Globalmente, nove em cada 10 consumidores estão muito ou extremamente preocupados com pelo menos uma área de segurança que afeta suas vidas online e offline, segundo o Unisys Security Index 2018.
O volume de violações de segurança que resultaram no comprometimento de dados sigilosos de milhões de usuários já ultrapassava em outubro deste ano o total registrado durante todo o ano de 2017.
Ao mesmo tempo em que aumenta o receio com segurança, empresas têm se movimentando para reforçar suas defesas e para quantificar o impacto financeiro de possíveis ataques por meio de soluções já disponíveis no mercado.
Essa foi uma das discussões levantadas por especialistas na quarta-feira passada (31/10), durante a Mesa Redonda: Qual é o impacto dos ciberataques nos negócios.
O encontro foi realizado em São Paulo pelo inova.jor e contou com apoio da Unisys.
“A segurança da informação é base para todas as nossas decisões”, aponta Adriano Tchen, diretor de tecnologia da informação (TI) da Alelo. “Cada risco mapeado tem impacto no negócio e isso impacta no produto.”
Com mais de 8 milhões de usuários, presença em mais de 500 estabelecimentos e mais de 100 mil clientes, a Alelo decidiu implementar comitês, fazendo com que a segurança se torne responsabilidade de todos e não apenas de uma área específica.
Brecha analógica
Nesse ambiente cada vez mais complexo, as ameaças podem estar em quaisquer dispositivos e, inclusive, sair do digital e voltar para o papel, como aponta Luis Fernando de Campos, gerente regional de Serviços Profissionais para América Latina da Lexmark.
O executivo ressalta que malwares comumente chegam na forma de arquivos executáveis. Mas, em impressoras, a realidade de ameaças é outra.
“É possível tirar uma cópia de uma informação sigilosa que ninguém esperava que sairia da empresa por meio de papel”, sintetiza.
Nesse sentido, a companhia tem trabalhado constantemente em ferramentas para impedir cópias e impressões de informações sensíveis.
“Precisamos garantir que a segurança esteja presente onde menos se espera”, completa.
Sair de um ecossistema cheio de legados e silos também é outro grande desafio enfrentado por muitas empresas, e é o momento que hoje passa o BMG.
Daniela Faloppa, superintendente executiva de TI do banco, afirma que, para atender e alinhar prioridades, a área de tecnologia passa a ser parte da estratégia.
“Entendemos que tudo passa inicialmente pela avaliação de segurança”, comenta. Dessa forma é possível avaliar o que deve ser feito e mapear riscos.
Outro exemplo do que está sendo feito com relação à segurança é dado por Roberto Abreu, gerente de TI da Schneider Electric.
Na empresa, há vários procedimentos e processos para alinhar uma estratégia de segurança global.
Ele complementa que o cuidado com a segurança se tornou intrínseco ao negócio.
“Temos um comitê de risco digital composto por especialistas, em sua maioria, de negócios e não especificamente da TI. A tecnologia faz parte do processo como um todo”, conta.
Transformação digital
Quando se fala em segurança, o tema transformação digital comumente aparece. Isso porque, ao mesmo tempo em que moderniza empresas e atualiza sistemas, cria ambientes mais complexos de serem administrados.
Como lembra Moisés dos Santos, diretor de Risco da Visa, os últimos 10 anos trouxeram complexidades, riscos, oportunidades e negócios.
Cada dia há mais dispositivos conectados à internet e há mais demanda com foco em conveniência do usuário.
“Os sistemas que de fato integram experiências ao mesmo tempo têm gerado preocupações”, comenta o executivo.
E, especialmente no mercado em que atua a Visa, a preocupação com dados é imperativo.
“Qualquer player que quiser entrar no nosso ecossistema só é ativado se conseguir garantir que a informação está sendo tratada e transportada de maneira segura”, continua.
Dessa forma, mitiga-se a possibilidade de terceiros capturarem informações sigilosas de clientes.
A tokenização é exemplo de iniciativa comentada por Moisés que ajuda a proteger dados na Visa.
A ideia é que o número do cartão, por exemplo, seja substituído por um token. Se o provedor for comprometido, o invasor leva apenas o token (válido somente para determinada transação) e não os dados do cartão.
Esse esforço acaba blindando o processo e impedindo o acesso a dados sigilosos.
A proteção de dados é um tema que ganhou os holofotes nos últimos tempos, especialmente após a sanção da Lei Geral de Proteção de Dados Pessoais (LGPD), em agosto deste ano.
As empresas têm aproximadamente 15 meses para se adequarem à lei.
“Precisamos traduzir aspectos da legislação para o negócio, e segurança é um aspecto importante nessa discussão”, comenta Homero Valiatti, superintendente de Governança e Projetos de Cyber Security do Itaú Unibanco.
O executivo conta que hoje, a instituição criou processos que acompanham a área de negócios para que produtos e serviços possam ser criados considerando os aspectos jurídicos, não somente da LGPD, mas de regulamentos do Banco Central que tratam de proteção de dados.
A importância da comunicação
Outro tema destacado pelos executivos foi a importância da comunicação não apenas dentro da empresa, mas na comunidade.
“É como na saúde: se você conhece os sintomas do seu vizinho, consegue se proteger, ou até mesmo saber se está infectado”, comenta Hellen Deungaro Fernandes, gerente de Subscrição de Linhas Financeiras da Zurich Seguros.
