Contato
Quem Somos
Quero Patrocinar

Cibersegurança como Política Pública: Proteção de Infraestruturas Críticas

Apesar do nível de criticidade que os serviços públicos possuem para o bem-estar da sociedade, muitos deles se mostram ainda pouco maduros no que tange à Segurança Cibernética, e tal qual evidenciam diversos exemplos nos últimos anos, um incidente cibernético é capaz de paralisar toda essa operação e prejudicar diversos cidadãos. Nesse sentido, o CISO da Secretaria de Gestão e Governo Digital do Estado de São Paulo, Julio Signorini, reforça pontos importantes para que as lideranças de SI no setor público ampliem suas estratégias de Cyber

Compartilhar:

Por Julio Signorini*

 

Amigos cibernéticos, inauguro hoje uma série especial de artigos sobre Cibersegurança como Política Pública. Durante as próximas 8 semanas, vamos desvendar os mistérios da cibersegurança com uma mistura única de conhecimento técnico e bom humor, porque, convenhamos, segurança da informação já é assustadora demais para ser tratada com cara feia. Cada quinta-feira, traremos um novo capítulo desta saga digital, começando hoje com nossa primeira aventura: “Proteção de Infraestruturas Críticas”.

 

Este é apenas o começo de nossa jornada épica pelo mundo da cibersegurança. Prepare seu café reforçado e embarque comigo neste desafio semanal onde veremos juntos sobre a importância da segurança cibernética na gestão pública e como transformá-la em algo tão interessante quanto um episódio de sua série favorita – só que com mais firewalls e menos vilões.

 

“Game Over” para os cibercriminosos

Imagine que proteger infraestruturas críticas é como jogar um RPG onde você é o guardião do reino digital. Como diria Bruce Schneier, um grande mago do tema: “A segurança é um processo, não um produto” – ou seja, é tipo aquele game que nunca termina, sempre tem uma nova missão!

 

O Castelo Digital da Administração Pública

Como diria Richard Clarke (ex-coordenador de contraterrorismo dos EUA), de forma muito séria: Se você gasta mais em café do que em segurança cibernética, você será hackeado. Além disso, você merece ser hackeado”.

 

Vamos falar a real sobre proteger sistemas governamentais – é como ser o guardião de um castelo digital do tamanho do Brasil. O NIST, um dos materiais sacros da segurança cibernética, estabelece 5 mantras sagrados: Identifique (porque você não pode proteger o que não conhece), Proteja (blindagem digital mais robusta que cofre do Banco Central), Detecte (radar mais sensível que fofoqueiro de plantão), Responda (velocidade de reação mais rápida que cancelamento no Twitter) e Recupere (porque plano B é coisa de amador, aqui vamos até o Z).

 

Na prática, enquanto você protege suas fotos comprometedoras com um password de doze dígitos, estamos aqui planejando e implementando sistemas seguros e complexos para proteger desde seu CPF a outros dados críticos e sensíveis. E não, não dá para resolver isso com senha de “Ministro do STF” ou com aquele antivírus gratuito que veio no seu notebook!

 

Serviços Essenciais: Não é Só Água na Piscina

Como alerta Mikko Hypponen, o lendário caçador de malware: “Se algo está conectado à internet, pode ser hackeado. Se algo não está conectado à internet, pode ser hackeado conectando-o primeiro à internet”. Por isso precisamos de:

 

1. Framework ICS (Industrial Control Systems) – O Maestro Digital das Máquinas: O ICS seria como aquele maestro metódico de uma orquestra industrial, onde cada instrumento precisa tocar perfeitamente sincronizado – só que ao invés de violinos e trombones, estamos falando de turbinas, válvulas e sensores.

