A pandemia acelerou sua transformação digital e ao mesmo tempo intensificou as ações dos crimes cibernéticos como nunca visto. Por isso, a cibersegurança não é mais uma questão de TI, ela se tornou um imperativo de negócios. O problema não é ser atacado e sim quando. Um estudo global lançado pela empresa de investigação Thought Lab, encomendado pela empresa elastic, revelou que o Brasil foi o país com maior número de incidentes de segurança nos últimos dois anos.
Para debater as conclusões do estudo "Cibersegurança em um mundo com novas ameaças: um cenário em constante mudança" a TI Inside e elastic convidaram os executivos Fernanda Vaqueiro, CISO da V.tal; Leonardo Muroya , CISO do banco BV; Thiago Steiner Algeu, gestor de Infraestrutura da Conta Stone e Pedro Saenger é Vice-presidente da Área LATAM na elastic.para discutir o tema.
Saenger disse que deste universo da pesquisa de 36% das empresas dão importância ao papel do CISO no tocante a cibersegurança e continuidade de negócios. " Aqui na elastic quando analisamos a segurança, estamos falando sobre o ambiente de negócios da organização, sobre estar conectado com os valores e estratégias do negócio. Ao se imaginar que há um ataque a cada 11 segundos, há uma movimentação digital muito grande e o Brasil neste contexto é um dos maiores alvos do mundo, o que traz a importância direta do CISO nas organizações."
"Os CISOs não são mais só os técnicos, estão conectados aos negócios. Embora haja algumas dicotomias, é fato que 47% dos CIOs entendem que seu ambiente de segurança não evoluiu como a Transformação Digital, como a Economia Digital dos negócios ou se deu conta da conexão com a comunicação. O grande desafio da comunicação passa pelo CISO ao participar mais dos negócios e transmitir no mesmo, os fundamentos da segurança no idioma que os demais membros do Board das empresas entendam. Hoje o CISO faz parte do Board e ele já percorreu uma jornada que mostra a relevância e importância, além de vencer obstáculos. O Gap fica ainda na comunicação e compreensão de sua mensagem", reforçou Pedro Saenger.
"O CISO não tem mais um papel extremamente técnico. Este papel se amplia para proteger os negócios, ele é facilitador para o business. Ele passou de fato a ser um Clevel e ter um grande poder de comunicação, persuasão, sabe falar o negócio, pois além das questões técnicas, em sua bagagem, é necessário ter soft skills para conhecer o negócio. No futuro dos Conselhos será preciso ter uma cadeira de risco cyber como diferencial competitivo e se preparar para isso", assegurou Leonardo Muroya,, Chief Information Security Officer (CISO) do banco BV desde junho de 2019.
Thiago Steiner Alfeu, gestor de infraestrutura tecnológica da Conta Stone, responsável pelos times de DevOps, RegTech (governança) e por integrações com o Sistema de Pagamentos Brasileiro, com a Rede do Sistema Financeiro Nacional e com o Open Banking Brasil, destaca que vários aspectos de segurança como disciplina permeiam diversos momentos das empresas que desenvolvem tecnologia, desde o design de solução e não é mais uma análise feita a posteriori do emprego dessas tecnologias.
"Quanto antes estiver presente a segurança melhor para as empresas. Tanto a tecnologia quanto as soluções, assim como a relevância das regulamentações – como acontece nos meios de pagamento – foram suscetíveis a muita inovação e aspectos de segurança estão presentes na construção dos negócios. Riscos e ameaças são vistos com naturalidade e tecnologia é boa para os processos ao longo da cadeia de desenvolvimento", lembrou o especialista.
Para Fernanda Vaqueiro, CISO (Chief Information Security Officer) da V.tal "há 20 anos atrás, a segurança atuava como técnica específica e falar não era o seu poder. O profissional mudou sua postura, mudou sua comunicação e saiu do campo especificamente tecnológico para atuar no mundo dos negócios. Mudar seu perfil e sair dos treinamentos e técnicas para áreas de envolvimento comportamental foi uma mudança para falar sobre os riscos tecnológicos para a empresa. Ele deixa de ser aquele que apenas proíbe para ser aquele que imprime mais valor aos negócios. Cada vez mais este papel se torna estratégico, ao falar sobre a responsabilidade da segurança seja em casos individuais ou coletivos", reforçou a executiva.
