Ano 11 Edição 21 2016
SEGURANÇA DA INFORMAÇÃO E GESTÃO DE RISCO
| Security Leaders Belo Horizonte
INOVAÇÃO EM SEGURANÇA Durante evento, CSOs apontam as características do novo executivo de SI e a utilização de recursos legislativos para inovar, como a Lei do Bem
Especial Ciab Como o setor bancário planeja minimizar as fraudes eletrônicas?
FRANCIMARA VIOTTI, E S P EC I A L I S TA E C O N S U LT O R A INTERNACIONAL
Entrevista: Os desafios do PCI-SSC no Brasil
TORNE-SE O DEPARTAMENTO DO SIM COM SONICWALL.
Esse é o momento de parar de dizer não por medo. Esse é o momento de defender um ponto de vista completamente diferente, sustentado por segurança adaptável e baseada em riscos. Com esse modelo de segurança, você pode controlar todas as identidades, inspecionar todos os pacotes e alcançar melhores resultados de forma mais rápida e segura.
Sim, isso é tranquilamente possível com as soluções SonicWALL. PARA SABER MAIS,
www.security.dell.com/br-pt
envie e-mail: dss_mkt_latam@dell.com
Editorial W W W. RIS K R E P O R T.C O M . B R
AGOSTO 2016
DIREÇÃO E EDIÇÃO GERAL Graça Sermoud gsermoud@conteudoeditorial.com.br
EDITORES-ASSISTENTES Léia Machado lmachado@conteudoeditorial.com.br Alexandre Finelli afinelli@conteudoeditorial.com.br REDAÇÃO Jackson Hoepers jhoepers@conteudoeditorial.com.br DESIGN Rafael Lisboa rlisboa@conteudoeditorial.com.br
Leo dos Santos lsantos@conteudoeditorial.com.br FOTOGRAFIA Alex Campos IMAGENS Freepik.com e Pixabay DIREÇÃO DE MARKETING Sergio Sermoud ssermoud@conteudoeditorial.com.br MARKETING Caio Sermoud csermoud@conteudoeditorial.com.br GERENTE ADM. FINANCEIRO Ricardo Dias rdias@conteudoeditorial.com.br EVENTOS Hérika Marques hsilva@conteudoeditorial.com.br
Fernanda Santos fsantos@conteudoeditorial.com.br Eduardo Figueira efigueira@conteudoeditorial.com.br Renata Ramos mramos@conteudoeditorial.com.br
Segurança
como produto DURANTE O CIAB, REALIZADO EM JUNHO NA CIDADE DE SÃO PAULO, AO SER questionado por mim, o presidente do Itaú-Unibanco, Roberto Setubal, admitiu que a segurança é o grande desafio no processo de digitalização dos bancos. O consenso de que tecnologias não faltam é compartilhado pelo executivo, o que falta é incorporar a SI ao negócio e transformar isso em produto. Essa equação não é simples, mas Roberto Setubal é otimista e acredita que o avanço no uso dos dispositivos por parte dos clientes torna tanto as empresas quanto os usuários mais aculturados e automaticamente eles tendem a se relacionar com a segurança de uma outra forma. Os bancos ainda amargam perdas significativas com fraudes eletrônicas. Dos R$ 19,2 bilhões investidos em TI pelo setor no ano passado, 10% foram direcionados à segurança. Esse montante praticamente equivale ao valor das perdas, isto é, algo em torno de R$ 1,8 bilhão, último dado divulgado pela Febraban. Para Gustavo Fosse, diretor setorial de Tecnologia e Automação Bancária da Federação, a quantia investida pelos bancos é suficiente para oferecer segurança como um todo, mas o tamanho das perdas dá a medida do desafio, até porque dados não oficiais apontam para um prejuízo maior do que o valor investido. Além de tecnologias de proteção e aculturamento, os líderes do setor bancário apostam na mudança da visão da segurança dentro da instituição e fora dela. Os líderes de SI têm um papel fundamental nisso, porque parte deles a visão de que segurança deve promover o acesso e não a restrição. Nessa edição, Risk Report traz uma cobertura especial do tema Segurança da Informação no Ciab, além de reportagens especiais sobre os desafios da SI em plena era digital. Boa leitura!
A revista Risk Report é uma publicação da Conteúdo Editorial, uma empresa de produtos e serviços editoriais na área de Tecnologia da Informação e Comunicação. Saiba mais sobre a Risk Report no www.riskreport.com.br. Mais sobre a Conteúdo Editorial em w w w.conteu do e ditorial.com.b r
FALE CONOSCO: (11) 5049.0202 Graça Sermoud
gsermoud@conteudoeditorial.com.br
Av. Ibirapuera, 2.907 - Cj. 1.118 Moema - 04029-200 - São Paulo SP Tel/Fax: 11-5049-0202 www.conteudoeditorial.com.br
RISK REPORT
3
Índice PANORAMA
06 07 08 10
NOVE EM CADA DEZ ORGANIZAÇÕES SÃO VIOLADAS NO PAÍS SEGURANÇA DE IOT CUSTARÁ US$ 348 MILHÕES EM 2016 FALTA DE TALENTOS COLOCARÁ EMPRESAS EM RISCO CSOS PRECISAM MUDAR DE COMPORTAMENTO
SECURITY LEADERS BELO HORIZONTE
12
O PERFIL “CAMALEÃO” DO GESTOR DE SI E OS DESAFIOS DA INOVAÇÃO
COBERTURA ESPECIAL CIAB AS TECNOLOGIAS E O NOVO PAPEL DO CSO PARA REDUZIR FRAUDES NO SETOR BANCÁRIO
16
SPOT INTERVIEW DIRETOR INTERNACIONAL DO PCI-SSC FALA DA ADESÃO DO PADRÃO DE SI NO BRASIL
22
FOCUS
24
4
RISK REPORT
FUSÕES MOVIMENTAM MERCADO DE SEGURANÇA
5
Vezes um Líder no Quadrante Mágico do Gartner para Firewalls de Rede Empresarial!*
Dinossauros Reagem, Profissionais Previnem
Na era da Prevenção, construa uma Arquitetura de Segurança eficaz *Source: Gartner Magic Quadrant for Enterprise Network Firewalls, 25 May 2016 Gartner does not endorse any vendor, product or service depicted in its research publicaFons, and does not advise technology users to select only those vendors with the highest raFngs or other designaFon. Gartner research publicaFons consist of the opinions of Gartner's research organizaFon and should not be construed as statements of fact. Gartner disclaims all warranFes, expressed or implied, with respect to this research, including any warranFes of merchantability or fitness Rfor I SaK parFcular R E P O R Tpurpose. 5
Overview Violações impactam nove em cada dez organizações no Brasil Relatório revela que 73% das empresas consultadas relataram alguma brecha de segurança em 2015 NOVE EM CADA DEZ organizações no Brasil foram atingidas por pelo menos uma violação de segurança no ano passado, sendo que a maioria delas foi classificada como grave, de acordo com o novo relatório divulgado pela CompTIA, associação do setor de TI. O estudo “Tendências Internacionais em Segurança Cibernética” também revela que as organizações estão alterando as práticas e políticas de segurança devido à maior dependência da computação em nuvem e soluções de tecnologia móvel. A pesquisa aponta que 73% das organizações relataram alguma brecha em 2015. Na comparação com os demais países pesquisados, o Brasil ficou entre os mais vulneráveis a riscos de segurança. “Apenas 13% das empresas brasileiras afirmaram não ter tido qualquer tipo de experiência com violação de segurança”, destacou a executiva de negócios da CompTIA, Tatiana Falcão. “Nosso levantamento também constatou que 90% das empresas brasileiras esperam que cibersegurança torne-se uma prioridade mais elevada ao longo dos próximos dois anos”, disse Tatiana. Ainda segundo a executiva, existe uma forte tendência no País de direcionamento de recursos para o aprimoramento do desenvolvimento profissional dos funcionários. CENÁRIO NACIONAL No Brasil, 87% das organizações disseram que experimentaram pelo menos uma violação de segurança cibernética ou incidente nos últimos 12 meses. 81% das empresas brasileiras relatam violações relacionadas a dispositivos mobile, tais
