SEGURANÇA DA INFORMAÇÃO E GESTÃO DE RISCO
Ano 8
Edição Especial
2013
O BRASIL ESTÁ VIVENDO UMA CIBERGUERRA? Especial
CLOUD COMPUTING |
Ainda na era do convencimento BIG DATA |
Muito além da segurança
Leis e educação digital são estratégias de defesa do ciberespaço
BEMATECH.COM.BR | 0800 708 3632
E SE VOCÊ TIVESSE
SOLUÇÕES COMPLETAS PARA EQUIPAMENTOS, SISTEMAS DE GESTÃO E SERVIÇOS EM UM ÚNICO
FORNECEDOR?
BEMATECH HÁ 20 ANOS ATENDENDO ÀS NECESSIDADES DO VAREJO. SISTEMAS DE GESTÃO E AMPLO MIX DE PRODUTOS.
ATENDE A TODOS OS SEGMENTOS DO VAREJO. SEJA LOJA, FRANQUIA OU REDE. LÍDER EM AUTOMAÇÃO COMERCIAL, COM PRESENÇA EM MAIS DE 1 MILHÃO DE ESTABELECIMENTOS. EMPRESA MULTINACIONAL BRASILEIRA.
BEMATECH. SOLUÇÕES PARA O FUTURO, HOJE. EQUIPAMENTOS | SISTEMAS DE GESTÃO | SERVIÇOS | MEIOS DE PAGAMENTO
Editorial
W W W. RIS K R E P O R T.C O M . B R
ABRIL 2013
Especial
A Segurança das coisas DEPOIS DE ANOS, VEMOS ENFIM A LEI DE CRIMES CIBERNÉTICOS SENDO APROVADA
W W W.SECURIT YLE ADERS.COM.BR
DIREÇÃO E EDIÇÃO GERAL Graça Sermoud gsermoud@conteudoeditorial.com.br EDITORA ASSISTENTE Léia Machado lmachado@conteudoeditorial.com.br REPORTAGEM Léia Machado lmachado@conteudoeditorial.com.br Rodrigo Aron raron@conteudoeditorial.com.br
Lucia Helena Corrêa DESIGN Rafael Lopes Lisboa FOTOGRAFIA Izilda França DIREÇÃO DE MARKETING Sérgio Sermoud ssermoud@conteudoeditorial.com.br EXECUTIVOS DE CONTAS Marcos Carvalho mcarvalho@conteudoeditorial.com.br EXECUTIVOS DE CONTAS RJ Caio Sermoud csermoud@conteudoeditorial.com.br COORDENADORES DE EVENTOS Eduardo Souza esouza@conteudoeditorial.com.br Tatiane Simões tsimoes@conteudoeditorial.com.br GERENTE ADM. FINANCEIRO Laura Raucci lraucci@conteudoeditorial.com.br
A revista Risk Report é uma publicação da Conteúdo Editorial, uma empresa de produtos e serviços editoriais na área de Tecnologia da Informação e Comunicação. Saiba mais sobre a Risk Report no www.riskreport.com.br. Mais sobre a Conteúdo Editorial em w w w.conteudo e ditorial.com.b r
no Brasil. Talvez não seja a legislação que a maioria dos especialistas da área esperava, mas é um avanço. Foi preciso que um personagem famoso, no caso a atriz Carolina Dieckmann, tivesse seu computador invadido, para que o País abrisse os olhos para os riscos que todos nós estamos correndo, quando trafegamos no mundo virtual. Tomara que não seja necessário que outros usuários desavisados tenham problemas semelhantes para que se tornem símbolos dessa batalha. A grande verdade é que hoje não existe algo que garanta ao usuário ou à empresa que os sistemas não sofram ataques. Eles são diversos, sofisticados e devastadores. A lição de casa está pautada na educação digital e na tecnologia de proteção. A segunda tem avançado consideravelmente, a primeira nem tanto. Hoje, as pessoas não saem mais de casa sem seus celulares ou tablets. Em muitos casos, elas usam dois ou três aparelhos conectados à rede mundial de computadores. As pesquisas indicam uma evolução de tecnologias embarcadas em equipamentos com endereço IP, a internet das coisas. Ou seja, tudo está conectado e a geração de informação cresce a cada dia. Em contrapartida, é grande a falta de cuidado e proteção no ambiente virtual. Empolgadas com o que a tecnologia e a internet podem proporcionar em termos de entretenimento, colaboração e troca de informações, muitas pessoas se esquecem de atualizar o antivírus, configurar o firewall ou simplesmente evitar o clique em links suspeitos. Este cenário exige um processo de reeducação, direitos e deveres no universo digital, além de uma vasta conversa sobre os desafios da Segurança da Informação, tanto em casa quanto na empresa. Nos últimos três anos, o Congresso, Exposição e Premiação Security Leaders reuniu a comunidade nacional e internacional de Segurança para debater justamente esse cenário de avanço e as estratégias de defesa do ciberespaço. Passaram no palco do Congresso líderes de diversos segmentos, desde Finanças e Varejo, a Governo e Telecomunicações, além de autoridades governamentais, analistas e fornecedores de tecnologia. Nas três edições, os executivos protagonizaram ricas discussões em torno dos principais temas do mercado de Segurança. Em 2012, foram 11 painéis, o que resultou em reportagens especiais para a revista Risk Report. Este exemplar em suas mãos traz as conclusões sobre a gestão da Segurança e Risco, serviços compartilhados, proteção na mobilidade e nas redes sociais, cenário de ciberguerra e ameaças avançadas. Além de tendências de tecnologia para o setor como cloud computing e big data. Boa leitura!
FALE CONOSCO: (11) 5049.0202
Graça Sermoud
gsermoud@conteudoeditorial.com.br
Av. Ibirapuera, 2.907 - Cj. 1.118 Moema - 04029-200 - São Paulo SP Tel/Fax: 11-5049-0202 www.conteudoeditorial.com.br
RISK REPORT
3
Índice PAINÉIS ABERTURA Modelos de cloud Segurança no mobile, social e nuvem Serviços compartilhados Big data, segurança e governança Ameaças de última geração Redes sociais e medidas de segurança Ciberarmas Cenário antifraude Gestão de risco Consumerização e BYOD Educação digital
PREMIAÇÃO
4
RISK REPORT
kwarup.com
SEGURANÇA.
MAIS UMA RAZÃO PARA VOCÊ CONTRATAR O CLOUD LOCAWEB. Se você busca mais proteção para arquivos e informações importantes da sua empresa, contrate o Cloud Locaweb, que armazena dados de cada cliente isoladamente, garantindo mais segurança.
Cloud É loCaweb. Locaweb.com.br/Cloud
Cobertura
Security Leaders é sucesso de público MAIOR EVENTO DE SEGURANÇA DA INFORMAÇÃO E RISCO DA AMÉRICA LATINA REÚNE CERCA DE DUAS MIL PESSOAS, ENTRE PÚBLICO PRESENCIAL E ONLINE, PARA DEBATER A PROTEÇÃO DIGITAL
NOS DIAS 7 E 8 DE NOVEMBRO DE
A terceira edição do Security Lea-
e da importância da educação digital
des, usuários e fornecedores de tec-
de nossas vidas e a Segurança da In-
2012 a Fecomércio, em São Paulo, foi
ders reuniu especialistas, autorida-
ça da Informação e Risco da Améri-
nologia para debaterem a Segurança
palco do maior evento de Seguranca Latina. O Congresso, Exposição e
Premiação Security Leaders reuniu
cerca de duas mil pessoas, entre público presencial e internautas, para
debater os desafios da proteção digital diante de uma sociedade cada vez mais conectada.
O mercado de Segurança da In-
formação vive hoje um cenário de
evolução, tanto em novos acessos à
internet quanto dispositivos e aplicações nas mãos dos usuários. A tecnologia de proteção das informações
e dos dados pessoais e corporativos também avançou e ganhou relevância nas estratégias de defesa
do ciberespaço. Esse cenário é ex-
da Informação sobre aspectos vividos no cotidiano das empresas e nos
ambientes domésticos. Os dois dias de Congresso e Exposição receberam
um público presencial de 800 parti-
cipantes, enquanto a plateia online manteve uma audiência total em tor-
no de 1 mil e 200 executivos. A TVDecision transmitiu o evento ao vivo, perfazendo cerca de 20 horas de
transmissão. A plateia virtual par-
esse são importantes para conhecermos as ameaças que rondam nosso território. Além disso, trazer o tema
da educação digital nos prepara pa-
ra o futuro, os internautas brasileiros precisam formar conceitos de riscos e suas consequências no mundo virtual”, acrescenta.
O general José Carlos dos Santos,
foi destaque no segundo dia de Con-
mas enviando perguntas, comentários e sugestões.
O secretário de Planejamento e
abriu solenemente o evento e falou
RISK REPORT
afirma Semeghini. “Eventos como
debate, keynotes e cases de sucesso,
não só acompanhando os painéis de
conectada, porém, abriu preceden-
6
tus e relevância para a o governo”,
chefe do Centro de Defesa Ciberné-
Desenvolvimento Regional do esta-
tes para novas vulnerabilidades.
formação recebe cada vez mais sta-
ticipou ativamente do Congresso,
tremamente positivo em termos de
desenvolvimento de uma sociedade
no Brasil. “Hoje, a internet faz parte
do de São Paulo, Julio Semeghini,
sobre o avanço da proteção dos dados
tica do Exército brasileiro, também
gresso e fez uma palestra sobre o cenário atual de ciberarmas. “Desde a aparição do Stuxnet, vemos uma
elaboração muito grande dos ataques cibernéticos. Para tanto, o governo brasileiro planeja investir, ao longo de quatro anos, cerca de R$
400 milhões em pesquisa e desenvolvimento da defesa cibernética nacional”, destaca Santos. COMUNIDADE REUNIDA
Os 11 painéis de debate trouxeram
ao palco do Security Leaders cerca de
100 executivos para debater sobre
os desafios de negócios e as tendências em soluções e serviços de segurança. A moderação ficou por conta da diretora editorial das revistas
Decision Report e Risk Report, Graça Sermoud. Tecnologias como cloud
computing, big data, redes sociais, mobilidade e soluções analíticas fi-
acrescenta Rafael Santos, gerente de
meiro dia do Security Leaders 2012.
O Security Leaders 2012 também
contou com a presença de líderes
notes internacionais. Dr. Alastair
Cielo, Bradesco, Porto Seguro, PRO-
Operações de TI da Schincariol.
contou com a participação de keyMacWillson, global managing Partner Security Practice da Accentu-
re; John Richardson, business developer for Internationl Market da
Lieberman Software; Bob Kruse,
director of Sales da Fire Eye e Michele Sperle, archer director of Sa-
les for Americas da RSA, estiveram presente nos dois dias de Congresso
debatendo sobre os desafios do setor
No seg undo dia, o Congresso
das companhias como Itaú BBA,
DEST, Pfizer, NetShoes, Grupo JBS,
Rádio e TV Record, BICBANCO, Votorantim, HSBC, Marítima Seguros, Grupo Dasa, RBF e Schincariol. Além disso, autoridades da Polícia
Civil de São Paulo, Polícia Federal e advogados especializados em direito digital também participaram do Security Leaders 2012.
Do lado dos fornecedores, em-
e as estratégias de defesa.
presas como Accenture, CA Techno-
dias de Congresso. Entretanto, a edu-
de negócio compartilharam expe-
Eye, Check Point, Oracle, RSA, SAP,
batida por toda a comunidade de Se-
tos discutidos nos painéis de deba-
caram em evidência durante os dois
cação digital foi a mais falada e degurança da Informação.
