Ano 11 Edição 22 2016
SEGURANÇA DA INFORMAÇÃO E GESTÃO DE RISCO
| Security Leaders 2016
EMPRESAS DIGITAIS EXIGEM SEGURANÇA ÁGIL E DISRUPTIVA
WELLINGTON COELHO, CIO DA TEKSID, É ELEITO O LÍDER DE SEGURANÇA NACIONAL
Internacional: Cisco e McAfee apresentam tendências em cibersegurança
EDITORIAL W W W. S EC U RI T Y R E P O R T.C O M . B R
DEZEMBRO 2016
DIREÇÃO E EDIÇÃO GERAL Graça Sermoud gsermoud@conteudoeditorial.com.br
EDITORES-ASSISTENTES Alexandre Finelli afinelli@conteudoeditorial.com.br Léia Machado lmachado@conteudoeditorial.com.br REDAÇÃO Jackson Hoepers jhoepers@conteudoeditorial.com.br DESIGN Leo dos Santos lsantos@conteudoeditorial.com.br
Rafael Lisboa rlisboa@conteudoeditorial.com.br FOTOGRAFIA Porto Alegre: Fabiano de Souza Freitas
Recife: Ricardo Leite São Paulo: Izilda França IMAGENS ShutterStock DIREÇÃO DE MARKETING Sergio Sermoud ssermoud@conteudoeditorial.com.br GERENTE DE OPERAÇÕES Ricardo Dias rdias@conteudoeditorial.com.br EVENTOS Adriana Rodrigues arodrigues@conteudoeditorial.com.br
Fernanda Santos fsantos@conteudoeditorial.com.br Hérika Marques hsilva@conteudoeditorial.com.br Renata Ramos mramos@conteudoeditorial.com.br
A revista Security Report é uma publicação da Conteúdo Editorial, uma empresa de produtos e serviços editoriais na área de Tecnologia da Informação e Comunicação. Saiba mais sobre a Security Report no www.securityreport. com.br. Mais sobre a Conteúdo Editorial em w w w.conteudoeditorial.com.br
Crimes virtuais, delitos reais UM TEMA COMEÇA A DESPONTAR NO HORIZONTE DA SEGURANÇA CIBERNÉTICA E promete dominar os debates ao longo de 2017. Trata-se de considerar o cibercrime, cada vez mais, como um delito comum, no sentido de ser igual a qualquer outro tipo de infração. A ideia não seria desqualificar o crime cibernético ou relegá-lo a uma condição de menos atenção, ao contrário. A intenção é justamente dar ao cibercrime a importância devida e mostrar que ele deixou de fazer parte de um universo distante para se integrar ao dia a dia das empresas e das pessoas. Da mesma forma que todos nós convivemos e nos precavemos de infrações e vulnerabilidades do cotidiano, deveríamos nos preocupar e nos prevenir das violações cometidas no mundo virtual. Os que defendem essa visão acreditam que enquanto as pessoas acharem que as transgressões cometidas pela internet fazem parte de um universo diferenciado, ainda estarão distantes de assumir um comportamento diário de prevenção. Infelizmente é assim. Em geral, é a consciência e exposição ao risco que levam os indivíduos, as empresas, o governo e a sociedade em geral, a se protegerem. De toda forma, o assunto é polêmico, até porque sabemos que o meio virtual compreende recursos tecnológicos e mecanismos digitais ainda não compreendidos, em sua totalidade, pela maioria das pessoas. O que não impede que elas utilizem esse meio hoje para se comunicar, se divertir, trabalhar, comprar. Sim, as pessoas vivem nesse mundo, o que corrobora a tese de que ele é cada vez menos virtual e mais real. Se por um lado essa maneira de enxergar o cibercrime possa desmistificá-lo e, consequentemente, torná-lo um tema rotineiro, também pode encobrir aspectos legais, sociais, comportamentais e institucionais que são extremamente relevantes no combate às infrações cometidas pela internet. Há que se discutir e reconsiderar diversos aspectos positivos e, eventualmente, negativos dessa abordagem. Por essa razão, iniciei dizendo que esse será um dos principais temas em debate no próximo ano. O importante de tudo isso, independente do quanto essa maneira de ver o cenário de crimes cibernéticos seja benéfica ou não, é que estamos considerando cada vez mais os delitos cometidos no universo virtual como crimes reais e, portanto, trazendo para o dia a dia os mesmos cuidados que costumamos assumir em relação aos riscos cotidianos.
FALE CONOSCO: (11) 5049.0202
Boa leitura!
Av. Ibirapuera, 2.907 - Cj. 1.118 Moema - 04029-200 - São Paulo SP Tel/Fax: 11-5049-0202 www.conteudoeditorial.com.br
Graça Sermoud
gsermoud@conteudoeditorial.com.br
SECURITY REPORT
3
ÍNDICE
OVERVIEW
06 07
TI E SI EXIGEM COLABORAÇÃO ENTRE ÁREAS CIBERCRIME É UMA EPIDEMIA GLOBAL
SECURITY LEADERS PORTO ALEGRE
08
FINTECHS DESAFIAM MODELOS DE SI
SECURITY LEADERS RECIFE
12
DA SEGURANÇA RESTRITIVA À PERMISSIVA
SECURITY LEADERS SÃO PAULO CONGRESSO DEBATE DESAFIOS DOS CSOS DIANTE DA DIGITALIZAÇÃO
14
PRÊMIO PREMIAÇÃO TEM RECORDE DE INSCRITOS
23
INTERNACIONAL O RETORNO DA MCAFEE CISCO ASSOCIA SEGURANÇA DIGITAL À FÍSICA
4
SECURITY REPORT
24 26
RISK REPORT
5
OVERVIEW
Pesquisa aponta necessidade de
colaboração entre TI e SI Troca de informações mais rápidas entre as duas áreas proporciona ambiente mais favorável à inovação
PESQUISA GLOBAL DIVULGADA PELO Instituto Ponemon revela que as organizações sabem das transformações em operações de TI necessárias para melhorar a segurança. No entanto, devido a pressões causadas pela taxa de mudança de mercado, incluindo a adoção de novas tecnologias e aplicativos, as empresas muitas vezes sacrificam a SI pela velocidade dos negócios. “Todas as instituições empresariais estão sob pressão para impulsionar a inovação, a fim de responder às mudanças no cenário competitivo e atender às novas expectativas dos clientes”, disse Dr. Larry Ponemon, chairman e fundador do Instituto. “Isso está alimentando uma tendência de digitalização à medida que mais recursos e interação vão para o ambiente digital, o que requer maior e mais livre acesso às fontes de informação online”. Os entrevistados reconhecem a necessidade de fornecer acesso em tempo hábil para usuários de negócios, mas infelizmente os processos são difíceis de gerir e os recursos para apoiar este esforço são escassos. Devido a capacidade de conceder direitos de acesso estar com uma alta demanda, as organizações estão prematuramente capacitando os usuários de negócios a gerenciar o acesso por conta própria. Isso está levando ao aumento do risco em informações confidenciais uma vez que existem lacunas nos controles, tais como sistemas de mainframe. Resultados da pesquisa revelam que 62% dos respondentes disseram que não podem manter-se com a taxa de variação ou aplicar controles que são suficientemente
6
SECURITY REPORT
