ANÁLISE
SEGURANÇA FÍSICA E LÓGICA
RUMO À SEGURANÇA INTEGRAL
P
TÁCITO AUGUSTO SILVA
LEITE, presidente da Associação
Brasileira de Profissionais de Segurança
(ABSEG) e security officer da Indra
no Brasil
20 | Revista SESVESP
esquisa recente realizada pelo
Gartner aponta que as grandes
empresas estão mais amadurecidas em relação à gestão e às práticas de governança de segurança da informação. Um sinal positivo, principalmente
na era em que vivemos, a da internet, em
que o acesso à informação está cada vez
mais fácil e rápido. Mas, e a segurança física? Como as empresas entendem a relação
e a distinção do que é física e lógica e como
gerenciá-las de forma estratégica?
A estratégia deve ser a mesma, e explico
o porquê. Se criminosos desencadearem
ações contra organizações no mundo cibernético, as consequências impactam o
mundo real. Os controles necessários para
mitigar os riscos relacionados a cada um
desses ativos (virtual ou físico) podem ser
diferentes, mas a forma de planejar deve
ser semelhante. Por trás do universo virtual existem pessoas, e, simplesmente por
esse fato, os riscos estão relacionados a
elas. Coloco como exceção os fenômenos
naturais, como enchente, terremoto, epidemias, entre outros. A própria norma ISO
27002 de 2013, da segurança da informação, também aborda a segurança física em
uma de suas seções.
Os conceitos largamente atribuídos à segurança da informação, como integridade,
disponibilidade e confidencialidade, também podem ser atribuídos a outros ativos
da organização. Uma empresa precisa da
integridade e disponibilidade de seus funcionários e de suas instalações comerciais,
por exemplo. Já a confidencialidade vai
além dos sistemas computacionais. Quantos casos foram revelados por meio de
conversas de corredor, no aeroporto ou em
uma mesa de bar?
Nessa linha de raciocínio, se não existir
a integração das “seguranças”, o conhecimento dos funcionários, os processos e
documentos impressos, por exemplo, fica-
Por trás do
universo virtual
existem pessoas, e,
simplesmente por
esse fato, os riscos
estão relacionados
a elas
riam sem proteção, pois hoje não está bem
definido se estão no escopo de atuação de
alguma dessas áreas de segurança. Mas
continuam sendo ativos das organizações.
Vivemos em uma sociedade do conhecimento e da informação, na qual muitas
empresas atribuem mais valor a seus ativos
intangíveis (conhecimento, imagem e capital intelectual) do que aos tangíveis. O crime organizado já percebeu essa tendência e
está cada vez mais qualificado para atuar no
mundo cibernético. A segurança das empresas precisa evoluir nesse sentido ou ficará
obsoleta, inadequada e ineficiente.
Por essa razão, a governança torna-se
cada vez mais prioridade nas organizações,
com a criação de uma única política de segurança, de normas, procedimentos e métodos de implantações, para que, posteriormente, seja mais fácil e eficiente auditar e
verificar se essa área está em compliance
com suas diretrizes.
A segurança de uma organização se faz
por meio da gestão dos riscos de forma integrada, sejam eles físicos, lógicos, financeiros, sejam de qualidade, de segurança do
trabalho, de meio ambiente, entre outros.
Por esse motivo, a segurança deve ser
única, integral. Assim como os mundos cibernético e real são indissociáveis, a segurança também o deveria ser, a fim de garantir os objetivos da organização.