A digitalização da indústria amplia a superfície de ataque, exigindo tratamento paralelo entre ambientes corporativos e industriais. Nesta entrevista, o CISO global da Gerdau, Vitor Sena, conta como a companhia estrutura a segurança da informação em todos os níveis globais, “mas sem abdicar das particularidades regionais”. Sena também conta como a Gerdau antecipou cuidados com a segurança de tecnologias operacionais (OT) nos últimos anos e como tanto TI como OT integram um processo maior de segurança, que começa com a integridade física das pessoas na empresa. Acompanhe.
A segurança da informação é mais crítica no ambiente industrial ou no corporativo, em companhias como a Gerdau?
São riscos diferentes e tratados em paralelo. Temos uma abordagem específica para rede corporativa e outra para automação industrial e IoT. O peso varia conforme o contexto. Em cenários de tensão geopolítica, por exemplo, a indústria de base pode se tornar alvo mais direto. Em campanhas de ransomware, o foco pode migrar para o corporativo. No geral, as duas frentes têm a mesma prioridade.
O uso de inteligência artificial nas operações aumenta a complexidade da cibersegurança?
A gente usa inteligência artificial há muitos anos. O que temos de novo é a IA generativa e a popularização do uso. Isso traz uma complexidade maior porque acelera e dá escala a alguns tipos de ameaça, muito ligados à fraude. Fica mais simples para os fraudadores implementarem campanhas e ataques. Por outro lado, as ferramentas de defesa também evoluíram e incorporaram IA. Isso equilibra um pouco o jogo. O ponto mais sensível é a governança, ou seja: como controlar o uso, evitar abuso, garantir uso ético da IA e proteger dados.
Como funciona a segurança em uma empresa com atuação global, em diferentes culturas e riscos?
A estratégia de segurança é centralizada. A gente entende que é tão forte quanto o elo mais fraco e, por isso, mantemos uma linha de governança e controles equalizada. Mas também tratamos as particularidades regionais. Ou seja, temos times globais e estrutura centralizada, mas com presença local para lidar com temas específicos de cada região. O time não está todo no mesmo lugar, mas a estratégia e o direcionamento são únicos.
Essa lógica também vale para nuvem e dados? O que é melhor do ponto de vista de cibersegurança?
A Gerdau é uma empresa de mais de 120 anos, mas muito moderna e focada em digitalização. A gente usa basicamente todos os conceitos de cloud. O que adotamos como base é desenhar segurança para aquilo que será usado. Sempre que possível, aplicamos o conceito de security by design. A empresa usa a tecnologia mais adequada para cada caso, e a segurança é considerada na concepção. Não é escolher a melhor tecnologia para segurança, mas sim a melhor tecnologia para o negócio e construir a segurança necessária sobre ela. Enfim, a segurança funciona como camada de resiliência.
A segurança da informação participa das estratégias do negócio?
Sim. A Gerdau tem como princípio segurança em primeiro lugar, no sentido amplo, principalmente de segurança física, das pessoas. Esse princípio também orienta a segurança da informação. Ela é discutida em todos os níveis da companhia – do chão de fábrica ao board. Não se fala de segurança pela segurança, mas da segurança necessária para operar com conformidade, proteger dados e garantir estabilidade.
O que você destaca na jornada recente de cibersegurança da empresa?
Os pilares de segurança são parecidos em todos os setores. O diferencial na indústria é a segurança de OT (tecnologia operacional). Este é um tema que muitas empresas ainda não começaram a olhar com profundidade, mas que a gente vem trabalhando há alguns anos e, por isso, ganhou maturidade. Hoje, temos um programa estruturado, com abordagem própria.