6
RISK REPORT
como aparelhos perdidos, malware móvel e ataques de phishing, além da desativação dos recursos de segurança pelos funcionários. Os erros humanos são os que mais causam riscos à segurança cibernética com 58%, contra 42% de erros tecnológicos. Mudanças nas operações de TI, quer devido a uma maior dependência da tecnologia móvel, pelo uso de soluções baseadas em nuvem ou algum outro fator, são os principais caminhos para alterar as abordagens à segurança cibernética. EDUCAÇÃO As organizações estão tomando medidas para avaliar e melhorar o conhecimento sobre cibersegurança entre os seus colaboradores. As práticas incluem orientação a novos funcionários, programas de formação contínua, cursos online e auditorias. Mas os resultados até agora têm sido mistos. Apenas 27% das organizações avaliam sua educação e seus métodos de treinamento como extremamente eficazes. Fazer o exercício de funcionários ser obrigatório, entregar uma formação mais abrangente e mais frequente, com a combinação de testes e avaliações são algumas das medidas que melhorem a eficácia, disseram executivos. Os principais pontos que necessitam de atenção na abordagem no Brasil são mudanças nas operações de TI; adquirir conhecimento por meio de treinamento e certificação; foco em uma nova indústria vertical e relatórios de violações na cibersegurança de outras empresas. Nove em cada 10 executivos e gerentes no Brasil acreditam que é importante testar o funcionário após o treinamento de segurança cibernética para confirmar os ganhos de conhecimento, enquanto 93% indicam que as certificações para profissionais de TI são valiosas ou muito valiosas como uma forma de validar conhecimentos e habilidades relacionadas à SI. z
Gastos com segurança de IoT chegarão a US$ 348 milhões em 2016
Número representa aumento de 23,7% em comparação com o ano anterior, segundo o Gartner. Investimento deve chegar a US$ 547 milhões em 2018
O GARTNER ANUNCIA que os gastos mundiais com segurança da Internet das Coisas (IoT) chegarão a US$ 348 milhões em 2016, representando um aumento de 23,7% comparado a 2015, quando as despesas foram de US$ 281 milhões. Este investimento deve chegar a US$ 547 milhões em 2018. Apesar dos valores parecerem moderados, o instituto prevê que o gasto do mercado de segurança da IoT aumentará muito após 2020 por conta do crescimento de demandas, necessidade de equipes com habilidades especiais, mudanças organizacionais e serviços personalizados para melhorar a execução. "O mercado de produtos para a segurança de IoT atualmente é pequeno, porém, está crescendo à medida que os consumidores e os negócios começam a utilizar um número cada vez maior de aparelhos conectados", diz Ruggero Contu, diretor de Pesquisa do Gartner. "A entidade prevê que 6,4 bilhões de dispositivos conectados serão utilizados no mundo em 2016, cerca de 30% a mais do que em 2015, chegando a 11,4 bilhões de coisas até 2018. No entanto, há uma variação considerável entre os diferentes setores da indústria como resultado de níveis variados de priorização e consciência sobre o tema segurança."
O mercado para os produtos relacionados à segurança de IoT depende da adoção de dispositivos conectados pelos consumidores em diversos setores da indústria. Os gastos serão impactados por causa da conexão de veículos, assim como por outras máquinas complexas como caminhões pesados, aeronaves comerciais e equipamentos agrícolas e de construção. O Gartner prevê que até 2020, mais de 25% dos ataques identificados nas empresas terão envolvimento com dispositivos conectados de Internet das Coisas. Mesmo assim, a IoT contará só com menos de 10% do orçamento de segurança de TI. Os fornecedores de segurança terão o desafio de conseguirem recursos para garantir a proteção de dispositivos por causa de orçamentos limitados e de abordagem descentralizadora das implementações prematuras de IoT nas empresas. Os fornecedores se focarão muito mais em localizar vulnerabilidades, do que na segmentação e outros meios de longo prazo que protejam melhor a IoT. "O esforço por proteger a Internet das Coisas deve se focar cada vez mais na gestão, nas análises e no fornecimento dos aparelhos e de seus dados. Os quadros empresariais de IoT irão requerer um mecanismo de entrega que também pode crescer e manter o ritmo dos requisitos no que se referem ao monitoramento, detecção, controle de acesso e outras necessidades relacionadas à segurança", diz o analista do Gartner. Segundo Contu, o futuro dos serviços de segurança mantidos em Cloud (Nuvem) está ligado, em parte, ao futuro da IoT. “De fato, a força principal da IoT em escala e em presença não se realizará completamente sem os serviços de segurança mantidos em Nuvem para entregar um nível aceitável de operações, de forma rentável para muitas empresas. Até 2020, o Gartner prevê que mais da metade de todas as implementações da IoT usará alguma forma de serviço de segurança oferecido no modelo Cloud." z
RISK REPORT
7
Overview
Falta de talentos
colocará empresas em risco Na opinião de 93% dos 100 CIOs brasileiros entrevistados em estudo, organizações ficarão mais vulneráveis devido à escassez de profissionais O INSUCESSO NA proteção da informação tem como pilar fundamental o “componente humano”, segundo o relatório “Segurança da Informação – Defendendo o seu futuro”, lançado pela Robert Half. Na opinião de 93% dos 100 CIOs brasileiros entrevistados na pesquisa, suas empresas ficarão mais vulneráveis devido a escassez de profissionais qualificados. “As recentes tecnologias levantam novas preocupações de segurança. Essa tendência resultou num déficit de
CONHECIMENTO EM AUDITORIA DE TI E SEGURANÇA EM NUVEM SÃO AS HABILIDADES TÉCNICAS MAIS VALORIZADAS E DIFÍCEIS DE ENCONTRAR
8
RISK REPORT
competências em segurança de TI – o conhecimento disponível não acompanhou o ritmo com as ameaças em evolução”, aponta Fabio Saad, gerente sênior da Divisão de Tecnologia da Robert Half. O executivo ressalta ainda que as empresas devem entender a Segurança da Informação como uma preocupação de toda a companhia e não apenas do departamento de TI. PRINCIPAIS RISCOS O estudo apresenta os três principais riscos de segurança que as empresas enfrentarão nos próximos cinco anos, na opinião dos CIOs brasileiros: crimes virtuais que envolvem fraudes, extorsão e roubo de dados (73%); espionagem e ransomware (53%); e uso abusivo de dados (52%). Além das ameaças externas, as empresas também precisam ficar atentas aos riscos internos à medida que é cada vez maior a interação dos dispositivos pessoais dos funcionários com a rede corporativa.