“As pessoas fazem parte do elo
mais fraco dentro de uma organização e a falta de educação digital pode arrasar a reputação da empresa”, aponta Gustavo Bonesso, gerente de Segurança Corporativa da operadora
Claro. “Cada negócio tem seu risco e
cada risco tem suas soluções. O importante é definir quais instrumentos são
necessários para os negócios, inclusive as campanhas de conscientização
e educação digital dos colaboradores”,
Os usuários de diversos setores
riências nos mais variados assun-
te. CSOs e líderes de Segurança da Informação de empresas como Citibank, Accor, Souza Cruz, Hospital
das Clínicas, NET Serviços, Grupo SBF, Embratel, Grupo Pão de Açúcar,
Serasa Experian, JPMorgan, Bovespa, Vivo, Grupo Ultra, Get Net, Banco Rendimento, Claro, INPLANRIO,
logies, IBM, Dell, Network 1, Fire
Leadcomm, Proof, Qualys, Syman-
tec, Silverlink, Trend Micro, Cen-
trify, Conviso, Feitian, NetBR, SafeNet, Secure, thales, Swivel, GC
Security, Qualitek e MM Viagens estiveram presentes não só como
patrocinadores do evento, mas par-
ticiparam nas discussões sobre o ce-
nário de Segurança da Informação. O Security Leaders 2012 também
C& A, Grupo ABC, Sicoob, Santan-
contou com apoio institucional da
Abril, Prudential, Chevron, Liberty
Camara-e.net, Daryus, DRI Inter-
der, CONTAX, EBX Holding, Grupo
Seguros, CASA&Video e Ambev, es-
tiveram presentes no palco do pri-
IDC, Abranet, ABSEG, ASSESPRO, national, Exin, Fatec, Fecomercio, FIAP, Impacta, Isaca e ISSA. z
RISK REPORT
7
Cobertura
Cloud computing Ainda na era do convencimento
A TERCEIRIZAÇÃO DOS SERVIÇOS DE TIC QUE SE APOIAM NO MODELO DA COMPUTAÇÃO NA NUVEM AINDA NÃO INSPIRA CONFIANÇA NOS USUÁRIOS, QUE PREFEREM LIMITAR A APLICAÇÃO ÀS OPERAÇÕES DE IMPORTÂNCIA MENOS CRÍTICA PARA OS NEGÓCIOS. | POR LUCIA HELENA CORRÊA ção e do discernimento do usuário.
Na NET, usamos o modelo híbrido: o que é sensível, isto é, as opera-
O
ções diretamente ligadas ao negócio, grande fator inibidor
oferece segurança? “Depende do ti-
mas de computação
cloud. Hoje eu tenho serviços tercei-
minação dos siste-
na nuvem continua
sendo o medo das empresas e instituições, de perderem os níveis de
governança e segurança de informações estratégicas. O desafio da indústria, nesse sentido, ainda é
mostrar que é possível ir construindo o sistema em camadas, a começar pelas aplicações menos críticas,
até chegar em segurança ao miolo do negócio. Eis a conclusão do painel de abertura Modelos de cloud e os
aspectos de SI, durante o Congresso
Security Leaders 2012, evento promovido pela TVDecision.
8
Afinal, a computação na nuvem
do processo de disse-
RISK REPORT
po de negócio e do que você coloca em rizados e estou em host. Mas isso
ainda não é aquilo que entendemos
por cloud computing. Por enquanto,
nós aplicamos o conceito apenas aos
continuam em casa. Na nuvem, por exemplo, colocamos as campanhas,
com necessidades elásticas, mas sem
maiores riscos. É preciso saber separar aquilo que deve e o que não deve
ser colocado em cloud”, aconselha Le-
onardo Muroya, gerente de Segurança da Informação da NET Serviços.
O gerente de Segurança da Souza
serviços que dão margem à operação
Cruz, Daniel Delgado, acredita que o
mado core business. Por exemplo?
gia, planejamento e desenho das so-
em total segurança – não as do chaUma ligação que se faz de casa para a empresa”, conta Carla Milova-
nov, CIO da Accord Hospitality. Na opinião dela, o grande desafio é encontrar o profissional capaz de traduzir o técnico em solução de negócio.
“A computação na nuvem é se-
gura, sim. Mas depende da aplica-
nível de proteção depende da estratéluções em função das necessidades de
negócio e, também, da confiabilidade dos fornecedores ao longo do tempo. O Hospital das Clínicas, segundo o gerente de Infraestrutura, Aurélio
Victorino, ainda está mapeando as
aplicações para avaliar o que colocar
em cloud. “Por enquanto, a computa-
tecnologia mais inteligente para Um planeta mais inteligente.
DO RUMO DOS DEBATES Como os negócios estão se reinventando com IBM SmartCloud:
Uma mUdança no clima.
Para uma tecnologia que foi desenvolvida para ser invisível, a computação em nuvem está fazendo grandes mudanças aonde quer que você olhe.
Do modo como trabalhamos até a maneira como vivemos, serviços remotos de TI estão colocando um poder inacreditável em suas mãos. Mas, enquanto diversas empresas estão descobrindo a extraordinária eficiência dos retornos da nuvem, poucas são conscientes do quanto ainda permanece inexplorado.
FINANCE
das empresas que usam a nuvem para transformar o mercado esperam superar concorrentes que hoje se encontram no mesmo estágio.
Vendendo peixes ainda no mar. Criando medicamentos a partir de códigos genéticos.
Passando a emoção do tênis para fora das quadras.
pARA O flUxO DA REcEiTA. móveis e das capacidades analíticas. Essas plataformas estão transformando os modelos de negócio, rompendo segmentos e chegam ao mercado em pouquíssimo tempo. Conversas que eram restritas aos departamentos de TI agora estão acontecendo em toda C-suite. E recursos de rápida implementação como o IBM SmartCloud dão aos líderes muito para refletir.
com base no movimento dos olhos. Os artistas gráficos de todos os lugares agora podem fazer upload de seus arquivos e obter feedback instantâneo sobre o que, provavelmente, irá atrair o olhar dos espectadores. É uma proposta radicalmente diferente com um incalculável e novo potencial de mercado.
ontem, o qUarto dos fUndos; amanhã, a sala principal.
Na maioria das empresas, a nuvem é tomada apenas pelo básico – um canal para aumentar a flexibilidade e reduzir a complexidade. Enquanto isso, empresas visionárias estão repensando a nuvem para se beneficiarem da explosão das mídias sociais, dos aparelhos
repeNse a tI, reINveNte o NegócIo.
Seguindo as tendências de um mundo digital em expansão, vemos uma tempestade de inovação se formando. E hoje, para as empresas mais aplicadas, a nuvem está pronta para ser capitalizada. ibm.com/cloudtechnology/br
Vamos constrUir Um planeta mais
“Tirar o peso das infraestruturas permite que você se concentre na sua estratégia e missão.”
inteligente.
Marc Hoit, CIO, NC State
NuveNs coNstruídas para fazer chover.
Um exemplo é a 3M, que passou a utilizar a nuvem para analisar o design de imagem
3M Visual Attention Service é a ferramenta baseada na nuvem feita para analisar uma peça de design, como este anúncio.
IBM, o logo da IBM, ibm.com, Smarter Planet e o design do globo são marcas registradas e de titularidade da International Business Machines Corporation em todos os países do mundo onde atua. Outros nomes de produtos e serviços podem ser marcas registradas e de titularidade da IBM ou de outras empresas. Uma lista atual das marcas registradas e de titularidade da IBM está disponível na internet no item “Copyright and trademark information” no site www.ibm.com/legal/copytrade.shtml. © International Business Machines Corporation 2012.
Cobertura ção na nuvem se limita à gestão das 17 mil caixas de e-mail”, aponta.
André Delgado lembra que a com-
putação em nuvem é um modelo
avançado de terceirização, mas alerta que terceirizar é, simplesmente,
entregar a outros a responsabilidade pela gestão do sistema. “Só que, quando alguma coisa dá errado, é o
nome dela que sai no jornal”, adver-
te. O gerente de Sistemas da BR Home Center, Adriano Luchetta, chama a atenção para o fato de que a má
“A COMPUTAÇÃO NA NUVEM É SEGURA, SIM. MAS DEPENDE DA APLICAÇÃO E DO DISCERNIMENTO DO USUÁRIO” LEONARDO MUROYA,
GERENTE DE SEGURANÇA DA
INFORMAÇÃO DA NET SERVIÇOS
escolha do sistema – o que tem a ver
ceria dos fornecedores com os clien-
o tipo de tecnologia – no caso de uma
cloud computing parta de planeja-
necessidades. Segurança e Business
sidades de negócio, para prover go-
toma Leonardo Muroya.
com a aplicação de negócio e não com empresa como a dele, pode levar a pa-
ralisações capazes de durar até um dia inteiro, o que seria fatal para a
operação. “Logo, é preciso considerar todos os prós e contras”, adverte.
O líder de Segurança da Informa-
ção da IBM na América Latina, Felipe
tes, de maneira a que todo projeto de
mento seguro, em função das necesvernança contínua, com visibilidade
que, na Souza Cruz, a área de TIC se
MENOS NERD, MAIS CONSULTOR
ção de negócio e não apenas escolher
Qual seria, afinal, o papel do lí-
der de segurança? André Delgado
buscando certificar todas as soluções
tas em tecnologia a deixarem de ser
de cloud computing, desenvolvidas
com base no que existe de mais avan-
çado em tecnologia e em serviços que utilizam as melhores práticas. “Mas
isso não garante o nível de segurança que o mercado exige”, reconhece
o executivo, que propõe estreita par-
Delgado concorda com ele e conta
e transparência total da operação.
Penarânda, conta que, atenta à desconfiança dos usuários, a IBM está
precisam andar de mãos dadas”, re-
também aconselha os especialisnerds, para entenderem o negócio, na condição de consultores, seja em
cloud ou em outra área qualquer da
tecnologia. “Somente assim é que po-
deremos criar mecanismos de segurança, sem parar ou atrasar a operação de negócio”, diz ele. “O papel do
profissional de TIC é entender o negócio e escolher a solução conforme as
“PARA CONTAR COM O MODELO DE CLOUD COMPUTING É PRECISO CONSIDERAR TODOS OS PRÓS E CONTRAS” ADRIANO LUCHETTA,
GERENTE DE SISTEMAS DA BR HOMECENTERS
ocupa, sempre, de analisar a operaas soluções. “Nosso papel é, também, chamar a atenção da diretoria para
os riscos, no caso da escolha equivo-
cada”, resume o executivo. Na opinião dele, a segurança não se garante, sequer com contratos e níveis
de serviço, o chamado SLA (Service Level Agreement). “Eu preciso é
ter a garantia de que poderei, de fato, executar o contrato, se houver,
por exemplo, vazamento de informações. O fornecedor terá recursos para bancar o prejuízo causado
a milhares de clientes, eis a questão”, interroga o executivo.
E o que é mais impactante no
modelo de cloud computing, seja ela
privada, publica ou híbrida – disponibilidade de serviço, sensibilidade financeira ou tempo/custo operacional da modalidade de entrega?
“Tudo isso deve ser analisado”, opina Muroya, da NET, que, assim como Delgado, defende que a lista de fatores importantes deve incluir a questão dos contratos. z
10
RISK REPORT
Cobertura
Segurança
em tempos modernos PROGRAMAS DE EDUCAÇÃO E POLÍTICAS DE SEGURANÇA SÃO AS MELHORES MANEIRAS DE COMBATER AS AMEAÇAS EM REDES CORPORATIVAS | POR LÉIA MACHADO
O
impacto das novas tec-
nologias no ambiente corporativo exige expertise da equipe de
TI em termos de Se-
gurança da Informação. Mas a responsabilidade da proteção não cabe
somente aos técnicos de informática, todos os departamentos e áreas de negócios precisam ser engajados na causa. Programas de educação e
políticas de segurança são as melho-
res maneiras de combater as ameaças em redes corporativas. Essa foi
a conclusão do segundo painel “Co-
rança nas regulamentações do setor.
educacionais”, completa o executivo
mobile, social e cloud”, dentro do Secu-
sem o tablet ou celular inteligente.
normativos internos para lidar me-
mo garantir a segurança das iniciativas de rity Leaders 2012, evento promovido pela TVDecision.
Mesmo oferecendo benefícios e
oportunidades nunca vistos antes, tendências como cloud computing,
“Hoje, ninguém quer fazer reunião
Para garantirmos a segurança no acesso à rede empresarial é importante envolver toda a companhia, principalmente a alta gestão”, completa.
