Ano 11 Edição 20 2016
SEGURANÇA DA INFORMAÇÃO E GESTÃO DE RISCO
DEFESA CIBERNÉTICA No Security Leaders Brasília, especialista defende um novo modelo de proteção para o País
Cobertura internacional: RSA Conference TVDecision: Especial Inovação em SI
RAPHAEL MANDARINO JR., PRESIDENTE DA SICPA BRASIL E E X- DIRETOR DO DSIC DA PRESIDÊNCIA DA REPÚBLICA
Não deixe que seu evento acabe por
FALHA NA TRANSMISSÃO
Shows e eventos culturais
CONTRATE UM
Link Temporário DE
Feiras e congressos
INTERNET Desenvolvemos projetos para cobertura de SHOWS, EVENTOS ESPORTIVOS, FEIRAS, CONGRESSOS e TRANSMISSÕES AO VIVO.
Eventos esportivos
Transmissão via rádio, IPs fixos, controle de banda por aplicação, gestão web e suporte 24x7x365. São Paulo, Rio de Janeiro e Porto Alegre *sujeito à viabilidade técnica.
4003 5800 @telium
Telium
TELIUM.com.br
10 anos construindo a Internet
Editorial W W W. RIS K R E P O R T.C O M . B R
ABRIL 2016
Especial
W W W.SECURIT YLE ADERS.COM.BR
DIREÇÃO E EDIÇÃO GERAL Graça Sermoud gsermoud@conteudoeditorial.com.br
EDITORES-ASSISTENTES Léia Machado lmachado@conteudoeditorial.com.br Alexandre Finelli afinelli@conteudoeditorial.com.br REDAÇÃO Jackson Hoepers jhoepers@conteudoeditorial.com.br DESIGN Rafael Lisboa rlisboa@conteudoeditorial.com.br FOTOGRAFIA Izilda França e Plínio Cardoso IMAGENS Freepik.com e Pixabay DIREÇÃO DE MARKETING Sergio Sermoud ssermoud@conteudoeditorial.com.br GERENTE ADM. FINANCEIRO Ricardo Dias rdias@conteudoeditorial.com.br
EXECUTIVO DE CONTAS Marcelo Augusto maugusto@conteudoeditorial.com.br EVENTOS Adriana Rodrigues arodrigues@conteudoeditorial.com.br
Paulo Amaral pamaral@conteudoeditorial.com.br Lorraine Oliveira securityleaders1@securityleaders.com.br Jürgen Bergallo securityleaders@securityleaders.com.br
A revista Risk Report é uma publicação da Conteúdo Editorial, uma empresa de produtos e serviços editoriais na área de Tecnologia da Informação e Comunicação. Saiba mais sobre a Risk Report no www.riskreport.com.br. Mais sobre a Conteúdo Editorial em w w w.conteu do e ditorial.com.b r
A inovação, segundo os CSOs JOSEPH SHUMPETER, EMBORA NÃO MUITO CONHECIDO NO MUNDO DA TECNOLOGIA, FOI um economista e cientista político nascido na Áustria e um dos primeiros pensadores a considerar as inovações tecnológicas como motor do desenvolvimento capitalista. Isso na primeira metade do século XX. Hoje, um século depois, ninguém duvida que a transformação digital, baseada nas chamadas tecnologias disruptivas, é a engrenagem que garantirá o futuro das empresas nas próximas décadas. Entretanto, essa jornada digital implica em mudanças drásticas nos modelos atuais de TI e principalmente nos de Segurança da Informação. Ninguém duvida também que nessa caminhada a inovação é fundamental para alcançar o novo patamar. Reunidos pela TVDecision em um programa de debates, CSOs de diversas áreas de negócios debateram durante quatro dias, numa verdadeira jornada de ideias, modelos de inovação para a área de Segurança que contribuirão para a transformação digital que já está em curso nas suas organizações. Todos partiram de um único ponto, o de que é realmente difícil inovar em Segurança porque exige sair de uma linha padronizada e tradicional. Ao mesmo tempo, concordaram que não é possível inovar sem risco, o que pode ser um contrassenso, em se tratando de segurança, mas também uma janela de oportunidade. As principais opiniões podem ser acompanhadas nesta edição da revista Risk Report e também nos nossos websites e newsletters. A íntegra dos debates pode ser acessada no portal da TVDecision. Abaixo reunimos algumas opiniões. Elas não estão em ordem de prioridade e qualquer semelhança com as visões dos que participaram dos debates não é mera coincidência. Vamos a elas: - Focar no que os usuários realmente precisam e na maneira de deixá-los seguros no futuro. - Adotar novas tecnologias como análise de dados, correlação de informações e segurança distribuída ajudam no processo de inovação. - Encontrar um equilíbrio entre investimento e inovação, evitando seguir a cartilha de investimentos em ferramentas de proteção e monitoramento. - Evoluir o portfólio de segurança identificando soluções que aumentem receita e reduzam custos. - Utilizar os mesmos recursos de maneira diferente, reinventando os atuais modelos de proteção. - Investir em soluções integradas para otimizar o processo de segurança e acompanhar a evolução do negócio. - Ter um profissional ou uma equipe de SI olhando somente para o business, entendendo as dores e as demandas dos usuários e com uma agenda de inovação. - Avaliar, aceitar e compartilhar com a alta direção os riscos da inovação e de adotar ações e soluções disruptivas. Boa leitura!
FALE CONOSCO: (11) 5049.0202
Graça Sermoud
gsermoud@conteudoeditorial.com.br Av. Ibirapuera, 2.907 - Cj. 1.118 Moema - 04029-200 - São Paulo SP Tel/Fax: 11-5049-0202 www.conteudoeditorial.com.br
RISK REPORT
3
Índice PANORAMA
06 SEGURANÇA EM IOT 07 FBI, APPLE E A PRIVACIDADE DE DADOS 08 TENDÊNCIAS EM SI NO MERCADO FINANCEIRO RSA CONFERENCE: COBERTURA INTERNACIONAL NADA SERÁ COMO ANTES NA SEGURANÇA DE CAÇA A CAÇADOR
10 12
TVDECISION
14SÉRIE ESPECIAL SOBRE INOVAÇÃO EM SI
SECURITY LEADERS BRASÍLIA 3ª EDIÇÃO DEBATE DESAFIOS DA NOVA ERA DA INFORMAÇÃO
20
FOCUS
24 FIESP DISCUTE COMPARTILHAMENTO SEGURO
4
RISK REPORT
Overview 60% das empresas com IoT não investem em segurança Segundo pesquisa da KPMG, apenas 40% das organizações aperfeiçoaram controles de firewall e software de defesa contra invasões SEGUNDO A PESQUISA “A segurança e o ecossistema da Internet das Coisas” (Security and the IoT ecosystem, em inglês), produzida pela KPMG, apenas 40% das empresas que já utilizam a Internet das Coisas no mundo implementaram alguma medida de segurança, como aperfeiçoamento dos controles de firewall e softwares de defesa contra invasões. O levantamento também aponta que 92% dos usuários de IoT estão preocupados com questões de segurança, por isso, o sucesso demandará mais do que ótimos aplicativos, dispositivos conectados e ferramentas de análise avançadas; ele requererá também uma abordagem de segurança, privacidade e confiança robusta. “Acreditamos que o setor de tecnologia deverá se unir a outros parceiros que utilizam IoT, visando criar uma abordagem unificada de segurança e normas com a qual todos possam se pautar e crescer. Atualmente, o cenário é de fragmentação das normas, o que resultará em uma prática mais complexa para os usuários e um crescimento menor para o segmento”, afirma o sócio da KPMG líder para o setor de segurança cibernética, Leandro Augusto Marco Antonio.