Os CIOs brasileiros também apontaram as principais medidas adotadas para ampliar a segurança diante deste cenário atual: implantação de autenticação e autorização para conceder acesso à rede corporativa (74%); assinatura de uma política de uso para manter as informações da empresa protegidas (55%); e implantação de tecnologia de gestão de dispositivos móveis para reforçar a proteção (53%). PERSPECTIVAS PARA OS PROFISSIONAIS DA ÁREA De acordo com o relatório, a tendência de contratação para os próximos meses é de expansão em vagas permanentes, na visão de 42% dos CIOs ouvidos, e de manutenção dos quadros para projetos, na percepção de 44% dos entrevistados. As habilidades técnicas mais valorizadas e mais difíceis de encontrar são conhecimento em auditoria de TI e em segurança em nuvem. z
Criando uma defesa mais inteligente contra ameaças
Estabelecendo parceria com líderes de setor, agências governamentais e de cumprimento da lei global, a Intel Security oferece defesa sistêmica de ciclo de vida contra ameaças por meio de integração, automação e orquestração aplicadas. Saiba mais em intelsecurity.com.
Intel e os logotipos Intel e McAfee são marcas comerciais da Intel Corporation ou McAfee, Inc. nos Estados Unidos e/ou em outros países. Copyright © 2016
Overview
CSOs precisam mudar de comportamento Profissionais estão sendo convocados a assumir um papel mais estratégico, somando experiência no mundo digital e competência gerencial de alto nível
O ESTUDO TAKING the Offensive – Working Together to Disrupt Digital Crime, feito em parceria entre BT e KPMG, indica que os gestores de Segurança agora estão sendo chamados a assumir um papel mais estratégico, somando experiência no mundo digital e competência gerencial de alto nível. Entre as empresas entrevistadas, 26% disseram já contar com um profissional nessa função, sugerindo que a área de SI e seus responsáveis estão sendo reavaliados.
10
RISK REPORT
Essa mudança se dá devido a um cenário desafiador. Segundo o estudo, apenas um quinto dos executivos de TI das grandes empresas multinacionais afirmam que suas organizações estão realmente preparadas para combater a ameaça do cibercrime. A grande maioria delas se sente limitada por regulamentações, disponibilidade de recursos e pela dependência de terceiros quando se trata de reagir a esses ataques. É justamente por isso que os CSOs precisam mudar a postura diante do atual ambiente de ameaças. “Não existe uma escola de segurança onde o profissional entra e sai pronto. As empresas precisam fazer levantamento de brechas, de quais sistemas estão mais vulneráveis, do quão visada sua empresa é. E a partir disso fazer um estudo de onde e como se preparar. O fato é que muitas vezes isso é deixado para último plano”, explica Alexis Aguirre, Head of Security Sales LATAM da BT Global Services. O levantamento mostra ainda que, apesar de 97% das empresas terem revelado que já sofreram algum tipo de ataque cibernético, somente 22% se sentem de fato preparadas para lidar com as ameaças no futuro. “O resumo do estudo é que Segurança é muito mais que um mal necessário. Ela deve ser vista como um habilitador das novas oportunidades do mundo digital”, finaliza Aguirre. z
Não deixe que seu evento acabe por
FALHA NA TRANSMISSÃO
Shows e eventos culturais
CONTRATE UM
Link Temporário DE
Feiras e congressos
INTERNET Desenvolvemos projetos para cobertura de SHOWS, EVENTOS ESPORTIVOS, FEIRAS, CONGRESSOS e TRANSMISSÕES AO VIVO.
Eventos esportivos
Transmissão via rádio, IPs fixos, controle de banda por aplicação, gestão web e suporte 24x7x365. São Paulo, Rio de Janeiro e Porto Alegre *sujeito à viabilidade técnica.
4003 5800 @telium
Telium
TELIUM.com.br
10 anos construindo a Internet
Security
DURANTE 2ª EDIÇÃO DO SECURITY LEADERS BELO HORIZONTE, EXECUTIVOS DAS PRINCIPAIS INSTITUIÇÕES LOCAIS SE REUNIRAM PARA DISCUTIR INOVAÇÃO EM SEGURANÇA DA INFORMAÇÃO E O PAPEL DO GESTOR FRENTE AO NOVO CENÁRIO DE AMEAÇAS. PARA ELES, CABE AO PROFISSIONAL DE SI SE ADAPTAR RAPIDAMENTE ÀS NOVAS DEMANDAS TECNOLÓGICAS E ESTAR BEM ALINHADO TANTO COM A ÁREA DE NEGÓCIOS QUANTO COM OS FORNECEDORES DE SOLUÇÕES DE SEGURANÇA | POR GRAÇA SERMOUD E ALEXANDRE FINELLI
12
RISK REPORT
A
cidade de Belo Horizonte recebeu pelo segundo ano consecutivo o Secu r it y Leaders. O evento, realizado no Hotel Mercure Lourdes, reuniu cerca de 350 executivos dos setores de Tecnologia e Segurança da Informação, mais de 160 empresas participantes para assistir a inúmeras apresentações, estudos de caso e talk shows com representantes da indústria e CSOs de instituições renomadas. Adaptabilidade, compartilhamento seguro e inovação foram alguns dos termos em destaque desta edição, que foi marcada pela grande interatividade e troca de experiências entre o público presente.
