Quando se fala em Segurança da Informação, é comum remeter o assunto a ataques cibernéticos, vazamento de dados, prejuízo financeiro, dano à reputação, etc. No entanto, muito pouco se fala em relação ao que dá certo nessa área. Com o mote de destacar as boas práticas, a 9ª edição do Congresso Nacional Security Leaders reuniu líderes do mercado para enfatizar que os desafios de Segurança são muitos sim, mas muitos desses estão sendo superados.
“O problema é que boa notícia não dá ibope como a notícia ruim”, disse Vitor Sena, Global Security Information Leader da Gerdau e curador do painel que tratou o tema. Há cerca de 20 anos no mercado, o executivo destacou que a Segurança evoluiu muito nos últimos anos, especialmente em termos estratégicos, metodológicos e tecnológicos.
Ganhador de inúmeros prêmios ao longo de sua carreira, Sena mostrou como seu programa de gestão de vulnerabilidades, vencedor prata de melhor case do ano do Security Leaders 2017, funcionou ao otimizar o processo de monitoração, avaliação e correção das vulnerabilidades dos Ativos de Informações Corporativos.
Segundo o executivo, o primeiro passo foi simplificar a visualização do controle de vulnerabilidades. Inicialmente, era tudo numa planilha de Excel, com uma comunicação pouco confusa, onde os colaboradores não entendiam muito bem os riscos nem o que priorizar. “A primeira boa prática a se destacar é: simplifique as coisas! Você não precisa expor o que é complicado demais para os stake holders, guarde isso pra você”.
Em seguida, todo o processo foi refeito de maneira que a burocracia fosse reduzida e efetividade aumentasse. “Criei um plano de várias etapas, foi feito um alinhamento com o time. Depois disso, estabelecemos as políticas, publicamos, acertamos o inventário. Você não faz um processo de vulnerabilidade sem saber como estão as situações das atuais ferramentas, da adesão delas, da efetividade”, explicou.
A parceria com o vendor também foi muito importante para entender o que poderia ser melhor aproveitado e o que teria que ser adquirido. “O próximo passo foi trabalhar com reportes, mostrar o que está sendo feito, transformar todo o processo em algo compreensível, inclusive para pessoas fora de TI”, destacou. Em seguida, entrou a fase de operação, comunicação, validação das correções e exercer um processo de melhoria contínua.
De acordo com Sena, simplificar e rever os processos resultou em tirar 50% dos problemas da frente dele. Com os pré-requisitos definidos, os ativos foram classificados de acordo com um limite aceitável de riscos. “O que estava em verde podia seguir adiante, sendo bem monitorado. Amarelo entrou em processo de adequação e vermelho tinha tratamento prioritário”, explicou. Segundo o especialista, muito resultado surgiu daí. “Saímos de um cenário de 3 mil para 185 ativos em situação de risco em pouco tempo. Em determinado momento, eram apenas seis”, resumiu.
Práticas no setor bancário
Muito se fala que o setor financeiro não sofre com investimentos em segurança. No entanto, há outros inúmeros desafios, como adequar sua estratégia à arquitetura tecnológica do Banco. Na visão de Marcos Donner, CSO da Agibank, trabalhar em um ambiente inovador tem seus bônus e ônus. “O benefício é ter um espaço ágil e inovador em contrapartida a um modelo onde, às vezes, a maturidade de segurança não é tão bem desenvolvida”, disse.
A solução encontrada para isso isso foi trabalhar em squads de modo que as áreas de negócios se fundiram com as de desenvolvimento e a de Segurança é cross, permeando toda a estrutura. “Nossa arquitetura de segurança é muito bem constituída derivando de uma arquitetura de tecnologia e corporativa”, explicou.
Uma das melhores práticas destacada por Marco Tulio Moraes, gerente de Segurança da Informação do Banco MUFG, é o investimento em aculturamento. “Isso facilita muito a conversa quando você explica os riscos de segurança e todos falam na mesma linguagem”, disse. De acordo com a opinião do executivo, é preciso investir em times capacitados e engajados com esse propósito, porque, apesar de alguns tratarem de áreas específicas, todos têm que trabalhar de maneira integrada.
Essa cooperação entre as áreas também foi uma ação destacada por Henrique Lucena, Coordenador de Segurança da Informação da Laureate International Universities. Segundo Lucena, ele tem trabalhado bastante próximo à TI, porque o poder de convencimento para determinado projeto ou budget ganha um peso maior. “Às vezes, íamos tentar algo com a área de Infraestrutura e sempre havia algum ruído e ficávamos presos ali. Com o trabalho junto à TI está diferente”, ressaltou.
Esse processo, complementou Vitor Sena, é uma amostra de como a SI está evoluindo. “Antes se discutia muito sobre a SI sair debaixo da TI para ser independente. Depois cada uma foi pra um lado. Agora vemos que, em determinados casos, elas caminham melhores quando trabalham lado a lado, atingindo o resultado esperado para todos, seja pra TI e SI”, complementou.
Boas práticas da Indústria
Do lado das empresas fornecedoras de tecnologias de Segurança, algumas atitudes também contribuem para uma área de SI mais evoluída. Entre elas, destaca-se a aproximação dos clientes na elaboração de uma estratégia mais baseada em resposta a incidentes. Para Andre Carraretto, Security Strategist da Symantec, é importante apoiar essa prática já que o incidente irá ocorrer e, portanto, é preciso estar preparado. “Nossa preocupação é em prover visibilidade necessária para que o usuário saiba o que está acontecendo e consiga traçar seu plano de ação”, afirmou. Carraretto também enfatizou a importância da indústria em ensinar seus clientes a tirarem melhor proveito das soluções que adquirem. Segundo ele, ainda há muita subutilização.
Já Alexandre Bonatti, Director, Systems Engineering Brazil da Fortinet, acredita que a indústria tem atuado em três pontos muito importantes. O primeiro é justamente em prover visibilidade, como mencionado anteriormente, para o usuário entender todo o fluxograma dos dados que trafegam em suas redes, saber o que é crítico. O segundo é a integração, não somente de produtos, mas de conhecimento. “Quando uma ameaça é detectada na China, uma proteção é espalhada em todo o território global em cerca de 5 minutos”, disse. Em terceiro vem a automação, que visa trazer tecnologia de resposta imediata para contenção de um ataque.
O especialista da Fortinet destacou ainda que a indústria está bem preparada para assumir cada vez mais um papel consultivo e orientar usuários em relação às melhores práticas que vêm acontecendo ao redor do mundo e como podem ser incorporadas em situações similares.
Na opinião dos executivos, uma estratégia de segurança bem-sucedida independe de tecnologias recém-lançadas no mercado, mas que seja ágil e cuja entrega de resultado tenha pouca interferência no dia a dia da organização. Diante desse contexto, o bom líder será aquele que não assumirá a postura do “stop man”, ou seja, aquele profissional que diz não para tudo. “O novo perfil do líder é aquele que navega pelas áreas de negócio, conhece as dores nas pontas, entende de onde vem a receita e se antecipa às origens do problema, e não aquele que fica no papel reativo”, resumiu Vitor Sena.