amplos para manter a informação segura. Já 44% acreditam que o processo de concessão de acesso é oneroso. Mais de 60% dizem que a informação do cliente está em risco por causa de controles fragilizados, enquanto 47% afirmam que há um risco para a informação do empregado. Quase metade deles acredita que a Internet das Coisas é uma tendência importante que afeta o gerenciamento de identidade e acesso (IAM). ESPAÇO PARA MELHORIAS Para reduzir o risco, e ainda capacitar a empresa a tomar decisões de TI, as organizações devem reavaliar as estratégias de segurança atuais e seus processos. As descobertas da pesquisa revelam as principais tendências para a redução do risco. Cerca de 48% dos entrevistados acreditam que a boa identidade e a tecnologia no gerenciamento de acesso (IAS) podem ser bem-sucedidas na realização dos objetivos do processo de negócios. 69% veem a autenticação multifator como uma tecnologia importante para a aplicação do gerenciamento de acesso. A fim de mudar para soluções mais automatizadas, integradas e seguras de modo que a gestão do acesso facilite o intercâmbio de informações rápidas que irão abastecer a inovação empresarial em escala global, as empresas precisam inicialmente criar um relacionamento mais colaborativo entre as equipes de SI e de TI. z
OVERVIEW
Cibercrimes: uma
epidemia digital, global e silenciosa Chefe da Interpol no Brasil, Valdecy Urquiza, afirma que estamos diante de uma nova face do crime e que atividades exigem ações conjuntas entre polícia e organizações de todo o mundo | Por Léia Machado
“A AÇÃO DOS CIBERCRIMINOSOS desperta a atenção de companhias e autoridades e a ameaça se tornou uma epidemia digital, global e silenciosa”. A afirmação de Valdecy Urquiza, chefe da Interpol no Brasil, mostra bem o atual momento em que vivemos. Na opinião dele, empresas, órgãos públicos e cidadãos estão diante de uma nova face do crime. “Eu acredito que vivemos um momento de mudança. Esse tipo de delito não pode ser combatido apenas por instituições governamentais. Vivemos num cenário em que precisamos juntar as forças para combater esse mal. Sabemos como ele é e age, mas precisamos nos unir para vencer a criminalidade cibernética”, completou Urquiza. Durante a abertura do Congresso Security Leaders, realizado em outubro, em São Paulo, o delegado apresentou um estudo do FBI sobre o cenário de perdas das empresas norte-americanas com o cibercrime. Só o comprometimento de e-mail corporativo, em muitos casos com o uso do correio
eletrônico do CEO, rendeu prejuízos na margem de US$ 250 milhões em 2015. O furto de identidade movimentou US$ 200 milhões no ano passado. “O fundador do Facebook, Mark Zuckerberg, foi vítima dessa ação por não seguir as políticas de proteção básica da rede social”, alertou. Além disso, o sequestro de dados (ransomware) está se tornando uma das maiores preocu-
COMPROMETIMENTO DE E-MAIL CORPORATIVO, QUE EM MUITOS CASOS ENVOLVE O CORREIO ELETRÔNICO DO CEO, RENDEU PREJUÍZOS NA MARGEM DE US$ 250 MILHÕES EM 2015
pações das instituições públicas e privadas. Mesmo sendo uma iniciativa que causou prejuízo de US$ 1,600 milhão – pouco, se comparado ao comprometimento de e-mail – é uma atividade que vem crescendo e fazendo vítimas, principalmente entre as PMEs. “Hoje, já temos 370 tipos de ran-
somware e o ataque direcionado às empresas de médio e pequeno porte é devido à falta de política adequada de backup e poucos investimentos em segurança cibernética. Além disso, o preço do resgate é compatível ao que a empresa pode pagar”, pontuou o especialista, acrescentando que só nos Estados Unidos, foram 2.453 casos de sequestro de dados reportados em 2015. MOBILIZAÇÃO GLOBAL Com o avanço dos crimes cibernéticos, a atividade policiar vive um período de mudança para atuar numa esfera mais digital e globalizada. O delegado Urquiza chama a atenção para uma política global de defesa, tanto que a Interpol, que hoje possui 190 países membros, está empenhada nessa iniciativa. Em abril do ano passado, a instituição inaugurou o Complexo Global de Inovação Tecnológica, em Cingapura, que envolve pesquisas e desenvolvimentos em temas como moedas digitais, deep web e malware. A equipe conta com 300 profissionais multidisciplinares como policiais, estudantes de universidades e executivos de empresas. z
SECURITY REPORT
7
SECURITY LEADERS PORTO ALEGRE
Fintechs desafiam modelos de SI DURANTE A 3ª EDIÇÃO DO SECURITY LEADERS EM PORTO ALEGRE, QUE REUNIU CERCA DE 400 EXECUTIVOS NO SHERATON HOTEL, JORGE KRUG, DIRETOR DE TI DO BANRISUL, APONTOU AS MUDANÇAS NA SI COM A ENTRADA DOS BANCOS DIGITAIS E FINTECHS NO SISTEMA FINANCEIRO | POR ALEXANDRE FINELLI
O
que muda na SI com a entrada dos bancos digitais e as fintechs no sistema financeiro? Estes novos modelos de negócios trazem inúmeros benefícios aos usuários, porém, são grandes as chances de apresentarem vulnerabilidades e estarem mais expostos a ataques de cibercriminosos. O tema foi trazido por Jorge Krug, diretor de Tecnologia da Informação do Banrisul, na abertura da 3ª edição do Security Leaders Porto Alegre. “Segundo um estudo da KPMG, havia 560 ofertas de financiamento de risco em 2013, 710 em 2014 e 807 em 2015. Com essa quantidade enorme de operações, são grandes as probabilidades de encontrarmos vulnerabilidades de segurança”, explicou Krug. O evento, realizado em setembro na capital gaúcha, contou ainda com a participação dos principais líderes de Tecnologia, Segurança e Risco da região, entre eles Jeferson Prevedello (CSO da GetNet), Ricardo Dastis (CISO das Lojas Renner), Leandro Bertholdo (Presidente do Comitê de Segurança da Informação da UFRGS) e muitos outros. Krug pontuou algumas razões que o levam a acreditar na fragilidade da segurança de algumas fintechs. A falta de regulamentação é uma delas, já que elas não estão sendo acompanhadas tão de perto pelo Banco Central como os bancos tradicionais. Outro ponto é o aumento das interfaces entre os provedores, já que algumas dessas soluções podem ser incompatíveis com os sistemas legados tradicionais. Além deste tema, o especialista afirmou que o Blockchain, apontado como a grande tendência em segurança no setor, irá
8
SECURITY REPORT
de fato crescer, mas o seu desenvolvimento vai exigir a devida atenção à segurança cibernética no contexto dos sistemas descentralizados. “A própria Febraban já criou uma subcomissão para trabalhar no desenho desta tecnologia no sistema financeiro brasileiro”, completou.