6
RISK REPORT
De acordo com o estudo, o mercado de IoT está crescendo rapidamente e provavelmente passará por diversas interações de transformação. Dessa forma, as estratégias de segurança devem ser ampliadas para permitir que as empresas se antecipem às potenciais rupturas. As organizações devem avaliar seus fornecedores terceirizados, identificar os parceiros qualificados e investir na integração da segurança, da privacidade e da confiança cautelosamente em todo o ecossistema. Outra necessidade, segundo a pesquisa, é que a segurança deve ser incorporada da base da empresa para o seu topo, tendo sempre o cliente em mente. A proteção não consiste apenas em resguardar os dados valiosos, mas também em encontrar oportunidades de monetizar a inteligência. As companhias de tecnologia também devem ser proativas em ajudar os órgãos reguladores a prestar suporte à IoT.
SEGURANÇA NAS SMART HOMES. Participantes de uma pesquisa global realizada pela Intel Security preocupam-se principalmente com possíveis ameaças de segurança nas smart homes, com 92% expres-
sando medo com a possibilidade de seus dados pessoais serem acessados por cibercriminosos. Ainda assim, como prova da segurança inovadora, quase o mesmo número de participantes (89%) disse que optaria por proteger todos os dispositivos inteligentes por meio de um único pacote de segurança integrado. Os consumidores mostraram-se menos entusiasmados com os métodos de segurança existentes, como senhas. Quatro em cada dez participantes acreditam que as senhas serão insatisfatórias nas smart homes e 3/4 (75%) estão receosos sobre o número de senhas necessárias para gerenciar as casas inteligentes. No entanto, a biometria obteve um bom desempenho como alternativa. Quando questionados para escolher diversas formas preferenciais de segurança biométrica, 54% optou por impressão digital, 46% reconhecimento de voz e 42 % escaneamento de olhos. A pesquisa “Internet of Things and the Smart Home”, divulgada pela Intel Security, entrevistou 9 mil pessoas de nove países: Austrália, Brasil, Canadá, França, Alemanha, Índia, México, Reino Unido e Estados Unidos. z
FBI, Apple e o novo impasse sobre a privacidade dos dados Com o desbloqueio do aparelho do responsável pelo ataque em San Bernardino, na Califórnia, sem permissão e suporte da fabricante, especialistas acreditam em risco de se abrir um precedente para casos semelhantes no futuro NO INÍCIO DESTE ANO, uma notícia polêmica pautou as conversas entre CSOs: o fato de o FBI ter desbloqueado o iPhone do autor do tiroteio de San Bernardino, Califórnia, sem o apoio da Apple. Segundo o jornal Washington Post, a polícia federal dos Estados Unidos pagou um grupo de profissionais para que ajudasse a acessar o equipamento. No entanto, segundo especialistas, tal atitude pode abrir precedente para casos semelhantes no futuro. Nos bastidores dos eventos e em conversas informais com CSOs e executivos de SI, é sabido que a notícia preocupa. Durante a RSA Conference, realizada no início de março enquanto o FBI ainda pressionava a Apple a desbloquear o aparelho, Peter Tran, especialista internacional em Ciberdefesa Avançada, se posicionou. “A internet foi desenvolvida para conectar pessoas através de redes de Tecnologia da Informação. A encriptação é fundamental para manter a segurança e proteger a privacidade de cada consumidor”, disse na ocasião. A recusa da marca em disponibilizar os dados do celular do responsável
pelo ataque, que resultou na morte de 14 pessoas na Califórnia, foi baseada em um argumento defendido pela grande maioria dos especialistas de SI: a iniciativa abre um precedente perigoso. Em um post no Twitter, Edward Snowden disse que “os profissionais de tecnologia estão irritados com a ´desonestidade´ da polícia americana neste caso, e que o próprio FBI deveria se incluir na lista de radicais”. Em declaração oficial, o Departamento de Justiça Americano prometeu continuar seus esforços para coletar dados criptografados sempre que necessário. “Será uma prioridade para o Governo garantir que agentes da lei possam obter informações digitais cruciais para proteger a segurança nacional e a segurança do público, seja com a cooperação de terceiros ou através do sistema judicial”. Novas batalhas judiciais com casos semelhantes já começaram a ocorrer. O Departamento de Justiça (DoJ) dos EUA disse que manterá outro processo que corre em um tribunal de Nova York para que a Apple ajude a desbloquear o iPhone apreendido durante uma investigação sobre tráfico de drogas, de
acordo com o The Wall Street Journal. Trata-se de um recurso já que o juiz responsável pelo caso, James Orenstein, determinou que a fabricante não pode ser forçada a desbloquear o aparelho. Em nota, a Apple afirmou que o desbloqueio coloca a segurança de pessoas e países em risco e informou que a companhia aumentará a segurança de seus sistemas “à medida que ameaças e ataques aos nossos dados se tornarem mais frequentes e sofisticados”. Confira o anúncio na íntegra: “Desde o começo, nós contestamos o pedido do FBI para que a Apple construísse um backdoor no iPhone, porque nós acreditamos que era errado e que isso iria abrir um precedente perigoso. Como resultado da desistência do governo, nenhuma dessas coisas ocorreu. O caso nunca deveria ter surgido. Nós continuamos a ajudar os agentes da lei com suas investigações, assim como temos feito, e nós continuaremos a aumentar a segurança de nossos produtos ao passo que ameaças e ataques aos nossos dados se tornaram mais frequentes e sofisticados. A Apple acredita profundamente que as pessoas nos Estados Unidos e em todo o mundo merecem proteção de seus dados, segurança e privacidade. Sacrificar uma pela outra apenas coloca pessoas e países em risco. Esse caso levantou questões que merecem um diálogo nacional sobre nossas liberdades civis e nossas segurança e privacidade coletivas. A Apple continua comprometida a participar dessa discussão.” z
RISK REPORT
7
Overview Cloud e Blockchain serão
prioridades no setor financeiro Segundo previsões da Capgemini para este ano, segmento bancário irá investir ainda em PCI, EMV e tecnologias 3D a fim de reduzir número de fraudes e violações de dados SEGUNDO LISTA DE TENDÊNCIAS NO setor bancário, prevista pela Capgemini, o mercado financeiro receberá inúmeros investimentos referentes às áreas de Segurança da Informação. Para evitar fraudes e violações de dados, os bancos, as provedoras de serviços de pagamento e os comerciantes adotarão diversas soluções, de acordo com o tamanho da empresa e o volume de transações. Entre as previsões apontadas pela instituição, destacam-se a conformidade com as normas de segurança de dados do setor de pagamentos por cartão (PCI-DSS), para ajudar os comerciantes a reduzir ataques fraudulentos e violações de dados de cartões; implantação de cartões inteligentes (EMV), reduzindo ao mínimo a ocorrência de fraudes; soluções com tecnologia segura 3D, para oferecer maior segurança em transações sem o cartão; processos de encriptação e uso de tokens; e análise de dados em tempo real, inclusive com informações de sites, redes sociais e terceiros, para ajudar a entender o comportamento dos clientes.
MAIS BLOCKCHAIN Essa tecnologia deve revolucionar o setor de serviços financeiros graças ao seu potencial de garantir transações mais seguras utilizando um sistema de encriptação - processo que assegura que as informações, assim como sua autenticidade e autoria, sejam de fácil verificação e praticamente impossíveis de serem fraudadas. A Capgemini prevê que este será um ano de grandes parcerias entre as empresas prestadoras dessas tecnologias e as principais instituições financeiras. Várias organizações, como Nasdaq, Visa e Citi, já investem em blockchain para proteger suas transações. Essa tendência se fortalecerá ao longo do ano, à medida que os bancos adotarem esta tecnologia para se livrar da onerosa infraestrutura de dados.
NUVEM GANHA VISIBILIDADE Com uma quantidade maior de aplicações, será possível ver mais bancos em busca de soluções híbridas, que unam
8
RISK REPORT
as nuvens pública e privada, para atender aos requisitos de segurança, privacidade, desempenho e conformidade regulatória. Bancos de maior porte, com sistemas mais antigos, farão uma transição gradual, com foco nas atividades menos sensíveis, como aplicações móveis, transferindo pouco a pouco os mais complexos para a nuvem. Já os bancos mais ágeis, que não precisam lidar com sistemas de longa data, começarão a migrar seus dados para a nuvem privada ou híbrida, combinando aspectos públicos para alguns dados com a privacidade interna para informações sigilosas.