Na visão de Diego Rossetto, dire-
mobilidade e redes sociais desafiam
tor-técnico da IT7 Sistemas, o desafio
de gestão, controles, processos e aces-
internautas brasileiros em termos de
as equipes de segurança em âmbitos sos. Como estabelecer um ambiente se-
guro na empresa diante desses fatores? “Por meio de políticas abrangen-
tes e medidas de proteção eficazes,
podemos gerenciar todas as ações envolvendo o nome da empresa”, aponta
Ulysses Machado, titular da Coordenação de Gestão de Segurança da In-
lhor com a exposição da empresa nas
redes sociais. “O colaborador da Cla-
ro tem uma formação específica para falar em nome da empresa no ambiente virtual”, completa.
maior é superar a despreocupação dos
INFORMAÇÃO SENSÍVEL
disseminação de informações pesso-
os dois lados da moeda: oportunida-
“A falta de educação digital pode arra-
Mas onde é mais difícil manter a po-
ais e empresariais nas redes sociais.
sar a reputação de uma empresa e isso está em jogo o tempo todo”, acrescenta Gustavo Bonesso, gerente de Segurança Corporativa da Claro.
“Para evitar futuros problemas, é
formação do SERPRO. Segundo ele, a
importante deixar claras as políticas
ra crítica e apoia as políticas de segu-
sinados pelos usuários ou programas
entidade trabalha com infraestrutu-
e diz ainda que a operadora lançou
de segurança, seja em contratos as-
De fato, as novas tecnologias têm
des de negócio e vulnerabilidades. lítica de segurança? Na alta gestão ou na base? “O ponto principal desse
cenário é envolver a diretoria da em-
presa nessa causa. Sem isso, as ações de proteção não ganham força”, diz
Yanis Cardoso, gerente de Seguran-
ça da Informação da Embratel. “Não adianta estabelecer um controle ao
RISK REPORT
11
Cobertura usuário se o diretor não tem a mesma consciência”, acrescenta.
ELO MAIS FRACO
No aspecto da mobilidade, Gus-
Na visão de Cardoso, as compa-
tavo Bonesso acredita nos benefícios
da Informação em dois aspectos: de-
vista da segurança, ele é categórico.
nhias precisam tratar a Segurança
finição de padrões de políticas de proteção para colaboradores e clientes; e
autenticação com normas de acesso.
“A análise de perfil ajuda nos proces-
sos de identificação. Infelizmente, li-
damos com funcionários negligentes e seduzidos pelo crime organizado
para fraudar a própria empresa. É preciso analisar o risco e propor alternativas para a área de negócios.”
para os negócios, mas, no ponto de
“Tudo precisa passar por processos de autenticação de acesso e identidade”.
Como o fator humano ainda é o mais vulnerável, na Claro, somente quem
tem maior maturidade pode usar determinados sistemas. “Dependendo
do cargo do colaborador, eu permito o acesso ao e-mail fora da rede da empresa. O acesso por meio de um dispositivo móvel é submetido a uma
série de autenticações, senhas, antivírus, entre outros sistemas de proteção”, afirma.
E por falar em elo mais fraco nos
aspectos críticos da segurança, a
Claro sente o impacto em diferentes proporções. Na questão de redes
sociais, a conscientização dos usuá-
rios é mais complicada de adminis-
trar. Na mobilidade, é ao contrário. A pressão do uso de diferentes dispositivos e sistemas operacionais vem de cima para baixo, ou seja, os altos executivos fazem uso constante da mobilidade na rede corporativa.
DE SEGURANÇA DA INFORMAÇÃO DA EMBRATEL
RISK REPORT
CORPORATIVA DA CLARO
categórico em relação ao fenômeno da
dados que possibilita a informação
“A melhor solução nesse caso é a virtualização dos sistemas operacionais.
O mais complexo é analisar nesse ce-
nário interconectado o risco empre-
sarial para só assim montar ações de proteções”, aponta Bastos.
de monitoração de rede e análise de
correta junto ao processo de retroalimentação para reparar um dano. São ações preventivas para a empresa
saber se portar em situações de conflito”, aponta Paulo Mota, diretor de Produto da Oracle.
Segundo ele, é preciso controlar
Hoje, as empresas brasileiras e
as aplicações básicas oferecidas pe-
lo processo de aprendizagem do no-
e-mail e a agenda, pois são possíveis
internacionais estão passando pevo ambiente colaborativo. A tecnologia está inserida nesse contexto,
está disponível e pode contribuir na segurança das informações. “Independente da política estabelecida,
12
GERENTE DE SEGURANÇA
a tecnologia tem avançado na parte
mobilidade no ambiente corporativo.
YANIS CARDOSO, GERENTE
GUSTAVO BONESSO,
Daniel Bastos, líder de segurança
de uma grande rede varejista, é mais
“NÃO ADIANTA ESTABELECER CONTROLES DE SEGURANÇA AO USUÁRIO SE O DIRETOR NÃO TEM A MESMA CONSCIÊNCIA”
“A FALTA DE EDUCAÇÃO DIGITAL PODE ARRASAR A REPUTAÇÃO DE UMA EMPRESA E ISSO ESTÁ EM JOGO O TEMPO TODO”
la maioria dos dispositivos, como o
canais de troca de dados. “Conhecer quais dispositivos e sistemas entram
no ambiente corporativo facilita a
adoção de medidas exatas de prote-
ção à informação”, completa Mota. z
Cobertura
Serviços compartilhados como estratégia de defesa
D
iante da evolução da
tas ouvidos no painel, ainda exis-
novas tecnologias no
to decolar no Brasil, é preciso definir
internet e presença de
PAINELISTAS DISCUTEM OS DESAFIOS DA SEGURANÇA DA INFORMAÇÃO EM TERMOS DE COMPARTILHAMENTO E DESENVOLVIMENTO DE ESTRATÉGIAS DE PROTEÇÃO | POR LÉIA MACHADO
ambiente corporativo,
a tendência do compar-
tilhamento de serviços e ações de defesa entre empresas e fornecedores de
tecnologia se torna uma nova abor-
mento, além de lidar com questões como regulamentações, cultura da empresa e concorrências.
Mas, já existem ar ticulações
desse tipo em alguns segmentos,
painel Serviços compartilhados, uma abor-
exemplo. De acordo com Marcelo
ção. Essa foi a conclusão do terceiro
dagem estratégica da segurança, durante o Congresso Security Leaders 2012,
evento promovido pela TVDecision. Esse caminho, trilhado por com-
nhando corpo e acena como um diferencial na estratégia de defesa do
ciberespaço. Segundo os especialis-
RISK REPORT
um modelo para esse compartilha-
dagem para a Segurança da Informa-
panhias de diversos setores, vem ga-
14
tem muitos desafios para esse concei-
como o sistema f ina nceiro, por Câmara, gerente departamental de Segurança do Bradesco, os bancos
brasileiros exibem casos de sucesso em termos de compartilhamento.
Segundo ele, as instituições finan-
ceiras são vítimas dos mesmos gru-
pos de fraudadores e a troca de informações facilita não só a prevenção,
Cobertura mas as investigações do crime.
“Não podemos divulgar dados de
“É MUITO BARATO ATACAR E MUITO CARO DEFENDER”
clientes, mas dados dos fraudadores sim. Qualquer transação identificada como fraudulenta passamos
imediatamente para a polícia fede-
MARCELO AMARAL,
ral, pois ela tem as ferramentas cer-
CSO DA BM&FBOVESPA
tas para punir um grupo de fraudadores que esteja atacando não só um
banco, mas o sistema financeiro co-
para criar mecanismos de comparti-
mo todo”, acrescenta Jairo Avritchir,
diretor-executivo de Risco e Conformidade do JPMorgan Chase & Co. para a América Latina. COMBATE UNIDO
Outro desafio destacado pelos
lhamento de serviços. “Todo sistema Em meio a isso, as empresas têm de lidar com o cliente, cada vez mais
“Vivemos um paradoxo: é muito
ternacional. “Montamos um modelo
disponibilidade.
tivos não se sentem a vontade para
formações é necessário, não só en-
portante deixar claro esse conceito. Em alguns pontos, somos concorrentes, mas temos inimigos em
comum”, diz Marcelo Câmara. “Precisamos derrubar a barreira de que
Jairo Avritchir concorda com os
demais painelistas e conta um ca-
barato atacar e muito caro defender.
compartilhar informações. “É im-
essas ações”, completa.
exigente em termos de serviços e
painelistas é a concorrência. Mui-
tas empresas de mercados competi-
informatizado seria beneficiado por
Por isso, o compartilhamento de intre empresas do mesmo setor, mas
todas as indústrias precisam se envolver, incluindo os departamentos
governamentais”, aponta Marcelo Amaral, CSO da BM&FBovespa.
so de sucesso do setor financeiro inde maturidade da segurança que está dividido em 109 práticas agrupadas em quatro níveis. Nós avaliamos a expertise dos nossos fornecedores
de softwares, elaboramos relatórios e apontando quais áreas os players
precisam melhorar. Em seguida, trabalhamos juntos para aprimorar os
pontos destacados e passarmos para
serviços de segurança não podem
ÓRGÃO CENTRALIZADOR
ça da Informação, não há competi-
melhor forma desse compartilha-
tor de Prevenção à Fraude, Risco e
empresas poderão ir além das su-
-sênior de Segurança da Accenture
bert, cada setor precisa contar com
de serviços de segurança e ressaltou
ser compartilhados. Em Seguranção”, completa Paulo Martins, direSI da VIVO.
Alain Deberdt, gerente de SI do
Grupo Pão de Açúcar, citou o comércio eletrônico como um setor onde o compartilhamento de informações acontece. “A segurança não deveria
ser vista como um diferencial competitivo. O e-commerce brasileiro
entendeu que as falhas de seguran-
Diante desses desafios, qual é a
mento funcionar bem? Como as as fronteiras? Na visão de Alain Deum órgão centralizador para fomentar a troca de informações. “Como podemos trabalhar esse conceito nas
nossas empresas sem um fomentador? A Febraban tem feito esse papel
no setor financeiro”, diz o executivo.
“Não é simples estabelecer pa-
ça prejudicam não só uma empre-
drões de compartilhamento de in-
ma Deberdt.
O ideal é sentarmos com os interes-
sa, mas toda a rede varejista”, afirDe fato, os desafios são grandes
e abrangem normas regulatórias de cada segmento de negócio, preocupações com a segurança da troca de
informação, sigilo e gestão de risco.
16
RISK REPORT
um nível de troca de informações, a
fim de garantir a interoperabilidade entre fornecedores”, aponta.
Carlos Alberto Costa, executivo-
Latam, explicou o cenário da área
a dificuldade das empresas em fazer investimentos em proteção. Isso
obrigará o setor corporativo a com-
partilhar suas iniciativas de segurança de modo a melhorar a prote-
ção contra ataques dentro de cada segmento empresarial.
“Os serviços compartilhados de
formações e serviços de segurança.
segurança ainda são considerados
sados para superarmos esses desa-
Na opinião do executivo da Accen-
fios. Inclusive junto aos fornecedores de tecnologia”, acrescenta Marcelo
Amaral. Segundo o executivo, a indústria de tecnologia poderia se unir
de baixa qualidade pelos clientes”.
ture, os clientes esperam mais facilidade de uso e transparência nos
sistemas de segurança, detecção de fraudes e identificação pessoal. z
Cobertura
Big data.
Muito além da segurança NOS SISTEMAS DE BIG DATA, SEGURANÇA É APENAS O FEIJÃO-COMARROZ. O FILÉ MIGNON É A PRIVACIDADE DAS PESSOAS, O QUE SOMENTE A GOVERNANÇA PODE GARANTIR | POR LUCIA HELENA CORRÊA
Regina Pistelli, diretora de TI do
Grupo ABC, acha que, no ambiente
de big data, não basta, tão-somente, saber como armazenar, gerenciar
e ter acesso aos dados, a bem dos ne-
gócios. É preciso preservar a privacidade dos clientes, das pessoas. “Na
internet, nas redes sociais ou na memória do meu computador, por uma questão de segurança, muitas vezes
o ser humano monitorado é invadido. Aí é a hora de pensar em governança que considera todos os lados
P
da questão com devido equilíbrio”, rivacidade, veracida-
tes bases, estruturadas e não estru-
dos através do tempo
ficação daquilo que é crítico, de
de e validade dos da– pela ordem de impor-
tância, eis os grandes
desafios que o conceito de big data
promete vencer, a bem dos negócios e das pessoas. As prioridades foram
citadas pela totalidade dos partici-
pantes do quarto painel Quando big
data, segurança e governança caminham juntas, durante o Congresso Security Leaders 2012, evento promovido pela TVDecision.
