As organizações que sintam a necessidade crescente de atender às necessidades de segurança dos ativos da OT (Operational Technology) e da IoT (Internet of Things) devem considerar alguns princípios básicos
As tecnologias de informação já não são o que eram. Até certo ponto, estivemos focados num determinado e estável conjunto de infraestrutura e software - computadores mainframe, computadores mid-range, servidores, desktops e portáteis e o seu respetivo software. Ao longo do tempo também nos fomos familiarizando com as implicações dos dispositivos móveis para o IT e aceitámo-las como parte da infraestrutura. O software também se foi transformando através de diferentes métodos de entrega, como a cloud, e todos nos acostumámos às implicações de design inerentes à criação de uma infraestrutura desta natureza. E não nos podemos esquecer das redes. No início, passámos de dispositivos de conexão simples, como os modems, para bridges, routers e switches. Progressivamente, tornámo-nos especialistas em design de redes de área alargada, metropolitanas e locais, porque também estas passaram a estar sob a alçada do IT. Este longo caminho também foi percorrido pelas infraestruturas e serviços de segurança que o suportam, desde firewalls e ferramentas de gestão de ameaças avançadas a diferentes programas de software que endereçam a prevenção, deteção, resposta, acesso e proteção de dados. A natureza das próprias ameaças impulsionou diferentes abordagens à medida que evoluímos para técnicas ainda mais avançadas na tentativa de proteger as fundações do IT. A segurança dos ativos da ot e da iot deve considerar alguns princípios básicosNo meio de toda esta tecnologia, tivemos ainda de desenvolver organizações que conseguissem arquitetar, desenhar, implementar, gerir e operar este ambiente, do início ao fim. O que nos traz aos dias de hoje. Estamos hoje a viver outro ponto de inflexão, semelhante àquele que tivemos de enfrentar quando a web, a mobilidade e as soluções cloud apareceram nas nossas vidas. Estão a emergir tecnologias mais variadas, apesar de ainda menores, que estão conetadas a redes familiares e não familiares e a gerar e utilizar dados numa escala até ao momento nunca vista. Do ponto de vista da segurança, já percebemos que esta nova inflexão não é completamente familiar ao IT, embora seja familiar à maioria da tecnologia operacional, ou OT. Apenas sabemos que teremos de ter em conta quaisquer diferenças que esta nova viragem possa trazer à nossa estratégia de segurança. E tal começa com a segurança da organização. A segurança dos ativos da OT e da IoT (Internet of Things) deve considerar alguns princípios básicos. A natureza da própria segurança da organizaçãoO IT terá, agora, de implementar novas alterações, porque “one size does not fit all”. Teremos de coordenar mais os novos e adicionais fornecedores de serviços de segurança, serviços e capacidades, mesmo as maiores organizações de segurança de IT. Porque há um limite quanto ao conhecimento que quererá ter sobre a miríade de novos tipos de dispositivos e sistemas que lhe cabe proteger. Construir uma equipa de segurança especializada dotada das capacidades e da experiência adequadas será cada vez mais difícil. Considere a natureza da segurança da sua própria organização e o quão esta será efetivamente “sua” no futuro, dependendo do nível de envolvimento neste mundo. A hierarquiaA segurança de IT tem reportado tradicionalmente ao CIO na maioria das organizações. Primeiro, porque a missão dos Chief Information Security Officers (CISO) tem sido a proteção da informação. Essa missão não se altera, mas a forma como a informação é utilizada, juntamente com a natureza da função principal do CISO, será uma questão premente. Apesar da confidencialidade, integridade e disponibilidade dos dados ser a missão principal da segurança de IT, os sistemas e dispositivos de OT e IoT introduzem agora o mundo físico. Estes sistemas e dispositivos reportam a níveis que são hoje da responsabilidade de engenheiros, especialistas de segurança física ou outros profissionais da indústria, não aos especialistas de segurança de IT. Proteger os ambientes físicos, de engenharia ou industriais não é uma nova missão em si mesma, apenas uma nova missão na qual a segurança de IT se envolve devido à tecnologia, software e conetividade necessários a estes sistemas “não-IT”. Enquanto não há motivos para que engenheiros e segurança física integrem a segurança de IT da organização, é importante que a natureza da relação entre o IT, a OT e a segurança física se altere de modo a melhor alinhar arquitetura, estratégia e planeamento da segurança. No final de contas, se os dispositivos que podem mudar o mundo físico se tornarem progressivamente digitais e recorrerem a redes e software, a segurança de IT deverá começar a fazer parte desse mundo, independentemente de o querer ou não. Risco, Fiabilidade e RegulamentaçãoCom as interligações descritas, a forma de calcular o risco também deve mudar. Isolar cálculos de risco e criar silos (por exemplo, o risco de IT) para gerir risco dentro desse silo não irá captar o impacto das ameaças e dos perigos noutros ambientes, como o físico. Os regulamentos para a segurança serão agora uma parte das regulamentações para a cibersegurança se os meios pelos quais cada sistema foi desenhado, do ponto de vista da segurança, utilizam tecnologias digitais e conetadas. O conceito de system assurance, tornar sistemas de sistemas suficientemente resilientes, mesmo quando crescem em complexidade e em interligações, é agora um papel dos especialistas de cibersegurança. Chamo-lhes especialistas de segurança digital, que captam as necessidades holísticas do risco a partir de vários silos e separações tradicionais nas organizações, porque acredito que as plataformas digitais das quais necessitaremos para os sistemas lógicos e físicos necessitarão de uma abordagem comum à segurança. Está na hora de uma nova segurança organizacional digital. Está preparado?
Artigo original da Gartner, por Earl Perkins, Research Vice President da equipa de Segurança e Privacidade na Gartner |