AGILIDADE COM CONFORMIDADES REGULATÓRIAS Os bancos estão enfrentando prazos apertados para cumprir vários regulamentos, como a norma 239 do Comitê de Supervisão Bancária da Basileia, que contém um conjunto de regulamentos de supervisão para melhorar as práticas de gestão de riscos, dos processos de tomada de decisão e da comunicação por parte das instituições financeiras. Desta forma, a Capgemini acredita que, para cumprir o maior número de normas de conformidade durante este ano, os bancos adotarão processos mais automatizados e ágeis em substituição aos processos manuais, que consomem tempo e estão sujeitos a erros. Como resultado, os gastos mundiais com tecnologias que lidam com riscos e conformidade devem chegar a US$ 97,3 bilhões até 2018, acima dos US$ 18 bilhões registrados em 2015. Mais do que uma solução rápida, os bancos buscarão sistemas que agreguem e comuniquem seus dados de risco de maneira mais eficiente, por meio da implementação de uma estratégia de governança de dados que estabeleça responsabilidade, propriedade e rastreabilidade com relação à gestão de mudanças e à maneira pela qual encaram e administram seus dados. z
RSA
Nada será como antes na segurança FIREWALL, SIEM, COMPLIANCE, ALERTAS, LOG, AS PALAVRAS-CHAVE DO MODELO DE SEGURANÇA ATUAL ESTÃO NA BERLINDA. COMO SERÁ A SI QUE O FUTURO RESERVA PARA AS EMPRESAS? ESPECIALISTA INTERNACIONAL EM CIBERDEFESA AVANÇADA, PETER TRAN FALA SOBRE ESTES E OUTROS TEMAS POLÊMICOS EM ENTREVISTA EXCLUSIVA | POR GRAÇA SERMOUD
E
le é especialista em Ciberdefesa Avançada. Em entrevista exclusiva à Risk Report, Peter Tran defendeu a segurança by design, o fim dos modelos atuais de firewall e SIEM e decretou que sistemas baseados em regras e compliance não irão reduzir os riscos das atuais infraestruturas complexas de TI. Peter concedeu a entrevista durante a última edição da RSA Conference, em São Francisco, quando o embate entre Apple e FBI tomou conta dos bastidores e do palco do evento. Embora no momento o FBI já tenha colocado um ponto final nesta questão, o debate sobre o futuro dos modelos de privacidade atuais está longe do fim. Sobre o assunto, o diretor da RSA disparou: “A Internet foi desenvolvida para conectar pessoas através de redes de Tecnologia da Informação. Diante disso, a encriptação é fundamental para manter a segurança e proteger a privacidade de cada consumidor”.
10
RISK REPORT
SOBRE O FUTURO DAS SOLUÇÕES TRADICIONAIS DE SEGURANÇA Os firewalls de próxima geração e a tecnologia SIEM tradicional irão mudar, e a transição para sistemas baseados em regras/compliance e afins não irão reduzir os riscos nas infraestruturas de TI complexas que temos. O CSO quer ganhar a maior visibilidade possível em redes e análise de endpoint para definir o que é normal do que não é, ao invés de esperar por alertas. Nesse nível você consegue ver tudo. Isso tornará a tecnologia SIEM diferente, ao ponto que você combina automação de workflow, orquestração de operações e reengenharia de processos baseados nos tipos de ameaças que você detecta ao olhar profundamente com análise de comportamento e inspeção.
Já deixamos a era dos logs. Agora você pode ver o fluxo de dados e os códigos maliciosos antes que se tornem infecções. Os modelos SIEM são dependentes da definição de alertas baseados em dados estatísticos ao invés de dados em movimento. A inovação na Segurança da Informação precisa possuir lógica de negócios integrada no design. Soluções de segurança devem focar em como habilitar negócios ao invés de criar barreiras e camadas de restrição. A RSA realizou isso através de suas soluções ASOC, Identidade e GRC (Governança, Risco e Compliance) onde a experiência do usuário, workflow, monitoração, proteção e governança são prioridades, portanto as soluções complementam as necessidades de negócios atuais ao contrário do foco em perímetro de segurança restritivo.”
SOBRE A EFICÁCIA DOS MODELOS ATUAIS DE PROTEÇÃO A mudança de prevenção para abordagens e estratégias baseadas em riscos vem ocorrendo ao longo dos últimos dois anos, mas muitas organizações continuam desafiadas a realizar essa transição de antigas infraestruturas de segurança e modelos de Centros de Operações de Segurança (SOC) que permanecem os mesmos nas grandes corporações. A chave para realizar essa mudança é determinar como você está representado no atual modelo preventivo. É preciso desenvolver um mapa de transição junto com investimentos em tecnologia para iniciar o processo de mudança da Segurança, envolvendo colaboradores e processos para onde eles possam monitorar e medir os riscos, ao contrário de criar mais e maiores barreiras.”
SOBRE PRIVACIDADE E O EMBATE APPLE E FBI A Internet foi desenvolvida para conectar pessoas através de redes de Tecnologia da Informação. Fazendo isso, a encriptação é fundamental para manter a segurança e proteger a privacidade de cada consumidor. Por exemplo, no mundo móvel, há aproximadamente 7,5 bilhões de dispositivos móveis em circulação globalmente. Há cerca de 4 milhões de aplicativos que podem ser baixados através de lojas de apps. No ano passado houve 138 bilhões de downloads desses aplicativos. Isso se traduz em quase 448 milhões por dia. Então, quando falamos sobre os princípios de segurança da internet, qualquer comprometimento permite riscos enormes e exposição.”
SOBRE COMO AS SOLUÇÕES PODEM TORNAR AS EQUIPES DE SI MAIS CRIATIVAS Soluções do Centro de Operações e Segurança Avançada da RSA (ASOC), através da automação de processos, orquestração de workflow, tecnologia analítica e comportamental de segurança para redes e endpoint, permitem que o analista do SOC (Centro de Operações Avançadas) monitore e detecte atividades maliciosas mais cedo que as soluções tradicionais baseadas em perímetro. As soluções ASOC da RSA fornecem aos analistas maior visibilidade através da captura de pacotes e aprendizagem de máquina no contexto do “quem, porque e como”, antes que as ameaças se tornem brechas de segurança. Se eu sou um bombeiro, não vou querer esperar que o fogo venha com toda sua força para combatê-lo. Quero ter a possibilidade de identificar o cheiro de queimado no ar e ir até o local onde esteja queimando. Os analistas querem caçar as ameaças latentes antes que elas explodam em chamas. É preciso ser criativo com o uso das ferramentas certas, táticas e tecnologias. É preciso saber que tipo de ferramenta está usando para ir à caça.”