MERCADO DE AQUISIÇÕES Além dos novos modelos de negócios presentes no sistema financeiro, as recentes aquisições feitas entre grandes empresas da área de Segurança e startups também foram destaques no evento. Durante um painel com representantes da indústria, os executivos compartilharam suas opiniões sobre as transformações pelas quais o mercado está passando ultimamente. Julio Kusman, Territory Manager da Check Point Software Technologies, acredita que startups trazem conceitos e tecnologias inovadoras e contribuem para melhorar o portfólio das grandes empresas. “É proveitoso já que isso facilita o compartilhamento de informações e ajuda a aperfeiçoar as nossas soluções”, disse. Por conta disso, Alexandre Bonatti, Systems Engineering
SECURITY REPORT
9
SECURITY LEADERS PORTO ALEGRE
“FINTECHS NÃO ESTÃO SENDO ACOMPANHADAS TÃO DE PERTO PELO BANCO CENTRAL COMO OS BANCOS TRADICIONAIS” Jorge Krug, diretor de TI do Banrisul
Manager Brazil da Fortinet, acredita que as aquisições são naturais e elas acontecem à medida que as ameaças evoluem. “O maior desafio é como o profissional de segurança irá integrar essas tecnologias, já que quanto maior o número delas, maior será o nível de complexidade na gestão”, alertou. Não foi somente as aquisições de startups que foram comentadas, mas também esse movimento entre as grandes companhias, como Intel Security, Dell EMC, entre outras empresas que foram integradas recentemente. Na opinião de Evandro Costa, Account Manager South da Dell, essas mudanças forçam as instituições a terem um comportamento diferenciado. “Acredito que os clientes ganham com essas mudanças já que incentivam mais troca de dados entre elas”, pontua. “O volume de informações hoje é absurdo. As aquisições são positivas, pois o crime organizado se une a uma ideia de compartilhamento de informações. Temos que sair da caixa e entender que isso é benéfico para todos, fornecedores e clientes”, finalizou Luiz Eduardo Improta, gerente de Desenvolvimento de Negócios da Vivo. Na opinião dos usuários, as aquisições também parecem ser benéficas. Para Ricardo Dastis, CISO das Lojas Renner, essa incorporação oferece mais robustez às soluções, além de complementar com recursos recentes. “Não tem player capaz de entregar tudo o que você precisa. Cada um é especialista em tal nicho”, concorda Jeferson Prevedello, CSO da GetNet.
INOVAÇÃO EM SEGURANÇA Segundo os debatedores do evento, um dos principais pontos positivos proporcionado pelo mercado de aquisição é o compartilhamento de informações e consequentemente
10
SECURITY REPORT
como isso colabora no processo de inovação em Segurança da Informação. Porém, ficou claro que este é um tema que continua sendo um desafio para a área. “O problema é que a empresa impõe um timing que às vezes não está sincronizado com as necessidades do departamento”, pontuou Prevedello. Por conta disso, cabe à organização decidir o apetite de risco e definir quais devem ser as prioridades. “É preciso estabelecer um comitê onde o executivo de SI tem uma cadeira. A responsabilidade deve ser compartilhada por todos”, defendeu. Daniel Maurer, especialista em Segurança da Informação da CEITEC, concorda e reforçou que a inovação está muito atrelada ao tipo de negócio. Em organizações mais tradicionais, os desafios são maiores exigindo uma mudança de cultura para que a Segurança da Informação esteja intrínseca em todas as áreas. “Por mais que se fale em inovação não podemos esquecer do básico”, ressaltou Mauricio Zuccolotto, IT Security & Compliance Expert da AGCO América do Sul. O executivo alertou que muitas empresas querem inovar sem ter condições para tal. Segundo os especialistas, as empresas têm um parque tecnológico lindo, mas utilizam apenas 5% do potencial. “Em um cenário em que as ameaças evoluem diariamente assim como os negócios da empresa, é muito desafiador se reinventar. Não existe modelo pronto de segurança sem risco para a organização. Cabe ao líder ter a capacidade de entender as principais demandas da empresa e proteger o que é fundamental para ela”, concluiu Zuccolotto. z
“NÃO TEM PLAYER CAPAZ DE ENTREGAR TUDO O QUE VOCÊ PRECISA. CADA UM É ESPECIALISTA EM TAL NICHO” Jeferson Prevedello, CSO da GetNet
SECURITY LEADERS RECIFE
Da Segurança restritiva à permissiva:
é possível?
NA VISÃO DOS DEBATEDORES DA 2ª EDIÇÃO DO SECURITY LEADERS RECIFE, SIM, DESDE QUE SE ESTABELEÇA PROGRAMAS DE ACULTURAMENTO ENVOLVENDO TODOS OS COLABORADORES DA ORGANIZAÇÃO E QUE A SI ESTEJA PRESENTE NO ESTÁGIO INICIAL DE DESENVOLVIMENTO DE UM NOVO PROJETO | POR ALEXANDRE FINELLI A área de SI normalmente é vista como restritiva, aquela que atrasa e encarece projetos numa organização. Mas seria possível transformar este rótulo de “Segurança do não” em “Segurança do sim”? Na opinião da maioria dos especialistas presentes na 2ª edição do Security Leaders Recife, sim, desde que os executivos se atentem a alguns cuidados, como criar programas de educação digital e incluir Segurança antes do desenvolvimento de um novo projeto. O tema foi um dos destaques do evento, que aconteceu em setembro no JCPM Trade Center. Na ocasião, mais de 200 profissionais de Tecnologia e Segurança da Informação debateram este e outros assuntos com representantes de instituições regionais renomadas como, Ministério Público de Pernambuco, Ale Combustíveis, Copergás, CESAR, Tribunal de Justiça, Centro de Informática da Universidade Federal de Pernambuco, Serpro, entre outras. “Infelizmente, a área de Segurança ainda só é lembrada quando algo dá errado”, lamentou Rodrigo Jorge, gerente de SI da Ale Combustíveis. Na visão do executivo, um trabalho de conscientização constante é fundamental para ter um feedback mais positivo. Programas
“A ÁREA DE SEGURANÇA AINDA SÓ É LEMBRADA QUANDO ALGO DÁ ERRADO” Rodrigo Jorge, gerente de SI da Ale Combustíveis
12
SECURITY REPORT
de aculturamento em que todos os colaboradores se tornem responsáveis pela proteção corporativa no dia a dia também é essencial. “O profissional precisa ter a segurança em seu DNA”, explica Rodrigo Arteiro, IT Governance Specialist do Ministério Público de Pernambuco. Mas o executivo ressalta que isso deve atender a toda a organização. “Já vi empresas onde as equipes têm uma estrutura totalmente bloqueada, mas o board executivo não”, complementa Marcos Alves, Regional Sales Manager da Palo Alto Networks. Segundo Vitor Vianna, Corporate Sales Manager Engineer LATAM da F-Secure, esses trabalhos de conscientização são fundamentais para que os próprios profissionais de segurança também sejam vistos como usuários. “É preciso fazer entender que um vazamento de dados, por exemplo, é ruim para todos”, exemplifica. “A equipe não pode ser vista como inimiga. Todos têm que zelar pela segurança da empresa e não ter isso restrito a uma equipe”, complementa Fabio Paim, System Engineer da Fortinet. É consenso entre os debatedores que uma das saídas também insiste em envolver os profissionais de SI já no estágio inicial de um novo projeto. Com isso, o tema é tratado desde o seu desenvolvimento e não chega nas mãos dos CSOs apenas
“ESTÁ NA HORA DE A TI DEIXAR DE SER BUROCRÁTICA, SENÃO MANTEREMOS OS MESMOS MODELOS DE NEGÓCIOS TRADICIONAIS DE SEMPRE. INOVAR É ASSUMIR RISCOS” Roberto Arteiro, IT Governance Specialist do Ministério Público de Pernambuco
no final, quando este precisa reavaliar os processos, verificar as conformidades e impedir o lançamento quando necessário. No entanto, Arteiro afirma que há empresas que não envolvem profissionais de SI, porque acreditam que estes irão atrasar os projetos. “Está na hora de a TI deixar de ser burocrática, senão manteremos os mesmos modelos de negócios tradicionais de sempre. Inovar é assumir riscos”, finaliza.
