A segurança da informação (SI) é um pilar fundamental para a estabilidade e operação de qualquer organização moderna. No entanto, a complexidade crescente das ameaças cibernéticas, desde ataques de negação de serviço (DDoS) até sofisticados exploits e ransomware, exige profissionais altamente qualificados, especialmente em posições de liderança. Este artigo se aprofunda nas exigências de qualificação para cargos de liderança em SI em entidades que compõem a infraestrutura crítica de informação (КИИ) na Rússia, respondendo a perguntas frequentes de clientes e leitores.
Uma questão recorrente é a necessidade de designar um vice-líder responsável pela SI e garantir sua requalificação, mesmo que a organização não possua objetos КИИ considerados significativos. A resposta, embasada em legislação russa, é afirmativa. O Decreto Presidencial da Federação Russa de 1º de maio de 2022, N 250, estabelece a obrigatoriedade de nomear um vice-líder responsável pela segurança da informação. Este decreto se aplica a uma ampla gama de entidades, incluindo órgãos governamentais, fundos estatais, corporações estratégicas, empresas sistêmicas e, crucialmente, a todos os sujeitos de КИИ, independentemente da significância de seus objetos КИИ. Portanto, a designação de um responsável pela SI e a garantia de suas competências, incluindo a capacidade de detectar, prevenir e responder a incidentes de segurança cibernética, é mandatória para todos os sujeitos de КИИ.
Adicionalmente, o Decreto Governamental da Federação Russa de 15 de julho de 2022, N 1272, detalha os requisitos de qualificação para esses líderes de SI. De acordo com o Ponto 6 do Regulamento Típico, o profissional responsável deve possuir ensino superior (nível de especialista ou mestrado) na área de segurança da informação. Caso o profissional tenha formação em outra área, é obrigatória a conclusão de um programa de requalificação profissional em "Segurança da Informação". Essa exigência visa garantir que os líderes de SI possuam o conhecimento técnico e a visão estratégica necessários para proteger os ativos digitais da organização contra ameaças cada vez mais sofisticadas, como phishing, malware e vulnerabilidades zero-day. Recomenda-se que as organizações busquem programas educacionais alinhados com as diretrizes do FSTEC da Rússia para assegurar a conformidade e a eficácia da formação.
