Os desafios da Cibersegurança

​Empresas devem ter pessoal capacitado para gerenciar de forma segura a continuidade das operações comerciais
 

 

9 March 2018 escrito por Tatiane Aquim

Os desafios da Cibersegurança
Gustavo Galegale, vice-presidente da Information Systems Audit and Control Association (ISACA) - São Paulo
Estar imune a ataques de hackers e invasões é o desafio de toda empresa hoje. A cibersegurança, a cada ano que passa, vem se tornando uma preocupação global e não apenas questão de TI. Conhecido também como segurança do ciberespaço, o termo Cibersegurança designa o conjunto de meios e tecnologias que visam proteger de danos e intrusão ilícita, programas, computadores, redes e dados.
 
Alarmados com o risco de violação de dados, a Cibersegurança foi apontada por executivos globais e brasileiros como maior prioridade para investimentos, como  aponta a pesquisa anual da KPMG, “CEO Global Outlook 2017”.
 
De acordo com Gustavo Galegale, da Information Systems Audit and Control Association (ISACA), não adianta investir somente em equipamentos e tecnologias de última geração se a equipe que for operar não estiver bem preparada. Leia, a seguir, a entrevista.
 
DatacenterDynamics: O que os executivos ainda não entenderam sobre Cibersegurança?
 
Gustavo Galegale: Vejo muitos executivos e empresas achando que o problema da Cibersegurança é do concorrente ou do vizinho. Dificilmente acham que uma invasão ou um furto de dados pode acontecer na sua empresa. Por não considerar isso um risco alto, pouco se investe na prevenção. Depois só resta correr atrás do prejuízo depois que uma falha é explorada.
Por outro lado, não adianta só investir em equipamentos e tecnologias de última geração se a equipe que for operar não estiver bem preparada.
 
DCD: A Cibersegurança precisa de pontes entre segurança física, SecOps e NetOps?
 
G.G.: Tanto SecOps e NetOps são abordagens complementares para se atingir um único objetivo, que é manter a empresa segura. A Cibersegurança se aproveita destas implementações e adiciona uma camada estratégica, se preocupando também com o impacto no negócio da empresa, mas sem perder a visão operacional.
 
DCD: Hoje o Brasil tem um número significativo de profissionais de Cibersegurança?
 
G.G.: No ISACA vemos um número crescente de interessados nas formações em Cibersegurança como o CyberSecurity Nexus (CSX). O profissional brasileiro já está se preparando, pois este é um tema de abordagem global. Vejo perfis mais diversificados entre meus alunos que buscam fazer uma pós-graduação em Cibersegurança. Não temos só pessoal técnico buscando se preparar, muitos profissionais com atribuições gerenciais já estão buscando este tipo de conhecimento.
 
DCD: Qual é hoje a maior vulnerabilidade brasileira em matéria de segurança? 
 
G.G.: Compartilhamos com o mundo o baixo nível de preparo e conhecimento dos executivos e empresas de Cibersegurança. Atuar apenas de forma reativa não resolve os problemas, no máximo ameniza no caso de uma eventual falha.
 
DCD: A inclusão digital é mais um perigo para Cibersegurança?
 
G.G.: Com a ocorrência a inclusão digital, temos diversos usuários realizando seu primeiro acesso à internet e a tecnologia de forma geral. Estas pessoas não têm uma cultura prévia de segurança da informação. Realizar ações constantes de conscientização e treinamentos é essencial para evitar que sejam vítimas de golpes e ataques online.
 
DCD: Mesmo com a aprovação do Marco Civil, é sabido que a medida não pode banir a espionagem. Diante disso, quais são as nossas outras proteções aqui?
 
G.G.: O Marco Civil trouxe um pouco mais de responsabilidade e também mecanismos legais para que as investigações possam ser realizadas de maneira correta. Hoje temos no mercado diversos frameworks de segurança da informação que, se bem implementados, podem reduzir sensivelmente a exposição da empresa as ameaças da internet.
 
DCD: Em termos de legislação, o que poderia ser feito?
 
G.G.: Ainda temos um grande caminho a trilhar para tratar proteção de dados. Recentemente a União Europeia aprovou e irá implementar a GDPR – General Data Protection Regulation. Esta legislação unifica o tratamento dos dados, bem como a responsabiliza pela coleta, armazenamento, uso e compartilhamento dos mesmos. Também aborda a transferência de informações pessoais para fora da União Europeia. O Brasil pode se beneficiar com uma legislação neste sentido.
 