“No ambiente em que o volume
de dados não para de crescer, o que
cabe a nós profissionais de TIC é tor-
nar os sistemas inteligentes, o que começa pela integração das diferen-
turadas e prossegue com a classiinteresse dos negócios, daquilo que
não é. Big data é o conceito que nos
permite tudo isso”, recomenda Michele Sperle, diretora comercial da
RSA para as Américas, que veio ao Brasil especialmente para participar do Security Leaders 2012. Michele
diz ela, e ainda chama a atenção para a mudança de cultura no mundo todo em função da comunicação por
meios virtuais. “Nós temos de evitar que o big data vire um big brother.
Atualmente, se você fizer acesso a
uma loja qualquer, logo começa a re-
ceber mensagens a respeito dos produtos ali exibidos. Quem quer isso e até que ponto?”, questiona Regina.
considera que, hoje, as corporações
GOVERNANÇA É O CAMINHO
dados estruturados. Mas, com a ver-
rança da Informação da C&A, tam-
ção na internet, via email, chats e
da privacidade das pessoas que, se-
sabem, por experiência, como tratar
dadeira disseminação da comunicaredes sociais, o volume de dados não estruturados cresce de maneira ex-
plosiva. E já é muito maior. E é urgente aprender a lidar com eles.
Matheus Silva, gerente de Segu-
bém está preocupado com a questão
gundo ele, não pode ser negligenciada em função das necessidades de
proteção. O executivo considera que,
de fato, a grande missão é descobrir
RISK REPORT
17
Cobertura o que fazer com a imensa quantidade
aponta o gerente de Segurança Cor-
hábitos de consumo e até capacidade
Uma das prioridades seria identificar
de dados gerados relativos a clientes, de pagamento, medida pelos holerites, a partir dos quais se libera este
ou aquele limite de gasto, nas ope-
rações com cartões de crédito e com-
pras via internet. “Mas nós precisamos saber, enfim, quem, quando e
como pode ter acesso a esse acervo, de maneira que possamos preservar a integridade dos dados e a privacidade das pessoas. O caminho é a governança”, propõe.
Julio Urdangarin, diretor de Ope-
rações da Inplan Rio de Janeiro, ad-
porativa da Claro, Gustavo Bonesso.
os gargalos que possam levar a situações prejudiciais ao relacionamento
com os clientes. Mas, também, que facilitem o combate a fraudes, graças
à identificação de padrões de comportamento. “Na Central de Atendimento, por exemplo, se a média de
alterações nos dados é três por dia,
cinco, seis mudanças já despertariam suspeita”, exemplifica.
sobre empresas e pessoas, de fato,
der às exigências dos órgãos contro-
fissionais de TIC e gestores de negócios em geral. “Mas, no governo, cujo
objetivo é prover serviços de qualidade aos cidadãos, todo investimento em big data vale a pena”, diz ele.
A propósito, nos próximos quatro
anos, o diretor da IplanRio revela que
o governo do Estado do Rio de Janeiro planeja investir R$ 800 milhões
no projeto Rio Cidade Inteligente. A
ideia é criar as condições necessárias
clientes, além de precisar responladores, que nos cobram as melho-
res práticas em governança, o uso do conceito de big data é estratégico”, reconhece Gilberto Rodrigues,
CIO do Banco Rendimento. “O modelo nos permite a centralização e
melhor gerência dos dados e, a partir daí, a análise de comportamento
de clientes e funcionários, especial-
mente, modelos de combate a fraudes”, argumenta o executivo.
Edinaldo Moraes, gerente de TI
para responder, com serviços de qua-
e SI da GetNet, concorda com o dire-
tantes frente a aproximação da Copa
fio que nos colocam, todos os dias,
lidade, os cidadãos cariocas e os visido Mundo, em 2014, e das Olimpíadas, em 2016. “Mediante cruzamento e análise dos dados, vamos ter, por
exemplo, como melhorar o trajeto
dos ônibus em função do tempo gasto em determinada distância. Mas,
também, receber e responder mais rapidamente à comunicação de um buraco na rua”, conta o executivo.
“Nas teleoperadoras, tudo cami-
nha na direção do sistema de big data que nos permite extrair mais informações da massa de dados de interesse específico de cada setor”,
18
RISK REPORT
DE TI DO GRUPO ABC
“Na indústria financeira, que
vive e sobrevive da confiança dos
ainda desafia a inteligência dos pro-
REGINA PISTELLI, DIRETORA
CONCEITO ESTRATÉGICO
mite que tratar de maneira conveniente a imensa massa de dados
“NO AMBIENTE DE BIG DATA, NÃO BASTA SABER COMO ARMAZENAR, GERENCIAR E TER ACESSO AOS DADOS. É PRECISO PRESERVAR A PRIVACIDADE DAS PESSOAS”
tor do Banco Rendimentos. “O desa-
dados, nos níveis corporativo e pessoal”, resume Moraes.
O gerente da GetNet, assim como
enquanto instituição financeira, é
todos os demais painelistas, acredita
na prestação de serviços, velocida-
fragilidade é tão maior quanto maior
a crescente capacidade de oferecer,
de, assertividade e o mais baixo índice de fraudes possível. O sistema
de big data, para o qual estamos ainda caminhando, depois de organizar o acervo de maneira conveniente,
nos permitirá chegar à granularidade necessária para nos permitir encontrar e reservar os dados certos, de interesse de cada setor. Big data nos
possibilita garantir, ao mesmo tempo, a segurança e a governança dos
que, nos sistemas informatizados, a a base de dados a manipular. “Para
diminuir os riscos, a saída é enxergar além do log. E o big data pode
ajudar, porque nos permite três conquistas essenciais: ligar os vários
sistemas e aplicativos, contextuali-
zar o risco e definir o investimento conforme as reais necessidades e, finalmente, responder com rapidez às agressões, uma vez que sabemos que elas virão”, enumera Moraes. z
Cobertura Alicerces da
segurança DIANTE DO AVANÇO DAS AMEAÇAS VIRTUAIS, AS POLÍTICAS DE PREVENÇÃO E SISTEMAS DE DEFESA DEVEM FOCAR NO COMPORTAMENTO DOS USUÁRIOS | POR LÉIA MACHADO
O
atual cenário do mer-
temas e computadores de usuários?
Informação está pau-
políticas de prevenção devem focar
cado de Segurança da tado no combate diário das novas vulne-
rabilidades, lideradas por tendências como consumerização, mobilidade e redes sociais. Entretanto, não existe
novidade nesse setor. Há pelo menos
dez anos os chamados APTs (ameaças persistentes avançadas, na sigla em inglês) tornam ainda mais comple-
xos os processos de proteção corporativa. O que mudou nesse período foi
a sofisticação dos ataques às empresas e aos órgãos públicos.
Diante do avanço do cibercrime,
como as companhias estão se prepa-
rando para superar os desafios a fim de manter viva a chama da seguran-
ça em processos, infraestruturas, sis-
20
RISK REPORT
Na visão de especialistas do setor, as
presa s dos setores de F ina nça s, Saúde e Energia.
“Muitos ataques demoram dias
nos funcionários, pois, nem sempre
para serem finalizados, ou seja, ca-
tros. A segurança precisa ser equili-
os hábitos online das vítimas”, diz o
é possível proteger todos os perímebrada e as empresas terão o desafio
de conviver o tempo todo com o risco. No quinto painel Ameaças e segurança de ultima geração: o novo cenário, durante o Congresso Security Leaders 2012,
evento promovido pela TVDecision, gestores da segurança debateram
da vez mais os fraudadores estudam
diretor. Para ele, uma estratégia eficiente contra as ameaças surgidas
no novo cenário tecnológico demanda mais colaboração entre as empresas e sistemas de defesa baseados no comportamento dos usuários.
sobre os principais desafios dian-
AÇÕES DE DEFESA
Bob Kruse, diretor comercial da Fi-
pode ser eficaz? As empresas conse-
tra crimes digitais crescem 42%; as
da sofisticação dos ataques? Na visão
te das ameaças virtuais. Segundo
re Eye, a cada ano, os gastos con-
grandes corporações sofrem aproximadamente 100 ataques por semana; as maiores vítimas são em-
Como a Segurança da Informação
guem acompanhar o ritmo crescente
de Fabiano Avelar, gerente de Segurança Corporativa do Grupo Abril, a
exigência de acessos remotos, vin-
Cobertura “A DEFESA É FEITA DE TECNOLOGIA, TROCA DE INFORMAÇÕES E EDUCAÇÃO DOS USUÁRIOS” DANTON COELHO, GERENTE DE GOVERNANÇA, INTELIGÊNCIA DE TI E CSO DO GRUPO EBX HOLDING
executivos, impactam o controle da
proteção corporativa, o que exige um salto sem precedentes no investimento em tecnologia.
“A questão discutida hoje não é
se vamos ser invadidos, mas quando
sofreremos esses ataques. Nessa hora, quem estiver mais bem preparado e souber responder rapidamente
às APTs com uso de ferramentas tecnológicas de próxima geração, certamente sofrerá menos danos”, aponta
utilizar recursos de análise comportamental de usuários. “Hoje, as companhias investem em segurança em
camadas nos sistemas e infraestruturas enquanto os cibercriminosos
direcionam os ataques para os fun-
cionários. O ideal é contarmos com um time forte de resposta de incidentes com ação rápida”, aponta.
O gerente de Segurança da Infor-
respaldo da sociedade em causas tidas
mação da Prudential, Leonardo Car-
meio ambiente ou acabar com injus-
nova TI, capaz de pensar na proteção
como nobres. Sejam para defender o da principalmente de altos cargos
melhor maneira de evitar as APTs é
tiças sociais”, diz Danton Coelho, gerente de Governança, Inteligência de TI e CSO do grupo EBX Holding.
Segundo ele, independente da cau-
sa do cibercrime, as empresas precisam defender as infraestruturas não só usando soluções tecnológicas, mas
também trocando informações com profissionalismo. “Além disso, precisamos acrescentar a educação digital dos usuários e trabalhar melhor a segurança na cabeça das pessoas”,
mona, defende a existência de uma
corporativa. Para o executivo, a ma-
neira como a TI foi constituída ex-
plica muitos dos problemas de segurança enfrentados hoje em dia. “Não
acho justo jogarmos a responsabilidade para o usuário. Ele está mais
exigente porque a tecnologia proporcionou isso. Precisamos encontrar novas maneiras de ir além de tapa buracos e mostrar os riscos aos colaboradores”, completa o gerente.
Bob Kruse concorda com o execu-
completa Coelho.
tivo e aponta um trabalho de colabo-
ções de segurança usadas pelo Gru-
USUÁRIO SEMPRE NO FOCO
fim de fomentar uma comunicação
ter as novas ameaças. “Achar que não
Infraestrutura de Redes e Segurança
da mais num momento onde cada vez
o acesso dos funcionários aos aplica-
o gerente. Segundo Avelar, as solupo Abril são suficientes para combaseremos invadidos é uma ilusão, ainmais os usuários acessam mídias so-
ciais e usam seus dispositivos na rede da empresa”, acrescenta o executivo.
Para Bruno Macena, gerente de
Segurança da Informação da Contax, em alguns modelos de negócio
o controle é mais complexo devido às
demandas das diversas áreas de negócios. Porém, as vulnerabilidades
Para Adriano Assis, gerente de
do Sicoob, o ideal seria não bloquear
tivos externos e redes sociais. No entanto, isso demanda um processo de
educação continuada dos colaboradores para evitar os ataques. Segundo
22
RISK REPORT
ness. A TI não pode ser vista apenas
como um centro de custo, mas uma agregadora de valores sem abrir mão da segurança”, acrescenta.
Para Álvaro Teófilo, superinten-
sas devem mapear os investimentos
mações na utilização da TI”, diz.