DOR DE CABEÇA “CIOs têm dado dores de cabeça aos CSOs”, brincou Arteiro. Isso porque os líderes de SI não podem mais assumir uma postura restritiva, que diz não a um lançamento de um novo produto ou serviço. Ele citou o exemplo da vontade do presidente americano, Barack Obama,
em visitar uma favela ao chegar no Rio de Janeiro há alguns anos. “A CIA não pôde dizer não ao presidente, mas, obviamente, tiveram que se preparar e isso teve um custo”, explicou. Grandes desafios devem crescer de agora em diante. Considerando que os aparelhos estão cada vez mais conectados, a Segurança tende a assumir um papel fundamental no processo de inovação nos negócios. Com empresas investindo em carros autônomos e aviões com conexão wi-fi, os riscos são iminentes já que são claros que todos os sistemas são suscetíveis a ataques hackers. Essa digitalização está presente em todos os tipos de empresas, tanto nas nascidas nessa nova era ou naquelas que estão migrando seus ambientes do físico para o eletrônico. O setor judiciário e a Saúde são bons exemplos. “Uma empresa que enfrenta um processo milionário pode contratar um hacker para comprometer o ato”, exemplificou. Já os hospitais e demais seguradoras lideram o ranking de instituições mais visadas atualmente. Diante deste cenário, Arteiro afirma que as empresas precisam providenciar tecnologias que não interfiram na agilidade do negócio. “Bloquear ou restringir serviços não adiantam. O colaborador precisa de mecanismos que façam fluir o trabalho na velocidade que atenda a necessidade do board”, finalizou. z
SECURITY REPORT
13
SECURITY LEADERS SÃO PAULO
EMPRESAS DEVEM REPORTAR ATAQUES CIBERNÉTICOS? POR QUE O RANSOMWARE AINDA LIDERA O RANKING DE AMEAÇAS? COMO CRIAR UMA CULTURA DE SEGURANÇA CORPORATIVA? AS QUESTÕES MAIS DESAFIADORAS (E POLÊMICAS) QUE FIZERAM PARTE DA AGENDA DOS CSOs EM 2016 FORAM OS TEMAS DEBATIDOS NA 7ª EDIÇÃO DO CONGRESSO, EXPOSIÇÃO E PREMIAÇÃO SECURITY LEADERS. AS RESPOSTAS A ESSAS E TANTAS OUTRAS PERGUNTAS FORAM REPLICADAS PELOS LÍDERES DE ALGUMAS DAS PRINCIPAIS INSTITUIÇÕES DO PAÍS, UMA REFERÊNCIA CLARA SOBRE OS RUMOS DA SEGURANÇA CORPORATIVA NO BRASIL | POR ALEXANDRE FINELLI
PAINÉIS DE DEBATES FORAM REALIZADOS NO TEATRO RAUL CORTEZ
14
SECURITY REPORT
Qual o perfil do CSO nas empresas digitais? U
m ataque a um provedor web americano, que interrompeu serviços de empresas conhecidas como o Twitter e Spotify, em outubro deste ano, foi um dos gatilhos que trouxe à tona o atual perfil do profissional de SI diante da transformação digital. Para se ter uma ideia, cerca de 65% das pessoas ao redor do mundo já foram vítimas de algum tipo de ciberataque e os prejuízos no último ano já somaram mais de US$ 1 bilhão de dólares. Diante deste contexto, será que os CSOs estão preparados para esse novo cenário de ameaças? Qual deve ser o papel dele no futuro, então? Leandro Bennaton, gerente de Segurança da Informação do Grupo Terra, admite que o preparo do CSO para lidar com o atual cenário de ameaças é cada vez mais complexo, considerando o fim do perímetro e a inserção de novas tecnologias nos modelos de negócios. “Soma-se a isso o fato desafiador de que 97% das empresas investirão em inovação, ou seja, IoT, Inteligência Artificial, entre outras. Como assegurar tudo isso on demand?”, questiona. Para Ticiano Benet ti, CISO da Natura, os profissionais de Segurança estão na crista da onda de uma mudança de parâmetros, exigindo deles uma nova postura. Na opinião dele, há um trabalho a ser adaptado que não é mais IT Security. “A Segurança hoje vai muito além do tripé Tecnologia, Processos e Pessoas”, afirmou. “Temos que mostrar que SI é proteger o dinheiro da empresa, a vida
“CSOS NÃO ESTÃO PREPARADOS PARA O FUTURO, MAS A CULPA DEVE SER COMPARTILHADA PELAS EMPRESAS. É PRECISO HAVER UMA DISRUPÇÃO ENTRE TI E SI” Vitor Sena, IT & IS Manager da Livraria Cultura
dos funcionários e a sociedade, cada vez mais apoiada em tecnologia”, disse. Como se não bastasse a complexidade em geral imposta pelas novas tecnologias, a velocidade com que tudo evolui torna o trabalho do CSO ainda mais desafiador. Pela recorrente falta de recursos financeiros, cabe ao líder decidir onde aplicar mais empenho. Para ele, o novo executivo de segurança precisa estar bem próximo ao negócio a fim de identificar a joia da coroa e protegê-la com mais afinco, da detecção à remediação. Na opinião de Vitor Sena, IT & IS Manager da Livraria Cultura, os CSOs estão bem antenados com o que acontece hoje, mas não estão preparados. “Mas a culpa não pode ser apenas dos profissionais de segurança, deve ser compartilhada por toda empresa”, pontuou. O executivo ressalta que cabe à organização repaginar a área de SI. O primeiro passo, segundo ele, é uma ter uma disruptura entre Segurança e Tecnologia da Informação.