SOBRE ESTRATÉGIAS E SOLUÇÕES INOVADORAS Minha área de atuaçāo é a Ciberdefesa Avançada (ACD), que é um braço de serviço de consultoria estratégica da RSA. Trabalhamos com o setor de engenharia quando começamos a criar operações e programas de segurança para bancos, hospitais, governos, companhias petrolíferas, entre outras. Se você ver a Análise, por exemplo, ela precisa ter uma arquitetura, design, implementação e modelo de operação em torno. Meu setor ajuda a engenharia a descobrir como as ferramentas irão funcionar juntas e como as operações devem ser orquestradas dentro de empresas ao redor do mundo. Eu destacaria dois produtos que estão alinhados neste sentido, o RSA Via Access e o RSA Via Lifecycle and Governance. Eles devem ser considerados tecnologias de segurança inovadoras no mercado atualmente, particularmente quando nos mudarmos para nuvem híbrida e infraestruturas móveis intensivas nos próximos anos. RSA Via Technology ajudará a unificar identidades, acesso, autenticação multifator, monitoramento e governança como um ciclo de vida completo em redes on-premise, cloud e móveis que focam na experiência de usuário através de várias plataformas, permitindo facilidade no uso, proteção e monitoramento.” z
RISK REPORT
11
RSA
De caça >> >> a caçador EM CONFERÊNCIA DE CYBERSECURITY, QUE OCORREU EM MARÇO EM SÃO FRANCISCO, AMIT YORAN, CEO DA RSA, DEFENDEU A NECESSIDADE DAS EMPRESAS TREINAREM “CAÇADORES” CAPAZES DE AVANÇAR SUAS ESTRATÉGIAS DE DEFESA CIBERNÉTICA A PARTIR DE ANÁLISE COMPORTAMENTAL E CRIATIVIDADE | POR *GRAÇA SERMOUD
A
RSA Conference transformou a cidade californiana de São Francisco na capital do universo cyber. O evento deste ano, 25º na longa carreira da conferência, reuniu, segundo organizadores, 40 mil pessoas presencialmente e milhares online, além de 500 fornecedores de soluções. Para essa seleta plateia, o CEO da RSA, Amit Yoran, abriu o evento questionando duramente a forma como se pratica segurança. Para ele, a palavra de ordem da nova segurança é análise comportamental e todos que trabalham na área precisam aprender a se tornar verdadeiros caçadores. Amit acredita que estamos nos enganando ao pensar que as tecnologias atuais vão nos manter seguros ou que o investimento em prevenção é o melhor caminho. “Estamos fingindo que as nossas tecnolo-
“É PRECISO ENFATIZAR O MONITORAMENTO E RESPOSTA, SABENDO QUE A PREVENÇÃO VAI FALHAR” Amit Yoran, CEO da RSA
12
RISK REPORT
gias atuais preventivas como antivírus, firewalls de próxima geração e outras vão nos manter a salvo. É preciso enfatizar o monitoramento e resposta, sabendo que a prevenção vai falhar”, diz ele. Casos emblemáticos, como o ataque ao Ashley Madison, voltaram a ser citados pelo CEO da RSA como um dentre outros que marcaram a história recente da Segurança da Informação. Esse caso surgiu, segundo ele, quando se pensava que já havíamos visto de tudo, mas muito ainda está por vir. Se este e outros eventos continuarem surpreendendo a comunidade de SI, é sinal de que ainda estamos no caminho errado. Isso porque o novo paradigma da computação, baseado em um conjunto complexo de sistemas interligados, transformou os ambientes digitais em um aglomerado infinito de acessos, possibilidades, variedades e influências, impossível de prever com qualquer grau de acerto. E o surgimento da Internet das Coisas só tende a agravar mais ainda o cenário. No entanto, diz o CEO, continuamos evoluindo em nossos modelos de comunicação, colaboração e negócios online baseados em tecnologias preventivas, como antivírus, firewalls de próxima geração, entre outros, achando que eles vão nos manter seguros, quando não vão. Mesmo que esse entendimento exista, isso não está sendo suficiente para que a indústria e as empresas repensem a segurança. Amit citou uma pesquisa recente realizada pela RSA sobre detecção de ameaças em 160 organizações em todo o mundo. O estudo mostrou que 90% dos entrevistados não estão satisfeitos com a velocidade e a capacidade que possuem na detecção de incidentes. Enquanto isso, dois terços dessas companhias ainda estão baseando suas ações de prevenção em modelos como SIEM.
“VOCÊ É COMO VOCÊ SE COMPORTA” A frase foi repetida diversas versas pelo CEO da RSA, como um novo mantra. A prevenção é uma estratégia que falhou, disparou ele. Entender isso é um grande passo, mas identificar que diversas empresas continuam investindo exclusivamente em prevenção demonstra que o comportamento não condiz com o entendimento. O futuro da segu-
AQUISIÇÃO DA EMC Amit comentou a recente aquisição da EMC pela Dell, o que significa que a RSA, divisão de segurança da federação EMC, está trocando de mãos. Entretanto ele não acredita que a companhia mude seu brand no processo de merge. Para ele, a RSA continuará sendo provavelmente uma divisão de negócios dentro do grupo Dell. Aliás, em recente encontro com Michael Dell, referenciado por Amit como seu futuro chefe, ele pontuou a importância da companhia de segurança e de seus produtos e de como isso precisa ficar claro para o mercado.
rança é uma nova ordem na qual as tecnologias que incorporarem um alinhamento com a realidade do cenário de ameaças são as que irão sobreviver. Para Amit é simples assim: “É preciso enfatizar o monitoramento e resposta, sabendo que a prevenção irá falhar”. Autenticação e gerenciamento de identidade estão retornando ao primeiro plano, na visão do executivo, a partir da constatação que a violação de identidade se tornou um fator crucial na prática de ataques avançados. Entretanto, ele prega que é preciso um novo olhar sob essas velhas questões. O mantra da segurança, na visão do CEO da RSA, está fortemente baseado em duas palavras mágicas: visibilidade e análise comportamental. Amit arriscou dizer que “análise comportamental” será a nova buzzword do mundo da SI. Não por acaso, a RSA está anunciando no evento sua nova plataforma de análise comportamental, baseada em Segurança Analítica.
sendo mais criativos, pacientes e persistentes. Em sua mensagem final, Amit reforça a necessidade das empresas “rastrearem e caçarem seus próprios adversários”. “Temos que permitir, treinar e equipar nossas equipes para serem caçadores, capacitando-os com ferramentas que possam abastecer a sua curiosidade”. E dispara: “As empresas precisam focar seus investimentos em tecnologias que enfatizem ao invés de substituir a criatividade”.
IDENTIDADE VOLTA À CENA
A Segurança da Informação ganhou um lugar de destaque na lista de preocupações das empresas de todo o mundo. Entretanto, para Rogério Morais, VP da RSA para a América Latina, os países da região ainda estão atrasados em relação aos modelos de defesa. Identificar onde está a informação crítica e quem pode ter acesso a esses dados passou a ser o que realmente importa na questão da segurança. Com isso, volta à cena a boa e antiga “TEMOS QUE CRIAR CAÇADORES” visão da gestão de identidade. Questionado sobre se essa aborPor fim, o líder da RSA lançou mão da antiga dagem não seria uma volta ao passado, Rogério Morais metáfora da “caça e do caçador”, para se refecontra-argumentou. renciar aos profissionais de segurança, no Sim, ele concorda que a questão da idenprimeiro caso e aos crackers e hackers, no tidade não é nova, mas o que está propondo segundo. “Pensando no embate da segué uma abordagem baseada em “governança rança, o nosso adversário não está jogando da identidade” com o uso de recursos de o mesmo jogo e também não está seguindo Analytics. Esses dois aspectos nos quais a as mesmas regras. Na verdade, os nossos RSA está baseando sua estratégia de proteinimigos são criativos e subvertem os ção fazem, na visão do VP, toda a diferença. modelos estatísticos”. Esse tema pode sinalizar que o eixo de Neste ponto, Amit se refere a uma quesdefesa cibernética está se modificando. Na tão amplamente discutida entre os CSOs. A verdade, questões antigas, como gestão de idende que enquanto existe a crença de que é tidade, retornam com uma nova roupagem. possível encontrar em um conjunto lógico “Trabalhar com comportamento é difícil. TRABALHAR COM e repetível de regras a solução para essa Temos que mudar a estratégia de prevenção”, disputa, a comunidade de segurança conticorroborou Marcos Nehme, diretor para COMPORTAMENTO É nuará sendo mais caça do que caçador. Já AL da RSA. De qualquer maneira, o Clevel DIFÍCIL. TEMOS QUE está provado que não estamos tratando de esclarece que não se trata de abandonar os MUDAR A ESTRATÉGIA um problema de tecnologia, os adversários modelos atuais e básicos de proteção. z DE PREVENÇÃO” não estão vencendo porque possuem uma *GRAÇA SERMOUD VIAJOU A SÃO melhor tecnologia, mas sim porque estão Marcos Nehme, diretor para AL da RSA FRANCISCOA CONVITE DA RSA
RISK REPORT
13
Especial
CSOs apontam caminhos para a Inovação em Segurança
SÉRIE ESPECIAL DA TVDECISION REUNIU CERCA DE 50 EXECUTIVOS DE SEGURANÇA DE INFORMAÇÃO DAS MAIS VARIADAS VERTICAIS DE NEGÓCIOS PARA DISCUTIR O PAPEL DA SI NO PROCESSO DE IT TRANSFORMATION E COMO ELA DEVE SER EXERCIDA DAQUI EM DIANTE | POR ALEXANDRE FINELLI E LÉIA MACHADO
TELECOM E EDUCAÇÃO FOCAM NO USUÁRIO.
erivada do termo latino innovatio, a palavra inovação se refere a uma ideia, um método ou objeto criado e que pouco se parece com padrões anteriores. A definição não poderia ser mais apropriada para o momento pelo qual as áreas de Tecnologia e Segurança da Informação estão passando hoje dentro das organizações. Até 2020, especula-se que as empresas investirão US$ 907 bilhões em digitalização, segundo relatório da PwC. E qual seria o papel da Segurança nesse contexto? Não seria a ocasião ideal para ela se reinventar e assumir um novo posicionamento dentro das companhias, mais participativa nessa nova era digital? Na opinião dos especialistas, reunidos pela TVDecision em uma série de debates patrocinados pela Intel Security, sim, mas é preciso considerar que os riscos são inevitáveis e inerentes ao processo.
