Cybernetics & Cybersecurity - Evoluindo desde a WWII

Existem fatos recentes da história que indicam o contexto de Cybersecurity como sendo relacionado a segurança em TI. Será que o termo Cyber é algo recente? E seria restrito a tecnologia? O termo Cyber e Cybernetics que derivaram para Cybersecurity são mais antigos do que muitos imaginam.

Primeiro a origem do termo Cybersecurity como conhecemos hoje.

Em 2013 foi publicada a Ordem Executiva do ex presidente Obama que demandava ações nacionais para proteção da infraestrutura crítica dos EUA.

Em 2014 o NIST publicou Cybersecurity Framework e em 2018 publicou sua primeira revisão. Posteriormente o ISACA publicou documentos que orientam sobre sua implementação. Nenhum deste documentos são exclusivos a tecnologia, apesar de terem uma significativa influência do tema.

Apesar de quantidade relevante de material oficial publicado nos últimos 10 anos, a abordagem mais comum é tratar o assunto como exclusivamente de conotação técnica, o que tende a limitar a sua real abrangência.

Para validar este contexto, é necessário entender a origem de CYBER.

Muitos acreditam que CYBER significa algo novo, do universo de estarmos conectados a Internet, dispositivos, etc. Em parte isso está correto.

A palavra Cyber passou a ser utilizada muito antes de existir Internet e redes de dados. Seu princípio é válido até hoje.

CYBER foi criado no início da década de 40 durante pesquisas com especialistas de diversas áreas. Seu objetivo tinha conotação militar para apoiar ações na WWII. Um exemplo (existem diversos) da pesquisa foi a criação de baterias antiaéreas mais eficientes onde foram feitas associações a forma como o corpo humano lida com certos movimentos, o sistema nervoso e variáveis de movimentos matemáticos no espaço (meio ambiente). Esse relacionamento de variáveis, dados e ambiente foi uma das origens do termo Cybernetics.

Cybernetics, de forma simplificada significa: Estudo da comunicação e controle. Foi definido oficialmente em 1947 como:

"We have decided to call the entire field of control and communication theory, whether in the machine or in the animal, by the name Cybernetics..."

Cyber no grego significa aquele que direciona, guia, conduz (steerman) e Netics significa estudo em movimento. Por isso existem tantas palavras relacionadas a pesquisas que terminam com "netics".

No conceito formal do termo, o que chamamos de cybernético vai muito além de tecnologia. Demanda interação e troca de informações sem restrições entre computadores, máquinas, meio-ambiente e usuários.

Qual a diferença entre nossa atual Cyber Security e a origem de Cyber?

Um ponto de destaque estabelecido na década de 40 é que para permitir a evolução e solução de problemas do universo CYBER, seria necessário possuir equipes multidisciplinares, com conhecimentos verticais fortes, mas com conhecimentos horizontais suficientes para fazer interfaces com outras especialidades, eliminando as ilhas de conhecimento.

Da mesma forma, profissionais das outras áreas deveriam possuir um certo grau de conhecimento sobre o tema de forma a poderem contextualizar suas necessidades e comunicações para que a solução adequada pudesse ser elaborada.

No meio dessas informações surgem as dúvidas que podem ou não virar riscos. No processo de baterias antiaéreas que foi uma das origens ao termo Cyber, é descrito o risco de movimentos involuntários, como os que ocorrem no sistema nervoso do corpo humano gerado pelos feedbacks mecânicos, de forma a afetar a sua eficiência. Os matemáticos e físicos desconheciam esta informação, mas não os pesquisadores relacionados ao sistema nervoso.

Em comparação com o cotexto de CYBER SEGURANÇA, seria algo como o profissional de Segurança ter conhecimento de processos, questões legais, recursos humanos, marketing, etc. de forma a poder comunicar ou receber uma demanda. O mesmo vale para outras áreas que deveriam possuir um pouco de conhecimento de tecnologia e segurança para formatar suas demandas.

Neste ponto começam as dificuldades culturais, de conhecimento e comportamentais.

A adoção destes princípios no nosso cotidiano é incomum por diversos motivos. Muitas empresas entendem que é de exclusiva responsabilidade de TI gerenciar segurança de informação e seus riscos. Empresas que tem por premissa distribuir e compartilhar conhecimento tendem a possuir maior grau de entendimento das necessidade e dos impactos das ações propostas e de eventos em curso.

Da mesma forma, áreas de negócio não costumam avaliar as necessidades de suas demandas considerando os impactos de segurança como suas conexões de trocas de informações com agentes internos e externos. Sem contar o controle que muitas vezes fica em segundo plano com implementações parciais ou mesmo deficientes, em detrimento de fazer a comunicação fluir.

No nosso cenário tecnológico atual, os problemas de segurança, conflitos de interesse e questões políticas dos IoTs (hype do momento) refletem bem os tópicos listados acima. Disponibilizar o recurso, depois avaliar a segurança e controle.

Cyber Segurança ou Cybersecurity não é formalmente um conceito estruturado na última década. A governança de Segurança da Informação é consideravelmente mais antiga. Com o advento do termo cyber, há a o sentimento equivocado de que houve uma reformulação com enfoque quase que exclusivo em tecnologia de TI de forma isolada, deixando de lado os outros temas de Segurança.

Cybersegurança está na TI e necessita estar em todas as áreas que fazem a organização funcionar, seja em projetos, processos, pessoas, relacionamentos, marketing, vendas, etc.

"Segurança, a responsabilidade é de todos" reflete adequadamente o termo Cybersecurity.

Referências: Cybernetis, Norbert Wiener