Cibersegurança como política pública: São Paulo se estrutura contra ataques digitais

O governo de São Paulo quer blindar o seu maior ativo invisível: os dados de seus cidadãos. Em meio a um cenário de ameaças digitais cada vez mais sofisticadas, a Secretaria de Gestão e Governo Digital, liderada por Caio de Andrade, lançou um Guia de Boas Práticas em Cibersegurança. O objetivo? Levar o estado ao topo da segurança digital no Brasil. “A gente lida com dados sensíveis, históricos médicos, informações pessoais. Precisamos olhar para isso com cuidado”, alerta Julio Signorini, diretor de Cibersegurança e TI da secretaria, em entrevista ao IT Forum.

O guia, que será acompanhado por um decreto até o fim do ano, busca não apenas mitigar riscos, mas transformar a segurança cibernética em uma política pública consolidada, mirando a proteção dos quase 600 mil servidores e milhões de cidadãos paulistas.

Leia também: Finanças climáticas: como a tecnologia está transformando o setor

Signorini descreve a iniciativa como “um divisor de águas” na administração estadual, com o potencial de transformar a forma como o governo de São Paulo lida com a segurança digital. “A proposta é ser um instrumento para que os órgãos consigam evoluir nas questões de cibersegurança”, explica.

Diagnóstico de vulnerabilidades

Essa evolução, porém, depende de um diagnóstico preciso. Para determinar o nível de maturidade cibernética dos órgãos estaduais, são utilizados modelos reconhecidos internacionalmente, como o NIST Cybersecurity Framework e o conceito das sete camadas de segurança, que vão desde a proteção do perímetro da rede até o comportamento dos usuários. “A gente sabe exatamente onde estão as dores e onde os recursos precisam ser alocados”, afirma Signorini, destacando que a avaliação detalhada permite direcionar os investimentos de forma eficaz.

A referência frequente ao diagnóstico de vulnerabilidades reforça a visão pragmática de Signorini: “A ideia é que os órgãos saibam onde focar seus recursos para melhorar a infraestrutura de segurança”. Esse processo de diagnóstico se baseia em uma análise de risco conduzida pela Prodesp, a empresa de tecnologia do estado, que verifica desde o uso de firewalls até o comportamento dos usuários frente às ameaças. “A camada humana é crítica”, reforça, destacando a importância de educar os funcionários públicos.

O desafio, no entanto, não se limita à técnica. O setor público, conforme reconhece Signorini, enfrenta uma resistência natural à mudança, especialmente em comparação com o setor privado. “O Estado demora um pouco mais para amadurecer nessas questões estruturais e organizacionais”, pondera, acrescentando que a segurança cibernética ainda é muitas vezes vista como uma extensão da TI, e não como uma prioridade estratégica. “A proposta é que ela tenha a mesma relevância que a TI”, defende.

O guia também é visto como uma resposta às crescentes ameaças cibernéticas enfrentadas pelo setor público. Em 2023, ataques a órgãos governamentais expuseram vulnerabilidades críticas. “Temos que pensar em cibersegurança como política pública. Lidamos com dados sensíveis, históricos médicos, informações pessoais”, comenta Signorini, reforçando que a segurança digital é essencial para proteger o cidadão.

O futuro dessa transformação ainda está em andamento. Para 2025, o plano é expandir a adoção do guia e aumentar a conscientização sobre cibersegurança em todos os níveis do governo. Workshops, boletins e webinários serão ferramentas utilizadas para disseminar a cultura de segurança cibernética, segundo Signorini. “Queremos popularizar essa cultura de segurança para todos os colaboradores. A gente já começou esse processo de letramento”, afirma, referindo-se aos esforços para capacitar os gestores, os primeiros a “vestirem essa camisa” e levarem o conhecimento para suas equipes.