"O primeiro impacto da importância do CISO junto ao board das companhias acontece quando após um ataque se tem que lidar com os danos causados à marca. O segundo momento se dá no custo de tratar um problema com sucesso e o terceiro na volta após a interrupção dos negócios. Os impactos remetem à relevância quando se analisa a ocorrência, aí se entende porque ele fala dos negócios, porque são importantes as soft skills ", reiterou Pedro Saenger.
Orçamento para cibersegurança
Muito embora pesquisas apontem que houve um aumento no orçamento para segurança na maioria das empresas, ele ainda está aquém das reais necessidades dessa maioria. "Na minha visão, os 51% estimados de aumento seja ainda insuficiente, por outro lado gera em média nas organizações uma valorização da segurança de modo geral. O valor será balizado pelos obstáculos vencidos.", aponta o executivo. "Segurança não é um problema só do CISO, mas é ele que tem que ter a habilidade de elevar essa importância. Será necessário aumentar orçamentos em valores absolutos para melhorar isso. O soft skill será tão importante quanto o técnico e o sucesso se dará pela compreensão e entendimento que o negócio faz da segurança. Não existe segurança sem incorporar todas as áreas da organização", enfatizou.
'É relevante o aumento apontado nas pesquisas, mas é irrelevante diante dos ciberataques que temos hoje. Alguns segmentos como telecom, saúde e financeiro são os segmentos mais afetados, pois os riscos para a indústria são elevados – depende do quanto importante é a empresa , e quanto se deve investir para essa segurança", ponderou Leandro Muroya e acrescentou: "Dos investimentos realizados em TI junto a segmento financeiro 10% vão para segurança e está associado ao crescimento da tecnologia e ao crescimento dos negócios. Tudo depende do impacto que isso representa, cerca de 18% a 20% em investimentos em tecnologia, denotam a importância da cibersegurança para o business", disse.
Thiago Alfeu aponta que "na área financeira há muita inovação, já que o Banco Central é agente de inovação. O sistema de pagamento brasileiro é exemplo de inovação (pix) revolucionando o mercado e mesmo como exemplo de democratização dos serviços financeiros para a população. Na mesma proporção existem novos riscos e aumento de investimento nestas áreas.". "Aumentar os investimentos em segurança é o que se faz na área financeira, isso é muito natural. Neste contexto, reitera-se o papel importante da segurança ao contribuir com ambientes mais seguros através de informação", salientou.
"Todas as empresas de infraestrutura crítica são alvos de grande interesse de ataques, pois afetam áreas essenciais ao país e a população. Mas o problema não é apenas de orçamento, os problemas são maiores como a falta de profissionais preparados, continuidade de negócios. O ataque vem para parar negócios e traz uma outra dimensão e já que outros atores estão envolvidos'.
"A segurança precisa de maturidade não é só orçamento se precisa de tempo para maturação e processos diferentes", reforçou "Melhores práticas de segurança, tempo, iniciativas de frameworks para proteção e prevenção para os diferentes tipos de ataques também precisam ser pensados".
Maturidade da segurança
Fernanda Vaqueiro lembra que muitos ataques ainda tem como alvos coisas básicas, as primeiras vulnerabilidades que se viam há anos atrás e reforça que o framework NIST é muito importante, mas o básico ainda é uma porta de entrada, sendo o ponto focal da segurança mostrar a responsabilidade e levar o conhecimento a toda organização.