O paralelo que a executiva traçou sintetiza o que a comunicação deveria representar entre empresas, independentemente dos setores de atuação.
A comunicação entre pares e entre a comunidade, nesse sentido, serve como uma iniciativa que blinda empresas, ajudando-as a se defender de ameaças externas.
“De maneira geral, informação é algo crítico”, salienta Leonardo Carmona, Chief Information Security Officer (CISO) da Quod.
A Quod é uma fintech que tem como acionistas os cinco maiores bancos brasileiros (Banco do Brasil, Bradesco, Caixa, Itaú e Santander) e que foi criada para gerir base de dados do Cadastro Positivo.
“Se meu concorrente passa por um caso crítico, isso pode prejudicar o sistema e se tornar um problema de todo mundo”, completa.
O executivo usa como exemplo o WannaCry.
Na época do ataque, Carmona era responsável pela proteção de uma empresa e o que o ajudou a combater a ameaça de forma efetiva foi a troca de informações com colegas do setor por meio de um grupo no WhatsApp – criado especificamente para fomentar a troca de informações entre especialistas.
“O cibercrime está conectado e trabalhando em conjunto para explorar uma vulnerabilidade”, aponta Carmona. “Por que não fazer o mesmo na ponta da defesa?”
Para Daniel Rosa, coordenador de Arquitetura e Soluções de TI da Votorantim Cimentos, é preciso adaptar diferentes linguagens a diferentes públicos, para que todos estejam alinhados.
Isso é especialmente importante em cenários como a da Votorantim, em que ainda há sistemas legados que precisam conversar com plataformas mais modernas.
“Como casar os dois mundos? Como conecto a minha rede corporativa de forma segura? Não é apenas o trabalho técnico, mas também de conscientização e de adaptação de linguagem”, salienta.
Do mesmo pensamento compartilha Leandro Rugerio, gerente de Governança de TI e Segurança da Informação da CSN.
Um dos nossos principais desafios do executivo na empresa é fazer a aproximação com áreas de automação, de processos e de chão de fábrica, aproximando-as da área de segurança, e, ao mesmo tempo conversar com os times de negócio.
“Ainda estamos explorando essa iniciativa estrategicamente, mas é uma das nossas principais preocupações”, explica.
Nesse sentido, a empresa implementou um Pentest, teste que avalia o ambiente corporativo e suas vulnerabilidades, medindo o nível de segurança.
Dessa forma, conta Rugerio, é possível promover um movimento de conscientização sobre o quanto pode custar um processo parado por conta de uma vulnerabilidade, tornando tangível essa realidade com embasamento, para ganhar o apoio dos times de negócio nessa conversa.
Conscientização também é tema que merece atenção, de acordo com Tiago Barroso, gestor executivo de Infraestrutura, Telecom e Segurança de TI da EDP.
Afinal, a camada humana ainda representa uma certa vulnerabilidade quando o assunto é segurança – especialmente de dados sensíveis, sejam eles corporativos ou não.
“É preciso conscientizar usuários sobre como se comportar dentro e fora do trabalho”, aponta. É preciso entender que se “caiu na rede, isso está público”, completa.
Rogério Reis, diretor de Operações de Segurança da NEC, concorda que a conscientização é uma camada importante, mas não deve ser a principal de todas, visto que falhas humanas acontecem em situações diversas, até entre os mais experientes.
“Até entre nós mesmos, que somos profissionais de segurança”, pontua.
Impactos econômicos
Quando se fala sobre o medir o impacto do risco em segurança para o negócio, inevitavelmente deve-se falar sobre questões financeiras.
Isso porque, de acordo com Leonardo Scudere, da empresa de gerenciamento de risco cibernético Secure Systems Innovation Corporation (SSIC), dinheiro é uma métrica que todo mundo consegue mensurar.
“Quando se torna tangível com dinheiro, tudo fica mais fácil”, pontua Scudere.
Um item importante na avaliação do impacto financeiro da segurança nas organizações é a reputação da marca. O que acontece quando uma violação de dados massiva, por exemplo, ocorre? Como superar esse incidente?
Scudere pontua que uma falha, quando avisada, pode ser vista com bons olhos.
“Quanto mais proativa é a empresa, mais ela consegue se preservar numa situação negativa, e é possível chegar a um resultado positivo”, afirma o executivo.
A comunicação entre TI e negócios é esforço empreendido por organizações de diferentes setores e portes. E, mesmo assim, ainda é um desafio.
“Nós, os profissionais de cibersegurança, temos evoluído bastante no alinhamento com o negócio, mas acredito que ainda há um passo extra a ser dado, pois no final do dia as perguntas que a diretoria executiva faz diante de um novo ciber-risco são: ‘Podemos aceitá-lo? Ou devemos investir na sua mitigação?’”, destaca Leonardo Carissimi, diretor de Soluções de Segurança para América Latina da Unisys.
Ele aponta a necessidade de os executivos de cibersegurança e riscos usarem modelos quantitativos de gestão, que identificam os ciber-riscos e traduzem em termos do impacto econômico que representam para o negócio.
“Para se fazer entender em uma reunião com a diretoria executiva, o Ciso deve evitar temas técnicos e enfatizar o benefício econômico de cada solução estudada. Para isso, usar modelos que traduzam os riscos em impacto financeiro passa a ser fundamental para seu sucesso profissional e para a redução de riscos da empresa. A Unisys vem tratando o tema com a solução TrustCheck”, complementa o executivo.
Tiago Queiroz/inova.jor