Yanis Cardoso, gerente de Segu-
mencionando o crescimento de ata-
ta tenta de alguma forma ganhar um
versar sobre os processos do core busi-
ças nos processos implicam transfor-
sos, ataques com apelo social, como
“A ação de hackers com caráter ativis-
sentar à mesa de outros líderes e con-
dente de Riscos Tecnológicos e Se-
sos de negócio da empresa: “Mudan-
rança da Informação da Embratel,
é o caso do movimento hacktivismo.
eficaz. “Os gestores de TI precisam
Assis, é necessário analisar os proces-
existem também em companhias de
controle mais rígido e, em alguns ca-
ração entre áreas de negócios e TI a
também contribuiu com o debate
ques cada vez mais sofisticados e fo-
cados nos usuários finais. Assim como Kruse, Cardoso acredita que a
gurança do Santander, as emprefeitos na área de segurança. “Uma
boa maneira de pensar essa políti-
ca é analisar o quanto é gasto na de-
tecção, na proteção e na reação aos ataques virtuais. Esse trabalho de
segurança tende a ser bem-sucedido quando a organização tem o usuário ao seu lado”, conclui Teófilo. z
Cobertura
Redes sociais:
oportunidades e riscos PLATAFORMAS DE INTERAÇÃO SOCIAL SÃO CADA VEZ MAIS POPULARES NAS EMPRESAS, MAS A ATENÇÃO COM AS POLÍTICAS DE SEGURANÇA PRECISAM SER REDOBRADAS | POR RODRIGO ARON
O
cenário de interatividade,
proporcionado pelo uso das redes sociais, vem transformando o ambiente corporativo. De fato, muitas
empresas com perfis em páginas de relacionamento como Facebook e Twitter, por
exemplo, já encontraram o modelo ideal de atuação por meio das novas mídias e
vêm colhendo frutos da proximidade descontraída com o cliente.
As redes sociais proporcionam altos ní-
veis de colaboração nos processos de negó-
cio. Por outro lado, o uso massivo trouxe também dois grandes desafios às empresas: aproveitar as oportunidades oferecidas pelo
compartilhamento de informações e saber
lidar com os riscos e medidas de segurança.
RISK REPORT
23
Cobertura Para Ilton Duccini, CSO da Liberty
executivo no sexto painel Redes so-
“ASSEGURAR O COMPARTILHAMENTO DE DADOS NAS REDES SOCIAIS NÃO É DEVER SÓ DO RH, DO JURÍDICO, OU DA TI, MAS DE TODOS”
negócio, durante o Congresso Secu-
PRESIDENTE DO CONSELHO DE
Seguros, a maioria das empresas no
Brasil não se atenta aos devidos cuidados em relação à marca.
“Elas focam no compar tilha-
mento de informações, nas plataformas de interação e no marketing
gerado, mas, esquecem o principal:
gestão desse novo canal”, alerta o
RENATO OPICE BLUM,
ciais: medidas de segurança e riscos para o
rity Leaders 2012, evento promovi-
SEGURANÇA DA INFORMAÇÃO
do pela TVDecision. Além disso,
DA FECOMERCIO DE SP
acrescenta Duccini, o ato de impedir o uso das redes sociais nas organizações pode abrir brechas para a
fim de identificar quais elementos re-
criação de fanpages falsas.
PROCESSO EDUCATIVO
tem com metodologias de atuação
e a conscientização dos usuários”,
ridade no mercado brasileiro em ter-
gurança de grande rede varejista. “É
são peças-chave para obter bons re-
cultura de educação e não apenas em
venientes das plataformas sociais.
“Embora muitas empresas con-
nas redes sociais, ainda falta matumos de equilíbrio entre informação
compartilhada e boas práticas de uti-
lização”, aponta Milton Ferreira, diretor de Segurança da Informação da CASA&VÍDEO. Na visão do executivo, o investimento em treinamento dos
usuários é essencial para manter a integridade da imagem empresarial.
“A melhor estratégia é a educação
completa Daniel Bastos, líder de Seimportante cultivar, diariamente, a
um dia do ano, como faz a maioria das empresas. O tema é sério e exige compromisso”, diz.
De acordo com os especialistas pre-
sentes no painel, o processo de conscientização passa por algumas etapas: conhecer bem os colaboradores a
“FALTA MATURIDADE NO MERCADO BRASILEIRO EM TERMOS DE EQUILÍBRIO ENTRE INFORMAÇÃO COMPARTILHADA E BOAS PRÁTICAS DE UTILIZAÇÃO”, MILTON FERREIRA, DIRETOR DE SEGURANÇA DA INFORMAÇÃO DA CASA&VÍDEO
presentam riscos à reputação da mar-
ca e, a partir dessa observação, definir os caminhos a serem seguidos.
A educação e conscientização
sultados e feedbacks positivos proMesmo assim, ainda precisamos
avançar mais nessas questões. “Para falar em nome da empresa a pes-
soa tem de ser qualificada, respon-
sável e estar por dentro das políticas corporativas”, aponta João Roberto Peres, professor e coordenador de cursos da FGV São Paulo.
Para os painelistas, a decisão
apontada por Peres é a mais sensata a se tomar, pelo menos no come-
ço da utilização das redes sociais pelas companhias. “A falta de casos de
sucesso dificulta qual caminho a seguir em relação às redes sociais. Por isso, quanto mais moderação tiver
no começo mais fácil será o acompanhamento evolutivo desse processo”,
afirma Rogério Cappatti, coordenador de Segurança da Grafisa.
“Já definimos como vamos tra-
tar a informação de dentro para fora da empresa”, completa Cappati.
Na visão de Paulo Yukio, Securi-
24
RISK REPORT
t y Off icer da A mbev, a modera-
conselho de Segurança da Informa-
“AS MÍDIAS SOCIAIS SÃO DE EXTREMA IMPORTÂNCIA EM NOSSAS PROPAGANDAS, REPRESENTANDO UM NOVO NICHO A SER EXPLORADO”
taca a importância de trabalhar com
COORDENADOR DE CURSOS
ção completa o ciclo da educação.
“Uma característica importante é a possibilidade de direcionarmos os colaboradores para as boas práticas sociais na internet”, diz. PUBLICIDADE E PUNIÇÃO
Renato Opice Blum, presidente do
JOÃO ROBERTO PERES,
ção da Fecomercio de São Paulo, desseriedade, tanto no que diz respeito à
DA FGV DE SÃO PAULO
educação digital quanto no compar-
tilhamento de informações corporativas. “Hoje, temos uma visão maior dos crimes eletrônicos, como o roubo
“Focar o público alvo, desenvol-
de dados e o bullying em ambientes
momento da contratação, seja fun-
totalmente preparada”, afirma Opin-
“Assegurar o compartilhamento
digitais, mas a justiça ainda não está
cionário ou executivo”, completa.
ce Blum. Para ele, as empresas preci-
de dados referentes à marca da com-
nários e campanhas de marketing.
dico, ou da TI, mas de todos”, expli-
sam redobrar a atenção com funcio-
“As mídias sociais são de extre-
ma importância em nossas propagandas, representando um novo nicho a ser explorado”, revela João
Peres. Segundo o professor, as ferramentas sociais são, hoje, novos
instrumentos corporativos. “Desde bem utilizadas e baseadas em
estratégias especificas”, completa. Peres aponta a falta de estruturas efetivas das companhias como
maior obstáculo a ser enfrentado
panhia não é dever só do RH, do juríca Renato Opice Blum. “A TI, neste
caso, tem o dever de proteger e educar os usuários, o RH tem o papel de
informar e o jurídico de criar normas e punições a serem respeita-
ver materiais interessantes e usar a linguagem correta aumentam as
chances de atrair os colaboradores”,
diz Yukio. Para ele, o planejamento de comunicação dentro de uma
companhia deve priorizar a quali-
dade do conteúdo disponibilizado aos funcionários e executivos. “Se o
desafio é estimular o acesso às redes
sociais, devemos evitar a dispersão oferecendo assuntos interessantes.”
Entretanto, o planejamento não
das”, acrescenta Ilton Duccini. Os
deve se contemplar apenas a qualida-
de integrar os setores para proporcio-
e para onde são direcionadas. “Oti-
especialistas concordam com o fato
nar uma espécie de constituição com direitos e deveres pré-estabelecidos junto às políticas de segurança.
de das informações, mas o propósito
mizar o uso das mídias sociais deve ter um objetivo, uma necessida-
de, senão ela perde seu significado e, consequentemente, sua função”, ob-
no setor comercial online.
POTENCIALIZAÇÃO DAS REDES
pois a má conduta e a falta de infor-
ambientes sociais exige disciplina e
nuir os riscos, a base da comunicação
missões por justa causa”, conclui o
Duccini. “Existe a preocupação den-
redes sociais deve se pautar em polí-
“Temos de estar sempre atentos,
mações podem ocasionar até em deprofessor da FGV. Na visão de Opice
Blum, questões como essa precisam da cobertura do jurídico. “A má utilização dos meios de compartilhamento de informações por funcionários é
grave e sujeito a punições. É importante a empresa contar com normas
de conduta em ambientes virtuais no
A busca por melhores práticas nos
estratégias bem definidas, reforça
tro das empresas em relação à adoção
de políticas apropriadas ao universo da internet a fim de potencializar o uso das redes sociais”. Complementando
o conceito, Paulo Yukio aponta a barreira da falta de interesse dos usuários
como outro empecilho no processo de potencializar os meios sociais.
serva o CSO da Liberty Seguros.
Para destacar a eficiência e dimi-
corporativa relacionada ao uso das ticas de segurança bem estruturadas
e educação, afirma Rogério Cappatti.
“Já definimos como tratar esse problema no ambiente externo, agora
temos de solucionar internamente, dentro de nossas dependências. Esse
é nosso maior desafio”, conclui o co-
ordenador de Segurança da Grafisa. z
RISK REPORT
25
Cobertura
O Brasil está vivendo uma ciberguerra? SIM OU NÃO. DE FATO, A SENSAÇÃO DE GUERRA VIRTUAL ESTÁ AVANÇANDO E DIVIDE OPINIÕES ENTRE AUTORIDADES DO EXÉRCITO, POLÍCIA FEDERAL E CIVIL, OAB E ESPECIALISTAS | POR LÉIA MACHADO
O
início do século X X
plamente explorada pelos cibercri-
te período de indus-
tomando conta dos noticiários em
foi marcado pelo fort r i a l i z a ç ã o, mu ito
bem ilust rado pelo
cineasta britânico Charles Chaplin no filme Tempos Modernos, de 1936.
Naquela época, era fácil manter o
cartões de crédito a ataques direcionados, o cibercrime causa em nós a sensação de guerra virtual.
Ainda não sabemos se, de fato,
estamos em estado de ciberguerra,
e pesadas horas de trabalho. O sé-
empresas e usuários atenção redobra-
nários, mesmo com regras rígidas culo XXI, entretanto, começou com panhias contam com ambientes colaborativos e tecnológicos.
Mas o conceito de controle, polí-
ticas de segurança e regras de acesso ainda é usado pelas empresas,
principalmente diante de um cenário em que máquinas, engrenagens
e ferramentas manuais deram espa-
mas o assunto exige das autoridades,
da no ambiente virtual. No Brasil, o
tema divide opiniões entre Exército,
Polícia Federal, Polícia Civil, OAB, especialistas e internautas. O tema
foi amplamente debatido no sétimo painel Ciberarmas: Supervírus, espionagem
e ciberterrorismo, durante o Congresso
Security Leaders 2012, evento promovido pela TVDecision.
ço aos sistemas de informática, gad-
INSEGURANÇA NO AR
modernidade está presente não so-
gado de Crimes Eletrônicos da Polícia
também nas mãos das pessoas com
tal afetam toda a sociedade brasilei-
gets, hashtag e aplicativos. Hoje, a
mente nas grandes corporações, mas
celulares inteligentes, tablets, netbooks, notebooks, desktops, câmeras e vídeo games.
A expansão global da internet
deu início a uma nova era da moder nização, porém, abriu precedentes para uma série de lacunas.
A vulnerabilidade é uma delas. Am-
RISK REPORT
todo mundo. Do roubo de dados de
controle das empresas e dos funcio-
um cenário bem diferente. As com-
26
minosos, os crimes eletrônicos vêm
Na opinião de Carlos Sobral, dele-
Federal, as ameaças do universo digira. “Porém, não estamos em estado
de ciberguerra. É importante identificarmos os ataques e agir proativa-
mente, pois o crime organizado utiliza a tecnologia como mais um meio para praticar atos ilícitos”, aponta.