E qual deve ser o perfil do CSO do futuro, então? Segundo os debatedores, ser apenas um ótimo técnico não é mais suficiente. “Ele deve ser multidisciplinar, pois será cobrado por temas que vão muito além da Tecnologia. Tem que saber do negócio, entender de pessoas, conhecer análises comportamentais, possuir noções jurídicas e saber de processos”, resumiu Sena. z
CONFIRA O PAINEL COMPLETO EM:
SECURITY REPORT
C C
15
SECURITY LEADERS SÃO PAULO
Security by Design é o caminho?
“S
e um produto é lançado sem segurança e alguma vulnerabilidade é descoberta e publicada pela mídia, a empresa como um todo será prejudicada, não apenas aquele projeto”. A afirmação do pesquisador Rodrigo Branco coloca em xeque o modelo de lançamento de novos serviços no mercado sem uma proteção adequada. Mas se os riscos são tão grandes para o negócio, porque não incluir a Segurança já no estágio inicial de um produto? Essa questão é tão importante que algumas empresas estão considerando a criação de um Lab de inovação onde a segurança já é embutida em novos projetos. O Luiza Labs, do Magazine Luiza, é uma referência para muitas organizações. São mais de 100 profissionais voltados a elaboração de novos negócios onde tudo é testado de maneira dinâmica, usando um conceito de “Lean Startup”. Segundo Gil Santos, Head of Information Security do Magazine Luiza, o segredo
“SE UM PRODUTO É LANÇADO SEM SEGURANÇA E ALGUMA VULNERABILIDADE É DESCOBERTA E PUBLICADA PELA MÍDIA, A EMPRESA COMO UM TODO SERÁ PREJUDICADA” Rodrigo Branco, pesquisador
16
SECURITY REPORT
para as empresas em incluir proteção no começo do desenvolvimento está em tornar a área de SI viabilizadora de negócios e não restritiva. “Tivemos mais voz quando passamos a ser considerados um departamento do sim. Isso requer aproximação com a área de negócios”, explicou.
VIÁVEL PARA TODOS? Embora seja uma opção, não são todas as empresas que devem adotar este conceito. Na opinião de Igor Gutierrez, Information Security Officer da B.
Grob do Brasil, enquanto as adotam um modelo de “fail fast”, ou seja, divulgam e testam os produtos na maior quantidade de pessoas possível, as companhias já bem estruturadas precisam de um planejamento. “Cerca de 30% das startups não vingam no período de 18 meses, porque não souberam tratar de forma segura seu negócio. Companhias tradicionais têm um timing diferenciado principalmente quando se trata de compliance”, explicou. Considerando a importância do tema para a empresa, quem deveria definir sobre a inclusão de segurança no estágio inicial: o CSO ou o CEO? Segundo Marcelo Figueiredo, diretor de TI da Leroy Merlin, isso deve fazer parte de uma estratégia corporativa. “Não apenas um nem outro, mas é o board da companhia quem deve pesar o que é risco e oportunidade de negócio”, disse. Na visão dele, a empresa precisa mapear onde ela quer ser mais tradicional e onde ser mais inovadora assumindo os riscos inerentes a esse processo. z
CONFIRA O PAINEL COMPLETO EM:
SECURITY LEADERS SÃO PAULO
Empresas devem reportar ataques cibernéticos?
É
cada vez mais frequente ter notícias divulgando que determinada empresa sofreu um ciberataque e tiveram seus dados violados. Tais companhias são, em sua grande maioria, americanas ou de algum país europeu, locais onde reportar incidentes é obrigatório. Em contrapartida, é raro termos conhecimento de casos similares no Brasil, onde não há exigência sobre o assunto. Mas quais as consequências disso? Reportar ataques não seria melhor para o mercado como um todo, incentivando a troca de informações e conseguindo mais investimentos para a Segurança? Na opinião de Anderson Mota, Cyber Intelligence Specialist do Citibank, o tema
CONFIRA O PAINEL COMPLETO EM:
é polêmico e precisa considerar sob duas vertentes: compartilhar setorialmente e publicamente. No primeiro caso, é positivo, pois a informação é dividida com empresas que poderiam atuar em conjunto na solução. “Os setores financeiro e de aviação possuem grupos específicos para essa finalidade”, disse. Já o segundo caso é mais delicado. “Acho que o principal é como a instituição irá tratar o incidente caso haja uma violação”, opinou. Salomão de Oliveira, IT Governance and Information Security Manager da Brasil Kirin, concorda e acredita que o principal interessado a ser reportado é o usuário e os demais impactados diretamente. “Não adianta divulgar cada ataque ocorrido, pois todos somos atacados diariamente. A divulgação deve ser em cima de um incidente e quando o usuário é afetado”, opinou. Para ele, a transparência com o cliente é a melhor forma de driblar alguma possível crise. Rodrigo Jorge, gerente de Segurança da Informação da ALE Combustíveis, acredita que o reporte é benéfico. “Qual ainda é a forma mais fácil de convencer o board a investir em SI? Na maioria dos casos, por meio das experiências negati-
“A DIVULGAÇÃO DEVE SER EM CIMA DE UM INCIDENTE E QUANDO O USUÁRIO É AFETADO” Salomão de Oliveira, IT Governance and Information Security Manager da Brasil Kirin
18
SECURITY REPORT
vas do mercado”, disse. Segundo o executivo, é importante que tanto a indústria - para que ela se aperfeiçoe - como seus clientes reportem ataques para que eles não se sintam traídos. Mas o executivo deixa claro: é imprescindível saber o que reportar, como e para quem. “A empresa precisa ser assessorada por um departamento de comunicação que ajude a gerenciar uma crise em potencial”, pontuou. Já Thiago Suzano, gerente LATAM de Arquitetura, Middleware e Technology Standards da McDonalds, disse que reportar ciberataques é essencial. “Como vou buscar empresas parceiras em caso de um incidente se eu mantenho segredo?”, questionou. Segundo o executivo, o principal tabu em relação ao tema ainda é devido à falta de educação digital. “Como um cliente irá ver a empresa após ela ter tido algum incidente?”, disse. Na opinião dele, quanto mais as pessoas entenderem o cenário de ameaças, maior seria a compreensão delas em relação às medidas de proteção necessárias para assegurar a informação de todos. “Ninguém quer chegar numa loja e realizar três níveis de autenticação, por exemplo”, concluiu. z
Por que o ransomware ainda lidera o ranking de ataques?
