Em um setor onde a modernização ainda é lenta, ela precisa acontecer juntamente com a criação de uma nova cultura de segurança da informação

*Por Fabio Ferreira

Se a criação da cultura da segurança da informação já é difícil em setores onde a tecnologia é parte do core business, o que dizer de verticais onde o raciocínio vigente é quase o mesmo de dez anos atrás? É basicamente esse o quadro geral da TI nas organizações responsáveis por infraestruturas críticas – tais como empresas de saneamento, concessionárias de energia, fornecedoras de gás natural e por aí vai.

Na corrida que se empreendeu pela digitalização, essas companhias estiveram entre as que mais demoraram para modernizar seus processos. Muitas delas ainda lidam com sistemas legados mastodônticos, algumas ainda com resquícios de quando eram empresas públicas. Porém, a pressão por eficiência e o aumento da oferta de tecnologias específicas para o setor apressaram esse ritmo, e já há players se mobilizando para algo mais adequado ao mundo contemporâneo.

Obviamente, isso é positivo, mas é preciso apontar que a interconexão entre Tecnologia da Informação (TI) e Tecnologia da Operação (TO) aumenta exponencialmente os riscos de ataques cibernéticos. Isso acontece porque, enquanto a preocupação com segurança da informação sempre existiu entre a TI, na TO ela ainda é bastante dependente de provedores de soluções. Isso faz com que muitos dos sistemas não tenham sido construídos de forma que possam interagir com a rede corporativa de maneira segura. O que havia era, na melhor das hipóteses, uma preocupação moderada, que gerava medidas incipientes.

Hoje, porém, certos equipamentos de TO estão sendo substituídos por outros de TI. No setor elétrico, para ilustrar, já existe a possibilidade de utilizar, por exemplo, equipamentos como o relé digital – uma espécie de interruptor – e outras soluções, as quais tornam obsoletos os dispositivos proprietários de muitas empresas. Isso exige que os agentes da Tecnologia da Operação tenham os mesmos cuidados de uma Tecnologia da Informação tradicional na hora de incorporar esses equipamentos na rede.

Vulnerabilidade latente

Quando se trata de segurança da informação, o risco é igual para todos os setores. Não é porque alguns são mais visados que o restante está seguro. O setor que está em pauta aqui se chama “infraestrutura crítica” – logo, a segurança é igualmente crítica, e essa criticidade aumenta à medida que TI e TO convergem. 

Evidentemente, o setor já tem suas boas práticas: a Agência Nacional de Energia Elétrica (ANEEL) há anos vem implantando e reforçando normas para a cibersegurança, como o uso de redes segregadas, que impede o comprometimento da rede completa em caso de ciberataque. Com as arquiteturas empregadas atualmente e as práticas adotadas, o risco de um ciberataque paralisar completamente a distribuição de energia é baixo. Isso não elimina a possibilidade de ataques específicos – basta examinar o que aconteceu em diferentes momentos do atual conflito na Ucrânia, onde a Rússia realizou investidas cibernéticas contra diversas empresas de infraestrutura do país.

Uma medida adequada para garantir que modernização e segurança andem juntas, evitando esse tipo de ataque, é a criação de um PDTO (Plano Diretor de Tecnologia da Operação). Na prática, ele é um planejamento estratégico para integrar a TO à TI em empresas onde elas ainda estão separadas. Quando estabelecido, o plano permite que a TO opere com segurança, enquanto a a TI deixa de ser uma peça dos bastidores para se tornar protagonista na geração de receita.

Mudando a tradição

O problema é que, como historicamente a TO não se atentou à segurança, falta expertise e até mesmo conhecimento o suficiente para adotar os cuidados acima mencionados. São empresas onde as duas tecnologias – da operação e da informação – não se conversam. E é preciso apontar que ainda há lideranças refratárias à modernização, justamente por saberem que ela vai demandar não apenas investimentos, mas uma transformação profunda da operação – o que inclui uma nova mentalidade em cibersegurança.

Essa recusa é imatura, pois não é por não se modernizar que a empresa estará menos exposta aos riscos de segurança. Ao contrário: as empresas desse segmento que nascem nativas digitais estão melhor protegidas do que as que ostentam grandes sistemas legados. Estas, via de regra, eram empresas estatais absorvidas posteriormente pelo setor privado, e o tamanho de suas infraestruturas demanda investimentos elevados para serem atualizadas. 

Entretanto, a questão não pode ser olhada apenas sob esse aspecto. É preciso lembrar que o propósito de modernizar é deixar a operação mais rentável: é possível ser mais eficiente à medida que a tecnologia fica mais sofisticada, dando mais elementos de informação para tomar decisões e controles mais refinados de produtividade, por exemplo. São benefícios como esses que a integração entre TI e TO pode trazer.

Um ponto de referência interessante para esse caso é o setor bancário: historicamente, o segmento sempre esteve consciente de que a digitalização criaria novas vulnerabilidades. Abraçou-a mesmo assim, e teve ganhos operacionais e financeiros tão significativos que mudou toda a cultura do serviço bancário: quase toda a operação hoje é digital, e é razoável supor que, em no máximo duas gerações, as agências se tornarão praticamente inexistentes.

Mudanças demandam esforços e investimentos para serem concretizadas. Mas, sem as mudanças, não há crescimento possível.