ESTUDO DE CASO São 150 mil estabelecimentos e 27 milhões de autorizações de operações em todo o estado de Minas Gerais. Esse é o cenário com o qual o diretor da
Vale Card, Edmo Lopes Filho, lida diariamente. O executivo apresentou seu estudo de caso na área de Segurança da Informação, durante o Security Leaders, em Belo Horizonte, a convite da Fortinet. Para ele a principal característica do camaleão é que ele possui dois olhos que se movimentam de forma independente numa rotação de 360 graus. Para falar dos desafios da SI atualmente, Edmo lançou mão de uma outra analogia comparando o profissional de Segurança da Informação ao coelho de “Alice no País das Maravilhas” subindo as escadas do castelo de Harry Potter. Ele está sempre atrasado. Nesse ponto vem a pergunta. Mas o que estamos fazendo de errado? Olhando para a Vale Card, vemos uma empresa de meios de pagamento se tornando cada vez mais uma companhia digital. Esse é o futuro também de quem trabalha com
segurança: se tornar um profissional preparado para o mundo digital. “Nosso cenário é de ataques constantes, 30 mil por dia só em cima do servidor de e-mail. Tínhamos a necessidade de integração entre ferramentas, além de automatização, detecção, combate, desempenho e disponibilidade como requisitos de negócio”, contextualizou Edmo. Uma das alternativas que a Vale Card buscou foi adotar a integração e configuração focada em gestão de eventos, atuando antes dele fazer o estrago e levar a uma perda de negócio. “Ativar armamentos, integrá-los, adotar várias regras, automatizar o controle e combate foi o ponto de partida para pensar em segurança para o mundo digital”. Mas o fornecedor de segurança é fundamental, porque o grande segredo está no relacionamento, segundo o exe-
RISK REPORT
13
Security
“ATIVAR ARMAMENTOS, INTEGRÁ-LOS, ADOTAR VÁRIAS REGRAS, AUTOMATIZAR O CONTROLE E COMBATE FOI O PONTO DE PARTIDA PARA PENSAR EM SEGURANÇA PARA O MUNDO DIGITAL” Edmo Lopes, diretor da ValeCard
cutivo. Principalmente quando chega o momento crítico. “A Fortinet é um dos parceiros que trabalhamos e que tem nos garantido esse nível de integração. Com essa parceria obtivemos redução de incidentes, aumento na disponibilidade e ganhos de produtividade”, concluiu ele.
LEI DO BEM A Lei 11.196/05 (capítulo III, artigos 17 a 26) estabelece incentivos fiscais que as empresas podem usufruir de forma automática, desde que realizem pesquisa e desenvolvimento de inovação tecnológica. Foi para falar de como esse recurso poderia ser mais bem explorado por profissionais de Segurança da Informação especialmente em um momento em que corte de custos é bem-vindo nas empresas - que Francimara Viotti, consultora empresarial da TCP&P e ex-gerente exe-
14
RISK REPORT
cutiva da Diretoria de Gestão da Segurança do Banco do Brasil, subiu ao palco do Security Leaders em Belo Horizonte. “A Lei do Bem é um ótimo instrumento para reduzir custos, pois traz uma série de incentivos fiscais para as empresas”, disse. Segundo a executiva, muitas vezes, quando CSOs apresentam ideias aos seus superiores, eles são questionados sobre quanto vão ganhar ou deixar de perder se implantar tal solução. “Esse recurso acena com uma contrapartida a partir dos custos do projeto, desde que seja corretamente avaliado como inovação”, afirmou. “Existem consultorias especializadas em utilização de incentivos fiscais da Lei do Bem”, sugeriu. Na opinião dela, este recurso é subutilizado. “Quase não ouço empresas falando de inovação, se referindo a esta Lei. Fala-se muito em inovação nos meios de Tecnologia da Informação, mas pouco se sabe o que é isso nos termos legais”, pontuou. No entanto, este problema pode estar próximo de ser resolvido já que, segundo ela, o Ministério da Ciência e Inovação – MCTI – estava trabalhando em um documento para ajudar empresas a identificar se um projeto poderia ser considerado inovador ou não.
“FALA-SE MUITO EM INOVAÇÃO NOS MEIOS DE TECNOLOGIA DA INFORMAÇÃO, MAS POUCO SE SABE O QUE É ISSO NOS TERMOS LEGAIS” Francimara Viotti, especialista em Segurança da Informação e consultora empresarial em TI
Além deste tema, Francimara abordou a importância dos profissionais em se atualizarem constantemente. “Eu sempre digo que devemos lutar, no mínimo, com as mesmas armas e o mesmo preparo dos nossos adversários. Percebo que eles estão sempre inovando nas formas de ataque. Então, só nos resta o mesmo para tentarmos ganhar essa guerra”, finaliza.
BYOD RECUA Percorrendo o País junto com o Security Leaders, Raphael Mandarino Jr., presidente da SICPA Brasil e ex-diretor do Departamento de Segurança e Comunicações da Presidência da República, afirmou que as empresas estão voltando atrás em relação ao BYOD. Durante sua apresentação, o especialista ressaltou que, apesar dos métodos de trabalho estarem se modificando, muitas companhias estão proibindo colaboradores de levar dispositivos pessoais para o trabalho. “Reconheceram que os funcionários não têm os cuidados necessários para prevenir ameaças”, disse. “Poucas pessoas têm aparelhos próprios para uso corporativo e pessoal de modo que a utilização não tenha potencial de risco”, destaca.
A afirmação do executivo pode ser comprovada por pesquisas de mercado que apontam essa nova tendência. Um estudo da CompTIA, Associação Comercial da Indústria de TI, revela que 53% das companhias entrevistadas já proíbem o BYOD, preferindo fornecer smartphones e tablets corporativos para seus colaboradores. O percentual representa aumento gradativo dessa prática. Em 2013, eram 34%; já em 2014 foram 45%. O mesmo levantamento apontou que apenas 7% dos respondentes disseram que têm uma política completa de BYOD. Outros 40% têm uma política parcial, quando a companhia fornece alguns dispositivos, mas permite que os aparelhos pessoais acessem sistemas corporativos. Entre os problemas apontados pelos profissionais que estão levando ao banimento do BYOD estão a necessidade de aprimoramento tecnológico (43%), a necessidade de centralizar o controle da segurança (35%) e a despreocupação dos usuários com segurança (31%).
OS DESAFIOS DOS CSOS Os novos modelos de negócio exigem das áreas de Segurança uma nova postura frente ao atual cenário de ameaças. Mas, apesar da necessidade, inovar envolve desafios. E foi justamente para saber quais as atuais demandas dos profissionais de segurança hoje que o Security Leaders Belo Horizonte reuniu um time de líderes para compartilharem os atuais problemas vividos por eles. João Paulo Lima, Information System Security Officer da Fiat, afirma que um dos grandes obstáculos é a questão da revalidação de acesso. Com o enorme volume de dados disponíveis, o executivo revela enfrentar grandes auditorias para que tudo esteja em total conformidade com os níveis de compliance exigidos pela instituição. No entanto, ainda é preciso agilizar processos e reduzir custos para que os objetivos sejam atingidos.