Segundo Coriolano Camargo,
presidente do Comitê Estadual de
Crimes Eletrônicos da OAB, os tra-
“Não estamos vivemos uma guer-
Dentro desse contexto, temos que
descartar as políticas de segurança
não reativo. Aí está o grande desa-
balhos acadêmicos de alunos de vá-
ra cibernética, mas não podemos
chegaram à conclusão de que não es-
no ambiente virtual”, aponta o gene-
rias instituições de ensino de direito tamos vivendo uma guerra cibernética no Brasil. Mas existe sim uma
sensação de ciberguerra devido aos recentes ataques às páginas de empresas nacionais e órgãos públicos.
“Os jovens brasileiros são indu-
zidos por forças internacionais nas
ral José Carlos dos Santos, chefe do
Centro de Defesa Cibernética do Exército brasileiro. “Tem perigo na inter-
net assim como tem na rua, podemos ter dados roubados e precisamos nos precaver”, acrescenta.
Rodrigo Branco, hacker e di-
desempenhar um papel proativo e
fio, como ser proativo numa situação como essa?”, questiona José Mariano, delegado da Policia Civil
de São Paulo. Marianao acrescen-
ta ainda a importância dos inves-
timentos em capacitação, no preparo dos agentes, na pesquisa e na
articulação nacional para comba-
práticas de crimes eletrônicos. Isso
retor de Pesquisa da Qualys, não
de forma oculta, na qual os crimi-
magnitude. “Não me sinto em uma
ESTRATÉGIA DE DEFESA
está atrasado em relação a nenhum
o cenário do campo virtual mudou
çando de maneira razoável”, afir-
tornando uma internet subterrâ-
acontece na internet subterrânea,
nosos disparam diversos malwa-
res contra um sistema”, aponta. “Esse cenário é ameaçador. É pos-
sível comprarmos um pacote de vírus para fraudar o sistema tributário brasileiro, por exemplo. Esses
acontecimentos são considerados ciberguerra? Não tenho todas as
acredita em um confronto dessa situação de guerra e o Brasil não outro país. Aliás, estamos avanma. Ele se refere a recente aprovação de leis específicas para crimes cometidos na internet.
“Quando falamos de ciberame-
respostas. Mas tenho certeza da ne-
aças, precisamos ter muito claro
nacional precisa ser melhor em to-
soberania nacional e aquelas vol-
cessidade de proteção. A segurança dos os níveis”, completa Camargo.
o que são ameaças voltadas para a
tadas para a segurança pública.
ter os crimes eletrônicos.
De acordo com Rodrigo Branco,
muito nos últimos anos e vem se
nea, mencionada pelo advogado
Coriolano Camargo. Segundo o hacker e pesquisador, o crime cibernético movimenta muito dinheiro e isso afeta todo mundo, inclusive os próprios cibercriminosos.
“Os grupos estão cada vez mais
fechados e a troca de informação
RISK REPORT
27
Cobertura “A SEGURANÇA NACIONAL PRECISA SER MELHOR EM TODOS OS NÍVEIS” CORIOLANO CAMARGO,
PRESIDENTE DO COMITÊ ESTADUAL DE CRIMES ELETRÔNICOS DA OAB vestimentos de defesa cibernética estão na casa dos R$ 400 milhões
até 2016. Em 2010, foi criado no entre os hackers está escassa. Ca-
da um mantem seus próprios inte-
resses, eles cobram muito dinheiro para entregar uma vulnerabilidade que prejudica milhões de pessoas”, aponta Branco. “Governos
Brasil o primeiro Centro de Defesa
Cibernética e no início de 2013 a entidade terminará um projeto de especialização de profissionais para a
área de segurança digital, pioneiro na América Latina.
Na visão de Carlos Sobral, os
e empresas de diferentes segmen-
aportes para segurança pública
e essas ações tornam o cibercri-
ta com uma agência centralizadora
tos compram códigos maliciosos me mais profissional. O cenário é alarmante”, completa.
De acordo com Coriolano Ca-
margo, os principais ataques são derivados de organizações bem estruturadas e com fins específicos.
“Existe a preparação de ferramentas e vírus criados para facilitar
invasões, roubos e intenções danosas. Não estamos vivendo uma
ainda são poucos e o Brasil não conde articulação de defesa cibernética. Entretanto, esses gargalos não
impedem a ação das forças de proteção e a articulação da segurança nacional. “Demoramos muito para avançar, o desafio é imenso, mas
estamos no caminho certo. Nenhu-
ma organização criminosa é mais
forte e preparada que o estado bra-
sileiro. Basta que estejamos capa-
citados e qualificados para combater as ameaças”, diz.
Na opinião de José Mariano, o
Brasil está imbuído da maior boa
vontade para agir contra os crimes eletrônicos. “Acertadamente, o País colocou em boas mãos
questões relacionadas a crimes
de natureza tecnológica e acompanha o movimento de outros pa-
íses, desenvolvendo tecnologias próprias dentro das Forças Arma-
das”, aponta, mas também chama atenção para a responsabilidade de usuários e empresas.
“Não adianta o cidadão jogar o problema de insegurança no colo
das autoridades e exigir proteção.
Todos nós temos um papel impor-
tante nesse processo, cuidando dos nossos equipamentos eletrônicos,
atualizando nossos programas de segurança e trabalhando a educação digital nas empresas e dentro de casa. Da mesma forma, as
companhias também têm o papel
de proteção, colaboração e pesqui-
sa. Sem essa articulação, será difícil fecharmos todas as portas”, completa o delegado. z
der de políticas centralizadas para
“NENHUMA ORGANIZAÇÃO CRIMINOSA É MAIS FORTE E PREPARADA QUE O ESTADO BRASILEIRO”
tes virtuais, mas existe uma arti-
DELEGADO DE CRIMES
ciberguerra, mas a sensação assusta. O estado brasileiro precisa
tomar medidas abrangentes e eficazes para combater os crimes eletrônicos”, afirma o advogado.
Hoje, o Brasil não possui um po-
manter a segurança nos ambienculação entre entidades, capaz de
definir práticas seguras e eficazes
contra ataques direcionados. Os in-
28
RISK REPORT
CARLOS SOBRAL, ELETRÔNICOS DA POLÍCIA FEDERAL
A segurança é dinâmica Os usuários querem ter acesso de qualquer lugar. Nos dispositivos móveis, em qualquer plataforma e em qualquer ambiente. As nossas soluções de segurança reduzem os riscos, simplificam a conformidade e permitem que os usuários em trânsito trabalhem com a proteção necessária para compartilhar, colaborar e inovar onde e quando for preciso.
+ SAIBA como a CA Technologies pode ajudar você a acelerar, transformar e proteger a TI acessando ca.com/br/secure-IT
Copyright © 2012 CA. All rights reserved.
Cobertura
Segurança. Uma
questão de identidade AUTENTICAÇÃO, COM O RESPALDO DA TECNOLOGIA EFICAZ E DE FÁCIL USO MAIS COMPORTAMENTO PREVENTIVO DA PARTE DOS USUÁRIOS. ASSIM SE GARANTE A SEGURANÇA CONTRA FRAUDES | POR LUCIA HELENA CORRÊA to, mas conforme a necessidade. Nós ainda precisamos aprender como tratar, por exemplo, o usuário do Internet Banking,
cujas máquinas, em cerca de 90% dos casos, estão contaminadas ou apresentam
deficiência em termos de atualização do sistema operacional”, reconhece Fábio
Benedito, gerente de Segurança Corporativa do Bradesco.
Benedito acredita que o usuário pre-
cisa, sim, dispor de modelos de autenticação eficazes. Mas, ao mesmo tempo,
deve ser chamado à responsabilidade, entendendo que ele próprio é parte integrante do processo. “Muito além da au-
A
ampliação dos negócios, consequência direta da disseminação da tecnologia como ferramenta operacional e, antes
de apoio à decisão, em particular, a crescente popularização dos dispositivos móveis, mudou o perímetro da segu-
rança. Hoje, cada vez mais, o espaço a considerar migra
das redes, antes sob controle quase total dos administradores, para o
nível da identidade dos usuários, que viajam, livremente, pelo ambien-
se quem está acessando é mesmo aquele usuário cadastrado, se ele ainda tem
licença para fazer o acesso, se está dentro do horário de trabalho ou não e, nesse caso, o porquê. Os desafios são mesmo
muitos e não se resumem à autenticação”, diz o executivo.
“Nós precisamos encontrar modelo
te corporativo e nas redes sociais, quase sempre vulneráveis a todo tipo
de autenticação que seja seguro, mas,
dos sistemas de segurança forte, simples, que contemplem grande nú-
criada para barrar os fraudadores, não
de ataque. Essa realidade obriga as corporações a buscarem os chamamero de usuários e à prova de fraudes, a partir de modelos de autenticação realmente eficazes.
Eis, em resumo, conclusão do oitavo painel Cenário anti-fraude: mo-
delos de autenticação, durante o Congresso Security Leaders 2012, evento
promovido pela TVDecision. “O desafio é enorme, sobretudo, ante o
acesso remoto cada vez mais utilizado, sem o necessário planejamen-
30
tenticação, no banco, nós temos de saber
RISK REPORT
ao mesmo tempo racional. A segurança,
pode servir para irritar o cliente”, propõe Carlos Alberto Costa, executivo-sênior de Segurança da Accenture Latam. O consultor considera inadmissível ter
de atravessar oito, nove, dez mecanismos de segurança para criar uma senha
para suporte a uma operação bancária. A notícia boa, segundo ele,
é que a tecnologia já permite tratar tudo isso de maneira mais racional. A TIRANIA DAS SENHAS
O consultor e professor da Fun-
dação Getúlio Vargas, Marcelo Prauchner, protesta contra o acúmulo de
senhas, de memorização impossível, obrigando os usuários a guar-
dá-las em arquivo Word, no compu-
tador, ou num chaveiro, em cima da
“MUITO ALÉM DA AUTENTICAÇÃO, NÓS TEMOS DE SABER SE QUEM ESTÁ ACESSANDO É MESMO AQUELE USUÁRIO CADASTRADO”
FÁBIO BENEDITO, GERENTE
DE SEGURANÇA CORPORATIVA
DO BRADESCO
mesa. “A irracionalidade gera inse-
o sentimento de propriedade com
vel a ataques”, adverte o professor,
dão a zelar pela posse e controle do
gurança e deixa o sistema vulnerá-
que defende o uso de ações educativas de conscientização dos usuários. A tecnologia aplicada à criação
de modelos eficazes de autenticação é essencial. “Mas não funciona
sem educação, cultura, treinamento e responsabilização dos usuários”,
insiste Prauchner e defende ainda
que a educação se torne mais fácil
responsabilidade, forçando o cidadocumento sob pena de ficar fora do alcance dos serviços públicos.
“A ideia é criar o cartão cidadão, capaz de permitir o gerenciamento do perfil de cada um, independentemente de onde a pessoa esteja
e o tipo de serviço público ao qual queira ter acesso”, explica Murad.
Bruno Napolitano, CSO do Itaú
quando os sistemas, mais simples,
BBA, também defende que a tecno-
Ticiano Benetti, CSO da Porto Se-
mas de segurança. Mas considera
conspiram a favor.
guro, acha que o mais difícil é fazer com que os usuários memorizem as senhas, sem anotá-las e consigam
trabalhar com elas, dentro de modelos de comportamento seguros.
“Mas existe backdoor nesse proces-
so, que é o meio: você estabelece senhas, identificação digital ou pela íris e cria o túnel de circulação, mas
que pode ser violado. Basta que alguém invada a estação de trabalho
logia é essencial para prover sisteque a maioria dos usuários, empresas e instituições, quando pensa em
segurança, está atenta quase que exclusivamente ao que acontece no
ambiente da internet e, por extensão, nos perigos que o usuário externo traz. “A verdade, porém, é que o
perigo maior está no comportamento do usuário interno, que precisa ser educado”, adverte.
