7 de julho de 2025
Iskro Mollov, Diretor de Segurança da Informação da GEA (Imagem: GEA)
Iskro Mollov
Diretor de Segurança da Informação da GEA
Iskro Mollov (IM): Em termos gerais, a segurança da informação trata da proteção das informações da companhia, incluindo, é claro, os dados digitais. Essas podem conter informações confidenciais de clientes, fornecedores e parceiros de negócios, bem como nossas próprias informações, como propriedade intelectual, nosso posicionamento financeiro e estratégico e as informações pessoais dos nossos funcionários. A proteção dessas informações é, antes de tudo, uma tarefa de governança holística. Seu objetivo é evitar ataques de hackers, impedir a espionagem, garantir o cumpliance regulatório e contratual, proteger sistemas essenciais e evitar qualquer tipo de interrupção dos negócios. Nossos stakeholders exigem, com razão, a garantia de que suas informações estão seguras - não apenas como parte das operações normais, mas especialmente durante circunstâncias extraordinárias, como ataques cibernéticos ou desastres naturais.
IM: Na GEA, analisamos todas as áreas e funções de forma holística para entender os riscos de segurança da companhia. Com base nisso, implementamos medidas de segurança eficazes e eficientes. A segurança da informação é especialmente relevante para a tecnologia da informação (TI), tecnologia operacional (TO), nossos produtos e processos de desenvolvimento de produtos, presença na Internet, ativos físicos e instalações, fornecedores e RH. Crucialmente, a segurança também vem com um grande componente cultural: Uma organização realmente segura precisa incutir uma cultura em que a segurança seja uma segunda natureza para todos os funcionários, independentemente de suas funções, em vez de ser considerada um domínio exclusivo dos especialistas em segurança.
IM: Tenho três responsabilidades abrangentes e interligadas. A primeira é revisar e melhorar continuamente a governança da segurança da informação na GEA. Em nossa equipe, estamos adotando várias medidas para atingir esse objetivo. Isso inclui a direção dos nossos sistemas globais de gerenciamento de segurança da informação (ISMS), a obtenção de certificações de segurança e compliance, bem como a supervisão do gerenciamento de riscos de segurança, treinamento dos funcionários, gerenciamento de identidade e acesso, resposta a incidentes de segurança, medição de desempenho, auditorias e testes de penetração. Também testamos regularmente nossos sistemas e produtos digitais por meio de ataques simulados de hackers.
A segunda é garantir a continuidade dos negócios. Ou seja, manter a GEA funcionando sem problemas, mesmo em circunstâncias extraordinárias. Isso inclui estar preparado para diferentes tipos de possíveis interrupções das nossas operações, como ransomware, interrupções na produção e na cadeia de suprimentos, desastres naturais, perda de utilitários, agitação social, pandemias ou questões legais.
A terceira é o gerenciamento de crises. As crises corporativas podem assumir muitas formas e houve algumas no passado devido à pandemia de Covid e aos conflitos internacionais (militares). Um cenário relevante para o qual estamos nos preparando diligentemente é, obviamente, um ataque de ransomware com impacto global. Em última análise, o gerenciamento de crises é uma tarefa complexa e intensa que pode envolver muitas funções corporativas diferentes, exigindo uma enorme coordenação.
IM: Eu diria que é bastante diversificada! Nossa equipe de Segurança da Informação, Continuidade de Negócios e Gerenciamento de Crises é composta por profissionais de todo o mundo e com diversos backgrounds profissionais. Temos especialistas em vários aspectos de segurança, como segurança física, de TI, de OT e de produtos, bem como gerenciamento da continuidade dos negócios e governança de segurança geral e gerenciamento de riscos. Suas formações educacionais também são muito heterogêneas, incluindo diplomas em engenharia, TI e administração de empresas.
IM: A segurança da informação evoluiu de uma função de suporte para uma função dedicada que proporciona uma vantagem competitiva em nosso setor. Se bem feita, a governança superior da segurança da informação pode ser um fator decisivo para conquistar novos negócios. Infelizmente, os incidentes cibernéticos estão aumentando, assim como a espionagem. Por exemplo, nove em cada 10 organizações em todo o mundo sofreram pelo menos um ataque de ransomware em 2024. E fenômenos como o ransomware como serviço exigem apenas alguns dólares e um esforço mínimo para um ataque potencialmente devastador. Quase todas as empresas de engenharia mecânica e de processos, assim como muitas outras, estão adotando corretamente a conectividade, a IA e as soluções baseadas em nuvem para colher os benefícios da digitalização. A desvantagem: Isso é acompanhado por uma expansão da superfície de ataque. Além disso, as cadeias de suprimentos globais se tornaram mais vulneráveis, e todos nós vimos o ambiente geopolítico se tornar mais instável nos últimos anos.