14
RISK REPORT
O primeiro episódio da série especial reuniu diversos líderes dos setores de Telecom, Mídia, Contact Center e Data Center. Durante o encontro, ficou claro, na opinião dos especialistas, que o usuário é peça fundamental neste processo e que empresas precisam firmar parcerias de negócio para apoiar a evolução da segurança corporativa. “Inovar em uma área como a Segurança da Informação é muito difícil, porque exige sair de uma linha padronizada, tradicional. Para isso, é preciso focar no que os usuários realmente precisam e na maneira de deixá-los seguros no futuro”, opina Cleyton Ferreira, diretor de Engenharia da UOL-
Especial
“VEMOS HOJE A REPLICAÇÃO DE UM MODELO TRADICIONAL POUCO EFICAZ, JÁ QUE SE LEVA MUITO TEMPO PARA DETECTAR AS AMEAÇAS” Yanis Stoyannis - consultor de SI da Embratel
DIVEO. Na visão dele, novas tecnologias como análise de dados, correlação de informações e segurança distribuída ajudam neste contexto. Romulo Domingos, consultor em SI da Abril, acrescentou que as inovações que permearão a área no futuro devem oferecer melhor experiência ao cliente. “É preciso entender que enxergar o usuário de perto não significa restringir a usabilidade do consumidor”, diz. Além disso, Domingos ressaltou a dificuldade em convencer setores mais tradicionais que ferramentas e tecnologias básicas não são mais suficientes. Para Igor Manastella, coordenador de TI da Editora Globo, o grande desafio é encontrar equilíbrio entre inovar e investir. “O que se vê ainda hoje são empresas investindo grande parte de seus orçamentos em monitoramento e muito pouco em inovação. Ou seja, é a replicação de um modelo tradicional que, por sinal, é pouco eficaz, já que se leva muito tempo para detectar as ameaças”, complementa Yanis Stoyannis, consultor de SI da Embratel. Diante de um cenário econômico instável, resultando em investimentos cada vez mais enxutos, as empresas têm se esforçado para estabelecer acordos com parceiras. “Sem budget, precisamos criar de forma diferenciada e estabelecer novos níveis de parcerias”, revela Jorge Serra, gestor de SI da Atento. Para Daniel Ladvansky, gerente de Produtos e Ofertas de TI do B2B da Oi, a colaboração entre as empresas é necessária já que muitos
16
RISK REPORT
modelos de negócios são baseados em cooperação. “A gente precisa evoluir o nosso portfólio inclusive buscando soluções que aumentem receita e reduza custos. Isso já é uma forma de inovação”. Embora tenha ficado claro que as empresas buscam parcerias para inovar, Leandro Bennaton, Global Security & Compliance Manager do Terra Networks, faz uma ressalva. “Precisamos ser seletivos e cirúrgicos na escolha dos nossos parceiros, porque tem muita coisa surgindo com a IoT e há uma demanda muito alta em questão de qualidade dos serviços prestados e privacidade”, disse. “Nossa missão é deixar o core business preocupado apenas com o negócio. Queremos reduzir a carga operacional, os custos, para que no final consigamos prover serviços cada vez mais inovadores”, finaliza Carlos Jardim, Sales System Engineer.
VARE J O E ED U CAÇÃO, MAIS E MELHOR COM O MESMO O segundo episódio da série especial sobre inovação em Segurança da Informação da TVDecision contou com representantes das verticais de Varejo e Educação para debater o tema. Durante o encontro, os especialistas afirmaram que inovar em SI significa ter criatividade para utilizar os mesmos recursos de maneira diferente, e a responsabilidade é de todos, e não está restrita apenas às áreas de TI e SI. “Estamos vivenciando um momento econômico crítico, não favorável a grandes valores
de investimentos. Pelo contrário, somos obrigados a cortar custos. Isso nos leva a reinventar nossos modelos de negócios e consequentemente, de proteção”, disse João Peres, professor e consultor da FGV. Na sua opinião, o mercado está carente de estratégias de gasto reduzido e que tenham boa performance. Diante desse contexto, cabe à tecnologia, pelo menos, não inviabilizar as novas demandas de negócios. “Temos que estar antenados com o que pode acontecer sem prejudicar o lançamento de um produto. O cliente não pode ser impactado. Nosso objetivo é viabilizar um sistema o mais amigável possível sem deixar o usuário vulnerável”, afirmou Marcos Argachoy, coordenador de SI do Sem Parar. “O foco é não barrar nenhum projeto, mas entender de fato a necessidade do negócio e criar mecanismos dentro da aplicação para providenciar mais proteção ao consumidor”, complementou Rafaela Paiva, Head of IT Infrastructure da Netshoes. “A questão é que devemos ajudar no aumento da receita. O orçamento já é enxuto”, disse Salomão de Oliveira, gerente de Governança de TI e SI da Brasil Kirin. “O disruptivo está em mudar como a gente faz com os recursos disponíveis hoje”, acrescentou. Alguns executivos foram desafiados a explicar como estão inovando dentro de suas organizações. Vitor Sena, gerente de Tecnologia da Informação da Livraria Cultura, disse que atualmente investe em ferramentas diferenciadas. O que é commodity, pontuou, pode vir de algo free, livre de custo. “Outra alternativa é desenvolver internamente quando há possibilidade. Importante mesmo é investir naquilo que realmente faz a diferença”, afirmou. Outra possibilidade apontada por João Peres é de estabelecer micro segmentações a fim de prover mais segurança de dados realmente críticos. “Alguns esforços são desperdiçados tentando assegurar tudo. Mas nós temos que
proteger principalmente a joia da coroa”. Gil Santos, CISO da Magazine Luiza, compartilhou que o modelo lean tem trazido grandes avanços em inovação na empresa varejista. “São formas de ter projetos de rápido retorno com custo reduzido. Importante é mensurar isso, disponibilizando o produto para uma base pequena. Os possíveis problemas são identificados e solucionados rapidamente”, explicou. Na visão de Evandro Rodrigues, Sales Engineer da Intel Security, uma forma de contribuir para o avanço do tema nas organizações é o investimento em soluções integradas. “Com isso, nosso objetivo é otimizar o processo de segurança para acompanhar a evolução do negócio”, disse. Segundo os executivos, cabe à organização como um todo enxergar a inovação como uma forma mais eficaz de combate ao avanço das ameaças. “Inovação não é responsabilidade de um grupo específico, das áreas de TI ou SI. Ela deve ser difundida e praticada por todos os colaboradores da organização”, finalizou Salomão de Oliveira.
