A Estratégia Nacional Capacitação em Cibersegurança dos Estados Unidos. Por que o Brasil não tem?

A Estratégia Nacional Capacitação em Cibersegurança dos Estados Unidos. Por que o Brasil não tem? Projeto Americano definiu requisitos necessários que Instituições de Ensino, Centros de Capacitação e Players do Mercado de Tecnologia deveriam seguir.

A Internet comercial teve seu início mais consistente em meados dos anos 1990. No Brasil, chegou em 1995. Esse fato fez com que um aumento explosivo no número de conexões de rede fosse observado desde então.

“Você consegue se imaginar sem a Internet nos dias atuais? Pois é, eu também não…”

Outro fato muito importante para o crescimento do número de usuários de Internet foi também o surgimento das redes de Telefonia Móvel Celular. Esta tecnologia chegou ao Brasil em 1990, com tecnologia analógica – você consegue imaginar um celular “analógico” nos dias atuais? Mas foi a chegada da tecnologia de telefonia celular digital, com as tecnologias TDMA, CDMA e, posteriormente, o GSM que permitiram “acessar a Internet” pelo celular.

Essa introdução se faz necessária para analisarmos como o crescimento do uso de tecnologias de redes cresceu nas últimas décadas. Ao final da década de 1990, usar a Internet e as redes já era algo comum.

Em paralelo ao crescimento do uso das redes, foi crescendo também o número de aplicações desenvolvidas para funcionar na Internet ou em rede e também o número de criminosos virtuais, que passaram a buscar brechas de segurança para serem exploradas, a fim de obter acessos indevidos a softwares, sistemas e redes pessoais e corporativas.

Analisando este cenário, foi criado o mais abrangente projeto de formação de uma força de trabalho em cibersegurança no mundo, que surgiu em 1999, nos Estados Unidos. Capitaneado pela NSA, Agência Nacional de Segurança, este projeto teve como objetivo estabelecer os requisitos necessários que Instituições de Ensino, Centros de Capacitação e Players do Mercado de Tecnologia deveriam seguir para desenvolver as competências e habilidades necessárias nos profissionais treinados. Esse programa foi chamado de Cyber Defense Education, ou CAE-CD.

Esse programa nasceu em 1999, com apenas 7 instituições participantes. Como a proposta era uma parceria direta com Universidades e a Indústria, esse programa cresceu muito. Em 2020, esse programa conta com 334 participantes, espalhados por quase todo o país.

A missão deste programa é a seguinte:

  • Estabelece padrões para currículo de segurança cibernética e excelência acadêmica
  • Inclui o desenvolvimento de competências entre alunos e professores
  • Valoriza o alcance da comunidade e a liderança no desenvolvimento profissional
  • Integra a prática de segurança cibernética dentro da instituição e em todas as disciplinas acadêmicas
  • Envolve-se ativamente em soluções para os desafios da educação em segurança cibernética

Um dos pilares da missão é a prática integrada aos programas de capacitação. Analisando o relatório NATIONAL CENTERS OF ACADEMIC EXCELLENCE IN CYBERSECURITY JOURNAL de 2020, é possível verificar que existem 13 instituições que possuem ferramentas de CYBER RANGE, que são os SIMULADORES DE ATAQUES CIBERNÉTICOS, plataformas completas de capacitação prática para a resolução de incidentes cibernéticos de alta complexidade.

Com as informações do relatório, é possível entender por que a estratégia de Segurança Cibernética Americana é uma referência mundial.

Falando um pouco da situação no Brasil, vemos que a abordagem é muito menos estruturada. Existem muito poucos cursos na área de Segurança da Informação no Catálogo Nacional de Cursos do MEC:

  • Tecnologia em Segurança da Informação
  • Tecnologia em Defesa Cibernética

Outros cursos abordam disciplinas de Segurança da Informação em seus currículos, mas com pequena carga horária:

  • Análise e Desenvolvimento de Sistemas
  • Tecnologia em Redes de Computadores
  • Sistemas de Informação
  • Ciência da Computação
  • Engenharia de Computação

Não existe, tão pouco, uma estratégia nacional que seja similar e nem próxima ao CAE-CD. Só para se ter uma base de comparação, enquanto a NSA criou essa estratégia em 1999, apenas em 2020 o governo federal do Brasil criou a sua Estratégia Nacional de Segurança Cibernética, conhecida como Decreto E-Cyber. Esse decreto estabelece parâmetros gerais e abrangentes sobre como a estrutura governamental deve tratar o tema Segurança Cibernética, ou seja, não é um documento que seja construído especificamente para orientar sobre a formação da força de trabalho em cibersegurança no Brasil.

Dessa forma, uma proposta viável é, conhecendo os programas e projetos mais efetivos no mundo sobre a formação de uma força de trabalho em cibersegurança, iniciar uma discussão em grupo, que reúna representantes de Instituições de Ensino, Centros de Referência em Capacitação, Empresas com Grande Parque Tecnológico e do Centro de Inteligência Cibernética do Governo Federal, para elaborar um plano de capacitação da força de trabalho em cibersegurança que reflita a realidade enfrentada por empresas e governos, definindo parâmetros curriculares e conteúdos que “precisam” ser ensinados na formação de profissionais de cibersegurança.

Por Almir Meira Alves, Cyber Training Officer, CECyber
Fonte principal: NATIONAL CENTERS OF ACADEMIC EXCELLENCE IN CYBERSECURITY JOURNAL – 2020

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Microsoft encontra backdoor que pode relacionar à ataques da SolarWinds - Minuto da Segurança da Informação
  2. Entenda o ataque hacker da SolarWinds que assombrou o mundo
  3. Como desenvolver um bom relatório de PenTest?

Deixe sua opinião!