Segurança física e lógica rumo à segurança integral
Recente pesquisa realizada pelo Gartner aponta que grandes empresas estão mais amadurecidas em relação à gestão e práticas de governança de segurança da informação. Um sinal positivo, principalmente na era que vivemos, o da internet, em que o acesso à informação está cada vez mais fácil e rápido. Mas, e a segurança física? Como as empresas entendem a relação e a distinção do que é física e lógica e como gerenciá-las de forma estratégica?
A estratégia deve ser a mesma e explico o motivo. Se criminosos desencadearem ações contra organizações no mundo cibernético, as consequências impactam o mundo real. Os controles necessários para mitigar os riscos relacionados a cada um desses ativos (virtual ou físico) podem ser diferentes, mas a forma de planejar deve ser semelhante. Por trás do universo virtual existem pessoas e simplesmente por esse fato, os riscos estão relacionados a elas. Coloco como exceção os fenômenos naturais, como enchente, terremoto, epidemias, entre outros. A própria norma ISO 27.002 de 2013, da segurança da informação, também aborda a segurança física em uma de suas seções.
Os conceitos largamente atribuídos à segurança da informação como integridade, disponibilidade e confidencialidade também podem ser atribuídos a outros ativos da organização. Uma empresa precisa da integridade e disponibilidade dos seus funcionários e de suas instalações comerciais, por exemplo. Já a confidencialidade, vai além dos sistemas computacionais. Quantos casos foram revelados por meio de conversas de corredor, no aeroporto ou em uma mesa de bar?
Nessa linha de raciocínio, se não existir a integração das “seguranças” o conhecimento dos funcionários, os processos e documentos impressos, por exemplo, ficariam sem proteção, pois hoje não está bem definido se estão dentro do escopo de atuação de alguma dessas áreas de segurança. Mas continuam sendo ativos das organizações.
Vivemos em uma sociedade do conhecimento e da informação, na qual muitas empresas atribuem mais valor a seus ativos intangíveis (conhecimento, imagem e capital intelectual) do que aos tangíveis. O crime organizado já percebeu esta tendência e está cada vez mais qualificado para atuar no mundo cibernético. A segurança das empresas precisa evoluir neste sentido ou ficará obsoleta, inadequada e ineficiente.
Por essa razão, a governança torna-se cada vez mais uma prioridade para as organizações, na criação de uma única política de segurança, normas, procedimentos e métodos de implantações para que posteriormente seja mais fácil e eficiente auditar e verificar se esta área está em compliance com suas diretrizes.
A segurança se faz por meio da gestão dos riscos de uma organização de forma integrada, sejam eles físicos, lógicos, financeiros, de qualidade, de segurança do trabalho, de meio ambiente, entre outros existentes.
Por esse motivo, a segurança deve ser única, integral, pois da mesma forma que o mundo cibernético e o real são indissociáveis, a segurança também deveria ser para conseguir garantir os objetivos da organização.
*Tácito Augusto Silva Leite é Security Officer da Indra no Brasil