"Elevar o nível de maturidade é muito importante, mas no ambiente de desenvolvimento de tecnologia é um desafio ao mesmo tempo que se tem que promover novos negócios na velocidade exigida e fazer isso com segurança. Método ágeis promovem novos produtos rapidamente, mas levantam novos riscos e para isso é essencial usar novas metodologias. Por exemplo, empresas que tem na infraestrutura como "core", precisam evitar ações manuais com códigos e implementar técnicas de "police as code", usar a tecnologia para revisão e análise dos códigos e dos frameworks, além de uma série de controles nos pontos de mudança que entre outros ajudam a elevar a maturidade em segurança, bem como aderência ao compliance e ampliando a superfície de ação", recomendou Thiago Alfeu, da Conta Stone.
"É necessário evidenciar as questões culturais e técnicas. A cultura de segurança é lenta e de difícil transformação. Muitas empresas estão fazendo esta transformação com responsabilidade diante dos riscos. A área de negócios tem que entender que a responsabilidade passa por entender os riscos, discutir questões de cibersegurança, continuidade dos negócios etc , tudo isso faz parte da cultura de segurança.", alerta o CISO do Banco BV.
"A cultura só avança porque a segurança não é negociável. Neste momento o business e o ciber estão juntos e se a empresa não pensa assim ainda não tem maturidade neste campo. A maturidade elevada é lenta por isso, assim segunda e terceira camadas de segurança são responsáveis pela mitigação dos riscos e defesa das organizações.", salientou Muroya.
Segundo Pedro Saenger, da elastic , o CISO lidera a gestão de riscos, lastreado em tecnologia e em pessoas. "A questão cultural vai além, está no intangível. Por isso, a premissa do "never give up" em segurança é fundamental. Não se pode esquecer do multicloud , do 5G , IoT e tantas outras questões que entram nesta equação. Entretanto, o alinhamento é o problema das organizações. Pessoas, equipes, tecnologia e cultura, ou seja, tudo que permeia o ecossistema das organizações precisam entender os limites. O alinhamento é o grande desafio para se avançar", disse.
Cloud e Zero Trust
"Hoje grande percentual das empresas trabalham com cloud e muitas não viram os riscos da cloud. A cloud de fato apresenta mais riscos que o uso do "on premise", mas em ambos os casos o ponto é investir na segurança. O uso da cloud não tem mais volta. Neste aspecto, a cloud não está no primeiro lugar de atenção, não estamos falando sobre security anywhere, mas de security everywhere pois tudo está conectado. Ao CISO cabe olhar com receio e cuidado para viabilizar os negócios com segurança, pois com a tecnologia também vem os riscos", observou Leonardo Muroya, do BV.
Neste contexto, Thiago Alfeu, diz que a cultura Zero Trust é fundamental, já que o perímetro deve existir assim como a segurança em camadas, mas não como único meio de mitigação. "Mesmo uma rede privada não está isenta, as possibilidades de riscos são internas e externas.
Duplas autenticações e Zero Trust são comuns ao sistema financeiro, além do uso de certificação e criptografia, frameworks tudo para manter a segurança nas transações entre clientes e entre bancos, isso se tornou normal e deveria ser para as empresas que desejam atingir outros níveis de maturidade".
Segurança e Legislação
Para Fernanda Vaqueiro, da V.tal, não se faz segurança sozinho, o ecossistema é importante. "Todos os parceiros devem ter segurança. A LGPD evidenciou a questão de segurança e tornou igual a responsabilidade das pessoas pelos dados e o quanto as pessoas têm ciência da responsabilidade diante da LGPD . Os riscos dos negócios em dar visibilidade nesse cenário e onde estão estes riscos, é um trabalho conjunto com a tecnologia como aliada aos negócios.", apontou.
Thiago Alfeu concordou com esta percepção da executiva e lembrou que o trabalho em parceria que se faz na construção dos projetos de segurança que unem a cultura da gestão de riscos e dos aspectos regulatórios. "Por isso, promover educação, treinamento e formação, não são assuntos de compliance, e segurança, são assuntos que permeiam todos os atores da companhia.", reforçou.