R
elatório divulgado pela Cyber Threat Alliance revelou que o ransomware causou um prejuízo de US$ 325 milhões em 2015. Vale lembrar que o estudo mencionou apenas uma modalidade específica do malware, o CryptoWall, deixando claro que o estrago causado por esse tipo de ataque foi bem maior. Não por acaso, diversas pesquisas mais recentes apontam o ransomware como o inimigo número um dos CSOs em companhias públicas e privadas. Por quê? Em primeiro lugar, Patricia Peck, advogada especialista em Direito Digital, destaca o caráter evolutivo do malware. Inicialmente, era uma ação que atingia mais as grandes instituições públicas, mas após sua popularização, em 2006, o ransomware passou também a focar em pessoas físicas e a se remodelar para os dispositivos móveis. “Hoje ele ataca em todas as frentes e se disfarça em forma de cupons e outras mensagens difíceis de reconhecer”, disse. Por conta disso, o malware é disseminado de forma intensa dificultando a origem e os responsáveis. Além disso, há características que desafiam as leis jurídicas. “Em muitos casos, a investigação depende de tratados internacionais já que os dados podem estar fora do País e é preciso respeitar a legislação local”, explicou. Na opinião de Pierre Rodrigues, CSO da WEG, o sucesso do ransomware só é possível por uma razão: ele é extremamente lucrativo. O executivo destaca ainda um ponto bastante delicado, que é a falta de maturidade em segurança por parte das empresas. “Há questões básicas de backup que ainda são renegadas”,
lamentou. Rodrigues destacou ainda que o cenário tende a piorar com a chegada da Internet das Coisas. “A combinação entre ransomware e IoT é perigosa. As probabilidades são tão amplas quanto a possibilidade de atuação da IoT”, disse.
cutivo que leva o setor público a ser um dos alvos preferidos dos cibercriminosos. “A gente perde um pouco o timing. Por conta disso, um dos nossos maiores desafios é tentar nos antecipar”, completou. Além disso, Bini revelou que os órgãos públicos, devido às informações que carregam, geram muita visibilidade, sendo também outro motivo que contribui para tornar o setor como um dos mais visados pelo ransomware. Já Bruno Napolitano, CSO da Cielo, assume que o malware preocupa de fato o sistema financeiro. Uma das razões para isso é a falta de preparo dos colaboradores. Na opinião dele, mesmo que os aportes em Segurança estejam crescendo, é necessário que as companhias também invistam mais em treinamentos, afinal, são as pessoas o elo mais fraco dessa cadeia. “Às vezes elas ainda clicam em links por ingenuidade, mas o estrago para a companhia é enorme”, disse. Napolitano afirmou ainda que falta conscientização em todas as camadas corporativas e que disseminar o tema dentro das companhias é a melhor forma de combatê-lo. z
CONFIRA O PAINEL COMPLETO EM:
OS MAIS ATINGIDOS “O setor público enfrenta processos licitatórios demorados, que acaba inibindo a agilidade da Segurança”, opina William Bini, líder de Segurança da Informação da Dataprev. A burocracia é um dos motivos apontados pelo exe-
SECURITY REPORT
19
SECURITY LEADERS SÃO PAULO
Por que a segurança ainda é vista como fonte de custo?
O
s investimentos em produtos e serviços de segurança chegarão a cerca de US$ 81,6 bilhões até o fim do ano. Esse montante corresponde a um crescimento de 7,9% em relação ao total investido em 2015, de acordo com uma das últimas projeções do Gartner. Apesar deste aumento, os responsáveis pela área de Segurança da Informação continuam afirmando que não têm budgets suficientes para proteger de maneira adequada suas instituições, alegando que o board ainda enxerga o departamento apenas como uma fonte de custo. Por quê? Na opinião de Paulo Yukio, Legal Security Officer da Ambev, uma das possíveis razões para isso é o alto custo de produtos e serviços oferecidos pela indústria fornecedora hoje. “Há uma série de ferramentas disponíveis no mercado, mas o preço é caro e falta budget”, disse. Segundo ele, cabe aos provedores buscar alternativas para ajudar essas companhias com orçamento restrito, oferecendo um pacote mais personalizado. Além disso, Yukio disse que desenvolver tecnologias dentro de casa e definir melhor alguns processos internos geram um certo conforto dentro da companhia. O especialista em Segurança da Informação, Aldjer Prado, destacou que, apesar dos grandes investimentos, há muitas chances das empresas ainda sofrerem incidentes e por isso ainda sente muita falta de comprometimento da alta direção da companhia com o tema. Levar a importância do assunto para o board frequentemente pode ajudar a organização a enxergar o investimento como algo benéfico. “O desafio está em encontrar um equilíbrio entre o que é realmente necessário e quanto a empresa está disposta em investir”, disse. “As ameaças existem, se materializam e a alta direção não pode estar inócua a esta situação”, afirmou. Para Vinicius Fiel, CSO do Grupo GPA, o maior problema é pagar caro por algo sem saber se irá usar um dia. “É como uma analogia com o seguro de um carro. Você paga até um certo montante, se passar muito fica inviável”, pontuou. No entanto, Fiel destacou a importância do alto escalão compreender a importância do investimento para que ele atinja os objetivos da companhia. “A segurança pode até ser uma despesa, mas que deve ser vista como uma economia de custos. Você gasta agora para evitar gastar mais na frente”, ressaltou.
ONDE INVESTIR? Diante do desafio da restrição do orçamento, alguns CSOs têm enfrentado dilemas constantes sobre onde devem investir mais: se em prevenção ou resposta a incidentes. O equilíbrio entre ambas ainda parece ser a principal aposta entre eles. “Se você tira de uma, precisa investir mais em outra. Na minha visão, creio que as estratégias devem ser complementares e equilibradas”, opinou Fiel. Para Prado, considerando que mesmo quem investe enfrenta o risco de sofrer um ataque, a companhia deve focar em como proteger a reputação para evitar ter mais problemas com o produto. “A resposta precisa ser rápida com processos, ferramentas e um trabalho conjunto com o board”, disse. z
20
SECURITY REPORT
CONFIRA O PAINEL COMPLETO EM:
“A SEGURANÇA PODE ATÉ SER UMA DESPESA, MAS QUE DEVE SER VISTA COMO UMA ECONOMIA DE CUSTOS. VOCÊ GASTA AGORA PARA EVITAR GASTAR MAIS NA FRENTE” Vinicius Fiel, CSO do Grupo GPA
Rethink the risk. A BT possui mais de 2,500 especialistas em segurança, conectados a partir de 14 centros globais de operação, inclusive no Brasil, protegendo a rede de clientes em 180 países.
