A História dos Frameworks e Normas de Segurança da Informação

A segurança da informação é um campo que nasceu da necessidade de proteger dados sensíveis em sistemas computacionais. Desde os primeiros esforços militares nos Estados Unidos até os atuais frameworks globais que envolvem inteligência artificial e dispositivos conectados, o caminho foi marcado por normas, padrões e livros que moldaram a forma como entendemos e aplicamos segurança digital.

A jornada da segurança da informação começou com os Rainbow Books, passou por normas internacionais como o Common Criteria e a ISO 27001, e hoje abrange ambientes complexos como OT, IoT e AI. Cada etapa refletiu os desafios tecnológicos da época, e o futuro continuará exigindo normas que acompanhem a evolução digital.

Abaixo um breve histórico de tudo que estamos vivendo nas últimas décadas…

Os Rainbow Books (década de 1980)

Os Rainbow Books foram uma série de publicações do Departamento de Defesa dos EUA (DoD), onde cada livro tinha uma cor diferente, daí o nome “Rainbow”.

O mais famoso foi o Orange Book (1983), oficialmente chamado de Trusted Computer System Evaluation Criteria (TCSEC), que estabelecia critérios para avaliar sistemas computacionais quanto à confidencialidade, integridade e disponibilidade. Outros livros da série abordavam temas como redes seguras, criptografia e auditoria.

Esses documentos foram a primeira tentativa sistemática de criar requisitos formais de segurança para sistemas de informação.

Evolução para Normas Internacionais

Nos anos 1990, surgiu o ITSEC (Information Technology Security Evaluation Criteria) na Europa.

Posteriormente, o Common Criteria (ISO/IEC 15408) consolidou esforços internacionais, criando uma base comum para avaliação de segurança, e ainda é usado hoje para certificar produtos e sistemas.

Paralelamente, surgiram normas como a ISO/IEC 27001, que estabeleceu requisitos para sistemas de gestão de segurança da informação (SGSI), onde tornou-se referência mundial, adotada por empresas e governos.

Frameworks Corporativos

Esses frameworks ajudaram a levar a segurança para além do ambiente militar, tornando-a essencial em setores corporativos e financeiros.

NIST Cybersecurity Framework (2014): criado nos EUA, tornou-se guia para empresas estruturarem sua segurança.

COBIT (Control Objectives for Information and Related Technologies): voltado para governança de TI, incluindo segurança.

PCI-DSS (Payment Card Industry Data Security Standard): específico para transações financeiras e cartões de crédito.

Normas para Ambientes Críticos (OT)

Com a digitalização da indústria, surgiu a necessidade de proteger Operational Technology (OT), o qual envolve sistemas industriais, como SCADA e ICS (Industrial Control Systems). Normas como a IEC 62443 foram criadas para proteger ambientes industriais contra ataques cibernéticos. Importante lembrar que o NIST também publicou guias específicos para segurança em sistemas de controle industrial.

A convergência entre TI e OT trouxe novos desafios, como ataques a infraestruturas críticas (energia, transporte, saúde).

Internet das Coisas (IoT)

A IoT trouxe bilhões de dispositivos conectados, desde sensores industriais até dispositivos domésticos, e a falta de padronização inicial gerou grandes riscos de segurança.

Normas e frameworks começaram a surgir, como por exemplo:

ISO/IEC 30141: arquitetura de referência para IoT.

ETSI EN 303 645: requisitos de segurança para dispositivos IoT.

A segurança em IoT envolve autenticação, criptografia, atualizações seguras e proteção contra ataques de botnets

Inteligência Artificial (AI)

A ascensão da IA trouxe novos riscos: manipulação de modelos, ataques adversariais e uso indevido de dados. Com isso surge =m algumas normas emergentes, como:

ISO/IEC 23894: gestão de riscos em IA.

NIST AI Risk Management Framework (2023): guia para segurança e confiabilidade em sistemas de IA.

Vale lembrar que a segurança em IA não é apenas técnica, mas também ética e regulatória, e questões como viés algorítmico, privacidade e transparência são temas centrais.

Este artigo é mais para dar um panorama de como iniciamos esta jornada, e como estamos nos transformando a cada novo ciclo que a Segurança entra.