“SEGURANÇA TRANSVERSALIZA QUALQUER NEGÓCIO. “O PONTO BÁSICO É A INTEGRAÇÃO DE TUDO” Regilberto Girão, chefe da Segurança Institucional do Ministério Público Federal de Minas Gerais
No Varejo, Ubirajara Santos, CIO do Grupo Adição Distribuição Express, disse que o desafio está vinculado em oferecer conexão ao cliente de modo seguro em conformidade com o Marco Civil, considerando ainda que nem todos os usuários aceitam fazer um novo cadastro ao se conectar em uma loja. “Além disso, a indústria precisa se adaptar a essa nova vigência legal, porque o certo é que os dados sejam mantidos durante seis meses, mas muitas aplicações guardam as informações por apenas 15 dias”, explicou. Falando em adaptação, Ricardo Leocádio, coordenador de Tecnologias de Segurança do Banco Mercantil, afirmou que as áreas de TI e SI das instituições
“AS DEMANDAS DE NEGÓCIO SURGEM COM MUITA VELOCIDADE E CABE A NÓS PROVIDENCIAR OS REQUISITOS DE SEGURANÇA NECESSÁRIOS DE MANEIRA MUITO EFICIENTE” Ricardo Leocádio, coordenador de Tecnologias de Segurança do Banco Mercantil
financeiras precisam ser extremamente adaptáveis. “As demandas de negócio surgem com muita velocidade e cabe a nós providenciar os requisitos de segurança necessários de maneira muito eficiente”, acrescentou. Por conta disso, Wellington Coelho, CIO e Security Officer da Teksid, destacou a importância de implementar segurança no estágio inicial do desenvolvimento de um novo produto. “Inovação é quebra de paradigma e isso precisa nascer junto com a ideia”, pontuou. Consequentemente, diversas inovações tendem a surgir durante esse processo. Na opinião de Regilberto Girão, chefe da Segurança Institucional do Ministério Público Federal, segurança transversaliza qualquer negócio e todos os setores precisam estar envolvidos. “O ponto básico é integração de tudo”, disse. Girão destacou ainda a mudança no comportamento de todos. “Ainda há procuradores que não querem passar em portas de detecção de metais em aeroportos, quem diria cumprir com as políticas de segurança da instituição”, observou. Essa atitude no comportamento foi algo também pontuada por Claudio Rinco, gerente de Tratamento de Incidentes e Operações da Prodemge. “Eles passaram a ser vistos como consultores a partir do momento que entenderam melhor a demanda dos usuários”, concluiu. z
RISK REPORT
15
Especial
“É preciso transformar SI em produto” O QUE O SETOR BANCÁRIO ESTÁ FAZENDO PARA MINIMIZAR OS PREJUÍZOS CAUSADOS PELAS FRAUDES ELETRÔNICAS E PROPORCIONAR MAIS SEGURANÇA DURANTE AS TRANSAÇÕES? A DISCUSSÃO DESSES E OUTROS TEMAS, FEITA ENTRE LIDERANÇAS DO SEGMENTO DURANTE O CIAB, MOSTRA QUE AS INSTITUIÇÕES FINANCEIRAS CONTAM COM UM EXTENSO ACERVO TECNOLÓGICO DE COMBATE AO CIBERCRIME, MAS QUE O CSO ASSUME UM PAPEL FUNDAMENTAL FRENTE A ESTA NOVA ERA DA DIGITALIZAÇÃO
A
| POR ALEXANDRE FINELLI pesar da última pesquisa FEBRABAN de Tecnologia Bancária ter revelado queda nos aportes em TI, (foram R$ 19,2 bilhões, aproximadamente 10% inferior ao investido em 2014, quando atingiu R$ 21,5 bilhões), o setor manteve o percentual de 10% dedicado especificamente para a área de Segurança da Informação. Para Gustavo Fosse, diretor setorial de Tecnologia e Automação Bancária da Federação, essa quantia é suficiente para oferecer segurança nos ambientes como um todo. No entanto, segundo dados da mesma entidade, os bancos brasileiros registraram perdas de R$ 1,8 bilhão com fraudes eletrônicas, um valor muito próximo do que é investido anu-
16
RISK REPORT
almente. Essa comparação revela o atual desafio do setor para lidar com o avanço da digitalização e as crescentes ameaças que rondam o setor consequentemente. Durante o Ciab, que aconteceu recentemente entre os dias 21 e 23 de junho, o tema foi amplamente abordado em uma programação exclusiva e debatido sob diferentes aspectos: evolução dos ataques, profissionalização dos cibercriminosos, inovação, o perfil do novo CSO e investimentos tecnológicos. Em relação a este último tópico, Fosse explicou que os aportes são divididos entre compra de soluções e equipamentos de proteção, pesquisas junto aos parceiros e às instituições de ensino. “Outra fatia é orientada ao cliente com campanhas
e conscientização para uso mais seguro dos dados bancários e de cartões de crédito, até porque a maior parte das fraudes de TI vem de engenharia social”, disse. Segundo ele, o tema será sempre tratado dentro dos bancos, mas “teremos que conviver com as possibilidades de ataques cibernéticos, pois é um trabalho que não acaba nunca”. “A fraude é um desafio enorme no nosso negócio e os investimentos para combater esse mal serão constantes”, complementa Roberto Setubal, presidente do Itaú-Unibanco, durante a abertura do evento. Segundo o executivo, incidentes sempre existiram e continuarão fazendo parte da rotina dos bancos, mas a biometria tem se tornado uma ferramenta
RISK REPORT
17
Especial Ciab
O QUE FALTA AINDA PARA O SETOR FINANCEIRO É INCORPORAR A SI AO NEGÓCIO E TRANSFORMAR ISSO EM PRODUTO Roberto Setubal, presidente do Itaú-Unibanco
poderosa para assegurar as transações financeiras. “Essa tecnologia será naturalmente incorporada ao setor”. Para o executivo, a Segurança da internet avançou muito nos últimos dez anos e os desafios que temos hoje são administráveis, até porque temos soluções para combater as ameaças atuais. “O que falta ainda para o segmento financeiro é incorporar a SI ao negócio e transformar isso em produto”, observa.
INOVAÇÃO EM MOBILE PAYMENT. “Nossa missão é que os modelos de pagamento sejam o mais indolor possível. O objetivo é proteger a transação do início ao fim, de modo que traga segurança ao usuário sem interferir na sua experiência e resulte em nenhuma perda para as instituições financeiras”. A afirmação de Márcio Reis, superintendente de Proteção à Fraude no Banco Santander Brasil, mostra que inovar nos meios de pagamento online é fundamental para reduzir o número de fraudes. “Mas infelizmente, muitas vezes, inovação e segurança caminham em direções opostas”, assume. Nesse sentido, as instituições se empenham em propor medidas visando ligar os dois pontos. Reis destaca que será cada vez maior o uso de tecnologias e soluções contactless. “Ainda é uma tecnologia pouco utilizada, mas que deve crescer consideravelmente daqui em
18
RISK REPORT
diante, assim como os pagamentos via NFC, visando mais proteção e praticidade para o cliente”, explica. A biometria, já usada em larga proporção em ATMs, deve ganhar novos recursos e crescer em maior escala. Por isso, ele mesmo questiona se, com a combinação entre smartphone e biometria, poderíamos estar próximos do fim do cartão de plástico tradicional. “Embora seja possível, talvez observaremos apenas a uma mudança de prioridade”, observa Reis.
BIG DATA E ANALYTICS: OS NOVOS ALIADOS DA SI O emprego desses dois conceitos como auxiliares na luta contra o cibercrime tem se tornado mais comum ao se criar novas soluções de autenticação para transações financeiras. Na visão de Adriano Volpini, diretor setorial de Prevenção à Fraude da FEBRABAN e diretor de Segurança Corporativa do Itaú-Unibanco, o uso dessas tecnologias deve compor ainda mais a estratégia dos profissionais de segurança. “Elas já são bastante úteis atualmente, mas serão fundamentais no futuro, assim como o tratamento de ameaças em tempo real”, explica.
