Qual é a diferença entre segurança cibernética e a segurança da informação?

Primeiro havia a segurança de TI que teve o enfoque para proteção dos seus próprios ativos. Então veio a segurança da informação com uma ênfase mais abrangente e executiva e se afastou lentamente do hardware para o que era realmente importante – a informação.

O problema era que a segurança da informação ainda estava intimamente associada com segurança de TI.

O próximo passo lógico era abraçar todos os controles que abordavam os riscos à informação, incluindo a segurança física, reconhecimento de pessoas e sua formação, bem como os processos de governança.

Este é o lugar onde a garantia da informação veio a existir. A gênese.

A primeira coisa a se ter em mente é que a segurança cibernética trata de um grupo de ameaças em particular

A resposta rápida e simples é que a segurança cibernética é destinada principalmente a lidar com os riscos provenientes de cyber espaço.

O Cyber espaço está intrinsecamente associado com a Internet, mas não exclusivamente. Ele também se estende a qualquer forma de comunicação de computador para computador. O código malicioso incorporado dentro de um USB seria considerado um risco de cyber espaço, um código malicioso escalonando privilégios via BYOD também. Segurança cibernética inclui os controles defensivos que são necessários para lidar com a ameaça do cyber espaço. A grande maioria desses controles serão de natureza técnica, mas isso não quer dizer que eles são exclusivamente técnicos.

Treinamento e educação, pessoal habilitado e gestão de incidentes poderiam ser abordados pela segurança cibernética.

Então o que difere da Segurança da Informação?

A SI no entanto vai mais longe do que apenas tratar dos grupos de ameaça cyber espaço abordando  todos os riscos inerentes aos sistemas de informação e todos os tipos de controles, incluindo os técnicos, físicos, processuais e de pessoal. Ameaças virtuais são apenas mais um grupo que precisa ser considerado dentro do SI.

E quanto aos sistemas de informação  não tão óbvios?

A SI estará sempre encapsulada em sistemas de informação menos óbvios, como SCADA (Supervisory Control & Aquisição de Dados) e Life Safety. Tradicionalmente, esses sistemas têm sido muito isolados o que naturalmente tem limitado os grupos de ameaças que poderiam atacá-los trazendo uma zona de conforto aos gestores.

Com o avanço da IoT (Internet of Things) estes sistemas podem ser centralmente gerenciados trazendo com isso ameaças do cyber espaço.

Aqui é onde a existe a diferença real: A SI geralmente é um conjunto de medidas defensivas, postas em prática para garantir que as vulnerabilidades serão tratadas e mitigadas. Já a segurança cibernética também considera as medidas defensivas para dissuadir e impedir as intenções dos atacantes, mas enfoca nas ações técnicas de desenvolvimento, servidores, banco de dados, redes, firewalls não atingindo a esfera estratégica.

Pode haver segurança cibernética sem a SI?

Na maioria das organizações não e realmente não deve. Mas pela minha prática já vi que a SI nasceu de esforços isolados dos setores de TI, que viviam enxugando o gelo da segurança da informação e começaram um árduo processo de disrupção nas empresas.

Ou seja, o desenvolvedor, o DBA e o sujeito de infra começaram a evangelizar o restante da empresa até que fosse criada a noção da Segurança da informação.

Na prática isso realmente importa?

Deixando a natureza ofensiva do mundo cibernético de lado, não importa o nome que é usado para tratar do risco. A coisa mais importante é que todos os riscos sejam identificados e as medidas apropriadas sejam tomadas juntamente com os donos dos processos e sistemas. Chamá-lo de cyber, Segurança de TI, Gestão de riscos da informação – não importa, desde que seja feito com suas matrizes de impacto nos negócios e tabela de falhas. Essa construção acabaa muitas vezes nascendo na TI mas deve ser compartilhada e mantida pelos setores que sintam-se vulneráveis. Caso eles ainda não tenham uma boa noção do risco que seus ativos informacionais correm, existe a  boa nova, as equipes de tecnologia podem e devem ajuda-los a entender isso de maneira prática.

[Crédito da Imagem: Segurança da Informação – ShutterStock]