 

É como ter um zelador superpoderoso que controla desde a temperatura da sua sala de servidor (para que seus devices não virem uma air fryer) até o fluxo de água nas hidroelétricas (porque ninguém quer tomar banho gelado no escuro). O ICS é tipo aquele manual de sobrevivência para o apocalipse zumbi, mas para o mundo digital: define zonas de segurança blindadas, implementa firewalls (NGF) mais impenetráveis que a dieta da segunda-feira, e mantém os cibercriminosos longe dos controles críticos.

 

2. Proteção SCADA – O Big Brother dos Sistemas Industriais: O SCADA é como aquela câmera de segurança do BBB, só que milhares de vezes mais complexa e sem pay-per-view. Pense em um sistema tão atento que consegue perceber se uma válvula em uma usina nuclear espirrou do outro lado do país.

 

Ele monitora desde o nível de cloro na água da sua torneira até a pressão nas tubulações de gás (porque explosões são legais só em filmes de ação). Com mais sensores que um reality show e mais alarmes que despertador de segunda-feira, o SCADA é aquele amigo paranóico que nunca dorme – e ainda bem que não dorme, porque alguém precisa garantir que seu café da manhã não venha com sabor de desastre industrial!

 

Dados Sensíveis: Mais Secretos que a Receita da Coca-Cola

Como diz o grande Kevin Mitnick (ex-hacker mais procurado do FBI): “As empresas gastam milhões em firewalls, criptografia e logins seguros, mas jogam dinheiro pela janela porque nenhuma dessas medidas aborda o elo mais fraco da cadeia de segurança: as pessoas”. Considere:

 

1. ISO 27001 – O Manual do Paranóico Profissional: A ISO 27001 é o padrão internacional que tem o papel de transformar seu ambiente digital numa fortaleza. Visualize um documento tão meticuloso que faz o algoritmo do TikTok parecer amador. É aquele manual que exige que você documente absolutamente tudo – desde a política de senhas até o processo de eliminação de dados (porque aquele triturador de papel da sua empresa precisa fazer o documento virar confete de carnaval, não tirinhas de jornal). É basicamente um roteiro de filme de espionagem, só que ao invés de ensinar a roubar segredos, ensina a protegê-los tanto zelo e responsabilidade.

 

2. CIS Controls – A Lista de Supermercado da Segurança Digital: Os CIS Controls são como aquela lista de checagem do piloto de avião, só que para impedir que seus dados façam um pouso forçado nas mãos erradas. São 20 controles mais essenciais que o café para o DEV, organizados numa sequência lógica e inteligente. Começa com o básico (“Ei, você já inventariou seus ativos ou continua jogando CS:GO com seus servidores?”), passa pelo intermediário (“Sua rede tem mais buracos que as ruas do seu bairro? Hora de consertar!”) e chega ao avançado (“Sua equipe está mais preparada para incidentes que você para “descer pra BC no finalzinho do ano”). Acredite, o resultado é mais impressionante que antes e depois de academia!

Cases Reais: Lições Aprendidas em Cibersegurança

1. Stuxnet (2010)

  • O que aconteceu: Malware altamente sofisticado comprometeu centrifugadores nucleares iranianos;
  • Impacto: Primeiro ataque cibernético conhecido a causar danos físicos significativos em infraestrutura crítica;
  • Lição aprendida: A segmentação de rede e o controle rigoroso de dispositivos externos são essenciais.

 

2. Colonial Pipeline (2021)

  • O que aconteceu: Ataque ransomware paralisou o maior oleoduto dos Estados Unidos;
  • Impacto: 5 dias de interrupção, escassez de combustível em vários estados, prejuízo de US$ 4,4 milhões;
  • Lição aprendida: A integração entre sistemas operacionais e corporativos requer proteção reforçada.

 

3. Costa Rica vs Ransomware (2022)

  • O que aconteceu: Ataque simultâneo contra múltiplos sistemas governamentais;
  • Impacto: Primeiro país a declarar estado de emergência nacional devido a um ataque cibernético.
  • Consequências: Paralisação de serviços essenciais, perda de arrecadação fiscal e comprometimento de sistemas de saúde;
  • Lição aprendida: A necessidade de uma estratégia nacional robusta de cibersegurança e planos de contingência efetivos.

