What is the future of Brazil’s cybersecurity governance?
Main Article Content
Abstract
In 2023, Brazil enacted its first national cybersecurity policy. The policy emerged as a response to worrisome diagnoses, which listed information security and cybersecurity among Brazil’s public administration high-risk vulnerabilities, according to a 2022 report from the Federal Court of Auditors. What lies ahead for Brazil’s newly enacted Cybersecurity National Policy? Our analysis aims to answer this question by unraveling the existing cyber governance structure that the new policy inherited and by analyzing the governance structure debated and enacted by the current policy. We conclude that Brazil has made several efforts to securitize cyberspace through a broad but disconnected collection of documents; their implementation maturity is unclear, and the Cybersecurity National Policy fails to design straightforward policy tools to address those challenges.
Downloads
Article Details
![Creative Commons License](http://i.creativecommons.org/l/by/4.0/88x31.png)
This work is licensed under a Creative Commons Attribution 4.0 International License.
Authors publishing in this journal agree to the following terms:
The authors have the copyright and grant the journal the right of first publication. The authors’ work is also licensed under the Creative Commons Attribution License (CC BY 4.0), allowing sharing its content since acknowledging authorship and first publication in this journal.
Authors are authorized to take on additional contracts separately for the non-exclusive distribution of the version of the work published in this journal since acknowledging authorship and first publication. For example, the authors may publish the content in institutional repositories or as a book chapter).
Authors are encouraged to distribute the publication online (e.g., in institutional repositories or on their personal webpage, among others), as this can lead to improvements and increase impact and citation of the published work. For more information, please check The effect of open access.
Cadernos Gestão Pública e Cidadania (CGPC) (Public Management and Citizenship Journal) is a journal committed to contributing to the protection of the author's rights. In this sense:
- Moral rights and rights of use of the article are secured to the author;
- It adopts the Creative Commons BY (CC-BY) license in all texts published;
- It uses similarity-detection software (iThenticate);
- The journal undertakes measures to fight plagiarism and ethical misconduct, in line with the guidelines of the Committee on Publication Ethics (COPE).
For more information, please see CGPC Ethics & Conduct.
References
Ansell, C., & Torfing, J. (Eds.). (2022). Handbook on theories of governance. Edward Elgar Publishing. DOI: https://doi.org/10.4337/9781800371972
Buta, B. O., & Teixeira, M. A. C.. (2020). Governança pública em três dimensões: Conceitual, mensural e democrática. Organizações & Sociedade, 27(94), 370-395. https://doi.org/10.1590/S1984-92302008000300002 DOI: https://doi.org/10.1590/1984-9270941
Calmon, P., & Costa, A. T. M. (2013). Redes e governança das políticas públicas. RP3-Revista de Pesquisa em Políticas Públicas, (1), 1-29. https://periodicos.unb.br/index.php/rp3/article/view/11989 DOI: https://doi.org/10.18829/rp3.v0i1.9126
Decreto n. 8.638, de 15 de janeiro de 2016. (2016). Institui a Política de Governança Digital no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional. Brasília, DF.
Decreto n. 9.319, de 21 de março de 2018. (2018). Institui o Sistema Nacional para a Transformação Digital e estabelece a estrutura de governança para a implantação da Estratégia Brasileira para a Transformação Digital. Brasília, DF.
Decreto n. 9.573, de 22 de novembro de 2018. (2018). Aprova a Política Nacional de Segurança de Infraestruturas Críticas. Brasília, DF.
Decreto n. 9.637, de 26 de dezembro de 2018. (2018). Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto n. 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei n. 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional. Brasília, DF.
Decreto n. 10.046, de 9 de outubro de 2019. (2019). Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Brasília, DF.
Decreto n. 10.222, de 5 de fevereiro de 2020. (2020). Aprova a Estratégia Nacional de Segurança Cibernética. Brasília, DF.
Decreto n. 10.332, de 28 de abril de 2020. (2020). Institui a Estratégia de Governo Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional e dá outras providências. Brasília, DF.
Decreto n. 10.569, de 9 de dezembro de 2020. (2020). Aprova a Estratégia Nacional de Segurança de Infraestruturas Críticas. Brasília, DF.