Entre em contato com a BT e saiba como se antecipar a qualquer ameaça. Ligue (11) 4700.9800 ou envie um email para latin.america@bt.com
www.bt.com/br SECURITY REPORT
21
SECURITY LEADERS SÃO PAULO
Falta lei específica sobre proteção de dados ESPECIALISTAS SENTEM NECESSIDADE DE LEI NACIONAL QUE ASSEGURE A CONFIDENCIALIDADE E SIGILO DAS INFORMAÇÕES
O
Brasil avança no campo legislativo digital, mas ainda tem muito a evoluir. Essa é uma das conclusões apontadas pelos debatedores presentes no Congresso Security Leaders. Durante os painéis totalmente voltados para a questão legal, as autoridades jurídicas afirmaram que o Marco Civil é um progresso no que tange o Direito Digital e é visto com bons olhos internacionalmente, embora ainda exista a necessidade de aprimorá-lo. Entre as
22
SECURITY REPORT
questões mais urgentes, os especialistas ressaltaram a demanda por uma lei nacional específica para proteção de dados, que traga mais confidencialidade e sigilo no tratamento das informações, a fim de oferecer maior segurança às organizações e aos usuários finais. Para Rony Vainzof, coordenador da Comissão de Estudos de Direito Digital do Conselho Superior de Direito da Fecomercio, o Direito sempre vem a reboque da realidade social e da necessidade de
proteção em relação às novas tecnologias. Na opinião do executivo, os atentados às torres gêmeas nos Estados Unidos e o efeito Snowden foram decisivos na definição das leis digitais no Brasil z
Prêmio Security Leaders tem recorde de inscritos A 7ª EDIÇÃO DO PRÊMIO SECURITY LEADERS, QUE CONTOU NOVAMENTE COM A APURAÇÃO DO IDC, TEVE 450 INSCRIÇÕES E 14 LÍDERES PREMIADOS, ALÉM DE TRÊS CASES EM DESTAQUE. PELA 1ª VEZ, A COMPETIÇÃO ELEGEU LÍDERES REGIONAIS CULMINANDO NA ELEIÇÃO DO MELHOR LÍDER DE SEGURANÇA NACIONAL. VEJA ABAIXO A LISTA DE VENCEDORES:
BANCOS
Maurício Minas Vice-Presidente Executivo do Bradesco
COMÉRCIO
Vitor Sena – gerente de Tecnologia e SI da Livraria Cultura
GOVERNO E UTILITIES
Marco Túlio Moraes Ciber Security Leader da AES Brasil
MANUFATURA
Igor Gutierrez Information Security Officer da B Grob
MÍDIA-TELECOM E EDUCAÇÃO
Yanis Stoyannis – Consultor sênior de Segurança da Informação da Embratel
SAÚDE
Anderson Elias Mendes – CISO da Cabesp
SERVIÇOS FINANCEIROS
Longinus Timochenco CISO do SPC Brasil
VENCEDOR PRÊMIO NACIONAL Além de receber o Prêmio CASE DO ANO - CATEGORIA OURO -, Wellington Coelho, CIO da Teksid, também foi reconhecido como o melhor líder de Segurança de 2016
PRÊMIO REGIONAL
CASES
BRASÍLIA
Claudia Maria De Andrade - Coordenadora Geral de TI da Receita Federal do Brasil
BELO HORIZONTE
Thiago Galvão IT Risk and Compliance Leader da Gerdau
VENCEDOR PRATA
Marco Túlio Moraes - AES Brasil
PORTO ALEGRE
Marcos Donner – Gerente De Segurança Da Informação do Sicredi
RECIFE
Rodrigo Jorge – CIO da Ale Combustíveis
RIO DE JANEIRO
William Bini – Líder de Segurança da Informação da Dataprev
VENCEDOR BRONZE
Longinus Timochenco - SPC Brasil
SERVIÇOS PROFISSIONAIS
Fernando Malta gerente de SI da Teleperformance
CONFIRA TODAS AS FOTOS DA PREMIAÇÃO SECURITY REPORT
23
INTERNACIONAL
O retorno da McAfee MARCA VOLTA À CENA DA SEGURANÇA COM UMA NOVA ESTRATÉGIA QUE TENTA RESGATAR O QUE A EMPRESA TEM DE MELHOR: A TRADIÇÃO | POR *GRAÇA SERMOUD
A
pós idas e vindas, a marca McAfee volta à cena da segurança com o tradicional escudo estilizado e a cor vermelha. O anúncio foi feito na abertura do Focus 2016, em novembro, na cidade de Las Vegas (EUA), e apresentado com entusiasmo pelo VP e General Manager da Intel Security, Christopher Young. Por trás do retorno da logomarca McAfee está uma nova estratégia que tenta resgatar o que a empresa tem de melhor, a tradição. Claro que o mundo da cybersecurity mudou e o antivírus que fez a fama da companhia ficou no passado, mas a direção da companhia aposta que a confiança atrelada à marca pode ser o passaporte para a McAfee ser uma das líderes de mercado no atual momento da segurança. Depois de ser uma das líderes do setor com sua famosa solução de antivírus, a empresa vem lutando para ser identificada como um player de soluções estratégicas. Entre os números apresentados, destacam-se os percentuais a mais investidos na nova fase: 21% em engenheiros; 25% em gerentes de produtos e 19% em profissionais de serviços. E mais US$ 500 milhões em um novo portfólio e três vezes mais investimento em Pesquisa e Desenvolvimento. Chris Young foi claro em reforçar que o desafio é grande, mas a empresa agora tem as condições ideais para marcar presença. Questionado sobre os impactos que tantas mudanças podem ter causado nos clientes, o
24
SECURITY REPORT
líder acredita que não foram significativas, porque “a essência da empresa foi preservada, isto é, a estrutura continuou operando separadamente, o time foi mantido e os produtos seguiram o roadmap previsto”.
DO ENDPOINT AO CLOUD Ao apresentar a estratégia de soluções da companhia, Young mostrou que o inimigo no mundo da cibersecurity mudou. “Durante muitos anos ele se chamou Advanced Persistent Threats, mas hoje é conhecido como Ransomware. Por isso nossa jornada é ser a maior e melhor marca puro sangue para combater ameaças atuais e futuras”, afirma Young. O executivo resgatou a expressão “puro sangue” fazendo uma referência clara à quantidade de empresas que entraram nesse segmento e que antes não atuavam no mercado de cybersecurity e, portanto, não trazem a segurança no seu DNA. Essa com certeza é uma das prin-
cipais razões pelas quais a companhia optou por retornar com a marca McAfee, privilegiando a tradição que a empresa carrega por ser uma das pioneiras e tradicionais do segmento. Hoje, no entanto, o produto que fez a fama da McAfee nem sequer é citado. O foco atual está concentrado no binômio Endpoint e Cloud. Na área de endpoint a empresa baseia sua estratégia no McAfee Active Response 2.0 e, no âmbito da cloud, no Dynamic Application Containment. Além disso, aposta em um ecossistema aberto, onde seu papel se resume em três fases: integração, automação e orquestração. A fase de integração inclui o famoso Total Cost of Ownership, as conexões, os devices e cloud. A fase de automação trabalha em um nível mais estratégico incluindo soluções, workflows e o ecossistema de segurança da empresa. Na terceira e última fase entram em cena a estratégia de Security-as-a-Service e Analytics. z
INTERNACIONAL
“Não existe cibercrime, existe crime” ELE É UM DOS MAIORES ESPECIALISTAS EM CIBERSECURITY NO MUNDO. ATUA EM CASOS EMBLEMÁTICOS NOS SETORES DE SAÚDE, ENERGIA, FINANÇAS, ENTRE OUTROS. VISIONÁRIO E POLÊMICO, RAJ SAMANI, VP E CTO DA INTEL SECURITY, ACREDITA QUE A TECNOLOGIA SÓ TRAZ BENEFÍCIOS À SOCIEDADE E AS CIBERAMEAÇAS, ADVINDAS DO USO MASSIVO DA INTERNET, NÃO DEVEM MAIS SER ENCARADAS COMO ALGO QUE FAÇA PARTE DE UM OUTRO MUNDO, O VIRTUAL. | POR GRAÇA SERMOUD
Security Report: Os problemas de cibersegurança no Brasil são os mesmos encontrados nos EUA, Canadá, Europa e ao redor do mundo? Raj Samani: É o mesmo problema, sim, mas há uma razão para ter esperanças. Há vários casos de bons trabalhos realizados, como por exemplo na Europa. Veja o que tem sido feito no Brasil também. Há uma explosão das mídias sociais, a adoção de tecnologia, várias mentes brilhantes promovendo vários avanços. Isso é algo que deveríamos celebrar.
