No momento em que o mundo passa por uma enorme transformação digital, a gestão de dados se tornou essencial para empresas e governos, elevando a importância da segurança cibernética. Isso é ainda mais crítico no Brasil, que é o principal alvo de ciberataques na América Latina. Assim, empresas de todos os portes precisam criar estratégias eficazes para proteger seus ativos empresariais. Graziele Rossato, head de tecnologia da ANEFAC, conduziu um painel sobre esse assunto no Congresso ANEFAC 2024.
A integração entre segurança da informação e cibersegurança é vital para a proteção das empresas. Com uma abordagem que combina tecnologia, processos e conscientização, as organizações podem enfrentar os desafios crescentes no cenário digital. Demetrio Carrion, Cybersecurity Leader da EY LATAM, explica que “a segurança da informação é o cuidado com a informação em todo o seu formato, seja ele físico ou digital.” Ele acrescenta: “A cibersegurança, quando eu comecei, chamava-se segurança da informação, há 20 anos. E a cibersegurança é quando o mundo cibernético se tornou mais premente e nós começávamos a falar dos ataques cibernéticos. Então, o ataque não necessariamente para roubar uma informação, mas um ataque que poderia afetar a disponibilidade de uma empresa. Ou a integridade, aí sim, da informação. Nós falamos de uma tríade da segurança da informação: confidencialidade, integridade e disponibilidade.”
Para desmistificar e sair um pouco da questão técnica, Leidivino Natal da Silva, CEO da Stefanini Cyber, pontua que “cibersegurança e segurança da informação se complementam.” Ele explica: “Se a gente pensar em cibersegurança, a gente pensa na visão das soluções, dos equipamentos, proteger web portais, uma coisa mais tecnológica. E quando pensamos em segurança da informação, pensamos muito em processos, nas pessoas, no treinamento, na maturidade. Elas se misturam, é aquela história do tudo junto e misturado ao mesmo tempo.” Natal destaca a importância de equilibrar a abordagem técnica com a visão de negócios. “Decidimos que essa posição estivesse mais relacionada ao negócio, não uma posição técnica, porque geralmente o time de segurança de informação é mais técnico,” diz ele. “
Carrion explica que quando se pensa em Cyber Security, “pensamos que é um tema só de tecnologia, mas a segurança também é na área de automação. Temos que proteger os ativos tecnológicos e de automação. Tem várias empresas aqui representadas que têm que proteger suas infraestruturas críticas. Um ataque cibernético em um ambiente de automação pode ocasionar perdas de produtividade e risco humano. No inglês, a segurança física é chamada de safety. Você pode ocasionar uma explosão ou a falta de distribuição de alimentos em uma determinada região, como aconteceu nos Estados Unidos há poucos meses, com a falta de distribuição de combustível na costa leste.” Ele também menciona que a segurança é frequentemente vista como uma área que “diz tudo o que não pode fazer.” No entanto, em um ambiente de colaboração, é importante “dizer o que pode fazer com a informação que se tem.”
A área de segurança deve ser facilitadora e não um obstáculo. Natal afirma que “se para o usuário for transparente, a segurança vira uma área de facilitação. Precisamos ter um ambiente seguro para trabalhar, que é a experiência segura ao clicar.” Ele compartilha um incidente de fraude via call center para exemplificar a importância de processos bem estruturados e conscientização dos funcionários.
Carrion utiliza uma analogia para explicar a importância da segurança: “O freio no carro não é para que ele ande mais devagar, é para ele andar mais rápido. A segurança da informação tem que ter um objetivo claro. Se ele for a área do não, ele vai ser rejeitado, mas se ele for da área do sim, promovendo um caminho seguro para as empresas, ele terá sucesso. Um carro sem freio, airbag ou cinto de segurança pode ter um custo mais baixo, mas não vai longe e acabará causando um acidente. Nosso objetivo é criar formas de proteger o valor da empresa para que seja perene.”
A cibersegurança não deve ser elitizada. Natal conclui afirmando que “cibersegurança não está fora do alcance das pequenas e médias empresas. A maturidade não está no investimento, às vezes é um processo, um procedimento, como é feita a estruturação, quem acessa o quê, como cada um faz. A questão da conscientização é fundamental.” Ele destaca que a avaliação da maturidade dos usuários é crucial para desenvolver uma cultura de segurança.
Eles finalizam discutindo como medir a maturidade de uma empresa em termos de cibersegurança. Natal explica que “tem KPIs para medir, mas antes de chegar nos KPIs, precisamos implementar a segurança de forma adequada. Existem várias metodologias, como a ISO e a NIST, para analisar a maturidade de segurança. A IA mudou o mercado, impactando a análise de maturidade e as defesas.”
