Os conceitos de segurança têm mudado muito ao longo dos anos e adaptar a empresa a estes conceitos nem sempre é tão lógico como parece, criando de silos em áreas que, embora complementares, nem sempre se conectam como deviam.
Nos passados anos 80 e 90, quando iniciei a carreira em TI, as únicas seguranças que existiam eram Segurança Física (guardas da empresa e guardas pessoais) e Segurança de TI. A Segurança da TI concentrava-se no controle de acesso aos mainframes que rodavam em salas isoladas, com acesso restrito e que era acessado de locais exclusivamente dentro das empresas por terminais “burros” de tela verde. Daí tirando a ameaça de roubarem os cabos dentro do CPD, ou a impressão de uma folha de pagamento, pouco se preocupava com os acessos externos, pois praticamente não existiam, e os controles sistêmicos do RACF, ACF2 ou TopSecret eram bem eficientes se bem administrados. Não existiam vírus, internet, email, cloud, micro, HD, pendrive, cd, dvd, e tantos outros recursos como existem hoje. Daí Segurança de TI, pois ela se restringia a área de Tecnologia, ou informática, como era chamada na época.
A segurança Física tratava de cuidar do controle de acesso de pessoas a locais considerados sigilosos, ou mesmo controlar o acesso de estranhos às dependências da empresa, com medo do roubo de equipamentos valiosos, como máquinas de escrever, calculadoras, cadeiras, mesas, televisão ou aquele projetor de slides (crec-crec, lembram?). Não existia preocupações com acesso físico aos computadores para a conexão de pendrives ou roubo do HD, por que eles simplesmente não existiam.
No entanto com advento do ano 2000, tudo mudou. Parece que o esperado cataclismo de fim de mundo da virada do século, resumiu ao medo dos códigos que não suportavam 4 dígitos no ano e precisavam ser corrigidos urgentemente para que os aplicativos não apresentassem uma recontagem de datas ao invés de avanço de 19xx para 20xx. E com isto, ao mesmo tempo, veio a internet os computadores pessoais, a intranet, o email, o CD, o DVD, o Pendrive e os hackers.
Agora tempo que nos preocupar não só com a Segurança de TI, mas com a proteção da informação escrita, gravada ou armazenada, esteja ela onde estiver. Com isto surgiu o nome profissional de Segurança da Informação, que agora precisa se preocupar com conceitos de :
- Cloud Security
- Endpoint Security
- Internet Security
- Mobile Security
- Defense in depth
- Least Privilege
- Vulnerability Management
- Risk Management
- Patch management
- Application Lifecycle Management
- Application Control
- Device Control
- Identity Management
- Change Management
- etc…
E agora? O profissional de Segurança da Informação precisa ser o “Super Homem” ou a “Mulher Maravilha”, para dar conta de tudo isto SOZINHO, pois a empresa continua achando que a IT Security, ou Segurança de Informática, continua sendo suficiente.
No entanto, os conceitos se misturaram, e agora cada vez mais é difícil desassociar os conceitos de Segurança da Informação, Segurança de TI e Segurança Física. Segurança do uso de USB, pendrives ou roubo de equipamentos móveis, são relativos à segurança lógica, segurança de TI ou segurança física. Na verdade os três!
Não existe mais como desassociar os conceitos de Segurança de segregar tão claramente as funções, como era no passado.
Por isto, o isolamentos destas três área não é mais aceitável. Podemos também acrescentar a importância do relacionamento com áreas de Compliance, Controles Internos, Auditoria, RH, Continuidade de Negócios e Jurídico.
Proteger a empresa a empresa contra as ameaças modernas só é possível com a integração das áreas!
A área de Segurança da Informação, requer cada vez mais profissionais qualificados e de cabeça aberta, dispostos a criar um relacionamento efetivo e colaborativo com todas as áreas que interagem ou de alguma forma auxiliam na proteção de da INFORMAÇÃO, pois a informação hoje está nos equipamentos, na nuvem, na internet, no Data Center e na cabeça das pessoas.
por MindSec
Deixe sua opinião!