Sou um profissional de TI e segurança há quase toda a minha vida adulta.
Comecei minha carreira como engenheiro de rede e rapidamente me tornei um engenheiro de segurança.
Comecei adicionando uma certificação de firewall, depois acrescentei detecção e prevenção de intrusão.
As áreas de segurança continuaram a crescer, acrescentando investigações forenses, eDiscovery, consultoria de projetos e muito mais.
Na consultoria de projetos, nos concentramos em garantir que o nível de risco de um projeto estivesse dentro dos níveis aceitáveis para a organização.
Nos meus últimos três cargos, estive no topo da organização de segurança cibernética, mas sempre quis ser piloto, desde que me lembro.
Em 2018, me tornei um piloto certificado e, em 2019, um instrutor de ground school avançado e de instrumentos.
Recentemente, terminei de dar uma aula formal de ground school para cerca de 15 alunos de diferentes níveis de habilidade, idades e objetivos para suas carreiras de piloto.
Um dos meus alunos mais recentes tem quase a mesma idade que eu, sonhou em voar a vida toda e só quer fazer isso por diversão, enquanto outro aluno tem 16 anos e deseja voar para as companhias aéreas, e outro jovem aluno deseja ser piloto da Força Aérea dos Estados Unidos.
Embora existam diferentes fatores de motivação e níveis de investimento para cada um desses alunos, há alguns fundamentos essenciais da profissão que eles precisam entender e adotar.
Enquanto escrevo este artigo, olho para minha estante cheia de materiais de treinamento em aviação, livros técnicos e de segurança.
Ao pegar o Federal Aviation Regulations (FAR) e o Airmen Information Manual (AIM), o senhor verá que ele contém 540 páginas de regras e regulamentos contidos no Título 14 do Código de Regulamentos Federais, que rege pilotos, aeronaves, voos e itens relacionados.
A versão do livro que tenho foi escrita para pilotos e, portanto, não contém nenhuma das inúmeras regras e regulamentos que regem o setor de aviação como um todo. “A aviação, por si só, não é inerentemente perigosa. Mas, em um grau ainda maior do que o mar, ela é terrivelmente implacável com qualquer descuido, incapacidade ou negligência.” – Capitão A. G. Lamplugh, Grupo de Seguros da Aviação Britânica, Londres.
1930’s Pensando em meu primeiro dia de aula na escola de solo, que abordou a história do voo e da Administração Federal de Aviação (FAA), e a história do voo em geral, que remonta a 117 anos, nenhum desses regulamentos ou regras existia.
Com o passar do tempo, à medida que o setor de aviação crescia e pilotos, passageiros e civis perdiam suas vidas, essas leis, infelizmente, escritas com sangue, foram criadas para evitar mais perdas de vidas.
E quando penso em todas as normas e requisitos de segurança atuais no mundo cibernético, como HIPAA, SOX ou, mais recentemente, no que diz respeito à privacidade com GDPR, CCPA e outras normas de privacidade, essas também são escritas em vidas.
Embora essas leis possam não ter sido escritas porque alguém perdeu a vida, algumas pessoas perderam seu sustento, sua identidade ou suas economias.
A maioria dos regulamentos dos FARs é prescritiva, isto é o que o senhor deve fazer.
Existem algumas regras e diretrizes de segurança cibernética que são rígidas e rápidas, que devem ser seguidas.
A maioria das outras áreas é mais sugestiva e aberta à interpretação, como as perguntas “Devo fazer?” ou “O que posso fazer para reduzir as chances de isso acontecer?”.
É aqui que o gerenciamento de riscos e a discrição entram em ação.
Voar é uma atividade muito gratificante e há medidas que são tomadas para reduzir o risco.
Ao ensinar, gosto de fazer com que o aluno pense nas técnicas de gerenciamento de risco que usaria para garantir o resultado positivo caso algo não saia como planejado.
O mesmo se aplica ao Cyber: Que medidas o senhor usará para garantir o resultado bem-sucedido de um projeto e reduzir a probabilidade de algo dar errado, e como abordará esses riscos se e quando algo der errado, de modo que possa minimizar o impacto do que deu errado.
(Gerenciamento de riscos e resposta a incidentes).
Pretendo publicar uma pequena série de artigos comparando e contrastando o Gerenciamento de Riscos da Aviação com o Gerenciamento de Riscos de Segurança Cibernética.
Gostaria muito de colaborar com outros profissionais de segurança cibernética que também são pilotos sobre as semelhanças e diferenças em artigos futuros.
No próximo artigo, falarei sobre as listas de verificação, o que são e o que não são, e como usá-las em uma abordagem baseada em riscos.
Em seguida, vou me concentrar nas diferenças de treinamento e mentalidade entre a aviação e a cibernética.
Depois disso, discutirei a perfuração do procedimento, como o senhor pratica lidar com coisas que dão errado, como procedimentos de desligamento do motor, e como o senhor deve testar regularmente seus processos e procedimentos de segurança cibernética, como backups, aplicação de patches, resposta a incidentes etc.