“Técnicas de Big Data podem – e devem – ser utilizadas no monitoramento online de transações, uma vez que permitem a identificação de padrões (reconhecimento de novo modus operandi) e sua filtragem em universos massivos, através de contenções automáticas ou manuais”, explica Rafael Cividanes, gerente de pré-vendas da Kudelski Security.
PERMITIR É NOVO PADRÃO DA ÁREA DE SEGURANÇA Claudio Neiva, diretor de Pesquisa do Gartner
O NOVO PERFIL DO CSO Em um ambiente tão complexo e dinâmico como o digital é natural que os CSOs também tenham que rever seus conceitos. Segundo Claudio Neiva, diretor de Pesquisa do Gartner, é fundamental que os profissionais se adaptem instantaneamente às novas demandas exigidas pelos novos modelos de negócios. Essa transformação precisa vir de dentro, fazer parte do comportamento deles e ainda vir acompanhada de novos princípios, que devem ser seguidos por todos os colaboradores da área. O primeiro conceito a ser revisto é de que a prevenção é melhor do que a cura. Para explicar, Neiva fez uma analogia com a nossa própria saúde. “Partimos daquela base que se nos alimentarmos bem estaremos menos suscetíveis a doenças”, pontuou. No entanto, é preciso avaliar este caso em específico sob uma maneira diferenciada. Segundo o pesquisador, analisando o cenário atual, é preciso investir mais em curas e em sistemas adaptáveis. Uma pesquisa do Gartner comprova essa mudança.
PADRÃO DE MOVIMENTO GARANTE IDENTIDADE A Scopus apresentou uma nova tecnologia de identificação de atividades e detecção de padrão biométrico de usuários. A novidade - que conquistou o Prêmio eFinance na categoria Inovação - permitirá, no futuro, acrescentar um nível adicional de segurança à autenticação de usuários de serviços financeiros e de comércio eletrônico.
AUTENTICAÇÃO POR BIOMETRIA FACIAL REFORÇA SEGURANÇA Conciliar a necessidade de segurança em operações críticas - como transações bancárias - com a preservação da facilidade de uso dos canais eletrônicos é uma das grandes vantagens que a tecnologia de biometria trouxe para o universo das instituições financeiras. E essa vantagem, oferecida pela solução CPqD Smart Authentication, foi demonstrada no estande da Diebold.
PROTEGE DEMONSTROU SUAS TECNOLOGIAS Expondo todas as etapas do processo de envio e recebimento de valores, desde a coleta até a entrega final, a companhia demonstrou os controles rígidos, sistemas de abertura e monitoramento eletrônicos, controles de acesso e constante de vigilância de profissionais altamente capacitados. A empresa mostrou ainda todos os recursos de segurança que dispõe nos segmentos de segurança eletrônica.
SOLUÇÕES CONTACTLESS SÃO AS APOSTAS DO MERCADO A Safran Identity & Security apresentou tecnologias para identificação e autenticação biométrica. A empresa fez demonstrações dos Terminais MorphoWave Desktop e Terminal IAD (Íris à Distância), que têm como principal benefício a leitura biométrica sem a necessidade do contato com os terminais e a velocidade na autenticação. O primeiro é voltado para a impressão digital sem a necessidade de toque dos dedos ou palma da mão. Já o segundo é capaz de fazer a autenticação biométrica com a pessoa a cerca de um metro do totem de identificação e basta olhar um segundo para ser identificado.
RISK REPORT
19
Especial Ciab
Segundo a instituição, até 2020, 60% das empresas vão investir mais em detecção e resposta. Em 2012, esse volume era apenas de 10%. “Esse investimento é feito em inteligência, baseado em contexto, considerando que não vamos proteger 100% dos nossos ambientes”, explica. Tido como outra verdade entre os gestores, é comum escutarmos que o homem é o elo mais fraco. “Porém, existe uma grande oportunidade para transformá-los e prepara-los para identificar comportamentos inadequados”, disse Neiva. Essa falta de preparo e de consciência não pode ser algo aceito dentro de uma empresa, tanto que algumas instituições estão adotando um conceito chamado de People-Centric Security, que se resume a dar autonomia e responsabilidade ao usuário. “O ser humano, quando bem investido, pode se tornar um forte aliado a longo prazo”. Outra máxima entre os profissionais de SI é que, se há riscos, deve-se impedir o avanço de um projeto. O dinamismo do mundo digital exige mais participação dos CSOs nos produtos já nos estágios iniciais de desenvolvimento. O novo mercado demanda essa adaptação
NENHUM AUTOMÓVEL ATINGIRÁ UMA GRANDE VELOCIDADE SE NÃO PUDER PARAR COM SEGURANÇA. O MESMO VALE PARA AS EMPRESAS. O DEPARTAMENTO DE SI DEVE AUXILIAR A ORGANIZAÇÃO A ATINGIR SUA POTÊNCIA MÁXIMA, E NÃO IMPEDIR SEU AVANÇO Jeff Crume, distinguished engineer da IBM
20
RISK REPORT
dos gestores, que precisam trocar o discurso do “não” pelo “como”, por isso a necessidade de alinhamento pleno entre as áreas de Segurança e Negócios. “Além disso, o profissional precisa desenvolver novas habilidades, como ser negociador, saber falar numa linguagem apropriada e conhecer mais dos objetivos da empresa”, explica. “Cabe ao gestor traçar as opções e explicar os riscos associados para que sejam tomadas as decisões certas e conscientes. Ou seja, permitir é novo padrão da área de Segurança”, finalizou. Seguindo essa mesma linha de raciocínio, Jeff Crume, distinguished engineer da IBM, fez uma analogia interessante. Ele comparou a área de Segurança em uma instituição com o sistema de frenagem dos veículos, recurso vital para potencializar os negócios e se distanciar dos competidores. “Os melhores carros têm os melhores freios do mundo. Nenhum automóvel atingirá uma grande velocidade se não puder parar com segurança quando necessário. O mesmo vale para as empresas. O departamento de SI deve auxiliar a empresa a atingir sua potência máxima, e não impedir seu avanço”, afirmou.