PARA A INDÚSTRIA E SAÚDE INOVAR TEM RISCOS A transformação digital está impondo um novo ritmo de inovação e desenvolvimento de novos modelos de negócios. Mas se olharmos esse desafio sob a ótica da Segurança da Informação, o cenário é ainda mais desafiador. É possível ino-
SETORES MAIS ATACADOS, SEGUNDO MCAFEE LABS Indústria: 26,5%
Finanças e seguros: 20,9% Comunicação: 18,7% Saúde: 7.3% Varejo: 6,6%
var sem correr riscos? Em um ponto, o time de gestores de TI e SI reunidos pela TVDecision dessas verticais concorda: não se inova sem correr risco, aliás, o risco está intrínseco nos novos projetos. O ponto central é saber equilibrar os investimentos desenhando projetos com apoio da alta direção empresarial e do ecossistema de parceiros tecnológicos. “Tudo que é novo gera medo no ser humano, isso é natural. Mas o risco será maior se não inovarmos, até porque o atual cenário de transformação digital exige um posicionamento das empresas diante de tecnologias como mobilidade, Internet das Coisas, cloud computing e big data”, pontua Ticiano Benetti, gerente de Segurança da Informação da EMS Pharma. E essas empresas estão na mira dos cibercriminosos. De acordo com o ranking global de setores mais atacadas do McAfee Labs, a Indústria lidera as intenções de ataques com 26,5%, seguida pelo segmento de Finanças e Seguros (20,9%) e Saúde
“SEM BUDGET, PRECISAMOS CRIAR DE FORMA DIFERENCIADA E ESTABELECER NOVOS NÍVEIS DE PARCERIAS”, Jorge Serra - gestor de SI da Atento
(7,3%). A surpresa desse estudo é que o Varejo (6,6%), mesmo com o avanço do comércio eletrônico, ficou atrás desses mercados, ou seja, as ações cibercriminosas estão cada vez mais direcionadas mirando não só as organizações, mas também as informações sensíveis. “A Segurança engessada não cabe mais dentro das empresas. Esse modelo tradicional não apoia o negócio e muito menos os processos de inovação”, acrescenta Larissa Escobar, Security Expert da AES Brasil. “A digitalização é um processo que ninguém consegue parar e isso está transformando empresas e pessoas. Para nós profissionais de SI, o maior desafio será mitigar o risco dos dados não estruturados, das diretrizes estabelecidas em reuniões de negócios, pois essas informações não estão no sistema, mas na cabeça das pessoas”, completa Gustavo dos Santos, gerente de TI da Valeant Pharmaceuticals. De fato, as empresas hoje vivem com novos vetores que impactam no processo de inovação e exigem que as tecnologias já venham com a Segurança embarcada. Mas como lidar com a inovação contando com orçamentos reduzidos e um arsenal de soluções tradicionais já implementadas nas empresas? “Meu diretor mesmo já dizia: as competências que nos trouxeram até aqui não serão as mesmas que nos levarão para o próximo nível. Isso quer dizer que para avançarmos na inovação, temos que criar oportunidades de negócio sendo claros com os nossos colaboradores de que estamos aqui para somar, ajudar a fazer o novo com segurança”, enfatiza Edmilson dos Santos, Information Security Officer da Brasken. Mas, para isso acontecer, os executivos presentes no painel destacaram que é preciso contar com apoio da alta diretoria e de todo ecossistema de parceiros tecnológicos. “Concordo com a ideia de sermos disruptivos aceitando os riscos da inovação, mas precisamos de todos com-
RISK REPORT
17
Especial
“A SEGURANÇA ENGESSADA NÃO CABE MAIS DENTRO DAS EMPRESAS. ESSE MODELO TRADICIONAL NÃO APOIA O NEGÓCIO E MUITO MENOS OS PROCESSOS DE INOVAÇÃO” Larissa Escobar - Security Expert da AES Brasil
prometidos com a causa”, pontua Marco Tulio Moraes, Cyber Security Leader da AES Brasil. “O ideal é mudar a forma de implementação e partir para a desintegração da Segurança tradicional usando um modelo integrado às novas tecnologias, para que em um momento de crise as empresas não só apaguem o incêndio, mas resolvam com inteligência um incidente de Segurança”, acrescenta Bruno Zani, System Engineering Manager da Intel Security. “Sempre tem um jeito seguro de fazer a inovação acontecer. Tudo pode ser feito se as companhias atuarem do jeito certo: Seguro”, conclui Pedro Nuno CISO da DASA.
MAIS MADURO, SETOR FINANCEIRO EXIGE INOVAÇÃO DOS PROFISSIONAIS Segundo a FEBRABAN, os bancos investem anualmente cerca de R$ 2 bilhões em sistemas e ferramentas de Segurança da Informação. Por outro lado, os prejuízos causados pelo cibercrime em canais eletrônicos de atendimento ao cliente somam anualmente R$ 1,8 bilhão. Os números demonstram que mesmo com grandes aportes em proteção, a impressão que temos é de impotência diante dos crimes cibernéticos com
perdas próximas aos valores de investimentos. Esse cenário desafia a maneira com que as instituições financeiras vêm trabalhando nas estratégias de defesa e exigem ações proativas de inovação em Segurança. Na visão de Fernando Bruno, coordenador de SI da Porto Seguro, o caminho da inovação passa, principalmente, pelo comportamento do profissional de Segurança. “Nós batemos na tecla de que precisamos estar junto ao negócio e ser requisitados para que os projetos sejam realizados com proteção adequada desde o início. Mas esse movimento tem que partir da área de SI. Não é fácil, mas se conquistarmos a confiança de toda a empresa, teremos um papel mais relevante. Podemos começar pelas áreas mais críticas com informações mais sensíveis e depois expandir para toda organização”, explica o executivo. “De fato, os investimentos em proteção são bem próximos aos números de perda com o cibercrime. Por outro lado, os processos inovadores nos permitem ganhar o jogo contra os hackers”, aponta Marcelo Ribeiro Camara, gerente de Inovação em Segurança do Bradesco. Segundo ele, o banco está focado em elaborar projetos de defesa com pesquisas, parcerias e capacitação. “Entretanto, essas iniciativas nos trarão um cenário melhor no futuro, hoje, ainda não ganhamos o jogo”,
SEGUNDO RELATÓRIO DA PWC, APENAS 9% DAS COMPANHIAS BRASILEIRAS ENTREVISTADAS TÊM UM ALTO GRAU DE DIGITALIZAÇÃO, MAS, EM CINCO ANOS, O NÚMERO DEVE CHEGAR A 72%. SETE EM CADA DEZ INSTITUIÇÕES PLANEJAM EXPANDIR SEU PORTFÓLIO DIGITAL
18
RISK REPORT
confessa o executivo. Na Liberty Seguros, o desafio é ainda maior, pois 90% das transações de negócio são realizadas pela internet. “Nosso risco é alto. Por isso destaco que a inovação e a Segurança têm que andar juntas contando sempre com o apoio da instituição, do presidente ao analista”, completa Eduardo Ernandes, arquiteto de Sistemas da empresa. Uma iniciativa interessante que acontece na Vale Card é o uso de redes sociais para entender o comportamento do usuário a fim de barrar as vulnerabilidades internas, que hoje têm uma frequência menor, mas com impacto mais profundo e prejudicial aos negócios. “Com uso de tecnologia de inteligência de fraude integrada às redes sociais, consigo catalisar informações suspeitas e identificar um incidente rapidamente, o que me dá margem para agir de forma proativa”, diz Edmo Lopes Filho, Head of Information Security da Vale Card. “O primeiro ganho da Segurança é ter um profissional olhando para o negócio, entendendo as dores e demandas para ter um posicionamento mais estratégico, principalmente quando olhamos para as necessidades do usuário. A SI tem que ser uma disciplina para todos”, acrescenta Alexandre Barella, gerente de SI do Banco Fibra. “E essa premissa deve ser uma iniciativa também dos parceiros tecnológicos auxiliando na integração de sistemas legados com novas soluções de proteção. A inovação depende dessa sinergia”, conclui Claudio Silotto, Sales Engineer da Intel Security. z
Cobertura
“O Brasil precisa de uma nova política de Segurança” A CIDADE DE BRASÍLIA RECEBEU, NO DIA 18 DE MARÇO, A TERCEIRA EDIÇÃO DO SECURITY LEADERS. SOB O SLOGAN “INOVAÇÃO E COMPARTILHAMENTO: UMA NOVA ERA PARA A SEGURANÇA DA INFORMAÇÃO”, O ENCONTRO REUNIU EXECUTIVOS DE SI RENOMADOS, COMO RAPHAEL MANDARINO JR. (EX-DIRETOR DO DSIC DA PRESIDÊNCIA DA REPÚBLICA), MARCELO YARED (CIO DO BANCO CENTRAL), RENATO MARTINI (PRESIDENTE DO ITI), MONICA OLIVEIRA (GERENTE EXECUTIVA DE SI DO BANCO DO BRASIL), E TANTOS OUTROS, PARA TRATAR DE TEMAS QUE ESTÃO NA AGENDA DOS CSOS HOJE, INCLUINDO O ATUAL CENÁRIO DE SI DIANTE DAS TRANSFORMAÇÕES POLÍTICAS PELAS QUAIS O PAÍS ESTÁ PASSANDO | POR ALEXANDRE FINELLI
20
RISK REPORT
E
m um dia de muita reviravolta política, a cidade de Brasília recebeu a terceira edição do Security Leaders, mesmo dia (18 de março) em que a presidente do País, Dilma Roussef, anunciou o ex-presidente Luis Inácio Lula da Silva como seu novo ministro. Deposto do cargo logo em seguida, a capital brasiliense viveu um dia histórico, com muitas manifestações (pró e contra o atual governo) e ruas bloqueadas nas proximidades do Hotel Royal Tulip, onde fora realizado o evento, coincidentemente o mesmo em que diversos políticos se encontravam. Mesmo assim, cerca de 300 executivos de SI compareceram ao Security Leaders para discutir os temas presentes nas agendas dos CSOs atualmente e como inovar em um ambiente
que está em ameaça constante. Temas políticos não faltaram e, logo na abertura do evento, Raphael Mandarino Jr, presidente da SICPA Brasil, afirmou que a legislação, do jeito que está, protege tanto o usuário como o cibercriminoso. “Abomino o atual Marco Civil da Internet”, disparou. Para o ex-diretor do Departamento de Segurança da Informação e Comunicação da Presidência da República, foi uma Lei produzida mais por sociólogos que por tecnólogos. Durante sua apresentação, Mandarino destacou que, apesar do Brasil ser reconhecido mundialmente como um grande usuário de tecnologia, o País não é um desenvolvedor de TI. Para exemplificar, o executivo mostrou uma lista com as organizações mais valiosas do mundo, e nenhuma delas é brasileira.
