Por Tácito Augusto Silva Leite, Country Manager da Lidera, diretor do Departamento de Defesa e Segurança da FIESP
Em várias palestras realizadas ao longo dos últimos anos, uma pergunta se repetia quase que como um mantra: Qual será o futuro da gestão da segurança dentro das organizações?
Minha resposta, invariavelmente, era: Integração!
Para que outros colegas e amigos confiram o significado inteiro dessa resposta, tentarei neste breve artigo apresentar uma linha de raciocínio que parece lógica para mim.
Para não me estender e ainda assim levar conteúdo a quem queira se aprofundar no tema, envio abaixo o que seria uma sequência lógica acompanhada de links contendo argumentações que poderão munir as mentes inovadoras, que queiram se diferenciar e antecipar o futuro, levando a segurança ciberfísica para dentro da sua organização.
Embora a segurança da informação (ou do conhecimento), a segurança física corporativa e a gestão de riscos sejam matérias existentes há milhares de anos, vou me ater às últimas décadas. Para não ser muito prolixo, deixarei essa história milenar para outra ocasião e agora vou concentrar-me em três linhas de argumentação.
Vejamos primeiro algumas bases teóricas e fundamentos práticos em defesa da segurança ciberfísica:
1. A integração dos vários segmentos da segurança vem sendo discutida há mais de 30 anos nos ambientes académico e corporativo. Esta matéria de 1999 é um exemplo de como a área de segurança estava tomando consciência da questão. Saiba mais clicando aqui.
2. Grandes consultorias mundiais já consideram essa integração nas suas orientações há muitos anos. Saiba mais clicando aqui.
3. Essa discussão e a realidade da segurança têm alimentado uma grande bibliografia internacional. Saiba mais clicando aqui.
4. Vários livros e sites relacionados ao CSO (chief security officer) – diferente de CISO (chief information security officer) – já consideram as duas áreas como responsabilidade desses executivos. Saiba mais clicando aqui.
Agora pensemos nas funções e responsabilidades dos gestores de segurança ciberfísica:
5. Vale a pena entender melhor a diferença entre CSO e CISO. O CSO atualmente é o executivo responsável pela segurança da organização, tanto física quanto digital. Ele participa e até lidera outras áreas como gestão de riscos, planeamento da continuidade de negócios, prevenção de perdas, combate a fraudes e à violação de privacidade, entre outras. Saiba mais clicando aqui.
6. No próprio Wikipedia há referência a segurança corporativa e indicação do CSO como responsável pela segurança física e lógica, pela gestão de riscos e outras áreas. Saiba mais clicando aqui.
E, por último, vejamos o que já está sendo feito, como e por quem:
7. Se você precisa integrar essas duas áreas na sua empresa, existem várias formas de fazê-lo, todas obrigatoriamente passam pela conscientização do seu cliente interno. Existem livros e artigos bem interessantes que tratam do tema da integração. Saiba mais clicando aqui.
8. Grandes empresas nacionais e multinacionais já deram esse passo e estão em outro estágio de maturidade em relação a segurança e resiliência. A Petrobras é uma delas, está integrando as duas áreas dentro de Inteligência e Segurança Corporativa. Saiba mais clicando aqui.
9. A Iberdrola já trata os dois temas de forma integrada há vários anos, inclusive no Brasil. Essa integração está expressa na sua política de segurança e abrange todo o grupo empresarial. Saiba mais clicando aqui.
10. Até mesmo tradicionais prestadores de serviços de vigilância como a Prosegur já oferecem o serviço de cibersegurança há vários anos. Saiba mais clicando aqui.
11. A Prosegur comprou recentemente a empresa Dognaedis, do setor de cibersegurança, para ampliar seu portfólio e fortalecer sua posição como fornecedor de serviços de cibersegurança. Saiba mais clicando aqui.
12. Até a tradicional distribuidora de equipamentos de segurança eletrônica, a WDC Network, já tem 10% de seus parceiros dedicados ao tema de cibersegurança (Check Point, Lidera, Panda, Sophos etc.). Saiba mais clicando aqui.
No nível tático, a segurança eletrónica (câmeras, alarmes, controles de acesso etc.) tem usado cada vez mais os bancos de dados e as redes computacionais. Ou seja, os subsistemas de segurança física também necessitam de segurança cibernética. Por outro lado, sem a proteção física também seria impossível garantir a segurança dos ativos de informação no ambiente empresarial.
De forma prática, as organizações que optaram por ter uma função de gestão de segurança de maneira integral têm proporcionado maior segurança e resiliência a um custo menor. Além disso, comprovar zelo pelos ativos da empresa aumenta o valor de suas ações.
E, é bom salientar, as companhias sem um bom alicerce de conhecimento, baseado em pessoas, terão pela frente um grande desafio para vencer a inércia organizacional e cumprir a meta de integração.
No nível estratégico, os CEOs e os conselhos de administração, motivados em parte por um novo conjunto de padrões de segurança, ou até mesmo pela pressão das bolsas de valores, querem ter uma visão global do risco operacional da empresa. Assim, com outra abordagem atual, o CSO pode conduzir junto com outros grupos um Enterprise Risk Management (ERM) para diminuir incertezas e aumentar a resiliência corporativa.
A minha resposta, continua sendo: Integração!
Tácito Augusto Silva Leite é Country Manager da Lidera, diretor do Departamento de Defesa e Segurança da FIESP, autor do livro Gestão de Riscos na Segurança Patrimonial e mantenedor da Biblioteca de Segurança.