Desenvolvimento ágil e security by design, ou seja, implementação de segurança já no início do projeto, são os termos que ganharam de vez a agenda dos chefes de SI. “Não diga não, explique como”, enfatiza. Além do conhecimento técnico e especializado que lhe é fundamental, especialmente em tempos de tecnologias emergentes, o CSO precisa assumir um papel de negociador. “A análise de risco precisa ser compreendida pela área de negócios para definir o melhor trajeto a ser seguido”, disse Crume. Para isso, o especialista explica que há dois caminhos. O primeiro é ter plena compreensão sobre a estrutura da empresa e como ela funciona para construir um nível elevado de contexto. O outro é saber como elaborar a linguagem adequadamente de forma que transmita o que é de fato relevante e os riscos envolvidos. “Adaptar-se é um fator primordial. O profissional de SI precisa buscar meios para suportar os negócios. É necessário mudar a visão de que a Segurança serve apenas para frear e compreender de vez que sem ela não há negócio que evolua”, finaliza. z
Spot
PCI é para todos Em entrevista exclusiva à Risk Report, Jeremy King, diretor internacional do PCI-SSC, afirmou que o País está indo bem em termos de adesão ao padrão de segurança, mas que é preciso desmistificar que o modelo é válido apenas para instituições de grande porte | Por Alexandre Finelli e Jackson Hoepers
O
s brasileiros movimentaram R$ 269 bilhões com cartões de crédito e débito no primeiro trimestre de 2016. As informações são da Associação das Empresas de Cartões (ABECS) e explicam porque esse tipo de operação, que cresceu 7,2% em relação aos três primeiros meses de 2015, virou um dos alvos preferidos de fraudadores. Com valores tão significativos e com elevado potencial de crescimento, as principais empresas responsáveis por esses canais veem o Payment Card Industry-Security Standards Council como um dos principais aliados na luta contra o cibercrime. Em recente viagem ao Brasil, Jeremy King, diretor internacional do PCI-SSC, falou exclusivamente à Risk Report sobre a importância deste padrão global de Segurança em empresas de todos os portes, como está a adesão do mercado brasileiro e quais os obstáculos que ainda impedem sua implementação no País. Risk Report: Em um mercado tão ascendente como o brasileiro, com grande volume de transações com cartões de crédito e débito, qual a importância do PCI-SSC? Jeremy King: A importância da PCI é que, em 2006, fomos designados como protetores dos dados dos portadores de cartões através do processo de transações financeiras.
22
RISK REPORT
Então, toda vez que você for comprar algo em loja ou online, você está dando os dados do seu cartão para o comerciante. Essas informações são muito valiosas para criminosos. Dependendo dos dados que obterem, podem fazer fitas magnéticas e tentar sacar dinheiro de um caixa eletrônico, ou podem roubar as informações do titular quando forem realizar alguma transação e usar isso para assumir controle da operação fraudulenta. Comerciantes, processos e todos os outros envolvidos não podem assegurar a integridade dos dados em todo seu ciclo, desde o início até o fim, sem os padrões PCI. RR: E, na sua opinião, o que impede algumas companhias de adotar o PCI? O investimento é muito alto? JK: Nada! Há um certo investimento e algumas pessoas ainda pensam que é muito alto. Eu diria que, quando os criminosos invadem e roubam dados de titulares de cartão, aí o impacto em sua organização, seja um banco ou um comerciante, será extremamente alto. Você terá publicidade negativa, perda de confiança e poderá ainda enfrentar multas e outras complicações. O impacto em não aplicar PCI é muito alto. Dependendo em como você opera, se você é apenas um comerciante que aceita pagamentos em dinheiro, isso é
“Vejo a SI como uma cadeira de três pernas: uma delas são as pessoas, outra são os processos e a última é tecnologia. Se não focar em alguma, eu caio” fácil. Quando você aceita pagamentos em diversas formas, aí a oportunidade para os criminosos roubarem os dados é maior, portanto, as ações que você precisa tomar para proteger essa informação são maiores. Não seria tão custoso se os comerciantes estivessem trabalhando firme e tendo uma segurança mais avançada desde o início. Infelizmente, onde quer que eu esteja no mundo – e o Brasil não é diferente –, esse não é o caso. Nós nunca protegemos os dados da maneira como deveríamos. RR: Quais tipos de companhias deveriam fazer esse investimento? JK: Todo mundo! Comerciantes especialmente, seja você um grande lojista ou o menor deles. Se está aceitando cartões de crédito ou débito, você precisa proteger esses dados. Nós sabemos que nossos padrões estão escritos de forma que um funcionário de TI possa entender. Para as grandes lojas isso não é um grande problema, já que eles têm departamento de TI. Quando vamos para os menores, aí sim temos algumas complicações, porque eles não entendem muito bem a linguagem técnica. Então, o que temos trabalhado na PCI, e vamos divulgar a partir do próximo mês, é um conjunto especial de guias que são escritos justamente para os pequenos comerciantes, com várias imagens e linguagem simplificada, para entenderem quais são os riscos e o que eles devem fazer para proteger os dados. RR: E como o Brasil está em termos de adoção comparado aos outros países? JK: O Brasil está indo muito bem. As companhias conhecem o PCI, mas não estão tão avançadas na implementação desses padrões. O Brasil é muito similar à Europa nesse quesito. Esse é o maior desafio a vencer: trabalhar com organizações, comerciantes, bancos, todo mundo, para tentar ajudar e criar visibilidade para que eles consigam descomplicar o processo de adoção. Uma das maiores coisas que estamos fazendo é providenciar os guias em português. Trabalhando junto com empresas brasileiras teremos as traduções corretas para os procedimentos e tornar mais fácil a compreensão. Vamos realmente tentar avançar nesse aspecto, porque o Brasil é um mercado muito grande e muitas pessoas estão adotando novas tecnologias.