Com a proximidade dos Jogos Olímpicos, o tema também foi abordado. O grande questionamento feito é se as organizações responsáveis pela SI do evento estão recebendo investimentos suficientes. Segundo Mandarino, passamos pelo teste da Copa do Mundo, mas as Olimpíadas exigem cuidados redobrados. “Costumo dizer que estamos preparados proporcionalmente aos investimentos feitos. Será que é suficiente? ”, questionou. Recentemente, o presidente norte-americano Barack Obama anunciou que necessita de 19 bilhões de dólares para combater o cibercrime, praticamente o orçamento de toda a Defesa. Por aqui, os aportes ainda são escassos, além de contarmos com uma infraestrutura crítica (maioria terceirizada e com agências reguladoras ineficientes) e com múltiplos atores.
RISK REPORT
21
Cobertura
Enquanto não alcançarmos novamente um modelo de Segurança ideal - Mandarino, que foi um dos primeiros pesquisadores em Segurança Cibernética do País, afirmou que já fomos referência mundial -, precisamos de capacitação, marco legal, parcerias e coordenação. “Enquanto isso, devemos nos proteger classificando e criptografando os dados, tendo cautela nas contratações e denunciando o que vemos de incorreto no mundo digital”, concluiu.
“DIANTE DO ATUAL CENÁRIO POLÍTICO E GRANDE MOVIMENTAÇÃO POPULAR NAS RUAS, ESTAMOS TODOS DE PRONTIDÃO PARA NOVOS EVENTOS DE SEGURANÇA QUE POSSAM SURGIR” Ulysses Machado, coordenador-geral de Segurança da Informação do SERPRO.
22
RISK REPORT
CENÁRIO POLÍTICO DESPERTA ALERTA EM EQUIPES DE SI
Assim como acontece em todo o País, o atual cenário político, e suas consequências, foi destaque nos debates desta edição do Security Leaders. Mas o que isso teria a ver com a Segurança da Informação? É que, na opinião dos painelistas convidados, é possível que os sites do governo estejam recebendo inúmeros ataques, embora estejam sendo mitigados até o momento. Por conta disso, boa parte das organizações está em constante estado de alerta. “O mês de abril geralmente é mais crítico devido ao recolhimento do imposto de renda. Mas diante do atual cenário político e grande movimentação popular nas ruas, estamos todos de prontidão para novos eventos de segurança que possam surgir”, destacou Ulysses Machado, coordenador-geral “IMPORTANTE RESSALTAR de Segurança da Informação do SERPRO. QUE, NA MAIORIA DOS Para José Versiani, delegado da CASOS, AS MOTIVAÇÕES Polícia Federal, uma grande dificuldade DOS ATACANTES AINDA nestas ocasiões é diferenciar as práticas de hacktivismo com as de roubo de SÃO MAIS FINANCEIRAS dados, porque uma ação pode disfarçar QUE IDEOLÓGICAS” a outra. Em sua opinião, as organizaMarcelo Yared, CIO da Banco Central. ções de hoje estão mais bem preparadas para iniciativas de pichação de sites e ataques DDoS. Vale lembrar que as instituições públicas são constantemente alvos de cibercriminosos. Os ataques diminuem ou aumentam conforme os interesses. Mas é importante ressaltar que, na maioria dos casos, as motivações ainda são mais financeiras que ideológicas”,
“AS ORGANIZAÇÕES DE HOJE ESTÃO MAIS BEM PREPARADAS PARA INICIATIVAS DE PICHAÇÃO DE SITES E ATAQUES DDOS” José Versiani, delegado da Polícia Federal
complementou Marcelo Yared, CIO da Banco Central. Em consenso, os debatedores concordaram que a luta das ruas também ocorre nos ambientes digitais e que o assunto deve servir de iscas para os atacantes. Justamente por isso, as equipes de Segurança da Informação das organizações, tanto privadas quanto públicas, devem estar em alerta.
NÃO EXISTE INOVAÇÃO SEM RISCO Saindo do campo político, a inovação e a IT Transformation foram motivos de debate entre os participantes. Aproveitando o momento de transformação digital pelo qual as organizações estão passando, não seria o momento ideal para a SI se posicionar de maneira diferente, mais inovadora, ágil e dinâmica? Segundo os especialistas, sim, mas é preciso estar atento aos riscos envolvidos. “Em um produto inovador, o risco é inerente”, disse a especialista em Segu-
rança da Informação e consultora empresarial em TI, Francimara Viotti. Em sua opinião, as empresas precisam ousar mais se quiserem se manter competitivas no mercado. “Não existe inovação sem risco”, reafirmou. No entanto, isso não significa que as companhias precisam ser irresponsáveis ao lançarem um produto ou serviço. Jose Pereira de Miranda, gerente executivo da CAIXA, reforçou que em todo novo projeto é preciso avaliar as ameaças possíveis e como trata-las. “Importante é permitir ao usuário utilizar a tecnologia sem que isso seja um vetor de infecção”. Claudio Bannwart, country manager da Check Point Brasil, afirmou que as áreas de Segurança, em alguns casos, ainda são vistas como aquelas que travam o processo de inovação, mas as organizações precisam entender que terão um incidente de segurança algum dia. “A diferença é como iremos responder e entender os vetores de ataque para que não aconteça novamente”, explicou. Bannwart contou um case de uma organização que foi duas vezes vítima de ransomware em apenas 15 dias. “Sem visibilidade, a empresa não conseguia localizar por onde era infectada”. Com a mobilidade avançando cada vez mais nas organizações, até mesmo as políticas de BYOD começaram a ser repensadas. Para Vitor Vianna, Corporate Sales Engineer Latin America da
F-Secure, cabe ao gestor de SI garantir visibilidade do ambiente. “As pessoas trabalham por meio de diversos dispositivos móveis, mas as políticas de SI estão sendo levadas em consideração? ”, questionou. “Não temos a cultura de que os telefones hoje são fontes de ameaças, poucas pessoas usam antivírus em um aparelho”, disse Francimara. “Em situações como as de hoje, em que as pessoas compartilham links e áudios do momento político, as pessoas podem facilmente cair em alguma iniciativa de phishing, por exemplo”, concluiu. z
“EM UM PRODUTO INOVADOR, O RISCO É INERENTE” Francimara Viotti, especialista em Segurança da Informação e consultora empresarial em TI.
