Segurança física e segurança cibernética
Longinus Timochenco, CISO – Chief Information Security Officer e diretor de governança corporativa na KaBuM!
A segurança de TI tinha como foco a proteção dos seus ativos, muito forte nos acessos físico e lógico, e tratava apenas dos acessos ao sistema operacional, sistema e raramente mídias externas contra vírus.
Proteger instalações e dispositivos contra ataques físicos pode ser tão desafiador quanto se defender contra ameaças cibernéticas. Automação e IA – inteligência artificial são cada vez mais usadas para reforçar as defesas.
Definição de segurança física
Segurança física é a proteção de pessoas, propriedades e ativos físicos de ações e eventos que podem causar danos ou perdas. Embora muitas vezes esquecido em favor da segurança cibernética, a segurança física é igualmente importante. Todos os firewalls do mundo não podem ajudá-lo se um invasor remover a sua mídia de armazenamento da sala de backups.
A crescente sofisticação da segurança física, por meio de tecnologias como IA e IoT – Internet das coisas, significa que a segurança física e da TI estão se tornando mais estreitamente conectadas e, como resultado, as equipes de segurança precisam trabalhar juntas para garantir a segurança física e dos ativos digitais.
Porque a segurança física é importante?
No fundo, a segurança física consiste em manter as suas instalações, pessoas e ativos protegidos contra ameaças do mundo real. Inclui detecção de intrusos e resposta a essas ameaças. Então veio a segurança da informação com uma ênfase mais abrangente, executiva e corporativa, que se afastou lentamente do hardware para o que era realmente importante: a informação, que hoje é extremamente estratégica – “informação é poder “.
A deficiência era que a segurança da informação em muitas empresas ainda estava associada e responsabilizada com segurança de TI. O desafio para elevar a maturidade como próximo passo lógico é adotar todos os controles que abordam os riscos à informação, incluindo a segurança física, reconhecimento de pessoas e a sua formação, bem como os processos de governança.
Na maioria das vezes o que se pensa em relação a segurança cibernética trata de um grupo de ameaças em particular, sendo que na verdade a questão é simples: a segurança cibernética é destinada, principalmente, a lidar com os riscos provenientes de ciberespaço.
O ciberespaço não está intrinsecamente associado somente, e exclusivamente, com a Internet. Ele também se estende tecnologicamente a comunicação para as redes. O código malicioso incorporado dentro de um USB seria considerado um risco de cibersepaço, um código malicioso escalonando privilégios via BYOD – bring your own device também. Segurança cibernética inclui os controles defensivos que são necessários para lidar com a ameaça do ciberespaço.
A maioria desses controles é de natureza técnica, mas isso não quer dizer que eles são exclusivamente técnicos. A resposta mais eficiente e assertiva está na educação e capacitação. Equipes treinadas e gestão/respostas a incidentes devem ser temas abordados pela segurança cibernética.
Qual é a diferença da segurança da informação?
A SI – segurança da informação é mais abrangente e, no entanto, vai mais longe do que apenas tratar dos grupos de ameaça do ciberespaço, abordando todos os riscos inerentes aos sistemas de informação e os tipos de controles, incluindo os técnicos, físicos, processuais e de pessoal. Ameaças virtuais são apenas mais um grupo que precisa ser considerado dentro da SI.
A SI estará sempre encapsulada em sistemas de informação menos óbvios, como SCADA – Supervisory Control & Aquisição de Dados e Life Safety. Tradicionalmente, esses sistemas têm sido muito isolados o que, naturalmente, tem limitado os grupos de ameaças que poderiam atacá-los trazendo uma zona de conforto aos gestores.
Com o avanço da IoT estes sistemas podem ser centralmente gerenciados trazendo com isso ameaças do ciberespaço. Aqui é onde existe a diferença real: a SI é, geralmente, um conjunto de medidas defensivas, postas em prática para garantir que as vulnerabilidades serão tratadas e mitigadas. Já a segurança cibernética também considera as medidas defensivas para dissuadir e impedir as intenções dos atacantes, mas com foco nas ações técnicas de infraestrutura, não atingindo a esfera estratégica.
Pode haver segurança cibernética sem a SI?
Na maioria das organizações não e realmente não deve. A segurança cibernética é e será responsabilidade de todos daqui para frente e devemos zelar por nossos acessos e informações nelas depositas (isso não é mais uma opção e sim uma necessidade de sobrevivência).
É CISO – Chief Information Security Officer & Diretor de Governança Corporativa na KaBuM!. Tem mais de 25 anos de experiência em tecnologia e possui forte atuação em defesa, governança corporativa, risco & fraude, compliance e gestão de TI. Membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil, Timochenco desenvolveu uma série de trabalhos junto a consultorias e grandes corporações globais no gerenciamento de projetos estratégicos, auditorias e combate a crimes cibernéticos. Premiado – Security Leaders Brasil 2014 e 2016.