Márcio Lebrão, vice-presidente da
“A TECNOLOGIA DE AUTENTICAÇÃO É ESSENCIAL, MAS NÃO PODEMOS ESQUECER A EFICÁCIA DE AÇÕES EDUCATIVAS DE CONSCIENTIZAÇÃO DOS USUÁRIOS” MARCELO PRAUCHNER,
CONSULTOR E PROFESSOR DA
FUNDAÇÃO GETÚLIO VARGAS
do usuário”, lembra o executivo.
área de Segurança da CA na Améri-
Prodest, concorda com Prauchner,
multiplicidade e complexidade dos
loriza o combate aos comportamen-
já pode resolver, e bem, a equação se-
“Um dos desafios é dar segurança
Vic tor Mu rad, presidente d a
mais ainda, quando se trata de serviços ao cidadão, nas áreas de saú-
de, educação, financeira e segurança. Ele defende a concentração das informações sobre cada pessoa
num único cartão, o que desperta
ca Latina, respondendo às críticas à
sistemas, garante que a tecnologia
gurança forte versus simplicidade. Mas lembra que, além das soluções
de TIC, a proteção somente se garante quando a cultura corporativa va-
tos de risco e em todos os escalões.
aos usuários mediante modelos simplificados, sem que eles sequer preci-
sem se preocupar com a infraestrutura que estão usando”, conclui. z
RISK REPORT
31
Cobertura
Perigo exposto
SEGUNDO ESPECIALISTAS DO SETOR, A GESTÃO DE RISCO É ESSENCIAL PARA O SUCESSO DO NEGÓCIO, INDEPENDENTE DO TAMANHO DA EMPRESA OU SEGMENTO DE ATUAÇÃO | POR LÉIA MACHADO
E
mpresas do mundo to-
net e da consumerização da TI. “As
tégias para melhorar a proteção das
o avanço do cibercrime.
de paradigma entre o uso pessoal e
o acesso de usuários privilegiados ao
do estão presenciando
A sofisticação dos ataques virtuais deixa to-
das as verticais de negócio expostas ao risco de perder os dados críticos e
informações sigilosas. Nem mesmo
empresas estão vivendo a quebra profissional dos dispositivos e das
informações corporativas”, diz Edson Carlotti, diretor de Tecnologia e
Professional Services da Leadcomm. Segundo Carlotti, a explosão da
empresas: “É importante monitorar bancos de dados; mapear os proces-
sos da companhia a fim de identifi-
car os riscos; mensurar dados sensíveis em documentos; e criptografar
os arquivos que correm risco de se-
as tecnologias mais avançadas tran-
criação e consumo de dados com as
de proteção de infraestruturas, siste-
tre pessoas, dispositivos e aplicativos
DESAFIOS GERENCIAIS
sões externas. “Hoje, o objetivo do ci-
gurança da Informação, Célia Sa-
dos das companhias, pois lá estão
las empresas acabam resultando em
quilizam as companhias em termos
mas e aplicações. Com isso, a gestão de risco se faz necessária em todos os aspectos da segurança.
O nono painel Gestão de Risco e
impacto nos negócios, durante o Con-
gresso Security Leaders 2012, even-
to promovido pela T V Decision,
reuniu especialistas para debater
os desafios da Segurança da Informação diante do avanço da inter-
32
RISK REPORT
informações sendo distribuídas enempresariais abre espaço para invabercrime é chegar aos bancos de da-
informações mais relevantes. Apro-
ximadamente 98% das informações roubadas de empresas vêm dos bancos de dados”, explicou o executivo.
Diante desse cenário, o executivo
da Leadcomm aponta algumas estra-
rem expostos”, explica.
Na visão da especialista em Se-
rauza, situações mal avaliadas pefraudes, ou seja, são riscos que não
foram analisados corretamente. “No
Brasil, não há uma cultura de plane-
jamento em médio e longo prazo em termos de TI. Muitas vezes, o orça-
mento da TI/segurança é usado para
Cobertura “O
BANCO TEM A ANÁLISE DE RISCO NO DNA”
GUSTAVO DOS SANTOS, GERENTE DE INFRAESTRUTURA E OPERAÇÕES DO BANCO VOLKSWAGEN
de uso de ferramentas tecnológicas e proteção de dados.
“Além da escala, a regulação im-
nais da empresa. Essa perda de bud-
posta pelo Banco Central nos obri-
tra riscos”, acrescenta Célia.
e de clientes. Nós classificamos os
get compromete o planejamento conPara Daniel Sobral, gerente de
Segurança da Informação do Grupo Friboi/JBS, a gestão de risco está re-
lacionada à área de atuação da empresa, sendo que alguns segmentos
de negócio são mais tolerantes ao risco. No entanto, o executivo reforça a
importância do gerenciamento contínuo, independente do tamanho da
ga a proteger informações internas
De fato, a gestão de risco pas-
sa por três pilares importantes nas empresas: pessoas, infraestrutura
e soluções de tecnologia. Em algumas indústrias, como o setor financeiro, por exemplo, existe também o aspecto da regulamentação imposta por órgãos específicos.
Segundo Gustavo dos Santos, ge-
rente de Infraestrutura e Operações
do Banco Volkswagen, assim como o setor de telecomunicações, os bancos
correm mais riscos, pois são segmentos com grande número de clientes.
Ou seja, a demanda vinda do consu-
34
RISK REPORT
No caso da loja de e-commerce,
essa divisão fomenta a maturidade
na gestão do risco. “Nós nascemos no comércio eletrônico, saber direcio-
ajuda a mitigar o risco e otimizar os custos”, completa o gerente. De uma maneira ou de outra, a setor varejista vem aprendendo com as instituições
financeiras a serem mais cautelosos
na proteção das informações, principalmente dados de clientes.
Ubirajara Santos, diretor de Tec-
rejo diferem de outros segmentos:
é a melhor maneira de lidar com os
ataques virtuais. “Diferente de ou-
tros segmentos de mercado, o ban-
co tem a análise de risco no DNA”, acrescenta o executivo.
Vitor Sena, gerente de Seguran-
posta por Gustavo dos Santos. “Se
de ser eliminado”, aponta.
da Netshoes”, enfatiza Sena.
ele, criar um mapa de riscos ainda
dade da análise”, diz Santos. Para
tecnologias para mitigar e analisar parte do cotidiano, não é algo que po-
e clientes, e os dados corporativos
nologia da Adição Distribuidora do
ça da Informação da rede varejista
os riscos do Grupo. Esse processo faz
pos de dados: os externos, de lojas
riscos e definimos qual a periodici-
empresa ou vertical. “Nós usamos diversas metodologias e um arsenal de
ramo onde lidamos com dois ti-
nar a estratégia para cada ambiente
midor exige pioneirismo em termos
resolver outros problemas operacio-
imediata. “Isso é fundamental no
Netshoes, concorda com a visão ex-
mapearmos os riscos nunca conseguiremos controlá-los”. De acordo com Sena, a principal dificuldade é
saber quais riscos podem ser trans-
feridos e resolvidos posteriormente e quais deles precisam de ação
“SE NÃO MAPEARMOS OS RISCOS NUNCA CONSEGUIREMOS CONTROLÁ-LOS” VITOR SENA, GERENTE DE SEGURANÇA DA INFORMAÇÃO DA NETSHOES
Grupo ABC, as preocupações do va“Não monitoramos o risco minuto a
minuto. Nosso foco é preservar as in-
formações do consumidor e continuar atendendo”. Uma das razões para
essa diferença, segundo o executi-
vo, é a dificuldade em fazer investimentos. “Nossas margens são mais
apertadas e nem sempre podemos investir. A alternativa é melhorar as
ferramentas de gestão para enfrentar
os riscos”, conclui Ubirajara Santos. z
Cobertura
Por dentro da consumerização DEFINIR POLÍTICAS DE SEGURANÇA E INVESTIR NA CONSCIENTIZAÇÃO DO USUÁRIO SÃO PALAVRAS DE ORDEM PARA GARANTIR A PROTEÇÃO DAS INFORMAÇÕES CORPORATIVAS | POR RODRIGO ARON
O
fenômeno da consu-
do BYOD (traga seu próprio dispositi-
ra ficar nos ambien-
ção aos funcionários e pode trazer fa-
mer i z ação veio pates corporativos. Não
vo, na sigla em inglês) agrega satisfa-
em relação ao cenário de consumerização e riscos corporativos.
“Definimos os dispositivos a se-
cilidades aos processos empresariais.
rem utilizados e distribuímos ape-
nefícios trazidos pelas tecnologias
sem volta. Estamos diante de uma
zação”, diz. Essa prática de utilização
positivos presentes nos processos de
Mas, como toda novidade, é preci-
há como negar os be-
móveis, aplicações e diferentes disnegócios. Por mais estranho que pareça, o conceito de consumo do universo pessoal transcendeu os muros
das empresas e hoje faz parte das
ferramentas de trabalho dos colaboradores. Essa é a conclusão do décimo painel Consumerização e BYOD X
Vulnerabilidades, durante o Congres-
so Security Leaders 2012, evento pro-
“Essa inovação é um caminho
tendência com evolução diár ia.
so atenção aos cuidados com as informações corporativas”, alerta. “As
companhias podem catalogar os dispositivos pessoais a fim de facilitar a
identificação dos mesmos na rede da empresa. Além disso, é importante ser fiel às políticas de segurança já estabelecidas”, completa.
movido pela TVDecision.
REGRAS DE USO
encontrar a maneira mais segura de
cia é a liberação do BYOD apenas pa-
o equilíbrio em liberar o uso de dis-
segurança, responsáveis pela rede,
O grande desafio empresarial é
tirar proveito da situação mantendo
positivos pessoais na organização e,
ao mesmo tempo, assegurar a gover-
nança, dados sigilosos e conformidade com órgãos reguladores. Para Marcia Tosta, CSO da BRF, a política
Outra alternativa citada por Mar-
ra cargos específicos, como chefes de
áreas de tomada de decisão e altos cargos executivos. Antônio Everardo,
gerente de Segurança da Informação
do BICBANCO, revela a solução encontrada pela instituição financeira
nas para os altos escalões da organide equipamentos direcionados para pessoas específicas se baseia no
grau de confiança ou funções exercidas pelos colaboradores. Everardo
acredita que essa iniciativa permite
um controle maior das informações e, consequentemente, dos riscos.
“Os riscos são grandes porque
os aparelhos são pessoais e não se
pode tirar a liberdade das pessoas”, acrescenta o gerente do BICBANCO,
destacando sobre a impor tância
do cumprimento das normas empresariais em relação à política do BYOD estabelecida internamente.
Segundo o executivo, o processo de implementação da mobilidade precisa seguir três etapas: criação de políticas de proteção; definição de
plataformas a serem utilizadas; e educação dos colaboradores.
RISK REPORT
35
Cobertura “DEFINIMOS OS DISPOSITIVOS A SEREM UTILIZADOS E DISTRIBUÍMOS APENAS PARA OS ALTOS ESCALÕES DA ORGANIZAÇÃO” ANTÔNIO EVERARDO,
GERENTE DE SEGURANÇA DA INFORMAÇÃO DO BICBANCO
RESPONSABILIDADE ATRIBUÍDA
Felipe Prado, Security officer da
Marítima Seguros, também participou do painel de debates e destaca
as consequências atribuídas aos atos
falhos dos colaboradores. Segundo Prado, 70% dos funcionários usam o
e-mail corporativo nos aparelhos pes-
soais sem informar às áreas responsáveis. “Essas ações aumentam os riscos
de vazamento e roubo de informações
cem os riscos de perda ou roubo de informações corporativas. Na visão do
executivo, não há resposta fácil para essa tendência. “A responsabilida-
de não deve cair apenas sobre a TI.
O CIO deve entrar em cena depois de decididos, em conjunto, quais procedimentos serão adotados”, defende.