RISK REPORT
23
Focus
Confiança:
palavra-chave do compartilhamento de informações NA VISÃO DE ESPECIALISTAS EM SI, ESSE ASSUNTO GANHOU RELEVÂNCIA ENTRE OS GESTORES EMPRESARIAIS E ÓRGÃOS PÚBLICOS, MAS INICIATIVA AINDA É IMATURA NO BRASIL E TENDE A SER LIDERADA POR GRUPOS VERTICALIZADOS COMO FEBRABAN E FIESP, POR EXEMPLO | POR LÉIA MACHADO
S
e tratando de Segurança da Informação, é fato que campo de batalha mudou. A defesa cibernética está mais complexa, as armas de proteção dos dados sigilosos são diferentes e o tema está cada dia mais em evidência nos noticiários. Isso significa que a SI é hoje um dos itens de prioridades nas empresas. “O tema Segurança da Informação está em alta. A certeza disso é que ele chegou aonde queríamos que ele chegasse: no gabinete da presidência das organizações e isso se traduz em mais recursos para a defesa cibernética”, aponta André Salgado, executivo de SI para o Citi América Latina. Se o assunto se torna cada vez mais relevante diante do avanço da
24
RISK REPORT
conectividade, por que as empresas ainda sofrem diariamente com ataques cibernéticos, perda de informações sigilosas e, consequentemente, dinheiro? Uma pesquisa da FIESP revelou no ano passado que 23% das empresas do setor de Indústria não sabem que estão sendo atacadas. Ou seja, se o campo de batalha mudou e se os cibercriminosos se articulam para estar à frente das organizações, como a Segurança pode ser mais assertiva nessa defesa? Para resolver esse dilema, a FIESP reuniu um time de especialistas a fim de debater estratégias de proteção corporativa, entre elas, o tratamento e troca de informações entre entidades públicas e privadas. A ideia é entender se esse passo extremamente relevante e delicado para o mundo dos negócios pode colaborar para o fortalecimento da Segurança da Informação. “Nós acreditamos que esse compartilhamento é um passo fundamental para a defesa cibernética e um critério para isso acontecer de forma organizada e profissional é a confiança”, acrescenta Cássio Vecchiatti, diretor do Departamento de Segurança – DESEG da FIESP. Segundo ele, se as empresas e profissionais tivessem os cuidados mínimos de proteção do ambiente virtual, 70% dos problemas seriam resolvidos. “Mas esse cenário está mais desafiador com a internet e dispositivos conectados”, ressalta o diretor.
“A SI CHEGOU AONDE QUERÍAMOS QUE CHEGASSE: NO GABINETE DA PRESIDÊNCIA DAS ORGANIZAÇÕES E ISSO SE TRADUZ EM MAIS RECURSOS PARA A DEFESA CIBERNÉTICA” André Salgado, executivo de SI para o Citi América Latina
Focus
O DESAFIO Mas de que maneira esse compartilhamento traria mais benefícios do que novas vulnerabilidades para as organizações? “Até porque, ninguém está confortável em compartilhar suas fragilidades e incidentes de segurança”, aponta Cristine Hoepers, gerente-geral do CERT.br, “mas estamos diante de uma trágica realidade: falta consciência nas empresas, muitas companhias não sabem que estão sendo atacadas, não têm um departamento, um responsável ou até preparo para lidar com uma situação de crise. O compartilhamento pode ser uma boa ferramenta de prevenção”, diz. Cristine também chama atenção para pontos básicos da Segurança como o uso de governança, métricas, políticas de proteção corporativa, mapa de risco e boas práticas de implementação de sistemas. “Além disso, precisamos formar profissionais. Nos últimos 10 anos, o CERT.br treinou mais de 700 pessoas que hoje estão preparadas para lidar com incidentes avançados de Segurança”, completa Cristine. Para Demi Getschko, presidente do NIC.br, a Segurança da Informação é pautada pela colaboração. “Vivemos em um mundo de conectividade e qualquer dispositivo com acesso à internet pode ser um alvo para o cibercriminoso. Todos precisam colaborar para uma internet mais segura, compartilhar dados não é confortável, mas é um caminho”, pontua Getschko.
EXEMPLOS PRÁTICOS Durante o evento na FIESP, Ricardo Vilella, Security Adviser – UKTI Defense da Embaixada Britânica em Brasília, apresentou o programa de compartilhamento de informações sobre Segurança cibernética no Reino Unido. Lá, essa troca de experiências entre órgãos públicos e entidades privadas tem sido feita de forma colaborativa com objetivo de elevar o conhecimento geral sobre ameaças cibernéticas, o que tem reduzido os impactos negativos
26
RISK REPORT
desse cenário de vulnerabilidades. Foi criado um grupo multidisciplinar com profissionais de diversos setores reunidos em uma rede social para trocar informações. “Os membros compartilham incidentes, tipos de ataque, malwares, botnets e tudo relacionado ao mundo da Segurança. Para entrar, o indivíduo precisa ganhar um convite de um membro da rede e o acesso é feito por meio de login e senha, mas a liberação é feita através de um código enviado por SMS no ato da conexão”, explica Vilella. Hoje, essa rede social tem 1.200 organizações e 3.300 usuários. As trocas de informações podem ser feitas para toda a base ou em grupos fechados. “É uma iniciativa do governo britânico e já trouxe muitos benefícios como informações antecipadas de ameaças em potencial; compreensão de problemas que afetam organizações similares e de outros setores; além da troca de experiências”, acrescenta.
E NO BRASIL? Por enquanto, as iniciativas de compartilhamento de informações no País são pontuais e funcionam bem em algumas indústrias lideradas pelos órgãos verticalizados. A FEBRABAN, junto às instituições financeiras, e a própria FIESP no setor industrial, são alguns exemplos. Já o CERT.br, um órgão mais neutro, mantém uma base própria de compartilhamento de informações e conta com postagens anônimas a fim de gerar relatórios sobre diferentes tipos de ataques. O documento está à disposição da sociedade no portal da instituição. Para Cristine, o assunto precisa ser mais discutido no Brasil a fim de chegarmos a um consenso de como podemos articular esse compartilhamento seguro de informações e incidentes de Segurança. Essa iniciativa pode partir do governo – como foi o caso do Reino Unido, do setor privado ou até mesmo uma parceria entre os dois lados, sugere a gerente.
“NINGUÉM ESTÁ CONFORTÁVEL EM COMPARTILHAR SUAS FRAGILIDADES E INCIDENTES DE SEGURANÇA, MAS ESTAMOS DIANTE DE UMA TRÁGICA REALIDADE: FALTA CONSCIÊNCIA DE PREVENÇÃO NAS EMPRESAS” Cristine Hoepers , gerente-geral do CERT.br
“O Ministério da Ciência, Tecnologia e Inovação tem um plano para a defesa cibernética. Estamos consolidando informações de consulta pública para a agenda de 2016/2019 e vamos lidar com temas importantes da proteção em áreas críticas como o espaço cibernético e setor hídrico”, conta Márcio Leão Coelho, diretor de Políticas e Programas Setoriais em TIC do MCTI. Segundo ele, essa iniciativa está sendo articulada com outros órgãos públicos e também foca na especialização de mão de obra qualificada fora do País. “Vivemos hoje em um processo de maturidade nesse assunto. Não podemos criar uma expectativa de que só uma troca de informações ou uma ferramenta de compartilhamento pode nos manter seguros. Além das métricas básicas de defesa, temos que contar com equipes capacitadas e profissionais comprometidos com a causa da Segurança”, finaliza Cristine Hoepers. z