"Vejo como um grande desafio a segurança de dados diante da LGPD. Conversando com CIO sobre um ataque ransomware, ele não conhecia quais dados possuía . Quando se fala de LGPD a primeira coisa é ter visibilidade, conhecer aquilo que se tem e monitorar . Para mim observabilidade com segurança é o cerne da questão. Monitorar e fazer isso em escala, o que permite conhecer o dado, mas o desafio é a visibilidade e acima disso, o monitoramento. É preciso ter esse cuidado, conhecer com o que se está trabalhando e envolver todos neste processo. O custo sempre é mais caro para remediar.", disse o executivo da elastic.
IA é a bala de prata da segurança?
Conforme Pedro Saenger, a Inteligência Artificial é mais um componente que se integra em outros componentes tecnológicos da organização como ferramenta para segurança. "Por si só a IA não traz todas as respostas, ela vai fazer parte de outros componentes para extrair resultados que se imagina. Ela faz parte de uma estratégia maior", afirmou.
"Nenhuma bala de prata resolveu os problemas de segurança até hoje. Ainda hoje existem vírus. A complexidade da tecnologia de segurança aumenta e nenhuma resolveu antes, mas ajudam. A IA é fundamental sim, mas o universo de cibersegurança está acontecendo e sem essas tecnologias Machine Learning e IA, não seria possível monitorar os ambientes , mas faz parte do leque de ferramentas da cibersegurança. Não há e não haverá bala de prata neste universo", garantiu Muroya.
Como disse Thiago Alfeu, é preciso desmistificar essa questão visto que não há bala de prata. "IA é software, é matemática e estatística, estamos falando de modelos matemáticos que podem ser bons para uma situação e não para outras. Há limitações, não existe um modelo geral e deve ser tratada como ferramenta, muito boa e usada ,mas precisa de aplicações simulando e testando para seu adequado funcionamento.
Fernanda Vaqueiro adverte que como ferramenta a IA também está disponível para os atacantes que usam a tecnologia para mais ataques, até distribuindo a ferramenta, mas nesta guerra de lados opostos é o conhecimento que pode trazer vantagens para as empresas.
Para o executivo da elastic, as pessoas estão no começo, meio e fim das tecnologias. "Acredito que o ser humano diante da tecnologia é o principal agente. A cultura de segurança vista por ângulos multidisciplinares são as armas essenciais para enfrentar este desafio. O ransomware tangibilizou o problema que antes já existia e muitas organizações vão aprender pela dor e não pelo amor", ponderou.
"O mercado está mais preparado e consciente dos problemas de ransomware. Os atacantes também são mais preparados. Mas vale lembrar que o básico bem-feito faz mais pela segurança que muita tecnologia junta e em caso de ransomware, na crise, empresas mais maduras voltam rapidamente ao normal e outras têm prejuízos grandes, levando dias para se recuperar", disse Leonardo Muroya.
Quanto à complexidade dos sistemas hoje empregados na segurança, os participantes do evento foram claros: simplificar é uma meta a ser perseguida.
"Simplificar é uma busca por soluções que envolvem cultura, pessoas e tecnologia", evidenciou Pedro Saenger.
Para Leonardo Muroya, dada complexidade do tema e também das dezenas de soluções para cibersegurança,"a busca por simplicidade está naquilo que os resultados demonstram, ou seja, como gestionar esse arcabouço de ferramentas e obter os melhores resultados. Pensar em segurança como algo viabilizador e fundamental para o negócio, colocar isso no mindset da empresa. Segurança é inegociável", reiterou.
Segundo Thiago Alfeu, a complexidade é uma realidade já que são muitas tecnologias distintas para serem integradas. "Apesar das várias soluções, a equipe deve falar a mesma língua, além de encabeçar um conjunto de soluções integradas – sempre testadas e usar de tecnologias open source podem ampliar as possibilidades e auferir melhores resultados".
Fernanda Vaqueiro reforçou que o cenário da segurança deve ser pensado além da noção de se ter coisas isoladas e ter interoperabilidade. 'Hoje os gestores não devem pensar em tecnologias isoladas, mas na adequação das tecnologias ao que se tem na empresa e nos objetivos a serem alcançados.