SR: Qual seria o papel do Governo nesse cenário? Raj Samani: Eu não sou capaz de emitir ordens judiciais, também não posso sair e contar com pessoas que façam o mesmo trabalho ao redor do globo, mas precisamos fazer isso. Sempre que vemos redes e infraestrutura de criminosos, queremos acabar com aquilo e extrair coisas como chaves de descriptografia.
SR: Como mobilizar empresas e pessoas físicas, então? Raj Samani: Deixando claro que precisamos da ajuda de todos. Esse é meu pedido. Não quero viver em um mundo onde o ransomware está interrompendo a realização de transplantes, ou que alguém “hackeie” o carro em que estou com meus filhos dirigindo a 100 Km/h.
SR: Na sua opinião, o setor de Saúde é o mais vulnerável hoje, até mais do que o segmento financeiro? Raj Samani: Se bancos são mais seguros que o setor de Saúde? O banco de Bangladesh foi roubado em US$ 80 bilhões, e em seguida ocorreu no Equador também. Isso não é cibercrime, não é ciberguerra ou ciberespionagem, nem cibersegurança ou ciberprivacidade. Isso é crime, guerra, espionagem.
SR: Explique melhor essa visão. Raj Samani: Estamos falando sobre o mundo moderno em que vivemos hoje e nossa dependência de tecnologia e como ela está sendo explorada por indivíduos que, francamente, têm essas ferramentas na ponta dos dedos a preço de banana.
SR: Mas você falou que não se trata de uma ciberguerra? Raj Samani: Não se trata de um termo. Por isso precisamos do apoio da mídia. Quando pessoas leem sobre esses problemas pensam “Bom, é um ciberproblema, então não me afeta”. Elas veem como se fosse algo diferente, mas não é. É sobre o dia a dia. Os impactos e implicações de um vazamento vão muito além dele. Ele impacta sua vida. z *GRAÇA SERMOUD VIAJOU A LAS VEGAS A CONVITE DA INTEL SECURITY
SECURITY REPORT
25
INTERNACIONAL
“Segurança física e digital estão totalmente relacionadas” DURANTE O CISCO LIVE CANCUN, EVENTO REALIZADO NO MÉXICO, EXECUTIVOS DA COMPANHIA DESTACARAM A RELEVÂNCIA DA SEGURANÇA CIB ERN É TI CA D U R A N T E O PROCESSO DE DIGITALIZAÇÃO | POR ALEXANDRE FINELLI*
A
digitalização é um processo no qual as organizações dos setores público e privado tendem a ganhar tanto a curto quanto a longo prazo. Porém, seus benefícios não são colhidos se não houver um único recurso: segurança. Para Jordi Bortifolli, VP e presidente da Cisco na América Latina, a segurança digital e física estão cada vez mais associadas e as questões de cybersecurity devem ser consideradas as principais prioridades dos executivos que estão à frente de suas organizações. “Estamos falando de novas tecnologias, com morfologias recentes e de uma indústria que fatura mais de US$ 400 milhões por ano. Ou seja, sempre terá um cibercriminoso tentando se aproveitar de alguma brecha de segurança”, alertou. Na opinião do executivo, os riscos crescem significativamente à medida que os negócios se tornam digitais e o uso de equipamentos conectados à internet se torne frequente. Ned Cabot, diretor de Digitalização nas Américas, destacou que a maturidade em cibersegurança é crescente e já ocupa o topo das demandas dos
26
SECURITY REPORT
líderes. Prova disso é que o especialista afirmou que a segurança é a prioridade número um de vários executivos que estão procurando a companhia para investir em digitalização.
MUDANÇA ESTRATÉGICA Segurança é essencial para todos os modelos de negócios digitais de hoje. O problema é que as ameaças evoluem e não existem soluções perfeitas capazes de mitigar 100% dos riscos. Soma-se a isso a insistência de grande parte das organizações em concentrar suas estratégias apenas em proteção com a ilusão de impedir um malware de adentrar o ambiente. Infelizmente, essa tática é insuficiente e as corporações precisam investir em novos modelos de defesa no ambiente digital. Segundo Ryan Goss, Advanced Threat Solutions Director Latin America da Cisco, um dos meios mais
eficazes de combater as ameaças de hoje, incluindo o ransomware, está na habilidade de detecção. No entanto, as empresas levam aproximadamente 100 dias para encontrar uma ameaça. “E também se leva muito tempo para encontrar o modo mais eficaz de reagir”, conta. Aliar detecção e resposta deve ser o ponto chave da estratégia de segurança atual. A aposta da Cisco é pautada em uma estratégia que combina três fatores: prevenção, detecção e resposta. Gerida por SaaS, a solução é administrada na nuvem, reduzindo a complexidade e dificultando outras ameaças de entrarem nos sistemas. Com isso, a técnica oferece mais inteligência aos gestores com recursos capazes de adotar certa vantagem contra os cibercriminosos. z *ALEXANDRE FINELLI VIAJOU A CANCUN A CONVITE DA CISCO
Criando uma defesa mais inteligente contra ameaças
Estabelecendo parceria com líderes de setor, agências governamentais e de cumprimento da lei global, a Intel Security oferece defesa sistêmica de ciclo de vida contra ameaças por meio de integração, automação e orquestração aplicadas. Saiba mais em intelsecurity.com.
Intel e os logotipos Intel e McAfee são marcas comerciais da Intel Corporation ou McAfee, Inc. nos Estados Unidos e/ou em outros países. Copyright © 2016
RISK REPORT
27
Não deixe que seu evento acabe por
FALHA NA TRANSMISSÃO
Shows e eventos culturais
CONTRATE UM
Link Temporário DE
Feiras e congressos
INTERNET Desenvolvemos projetos para cobertura de SHOWS, EVENTOS ESPORTIVOS, FEIRAS, CONGRESSOS e TRANSMISSÕES AO VIVO.
Eventos esportivos
Transmissão via rádio, IPs fixos, controle de banda por aplicação, gestão web e suporte 24x7x365. São Paulo, Rio de Janeiro e Porto Alegre *sujeito à viabilidade técnica.
4003 5800 @telium
Telium
TELIUM.com.br
10 anos construindo a Internet