 

Conclusão Filosófica

Como Sun Tzu ensinou em “A Arte da Guerra”, que se aplica perfeitamente à cibersegurança moderna: “A suprema arte da guerra é derrotar o inimigo sem lutar”. Isso significa que uma estratégia robusta de prevenção e proteção é mais valiosa que a mais sofisticada resposta a incidentes. Afinal, é preferível investir em controles de segurança eficientes hoje do que lidar com as consequências de um ataque bem-sucedido amanhã – especialmente quando falamos de infraestruturas críticas onde um único incidente pode impactar milhões de pessoas.

 

Dica Final: Se você acha que segurança é cara, experimente calcular os custos após um ciberataque. Como diria minha vó, se ela fosse CISO: “Melhor prevenir do que remediar”. Em um mundo onde até sua geladeira pode ser hackeada, segurança não é paranoia, é necessidade!

 

*Júlio Signorini é CISO na Secretaria de Gestão e Governo Digital (SGGD) do Governo do Estado de São Paulo, com mais de 17 anos de experiência como executivo de TI, liderando projetos de inovação, transformação digital, gestão estratégica, cibersegurança e ESG.

Destaques

Cibersegurança como Política Pública: Proteção de Infraestruturas Críticas

IA é ferramenta essencial na gestão de Segurança em cloud do Grupo Cosan

Agência da ONU para Aviação Civil sofre ataque hacker

Segurança na Saúde: custo médio de ciberataques atinge 5,3 milhões de dólares

Segurança democratizada será uma das tendências de 2025, diz estudo

Como as mudanças anunciadas pela Meta podem impactar a Cibersegurança?

Colunas & Blogs

Avatar photo
Comunicação em Cyber: Qual o impacto do Social Styles na sua carreira?
Denis Nesi
Avatar photo
Estamos prontos para o futuro com a IA?
Fabio Correa Xavier
Avatar photo
Da Trincheira à Mesa do Conselho: A Jornada de um CISO rumo à Governança Corporativa
Glauco Sampaio
Avatar photo
Brasil: Um terreno fértil para o Cibercrime
Rodrigo Jorge
Avatar photo
Cibersegurança como Política Pública: Proteção de Infraestruturas Críticas
Julio Signorini
Avatar photo
Equilibrando a transformação dos negócios e os riscos de Segurança
Luiz Firmino
Avatar photo
O inimigo pode estar onde menos esperamos
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Capacitação em Deep Learning e Inteligência Artificial para a Segurança Cibernética
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Colunas & Blogs

Da Trincheira à Mesa do Conselho: A Jornada de um CISO rumo à Governança Corporativa

Glauco Sampaio, CISO e Conselheiro Consultivo, estreia hoje (18) sua nova coluna na Security Report, onde dará destaque sobre o...
Leia Mais
  • Glauco Sampaio
  • dezembro 18, 2024
Security Report | Colunas & Blogs

Equilibrando a transformação dos negócios e os riscos de Segurança

Embora os líderes de negócio e Cibersegurança tenham visões díspares no que tange à velocidade da transformação digital, apenas um...
Leia Mais
  • Luiz Firmino
  • dezembro 17, 2024
Security Report | Colunas & Blogs

A Nova Geração de CTI: Quando a Inteligência (Artificial) encontra as Ameaças

O Cyber Threat Intelligence, como se conhecia, mudou. Agora, esse campo da Segurança cibernética é capaz de se integrar com...
Leia Mais
  • Julio Signorini
  • dezembro 11, 2024
Security Report | Colunas & Blogs

Como integrar Cyber Security, Proteção de dados e DevOps?

Considerando todas as etapas do processo operacional e cada grupo de dados segundo o seu uso presente na empresa, é...
Leia Mais
  • Luiz Firmino
  • setembro 19, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit