucional da Presidência da República que terá por finalidade promover o desenvolvimento, a regulação e a fiscalização das atividades de cibersegurança no País.

A íntegra do texto do Guia Orientativo de Segurança Cibernética para Prestadoras de Serviços de Telecomunicações pode ser verificada aqui.

---

Contato
Gabriella Salvio – gabriella.salvio@soutocorrea.com.br
Raphael Abreu Borges – raphael.borges@soutocorrea.com.br