Além disso, o cenário regulatório também está se tornando mais complexo: Regulamentações abrangentes, como a Lei de Resiliência Cibernética e a NIS2 na UE, abordam diretamente os operadores e construtores de plantas. A GEA é ambos. Não somente operamos em nossas próprias instalações, mas também construímos plantas e máquinas para os clientes. Essa é uma combinação vantajosa para nós do ponto de vista da segurança da informação: Ela nos proporciona uma experiência abrangente no mundo real em relação a um amplo leque de requisitos, possibilidades e possíveis desafios em várias indústrias. Com base em nossa exposição e experiência exclusivas, podemos oferecer soluções de segurança da informação de ponta e, muitas vezes, altamente personalizadas, voltadas para os requisitos normativos mais recentes.
IM: Sem dúvida, esse tópico continua a crescer em relevância. Isso se reflete claramente no feedback que recebemos dos colegas de vendas de todas as nossas divisões e regiões; todos eles destacam a crescente importância da segurança da informação nas interações com os clientes. Os clientes precisam de nossa ajuda para expandir seus negócios. Oferecer uma excelente governança de segurança é fundamental para criar e manter a confiança deles e permite que a GEA conquiste novos negócios.
IM: Muitos clientes preferem explicitamente fazer negócios com empresas certificadas, por exemplo, de acordo com a ISO/IEC 27001. Essa é uma norma internacional para sistemas de gerenciamento de segurança da informação. Ela especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento abrangente para a segurança das informações em uma organização. E para um número cada vez maior delas, esse é um pré-requisito obrigatório. Certificações respeitáveis são padrão para a segurança das informações e permitem que nossos clientes tenham insights objetivos e transparentes sobre os rigorosos padrões de segurança das informações que mantemos na GEA. Elas são concedidas exclusivamente pelas principais instituições de inspeção, como, no nosso caso, a TÜV alemã Rheinland.
Em 2021, a GEA obteve a primeira certificação geral ISO/IEC 27001. Ela foi expandida ano a ano para mais estabelecimentos e entidades legais da GEA. A recertificação mais recente em 2024, desta vez de acordo com a versão mais recente de 2022 da norma ISO/IEC 27001, abrange todas as atividades comerciais em 53 estabelecimentos da GEA em todo o mundo. Essa é uma conquista importante, pois a ISO/IEC 27001 é a principal norma internacional para sistemas de gerenciamento de segurança da informação, amplamente respeitada em todas as indústrias. Nossas unidades de produção e o processo de desenvolvimento de produtos também são certificados de acordo com a IEC 62443 2-1 e 4-1, as principais normas de automação industrial e segurança de sistemas de controle. Essas também são certificações gerais do grupo, nas quais incluímos mais das nossas unidades ano a ano.
IM: Nossa meta é ter todas as unidades e produtos relevantes da GEA certificados em segurança até 2027 como parte do nosso Programa de Segurança Global na GEA. Além disso, para melhorar ainda mais nossas classificações com as normas internacionais ESG, pretendemos alcançar um escopo de certificação que abranja mais de 75% dos funcionários até o final de 2025. Outra tarefa de alta prioridade é preparar a GEA para mais regulamentações iminentes. Por exemplo, a Lei de Resiliência Cibernética (CRA) da UE exigirá que os fabricantes considerem a segurança cibernética em todo o ciclo de vida do produto, de acordo com padrões rigorosos e acompanhados de amplas exigências de informes.
Porém, ainda mais importante do que esses tópicos internacionais é dar suporte aos nossos clientes e ajudá-los a ter mais segurança, conformidade e preparação para o futuro. Por um lado, fornecendo produtos e serviços digitais seguros da GEA e, por outro lado, oferecendo produtos e serviços de segurança dedicados como parte da oferta da GEA, como o GEA Asset Care.
IM: Isso é simples: A GEA está comprometida com o fortalecimento contínuo de sua governança de segurança da informação para promover a inovação e a confiança. Assim como nossa reputação de excelência em engenharia, queremos que nossos altos padrões em segurança da informação sejam uma das principais razões pelas quais os clientes escolhem a GEA. À medida que continuamos a nos destacar nessa área, podemos potencialmente aproveitar o profundo conhecimento que adquirimos para ajudar outros setores. A complexidade de nossos negócios e o ambiente legislativo com o qual lidamos nos colocam em uma posição forte aqui.