Decreto n. 10.641, de 2 de março de 2021. (2021). Altera o Decreto n. 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o que regulamenta o disposto no art. 24, caput, inciso IX, da Lei n. 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional. Brasília, DF.
Decreto n. 10.748, de 16 de julho de 2021. (2021). Institui a Rede Federal de Gestão de Incidentes Cibernéticos. Brasília, DF.
Decreto n. 11.200, de 15 de setembro de 2022. (2022). Aprova o Plano Nacional de Segurança de Infraestruturas Críticas. Brasília, DF.
Decreto n. 11.856 de 26 de dezembro de 2023. (2023). Institui a Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança. Brasília, DF.
Gabinete de Segurança Institucional da Presidência da República. (2022). Portaria gsi/pr nº 120, de 21 de dezembro de 2022. https://in.gov.br/en/web/dou/-/portaria-gsi/pr-n-120-de-21-de-dezembro-de-2022-452767918
Gabinete de Segurança Institucional da Presidência da República. (2023). PNCiber – Apresentação do projeto. https://www.gov.br/gsi/pt-br/ssic/audiencia-publica/PNCiberAudienciaPublicaProjetoBase.pdf
Goldoni, L., Rodrigues, K. & Oliveira, T., Jr. (2023, junho 8). O urgente debate sobre a proposta de Política Nacional de Cibersegurança. Estadão. https://www.estadao.com.br/
Hurel, L. M. (2021). Cibersegurança no Brasil: Uma análise da estratégia nacional. Instituto Igarapé. https://igarape.org.br/wp-content/uploads/2021/04/AE-54_Seguranca-cibernetica-no-Brasil.pdf
Lei n. 12.735, de 30 de novembro de 2012. (2012). Altera o Decreto-Lei n. 2.848, de 7 de dezembro de 1940 - Código Penal, o Decreto-Lei n. 1.001, de 21 de outubro de 1969 - Código Penal Militar, e a Lei n. 7.716, de 5 de janeiro de 1989, para tipificar condutas realizadas mediante uso de sistema eletrônico, digital ou similares, que sejam praticadas contra sistemas informatizados e similares; e dá outras providências. Brasília, DF.
Lei n. 12.737, de 30 de novembro de 2012. (2012). Dispõe sobre a tipificação criminal de delitos informáticos. Brasília, DF.
Lei n. 12.965, de 23 de abril de 2014. (2014). Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília, DF.
Lei n. 13.709, de 14 de agosto de 2018. (2018). Dispõe sobre Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF.
Kott, A., & Linkov, I. (Eds.). (2019). Cyber resilience of systems and networks (Vol. 1). New York, NY: Springer International Publishing. DOI: https://doi.org/10.1007/978-3-319-77492-3
Milward, H. B., & Provan, K. G. (2000). Governing the hollow state. Journal of Public Administration Research and Theory, 10(2), 359-380. https://doi.org/10.1093/oxfordjournals.jpart.a024273 DOI: https://doi.org/10.1093/oxfordjournals.jpart.a024273
Peci, A., Pieranti, O. P., & Rodrigues, S. (2008). Governança e New Public Management: Convergências e contradições no contexto brasileiro. Organizações & Sociedade, 15, 39-55. https://doi.org/10.1590/S1984-92302008000300002 DOI: https://doi.org/10.1590/S1984-92302008000300002
Portaria GSI/PR n. 120, de 21 de dezembro de 2022. (2022). Aprova o Plano de Gestão de Incidentes cibernéticos para a administração pública federal. Brasília, DF.
Resolução n. 740, de 21 de dezembro de 2020. (2020). Aprova o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações. Brasília, DF.
Resolução Normativa Aneel n. 964, de 14 de dezembro de 2021. (2021). Dispõe sobre a política de segurança cibernética a ser adotada pelos agentes do setor de energia elétrica. Brasília, DF.
Stoker, G. (1998). Governance as theory: Five propositions. International Social Science Journal, 50(155), 17-28. https://doi.org/10.1111/1468-2451.00106 DOI: https://doi.org/10.1111/1468-2451.00106
Tribunal de Contas da União. (2022). Lista de alto risco da administração pública federal: Segurança da informação e segurança cibernética. Brasília, DF. https://sites.tcu.gov.br/listadealtorisco/seguranca_da_informacao_e_seguranca_cibernetica.html