RR: Mesmo as empresas que estão em compliance com PCI, algumas delas ainda são atacadas e têm dados vazados. Como você vê esse problema? JK: O interessante é que várias companhias acreditam plenamente em PCI e ficam relaxadas. Elas acham que, uma vez que conseguiram a aprovação e compliance, pronto: está tudo bem. Não! Segurança de dados nunca acaba! É um programa contínuo. Veja só: você teve todo um esforço para se adaptar e está cumprindo os requisitos, se você não continua, já começa a sair do padrão. Já vimos isso acontecer. Várias empresas, após seis meses com certificado PCI, acreditando estar tudo bem, compram novos equipamentos de TI, novas empresas, criam novos programas, uma nova infraestrutura. Tudo isso acaba abrindo brechas para ataques. É preciso continuar sempre investindo em segurança. Você precisa treinar pessoas, manter os processos atualizados, ter certeza que quando uma nova tecnologia chega você irá pensar na segurança, senão... os criminosos só precisam acertar uma única vez para ter sucesso, nós precisamos conter os ataques a todo momento. RR: O quanto da Segurança hoje é tecnologia ou controle de acesso à informação? JK: Eu vejo algo como uma cadeira de três pernas: uma delas são as pessoas, outra são os processos e a última é tecnologia. Se eu não focar em qualquer uma, eu caio. Preciso mirar nas três da mesma forma, pois todas são importantes. Podemos encontrar diversas tecnologias por aí que realmente fazem a diferença, mas o problema é que fatias de mercado diferentes trazem desafios particulares. Em cada segmento há diferenças específicas, tecnologias variadas. Seus dados de cartão podem percorrer diversos caminhos. Não é apenas uma questão de adquirir tecnologia, é necessário trabalhar com empresas de Segurança e fornecedores qualificados PCI, para lhe mostrar o que é mais apropriado em cada caso. z
“Os criminosos só precisam acertar uma única vez para ter sucesso; nós precisamos conter os ataques a todo momento” RISK REPORT
23
Focus
Aquisições movimentam
setor
DISPUTA ENTRE GRANDES COMPANHIAS MARCAM A ENTRADA DE NOVOS PLAYERS NO COMPETITIVO NEGÓCIO DE SEGURANÇA CORPORATIVA. PARA ESPECIALISTAS E REPRESENTANTES DA INDÚSTRIA, FUSÕES SÃO NATURAIS E PROMETEM DEIXAR A BUSCA PELOS PRIMEIROS LUGARES NO RANKING AINDA MAIS CONCORRIDA | POR GRAÇA SERMOUD E ALEXANDRE FINELLI
R
ecentemente, o mercado de Segurança da Informação tem vivido dias agitados. Primeiro, foi o anúncio de que a Blue Coat seria comprada pela Symantec. Depois foi a fez da Avast manifestar a intenção em adquirir a AVG. Tais fusões mostram a importância da segurança corporativa para os players. Mas será que as soluções tendem a ficar concentradas nas mãos de poucos fornecedores, caracterizando algum tipo de monopólio? “No curto prazo, não parece provável que tenhamos uma concentração maior do que a atual. A característica desse mercado é apresentar soluções globais e, dessa forma, a consolidação em poucos
players relevantes é inevitável. Mas não podemos deixar de notar que esse é um cenário em constante mutação no qual a velocidade, criatividade e inovação são a essência do negócio”, acredita Rogério Gollo, sócio da PwC. Em meio ao aumento de casos de empresas que tiveram dados violados, maior número de denúncias de espionagem entre governos e ataques cibernéticos variados, uma série de startups de segurança surgiu nos últimos anos, especialmente nos Estados Unidos. Para se ter ideia, somente em 2015, investidores injetaram cerca de US$ 3,3 bilhões em 229 startups, segundo dados da CB Insights. Mas será que elas um dia chegarão a fazer concorrência com os players
EM BUSCA DO PÓDIO Com a aquisição, 62% da receita da Symantec virá de soluções para empresas. Será desembolsado US$ 4,65 bilhões para a compra. Juntas, as receitas combinadas devem girar em torno de US$ 4,4 bilhões em 2016.
24
RISK REPORT
“ESTE É UM MERCADO EM CONSTANTE MUTAÇÃO NO QUAL A VELOCIDADE, CRIATIVIDADE E INOVAÇÃO SÃO A ESSÊNCIA DO NEGÓCIO”, Rogério Gollo, sócio da PwC FOTO: DIVULGAÇÃO
ou tendem a ser compradas por elas? “As grandes companhias estão sempre em busca de empresas inovadoras e tentam adquiri-las antes que possam tornar-se competidoras relevantes”, opina Gollo. Segundo ele, existe uma competição entre os provedores globais, buscando identificar e incorporar novas soluções. “Mas a tendência é que as empresas de mais destaque no mercado sejam adquiridas pelas maiores”, conclui. Segundo a PwC, no mundo, foram divulgadas somente 19 transações em 2015 e apenas quatro em 2016. “No caso do Brasil, temos esse mercado composto por multinacionais ou, no caso de brasileiras, especializadas e de pequeno porte, sem nenhuma transação divulgada”, afirma. A grande característica dessas empresas menores é que elas têm um foco específico em algum nicho de segurança. “Por esse motivo, elas agregam muito para esses players, que teriam que engatinhar para fazer o mesmo. Então, elas se fun-
RISK REPORT
25
dem para avançar de maneira mais rápida”, pontua Leandro Marco Antonio, Cyber Security Partner da KPMG. Segundo o executivo, esse movimento de integração de soluções é natural, uma vez que oferecer segurança fim a fim é uma tendência neste mercado. “Essas fusões servem de alerta para empresas mais tradicionais, que precisam trabalhar continuamente na melhoria do portfólio e expansão das funcionalidades. Ou então fundir com empresas para terem esse complemento”, finaliza. z
SECURITY LEADERS REPERCUTE NOTÍCIA O movimentado mercado de Segurança da Informação também foi motivo de destaque em um dos painéis do Security Leaders, em Belo Horizonte. Na opinião dos executivos, essa transformação é natural e não representa riscos de as soluções serem monopolizadas por poucas empresas. Segundo Fernando Nicolau, CEO da AuditSafe, é uma transição comum entre as companhias de tecnologia e que também já foi muito presente dentre organizações de auditorias. No entanto, é natural que algumas unam forças e se aproximem de outras mais especializadas em segmentos distintos para atender às demandas do mercado atual.
“ESSAS FUSÕES SERVEM DE ALERTA PARA EMPRESAS MAIS TRADICIONAIS, QUE PRECISAM TRABALHAR CONTINUAMENTE NA MELHORIA DO PORTFÓLIO E EXPANSÃO DAS FUNCIONALIDADES” Leandro Marco Antonio, Cyber Security Partner da KPMG
FALANDO NISSO... INTEL CONSIDERA VENDA DE NEGÓCIOS DE CIBERSEGURANÇA
A fabricante de microprocessadores Intel está considerando a venda de seus negócios de cibersegurança, publicou o jornal Financial Times. Segundo o periódico, a Intel tem conversado com assessores financeiros sobre as opções para a unidade Intel Security, conhecida anteriormente como McAfee e comprada pela companhia por 7,7 bilhões de dólares em 2011. Procurada, a empresa não se manifestou sobre o assunto.
26
RISK REPORT
Evandro Rodrigues, engenheiro de Sistemas na Intel Security, explicou que até pouco tempo atrás a companhia tinha um portfólio mais abrangente, mas que isso depende de muitos investimentos, mão de obra e pesquisa. “Existe a tendência em ser especialista na área que você se propõe e estabelecer parcerias em outras áreas”, explicou. Na opinião de Arthur Capella, country manager da Palo Alto Networks, é um movimento que deve acontecer na indústria mais tradicional, mas que não significa que as soluções ficarão concentradas, porque as inovações não param e possibilitam a abertura de novos mercados e mais oportunidades, consequentemente. Por isso que é possível visualizar uma grande concentração de startups especializadas em determinadas vulnerabilidades. “São empresas focadas em certos problemas”, explica Alexandre Bonatti, Systems Engineering Manager da Fortinet. “Mas não é o mundo ideal para os usuários, porque são muitas soluções para gerenciar, além do custo, já que são muitas licenças”, complementa. Para Alexandre Martinez, Regional Manager Latam da Dell Security, as compras são positivas desde que haja integração e faça sentido para os clientes. “As parcerias são válidas para evitar tantas soluções para o usuário final. Por isso acreditamos em um modelo mais híbrido, onde desenvolvemos as próprias tecnologias e fechamos acordos com parceiros estratégicos”, finaliza.
SEJA BEM-VINDO A UM NOVO MUNDO!
A transformação digital nos convida para um novo mundo repleto de oportunidades e desafios. Fazer as escolhas certas garantem o sucesso nessa jornada. Entre em contato conosco e saiba por que milhares de organizações confiam na BT para melhorar seus resultados com mais eficiência e maior segurança.
bt.com/br
latin.america@bt.com