Mitigar os riscos de incidentes de dados tem sido o maior desafio dos CISOs. Enquanto os hackers usam um arsenal de guerra para identificar as brechas e aumentam o vazamento de dados, as empresas e organizações do governo buscam nas novas tecnologias para reduzir o tempo de resposta aos incidentes por meio da Inteligência Artificial, Machine Learning e se apoiam na próxima onda: segurança da infraestrutura no cloud, o que exige o aprendizado sobre como gerenciá-la na nuvem, diferente do ambiente on primise.
Muito mais que discutir tecnologias como machine learning, cloud security e soluções que reduzem o tempo de resposta, o painel “Tendências de defesa: Respostas a Incidentes/ Cloud Security/ Machine Learning”, realizado nesta quarta-feira (26/06), durante a 5ª edição do Security Leaders Belo Horizonte, surpreendeu a plateia com mais de 500 C-levels. A discussão trouxe à luz novas metodologias de defesa e aprendizado que ultrapassou a discussão entre os painelistas.
Ficou claro que a transformação digital e o rigor das legislações nacionais e internacionais, como LGPD e GDPR, além de resoluções específicas de setores como o financeiro – com a 4658/2018 do BACEN, que trata os dados na nuvem – também impactam diretamente na maneira como a segurança da informação foi gerenciada até hoje.
Um dos aspectos principais abordados no painel foi a automação da SI, onde é possível ter uma visão geral do que passa em toda a rede, reduzindo o tempo de resposta por meio de machine learning e inteligência artificial.
Cloud Security
A maioria dos gestores de segurança e CIOs já entendeu que cloud já é uma realidade e, portanto, é preciso ganhar visibilidade na nuvem e entendem que o dado é do cliente e não do provedor, uma vez que cada vez mais os fornecedores da nuvem deixam explícito que não são responsáveis pela segurança da informação das informações na nuvem. E, mais, é preciso criar várias camadas de segurança em cloud. Essas lições já foram aprendidas se comparado com a 4ª edição do Security Leaders BH, em 2018.
André Amaral Carneiro, executivo de canais da Sophos, lembra que a cerca de cinco anos atrás ninguém usaria nuvem. No entanto, hoje a tendência é a proteção de dados na nuvem, sendo o provedor responsável pela infraestrutura e não da segurança da informação.
“Vivemos isso na época de colocation, quando os servidores estavam nos data centers. Hoje, a nuvem nos obriga a olhar e tratar os dados com mais critério. Isso porque os provedores – muitas vezes – estão numa nuvem fora do País e, no caso de um vazamento, seus dados podem estar fora do território nacional, o que é um sinal de cuidado, dado as regras da LGPD”, complementa Lindson Brum, gestor da Segurança da Informação da Drogaria Araújo.
Diante desse cenário, a bola da vez em todo o ecossistema dos setores da economia é a conscientização do usuário, o que envolve colaboradores das empresas, terceiros e a sociedade civil. Não adianta um pai querer ensinar como seu filho irá se proteger nas redes sociais se ele não sabe como fazer isso.
Novos aliados para defesa
A tendência para aumentar a defesa é buscar metodologias e plataformas de compartilhamento para garantir que o tempo de resposta aos ataques seja cada vez menor. Ainda pouco conhecido e usado no Brasil, o conceito de “Threat intelligence”, conhecido também como Cyber Threat Intelligence (CTI). São informações que uma organização usa para entender as ameaças que têm, desejam ou estão direcionando para atacar as empresas. Esta informação é usada para preparar, prevenir e identificar ameaças cibernéticas que procuram tirar proveito de recursos valiosos.
Existe, ainda, um novo tipo de tecnologia denominada UEBA Security, que oferece Informações de segurança e gerenciamento de eventos, da sigla SIEM (Security information and event management), uma abordagem ao gerenciamento de segurança que busca fornecer uma visão holística da organização.
“O Ueba Security prevê a mudança de comportamento de usuários e essa ferramenta faz uma classificação de risco para obter resposta automática por meio de machine learning, onde o usuário pode até ser bloqueado na rede caso represente algum tipo de ameaça, independente qual dispositivo ele acesse, se é uma geladeira, celular ou outro device”, explica Lindson Brum, gestor de Segurança da Informação da Drogaria Araújo.
Cybercultura x risco
Se por um lado as empresas estão brigando com as máquinas e automatizando a infraestrutura de segurança para reduzir os riscos de ataques cibernéticos, por outro há um cenário de educação e cultura a ser instituído em toda a sociedade. Essa questão cada vez mais é unânime entre os C-levels de TI e Segurança da Informação.
Para Moacir Faria, Territory Manager da Symantec, a maioria das empresas ainda não tem a conscientização das pessoas para as empresas. “A empresa faz campanha, investe o dinheiro para conscientizar, mas se o funcionário está levando a informação de dentro da empresa para casa, o negócio continuará exposto”.
Nesse sentido, a LGPD é uma forte aliada, e a ANPD pode corroborar atrelada à Estratégia Nacional de Segurança Cibernética, a cargo do GSI. Mas, independente disso, o budget em segurança vai depender do nível de exigência que cada organização quer adotar para não ser exposta.
“A educação e conscientização do usuário e do board contribui muito para aumentar o grau de proteção das empresas e a LGPD pode ajudar muito nisso. Mas a segurança é feita em camadas e depende de vários processos, pessoas, tecnologias e até do momento que a empresa está vivendo”, observa Ianno Santos Soares, Security Officer da Pif Paf Alimentos, quando aponta que a SI é um tema de interesse dentro do board da corporação, uma vez que o presidente do Conselho tem interesse no assunto e isso, segundo Soares, faz toda a diferença. “Não usamos termos técnicos para tratar sobre segurança. A palavra chave é risco e a partir disso há um entendimento do que é necessário para investir”.
Portanto, a segurança da informação deixa de ser um tema tratado apenas dentro dos muros das organizações ou instituições governamentais. De fato, ela ultrapassa o perímetro e expande para a consciência de todo cidadão comum. “Ninguém colocaria uma cerca elétrica no muro de casa sem receber uma informação da polícia de que aquele bairro é perigoso ou apresenta risco. Por isso, começamos a criar um plano de segurança cibernética para executivos”, conta Ricardo Leocádio, coordenador de Tecnologia de Segurança do Banco Mercantil. Ele também defende que as empresas devam ter um influenciador digital para fazer pequenos vídeos educativos sobre a segurança da informação.
