Sem dúvida a transformação digital e a inovação são praticamente uma obsessão nas corporações que vivem dias como se estivessem na busca do Santo Graal para encontrar a melhor experiência do cliente. Na outra ponta, o consumidor brasileiro passa, pelo menos, nove horas conectado em dispositivos móveis, com 220 milhões de celulares inteligentes ativos, mais de um por habitante, segundo estudo da Fundação Getúlio Vargas de São Paulo (FGV-SP).
Se a palavra de ordem é mobilidade, cresce cada vez mais a vulnerabilidade e os ataques cibernéticos. Nesse ponto, os gestores de Tecnologia da Informação e Segurança discutiram as melhores práticas para garantir a integridade dos dados e quais soluções devem ser adotadas para controlar o ambiente de negócio.
A Conteúdo Editorial, em parceria com a F5 e a Compugraf, reuniu em São Paulo um grupo de CISOs e líderes de Segurança da Informação de várias instituições. Participaram do Security Leaders Round Table as empresas Eurofarma, CVC, Paschoalotto, Assaí, Netshoes, Next/Bradesco, HDI Seguros, Makro, Mondial Assistance, Nestle Nespresso, Petz, Duratex, Valid, Crefisa e Lojas Eskala.
Durante o debate, os executivos chegaram às melhores práticas para gerenciar o ambiente de segurança face à mobilidade na era da transformação digital, identificando obstáculos a serem superados por meio de um conjunto de ações que envolvem infraestrutura tecnológica, mão de obra qualificada, cultura de proteção de dados, entre outras medidas, onde o pano de fundo é ir além do perímetro e paralelamente se preparar para a LGPD.
Organizações em muros, onde estão as pessoas?
A era digital quebrou diversos paradigmas corporativos e talvez o maior deles tenha sido a distribuição de colaboradores, não só geograficamente como também terceirizados e muitos contratados no modelo home office ou em workplaces digitais, como coworks. Isso é reflexo da necessidade de respostas ao negócio, onde a mobilidade urbana perde espaço para o colaborador conectado. Paralelamente, a falta de mão de obra especializada de profissionais de SI é um dos desafios nas empresas.
Ao mesmo tempo, os CISOS se deparam, ainda, com a necessidade do usuário que deseja instalar ferramentas que facilitem o dia a dia dele, mas que a companhia não adotou. Como impedir os ataques e vazamento de dados? E o acesso às informações: quais as soluções e medidas que podem ser adotadas?
A aposta é que o CISO seja o maestro para orquestrar não só a infraestrutura necessária para garantir a integridade dos dados, como também um facilitador entre as áreas usuárias, uma vez que o colaborador é um dos grandes responsáveis pelo vazamento de dados.
Especialistas e líderes de segurança revelaram que embora a LGPD seja assunto conhecido entre os executivos das empresas, os funcionários e a população não possuem muito conhecimento sobre o tema e isso impacta no entendimento sobre preservação dos dados. Além disso, o papel do CISO deve ser o de formador de opinião.
Onde está o seu negócio?
Na era da informação, empresas sem muros se relacionam também com pequenos e médios fornecedores e a gestão da segurança no universo da mobilidade traz um elemento a mais que são as startups. E elas proliferam sem o rigor do gerenciamento dos dados. Hoje, a maioria dos negócios já migrou para o cloud, inclusive aplicações críticas.
O que fica como atribuição do CISO é trocar a turbina do avião enquanto ele estiver voando. De um lado, estão as startups com negócios ágeis e poucos recursos para evitar incidentes e, de outro, empresas com uma infinidade de sistemas legados sem um efetivo controle do inventário de dados. A saída para muitos é criar uma rede de proteção que vai muito além do perímetro.
Além disso, algumas organizações adotam políticas com perfis de acesso previamente assinados pelos funcionários, parceiros ou qualquer pessoa que transacione dados da empresa. Outra maneira de controlar os acessos seria a biometria, mas segundo especialistas e empresas que participaram da mesa redonda o recurso ainda apresenta falhas e as soluções têm pouca integração entre elas.
Equilíbrio seguro entre coisas e pessoas
Ao mesmo tempo em que entrará em vigor a LGPD em 2020, em breve o País terá uma conectividade mais ágil com a chegada do 5G, o que também impactará no crescimento do IoT. Nesse cenário, a segurança em dispositivos móveis tende a aumentar as brechas e incidentes de vazamento de dados. Esse é outro risco que preocupa os CISOS de diversos setores.
Para muitos, o desafio é equilibrar o que você quer com o que já existe no ambiente corporativo. Isso significa, para muitos, atacar primeiro o que é básico para depois implementar outras soluções, como a criptografia, tecnologias de MDM (Mobile Device Management), controle de ponto de acesso, gestão de endpoints. Independente da tecnologia é fundamental avaliar os riscos e a necessidade de cada modelo de negócio.
Empresas de meio de pagamento, por exemplo, têm uma dificuldade no grau de maturidade de criptografia dos clientes porque o processamento do dado não é o core do negócio dele. Portanto, para algumas empresas do setor financeiro, gerenciar a chaves de criptografia é o grande desafio atualmente, uma vez que cada empresa envolvida na cadeia do serviço prestado tem a sua.
Orquestra em conformidade, negócio seguro?
A grande esperança é que a LGPD trace uma espinha dorsal e ajude a organizar o arsenal de dados nas empresas para minimizar as brechas e vulnerabilidades, uma vez que as organizações estão se mobilizando no sentido de criar comitês com as áreas usuárias, antes de exclusiva responsabilidade dos CISOS e CIOs.
Organizar de forma horizontal, envolvendo as melhores práticas alinhadas com o compliance contribuirá para aumentar a proteção da “caixa preta”. No entanto, mesmo assim é utópico acreditar que não surgirão brechas de ataques face à realidade digital, mesmo com um programa de conscientização dos usuários, ações proativas com políticas bem definidas e tecnologias capazes de aumentar os níveis de segurança.
Obviamente, se a sua empresa tiver uma política de segurança implementada com cenários de riscos e incidentes já alinhada com a LGPD, o que fará a diferença no final é o tempo de resposta aos ataques. E para isso é fundamental ter os seus play books testados, com porta-vozes preparados para falar com a imprensa.