John Juskas, gerente de TI e de
P rocessos de Negóc ios do H SBC Bank, abre uma discussão antiga
sobre as ações ocorridas dentro das companhias. “Exceções existem e
“DE NADA ADIANTA DISPONIBILIZAR UMA TECNOLOGIA INOVADORA E ABRIR MÃO DA SEGURANÇA” RAFAEL SANTOS,
GERENTE DE OPERAÇÕES
DE TI DA BRASIL KIRIN
empresariais. Quem será responsável
sidade de desafios a serem superados
Na opinião do executivo da Marí-
desde a criação de novos sistemas de
sempre existirão, até mesmo em ins-
cas de uso dos aparelhos e das apli-
dados críticos de terceiros”, diz. “Por
pelos incidentes?” questiona.
tima Seguros, a proteção dos dados da empresa é de responsabilidade da
TI, mas a Segurança da Informação
precisa ser compreendida por todas
as áreas da companhia. “A responsabilidade é de todos, pois engloba
educação, gestão de pessoas, processos jurídicos, entre outros pontos importantes”, completa.
pelos CSOs e CIOs. Esses gargalos vão
gestão do ambiente de TI às políticações. “Não adianta disponibilizar
uma tecnologia e abrir mão da segu-
rança, ambos devem caminhar juntos”, diz Rafael Santos.
DEFINIÇÃO EM CONJUNTO
Para Eduardo Tavares, CSO do
Rafael Santos, gerente de Opera-
Grupo Dasa, permitir a consumeri-
tro aspecto do fenômeno da consu-
bilidade de três áreas: Tecnologia da
ções de TI da Brasil Kirin, reforça oumerização. “Cada negócio tem seu
risco e cada risco tem suas soluções.
O importante é definir quais instrumentos são necessários para manter a segurança na empresa”, revela.
De fato, as novas tecnologias
abriram caminhos para uma diver-
36
RISK REPORT
zação depende do acordo e responsaInformação, negócios e jurídico. “É importante deixar claras as regras
de uso de equipamentos pessoais nas
empresas para não haver injustiças em caso de incidentes”, aponta.
Segundo Tavares, 90% dos funcio-
nários de uma empresa não conhe-
tituições financeiras, detentoras de
isso, a educação digital não pode faltar em nenhum processo referente à
utilização de tecnologias inovadoras nas empresas”, acrescenta.
Os painelistas chegaram à con-
clusão de que a definição de políticas
e dispositivos permitidos dentro das
organizações aumenta os valores agregados à produção e serviços prestados.
Anderson Moura, gerente de TI da Rádio e TV Record, reforça esse conceito
e destaca a importância em perceber o
atraso na proibição de inovações tecnológicas nos processos corporativos. “É
preciso definir e investir no que é vital para as organizações, seja BYOD ou qualquer outra inovação”, conclui. z
Cobertura
Leis e educação digital caminham juntas NOVAS LEIS BRASILEIRAS REGULARIZAM O CIBERESPAÇO, PORÉM, EDUCAR E CONSCIENTIZAR USUÁRIOS SÃO PRÁTICAS FUNDAMENTAIS EM EMPRESAS E DOMICÍLIOS | POR RODRIGO ARON
star preparado para responder aos ataques maliciosos
“O FATOR HUMANO NÃO PODE SER REPROGRAMADO, MAS EDUCADO”
corporativa. Por isso, quase tão importante quanto res-
SANTOS, CHEFE DO CENTRO
E
é extremamente importante para chefes de segurança
ponder às ameaças de maneira rápida e eficaz, é a capacidade das empresas em educar seus funcionários sobre
riscos e boas práticas de navegação na internet. O último painel
GENERAL JOSÉ CARLOS DOS DE DEFESA CIBERNÉTICA DO EXÉRCITO BRASILEIRO
Educação digital, invasão de privacidade e regulamentação, durante o Con-
gresso Security Leaders 2012, evento promovido pela TVDecision, trouxe à tona essa discussão.
Leandro Bissoli, advogado especialista em Direito Digital do PPP
Advogados, defende a conscientização efetiva e mais aprofundada
sobre as implicações do mau uso de ferramentas sociais, além de
riscos externos e internos das informações corporativas. “É preciso, por meio de programas de conscientização, mostrar aos colabo-
radores as consequências de seus atos, tanto no ambiente físico como no virtual”, afirma.
Hoje, a educação digital ganhou mais uma aliada. As leis específi-
cas para combater os crimes cometidos na internet foram aprovadas, em novembro passado, e sancionada pela presidente Dilma Rousseff
em 03 de dezembro de 2012. A partir de agora, as empresas terão o mínimo de proteção judicial para contar.
RISK REPORT
37
Cobertura “DEIXAR OS FUNCIONÁRIOS CIENTES DE SEUS DIREITOS E DEVERES NO AMBIENTE DIGITAL FORTALECE AS POLÍTICAS DE SEGURANÇA” LUIZ JACOMETTI, DIRETOR DE TI DA PREFEITURA DE GUARULHOS
trado aqui é a falta de interesse dos
Deacordo com ele, as empresas lidam
segurança é tecnologia e a outra me-
sites de pesquisas, notícias e relacio-
funcionários. Cinquenta por cento da
tade é engenharia social”, acrescenta.
Na visão de Rony Vainzof, vice-
-presidente do Conselho de Segu-
rança da Informação da Fecomercio - SP, as leis sancionadas permitem
julgamentos de atos ilícitos se tornando mais uma fer ramenta no
combate aos crimes digitais. Mas, segundo o executivo, o efeito posi-
diariamente com acessos a diversos
namentos. “O aumento do tráfico na rede empresarial deixa um novo desafio para manter o equilíbrio entre pro-
teção, liberação e privacidade. É preciso adequar regras e decisões legais aos conhecimentos adquiridos”, diz. BOAS MANEIRAS
Na opinião do chefe do Centro de
Defesa Cibernética do Exército Bra-
sileiro, general José Carlos dos Santos, os índices de conscientização dos
internautas brasileiros são satisfatórios, mas sempre existe a possibilidade de melhorar. “O Ministério da Educação me chamou para ajudar na
criação de uma cartilha sobre Edu-
cação Digital. O objetivo é conscientizar as pessoas, das crianças aos
idosos, sobre o uso responsável da internet”, aponta o general.
Segundo Leandro Bissoli, o im-
portante na Segurança da Informa-
ção é deixar clara a responsabilidade atribuída a cada funcionário, De acordo com Luiz Jacometti,
diretor de TI da Prefeitura de Guarulhos - SP, a lei se transforma em
uma poderosa ferramenta no com-
bate a diversas ameaças para companhias e inter nautas, mas adverte. “É preciso conscientizar os colaboradores sobre os artigos das
“O EFEITO POSITIVO DAS LEIS SÓ SERÁ SURTIDO SE COMBINADO À EDUCAÇÃO DIGITAL DOS INTERNAUTAS” RONY VAINZOF,
leis aprovadas. Deixar os funcioná-
VICE-PRESIDENTE DO CONSELHO
res no ambiente digital fortalece as
DA FECOMERCIO DE SÃO PAULO
rios cientes de seus direitos e devepolíticas de segurança”, aponta.
Fernando Santos, country mana-
DE SEGURANÇA DA INFORMAÇÃO
ger da Check Point no Brasil, reforça
tivo só será surtido se combinado à
locando a responsabilidade em cima
Tacito Leite, vice-presidente da
a opinião sobre a educação digital co-
consciência dos usuários.
das companhias. “É obrigação das
ABSEG (Associação Brasileira de Pro-
ídas pela diretoria. O desafio encon-
cussão para o ambiente corporativo.
empresas ensinar as práticas institu-
38
RISK REPORT
fissionais de Segurança), eleva a dis-
em a mbiente cor porat ivo, e aos usuários domésticos também. “A
educação está intimamente ligada às boas práticas de privacidade, produção e segurança”, completa.
Com o avanço da política do BYOD
(traga seu próprio dispositivo, na si-
gla em inglês), o acesso às redes sociais se tornou mais comum nas empresas e os CIOs já perceberam a
necessidade de definir políticas de segurança para evitar o roubo de informações, seja proposital ou não. “O desafio está pautado nas pessoas
e em como prepará-las de maneira
correta. Lidar com softwares é mais fácil”, conclui o general do Exército
Brasileiro José Carlos. Para ele, o fator humano não pode ser reprogramado, mas, sim, educado. z
Premiação Security Leaders 2012
premia CSOs PROMOVIDA PELA CONTEÚDO EDITORIAL EM PARCERIA COM A IDC, A PREMIAÇÃO DESTACOU OS MELHORES PROFISSIONAIS E ESPECIALISTAS EM SEGURANÇA DA INFORMAÇÃO E RISCO Com o objetivo de reconhecer o valor do
ma de pontuação, a premiação contou com a parti-
trabalho dos líderes de Segurança da Informação
cipação de 102 empresas e reconheceu o profissio-
e Risco, o Prêmio Security Leaders 2012 se conso-
nal pelo seu perfil de liderança, atuação na área e
lida no mercado e chega na terceira edição. Desde
projetos realizados.
2010, a premiação já contemplou 62 executivos e
A metodologia foi aplicada em três etapas:
vem mostrando ao setor a importância da atuação
elaboração de questionário, coleta das respostas e
dos profissionais de segurança diante de um cená-
ranking de classificação por categoria e seleção dos
rio de ameaças cada vez mais complexo.
finalistas. “Reduzimos o número de questões, sa-
Na noite do dia 8 de novembro, o mercado conheceu
ímos de 70 perguntas, em 2011, para 23, em 2012”,
os 21 líderes durante a premiação promovida pela
aponta Célia Sarauza, gerente de Pesquisa & Con-
Conteúdo Editorial em parceria com a consultoria
sultoria da IDC. “Essa medida agilizou o processo
IDC. Realizada a partir de um questionário e siste-
e deixou a premiação mais dinâmica”, acrescenta.
Veja a lista completa dos vencedores em cada categoria: Banco: Aurélio Conrado Boni, vice-presidente do Bradesco
Banco de Crédito: Edson Vicente Sivieri, diretor de Tecnologia, SI e Patrimonial do Banco BVA Comércio Atacadista: Ubirajara Nascimento Santos, CIO do Adição Distribuição Express Comércio Varejista: Milton Ferreira, information Security Officer da CASA&VÍDEO
Comunicação: Leonardo Muroya, gerente de Segurança da Informação da Net Serviços de Comunicação Construção: Gildásio Rocha, CIO do Grupo Serveng
E-commerce: Vitor Sena, gerente de Segurança da Informação da Netshoes
Educação: João Carlos Lopes Fernandes, coordenador do Curso de Analises e Desenvolvimento de Sistemas da Fatec São Caetano do Sul
Energia: Vanderlei Ferreira, CIO da EDP Energia
Governo: Gustavo Sanches, secretário de Tecnologia da Informação do Tribunal Superior do Trabalho Governo Prod’s: Victor Murad Filho, presidente da Prodest
Indústria de Alimentos/Bebida/Fumo: Rafael Santos, gerente de Segurança da Informação da Brasil Kirin
40
RISK REPORT
Indústria de Manufatura: Maria Aparecida Leite Lima Filha, diretora de IT & Telecom/ Member Of CIO IT LAM da BIC Amazonia
Saúde: Jacson Venâncio de Barros, coordenador do Núcleo Especializado de Tecnologia da Informação do Hospital das Clínicas da Faculdade de Medicina da USP
Seguradora: Leonardo de Andrade Carmona, gerente de Segurança de Informação da Prudential do Brasil Seguros de Vida Serviços: Fernando Soares Malta, gerente de Segurança da Informação da Teleperformance CRM Serviços Financeiros: Edinaldo Moraes, Security Manager da Getnet
Siderurgia/ Mineração/ Metalurgia: Danton Coelho, gerente de Segurança da Informação e Governança de TI do Grupo EBX
Telecom: Gustavo Adolpho Bonesso, gerente de Segurança de Informações Corporativas da Claro Trabalho Acadêmico: Daniel Aviz Bastos
Campanha de Conscientização: Patricia Peck Pinheiro
RISK REPORT
41
Premiação 15 - Célia Sarauza (IDC) e Fernando Malta (Teleperformance) - 16 - Breno Niero (Silverlink) e Edinaldo Moraes (Getnet) 17 - Sérgio Sermoud e Danton Coelho (Grupo EBX) - 18 - Luis Gustavo (E-val) e Gustavo Bonesso (Claro) 19 - Célia Sarauza (IDC) e Daniel Bastos (Rede Varejista) - 20 - Sérgio Sermoud, Leandro Bissoli (PPPAdvogados) e Graça Sermoud
42
RISK REPORT
: