A maioria das empresas enfrenta hoje um dos grandes desafios de proteção de perímetro, tanto nos países com mais maturidade, como nos Estados Unidos, quanto em nações que ainda buscam a consolidação como o Brasil. Na visão de Christian Morin, CSO e Vice-Presidente de Produto da Genetec, a dificuldade está na coordenação das estratégias de Segurança Corporativa e o caminho para superar esse gargalo é aproximar as áreas de proteção física com os times de Cibersegurança. Só assim, diz ele, as duas equipes cumprirão o papel de garantir a continuidade dos negócios.
O C-Level participou da comitiva internacional da empresa no Global Press Summit 2024, que reuniu jornalistas no Experience Center da Genetec, em de Washington DC, para destacar aspectos estratégicos da empresa para este ano. Em entrevista exclusiva à Security Report, ele detalhou como a segurança unificada pode trazer benefícios para as empresas, com perspectivas de evolução tanto na proteção de ativos críticos quanto no fortalecimento de melhores práticas definidas por padrões internacionais.
Morin ainda destacou suas experiências de carreira, levando-o a atingir um ponto de gestão capaz de congregar duas áreas bastante díspares e aconselhou seus colegas de Cyber Security a investirem cada vez mais na aproximação com o outro lado da mesa.
Matheus Bracco: Na Genetec, como funciona o cargo de CSO? Você é o responsável pela Segurança Física e Lógica, correto?
Christian Morin: Exatamente. No momento, estou responsável por esses dois setores. Mas em comparação com nossos clientes, o tamanho da nossa operação não é tão grande a ponto de ser uma atividade complexa demais.
MB: Na sua visão, os CISOs são reticentes com esse nível de coordenação? Como seria essa atuação?
CM: De fato, os CISOs precisam estar bem mais focados com tudo o que a Cibersegurança lida diariamente. Entretanto, no fim do dia, Segurança é Segurança, independentemente de onde ela esteja sendo tratada. Os princípios fundamentais são exatamente os mesmos: como lidar com os riscos e mitigá-los. Ainda que os fatores de ameaça – além dos métodos usados para controlá-los – sejam mais específicos, ambas as vertentes protegem os mesmos ativos e as mesmas pessoas.
Hoje, para ser sincero, vejo mais CISOs compreendendo essa realidade se compararmos com algum tempo atrás. Até porque, os ciberataques podem colocar a vida das pessoas em risco, criando ameaças nunca vistas antes, especialmente com as inovações da IoT e hiperconectividade. Os sistemas estão conectados a aparelhos que operam no mundo real, aumentando o risco de danos severos à vida das pessoas. Ou seja, é preciso ter uma visão holística que não se baseie em “isto é problema de outra pessoa”.
MB: Nesse caso, seria necessário algum tipo de especialização adicional por parte dos Líderes de Cibersegurança?
CM: Bem, é claro que os CISOs não vão se tornar especialistas em Segurança Física, na medida que nenhum deles é especialista em todos os temas que envolvem a Segurança Cibernética. Neste caso, o ideal é que eles se cerquem dos profissionais mais hábeis para essa tarefa, com a expertise e capacidade de aconselhamento necessárias para cumprir este papel. Através disso, é possível alcançar a coesão necessária para fazer esses dois departamentos atuarem harmonicamente.
Ambas as Seguranças já não podem se dar ao luxo de se ignorar mutuamente. Isso se prova ao olharmos para padrões internacionais, como ISO 27.001 ou o NIST, eles próprios consideram essencial preservar certos controles físicos em seu perímetro, pois é preciso manter ativos, como salas de servidores, íntegros de acessos não autorizados ou qualquer coisa que os inviabilize.
Agregar funções é o caminho?
MB: Você, pessoalmente, iniciou sua carreira em Cyber Security? Como foi o processo de agregar outras funções coma a Segurança Física?
CM: Sim, me formei em Engenharia da Computação e ingressei no setor rapidamente. Mas depois de alguns movimentos dentro das Telecomunicações, causados pelo boom da rede mundial de computadores na década de 90, acabei batendo às portas da Genetec, ainda nos estágios iniciais da Segurança Física. Ali já era possível perceber todo o potencial de convergir diversas redes de monitoramento em um único foco, demonstrando cada vez mais potencial e facilidade.
Abracei esse conjunto diferente algum tempo depois, quando, eventualmente, Pierre me colocou no cargo. Naquele momento, não tínhamos muita ideia do que isso significava, nem qual seria o peso desse título, pois em empresas de menor porte, como era o nosso caso então, o foco é fazer aquilo que é necessário para manter o negócio girando. Então colocamos a mão na massa, instalando novas ferramentas de proteção, ainda no mínimo necessário para manter a operação sob controle.
MB: Então o processo foi gradual?
CM: Foi apenas por volta de 2010 que essa posição se tornou algo realmente significativo, e próximo de 2015 passei a olhar para Cibersegurança e Segurança Física como dois pilares alinhados da continuidade de negócio. Aproximamos os times de engenharia e Segurança para atuarem juntos dessa estratégia. Novamente, se ambas as áreas lidam com questões similares, é necessário criar uma coexistência entre as duas de forma a fazê-las atingir um mesmo objetivo.
MB: E você enxerga essa jornada como uma tendência para o futuro, seja nos Estados Unidos ou em outros mercados, como o brasileiro?
CM: Penso que não é o ideal ter apenas um indivíduo dedicado exclusivamente a coordenar toda uma operação desse porte, especialmente quando se considera organizações maiores e mais complexas. O cerne de tudo precisa ser a comunicação entre diferentes especialidades, em torno de um objetivo comum, que é garantir continuidade ao core business. Esse é o primeiro passo para se desenhar uma estrutura de trabalho que aproxime os setores segundo o nível de afinidade que cada uma delas tem.
Isso posto, também se torna essencial lidar com a realidade das pessoas. Não somos robôs, portanto não temos uma função predefinida de fábrica. Conforme você cresce na hierarquia executiva, vai ganhando experiência e adaptando as capacidades.
O futuro da Segurança unificada
MB: Para a Genetec, a colaboração das duas áreas é o caminho mais seguro?
CM: Historicamente, estamos mais focados, no que tange a Cibersegurança, a proteger aquilo que se entende por “joias da coroa” como o código-fonte, propriedade intelectual, dados críticos, entre outros.
Mas, pela nossa experiência, existe uma necessidade latente em proteger os usuários em todos os locais em que eles estejam. E, infelizmente, nem todos os lugares, seja em ambientes públicos ou na casa das pessoas, possuem os níveis adequados de segurança para que se lide com essas joias da coroa.
MB: A própria Genetec aplica esses princípios de integração nas estratégias junto aos clientes?
CM: Com certeza. Como nosso presidente, Pierre Racz, costuma dizer, no que diz respeito à Genetec, sempre temos a preferência de beber do nosso próprio champanhe. Então, claramente temos muito orgulho dos nossos produtos e processos, ao ponto de estarmos dispostos a passar pelas mesmas jornadas que nossos clientes passam. Mesmo em relação à Cibersegurança, nosso objetivo é atuar como um exemplo estabelecendo padrões melhores e ajudando os parceiros a fazerem o mesmo.
MB: E os clientes estão alinhados com esse posicionamento?
CM: Pensando nos nossos clientes de forma geral, todos eles já possuem práticas bem estabelecidas para ambas as áreas, Segurança Corporativa e Cibersegurança, com o envolvimento de riscos e peculiaridades no mundo físico e digital. Mas existe um gargalo nos parceiros de canal que, em alguns casos, são empresas menores, sem os devidos sistemas de proteção instalados.
Nesse sentido, incidentes simples como ataques BEC podem comprometer toda uma cadeia de fornecimento das soluções de tecnologia. Por isso nosso foco é liderar esses parceiros a partir dos efeitos que podemos gerar de convencimento de melhores práticas. Caso aconteça algum incidente nesse sentido, buscamos fazer o possível para ajudá-los a responder.
MB: Que conselho você daria aos profissionais do mercado para que possam evoluir suas maturidades de Segurança Física e Lógica em direção à aproximação das duas áreas?
CM: Eu diria que, antes de tudo, é necessário cultivar um interesse legítimo nessa proposta em si mesmo, no seu time interno de Cyber Security e no departamento de Segurança Física. Isso permite a todos entender quem realmente administrará cada trecho da estrutura que está se formando.
A partir disso, se abrem novos canais de comunicação, novas relações e laços de confiança entre os colegas de trabalho, que vão permitir o compartilhamento das melhores práticas. Um alerta necessário é não entender isso como um jogo de poder interno, sobre quem tem mais ou menos influência sobre o destino da companhia. Apenas a cooperação pode permitir que ambos atinjam seu objetivo comum.
MB: E em relação à educação? Também é um tópico importante nessa adaptação?
CM: Com certeza, e isso é algo que levo muito a sério. Entre segurança Cibernética e Física, eu vejo dois contextos bastante diferentes: o primeiro já tem dado passos mais avançados em relação à capacitação acadêmica, enquanto o segundo se baseia em conhecimentos gerais de outros mercados. Então, esse gap entre os dois setores precisa ser fechado.
Mesmo assim, volto a reforçar que existem tipos diferentes de pessoas, que podem contribuir das mais diferentes formas com essa atividade, a depender de suas capacidades. Mesmo no meu caso, conforme fui galgando novas funções, muito do que eu aprendi foi adquirido durante o cumprimento das minhas funções. Portanto, saber se adaptar às adversidades e ser capaz de solucionar problemas essencialmente humanos são passos importantes para ser bem-sucedido nessa área.
*Matheus Bracco esteve na sede da Genetec em Washington DC, a convite da empresa, para participar do Global Press Summit 2024