Hackers
 
DCD: Quais as falhas que um hacker busca para uma invasão?
 
G.G.: Toda e qualquer falha que ele possa explorar. Existe um grande mercado para vulnerabilidades chamadas de Zero Day, ou seja, falhas que foram recém identificadas e os desenvolvedores ainda não criaram uma correção para as mesmas. Estas são as mais procuradas. Falhas antigas que dependem de ações do administrador das máquinas para correção também são exploradas.
 
DCD: Por que se fala tanto em Engenharia Social no mundo dos hackers?
 
G.G.: A Engenharia Social explora o elo mais fraco na cadeia de segurança: o usuário. Com pouco ou nenhum treinamento sobre comportamento seguro, o usuário fica exposto e muitas vezes participa de ações de hackers sem nem mesmo saber disso.
 
Data Center
 
DCD: Quais são os desafios atuais em proteção e retenção de dados em data center?
 
G.G.: O foco em migrar as aplicações e dados para a nuvem aumentou a carga de informações sensíveis que os data centers ao redor do mundo têm armazenado. Numa podemos esquecer que as medidas de segurança implementadas devem estar alinhadas com o tipo de informação ou ativo armazenado lá. Não adianta gastar muito dinheiro com segurança para proteger informações sem importância. O correto entendimento dos requisitos faz toda a diferença.
 
DCD: Como você avalia a questão da segurança em data center hoje? 
 
G.G.: Os data centers têm passado por um forte processo de profissionalização e a maior parte saiu com seus processos estruturados e bem revisados. Existem diversas certificações de segurança que focam nas necessidades dos data centers. Este é um diferencial a ser buscado na hora de contratar um serviço.
 
DCD: As novas soluções abrangem todas as necessidades dos clientes?
 
G.G.: Abranger todas as necessidades é bem complicado. Muitas vezes o cliente não tem visão sobre o que e como quer utilizar os serviços do data center. Nestas brechas mora o perigo. Por uma especificação incorreta ou a falha na hora de definir um procedimento, pode-se abrir uma brecha para que um ataque seja realizado.
 
Ciberespaço
 
DCD: A privacidade acabou mesmo? Ou está nas mãos de quem não sabemos, para fins que desconhecemos?
 
G.G.: Uma das melhores definições de privacidade que já vi é: “o direito de ser deixado em paz”. Muitas vezes abrimos mão deste direito em troca de acesso a uma notícia, assistir um vídeo bloqueado, cadastro em um site. Podemos controlar muito do que é feito com nossas informações, porém boa parte do tempo não prestamos atenção nisso. 
 
DCD: É correto pensarmos que as questões ligadas ao ciberespaço são de uma só responsabilidade, designadamente, do poder legislativo?
 
G.G.: Creio que o legislativo apoia na criação da legislação necessária para regular o setor, mas este é um ambiente em constante transformação e muitas vezes a legislação formal não consegue acompanhar. Por isso, contamos com tantas iniciativas privadas e compartilhadas para resolver o problema.
 
DCD: De quem é o problema da segurança (ou falta dela) no ciberespaço?
 
G.G.: O problema é em primeiro lugar do indivíduo que está acessando o ciberespaço. Ele é o maior interessado em manter seus dados e informações sob controle. Em um ambiente corporativo, esta responsabilidade é estendida para a empresa e suas áreas de segurança.
 
DCD: Além da segurança, quais são outros desafios do ciberespaço?
 
G.G.: A segurança possui diversos aspectos que por si só já dão bastante trabalho para controlar. Recentemente foram identificados diversos problemas com notícias falsas, ou seja, conteúdo no qual não podemos assegurar a origem e confiar na mensagem que transmite. Grandes empresas de TI têm trabalhado para identificar e eliminar estas notícias falsas.
 
DCD: Com a digitalização também aumentam as ameaças. O que pode ser feito?
 
G.G.: Com a digitalização houve uma concentração de conhecimento e poder no ambiente online. Tudo aquilo que antes só era acessado em papel, presencialmente, agora pode ser acessado do outro lado do mundo por um computador. Essa porta aberta para a internet trouxe uma série de novas ameaças que não existiam anteriormente.
 
 

 

CONECTAR-SE COM DCD

ENTRAR


Esqueci a senha?

Criar conta MyDCD

Você precisa de profissionais qualificados?

regiões

region LATAM y España North America Europe Em Português Middle East Africa Asia Pacific

Whitepapers Ver Todos