Afinal, o que dá certo na Segurança?

Simplificar as operações, investir em aculturamento, navegar pelas áreas de negócio e se antecipar aos problemas foram algumas das boas práticas compartilhadas por líderes de Segurança, que renderam premiações e reconhecimento, durante a 9ª edição do Congresso Nacional Security Leaders

Compartilhar:

Quando se fala em Segurança da Informação, é comum remeter o assunto a ataques cibernéticos, vazamento de dados, prejuízo financeiro, dano à reputação, etc. No entanto, muito pouco se fala em relação ao que dá certo nessa área. Com o mote de destacar as boas práticas, a 9ª edição do Congresso Nacional Security Leaders reuniu líderes do mercado para enfatizar que os desafios de Segurança são muitos sim, mas muitos desses estão sendo superados.

 

“O problema é que boa notícia não dá ibope como a notícia ruim”, disse Vitor Sena, Global Security Information Leader da Gerdau e curador do painel que tratou o tema. Há cerca de 20 anos no mercado, o executivo destacou que a Segurança evoluiu muito nos últimos anos, especialmente em termos estratégicos, metodológicos e tecnológicos.

 

Ganhador de inúmeros prêmios ao longo de sua carreira, Sena mostrou como seu programa de gestão de vulnerabilidades, vencedor prata de melhor case do ano do Security Leaders 2017, funcionou ao otimizar o processo de monitoração, avaliação e correção das vulnerabilidades dos Ativos de Informações Corporativos.

 

Segundo o executivo, o primeiro passo foi simplificar a visualização do controle de vulnerabilidades. Inicialmente, era tudo numa planilha de Excel, com uma comunicação pouco confusa, onde os colaboradores não entendiam muito bem os riscos nem o que priorizar. “A primeira boa prática a se destacar é: simplifique as coisas! Você não precisa expor o que é complicado demais para os stake holders, guarde isso pra você”.

 

Em seguida, todo o processo foi refeito de maneira que a burocracia fosse reduzida e efetividade aumentasse. “Criei um plano de várias etapas, foi feito um alinhamento com o time. Depois disso, estabelecemos as políticas, publicamos, acertamos o inventário. Você não faz um processo de vulnerabilidade sem saber como estão as situações das atuais ferramentas, da adesão delas, da efetividade”, explicou.

 

A parceria com o vendor também foi muito importante para entender o que poderia ser melhor aproveitado e o que teria que ser adquirido. “O próximo passo foi trabalhar com reportes, mostrar o que está sendo feito, transformar todo o processo em algo compreensível, inclusive para pessoas fora de TI”, destacou. Em seguida, entrou a fase de operação, comunicação, validação das correções e exercer um processo de melhoria contínua.

 

De acordo com Sena, simplificar e rever os processos resultou em tirar 50% dos problemas da frente dele. Com os pré-requisitos definidos, os ativos foram classificados de acordo com um limite aceitável de riscos. “O que estava em verde podia seguir adiante, sendo bem monitorado. Amarelo entrou em processo de adequação e vermelho tinha tratamento prioritário”, explicou. Segundo o especialista, muito resultado surgiu daí. “Saímos de um cenário de 3 mil para 185 ativos em situação de risco em pouco tempo. Em determinado momento, eram apenas seis”, resumiu.

 

Práticas no setor bancário

 

Muito se fala que o setor financeiro não sofre com investimentos em segurança. No entanto, há outros inúmeros desafios, como adequar sua estratégia à arquitetura tecnológica do Banco. Na visão de Marcos Donner, CSO da Agibank, trabalhar em um ambiente inovador tem seus bônus e ônus. “O benefício é ter um espaço ágil e inovador em contrapartida a um modelo onde, às vezes, a maturidade de segurança não é tão bem desenvolvida”, disse.

 

A solução encontrada para isso isso foi trabalhar em squads de modo que as áreas de negócios se fundiram com as de desenvolvimento e a de Segurança é cross, permeando toda a estrutura. “Nossa arquitetura de segurança é muito bem constituída derivando de uma arquitetura de tecnologia e corporativa”, explicou.

 

Uma das melhores práticas destacada por Marco Tulio Moraes, gerente de Segurança da Informação do Banco MUFG, é o investimento em aculturamento. “Isso facilita muito a conversa quando você explica os riscos de segurança e todos falam na mesma linguagem”, disse. De acordo com a opinião do executivo, é preciso investir em times capacitados e engajados com esse propósito, porque, apesar de alguns tratarem de áreas específicas, todos têm que trabalhar de maneira integrada.

 

Essa cooperação entre as áreas também foi uma ação destacada por Henrique Lucena, Coordenador de Segurança da Informação da Laureate International Universities. Segundo Lucena, ele tem trabalhado bastante próximo à TI, porque o poder de convencimento para determinado projeto ou budget ganha um peso maior. “Às vezes, íamos tentar algo com a área de Infraestrutura e sempre havia algum ruído e ficávamos presos ali. Com o trabalho junto à TI está diferente”, ressaltou.

 

Esse processo, complementou Vitor Sena, é uma amostra de como a SI está evoluindo. “Antes se discutia muito sobre a SI sair debaixo da TI para ser independente. Depois cada uma foi pra um lado. Agora vemos que, em determinados casos, elas caminham melhores quando trabalham lado a lado, atingindo o resultado esperado para todos, seja pra TI e SI”, complementou.

 

Boas práticas da Indústria

 

Do lado das empresas fornecedoras de tecnologias de Segurança, algumas atitudes também contribuem para uma área de SI mais evoluída. Entre elas, destaca-se a aproximação dos clientes na elaboração de uma estratégia mais baseada em resposta a incidentes. Para Andre Carraretto, Security Strategist da Symantec, é importante apoiar essa prática já que o incidente irá ocorrer e, portanto, é preciso estar preparado. “Nossa preocupação é em prover visibilidade necessária para que o usuário saiba o que está acontecendo e consiga traçar seu plano de ação”, afirmou. Carraretto também enfatizou a importância da indústria em ensinar seus clientes a tirarem melhor proveito das soluções que adquirem. Segundo ele, ainda há muita subutilização.

 

Já Alexandre Bonatti, Director, Systems Engineering Brazil da Fortinet, acredita que a indústria tem atuado em três pontos muito importantes. O primeiro é justamente em prover visibilidade, como mencionado anteriormente, para o usuário entender todo o fluxograma dos dados que trafegam em suas redes, saber o que é crítico. O segundo é a integração, não somente de produtos, mas de conhecimento. “Quando uma ameaça é detectada na China, uma proteção é espalhada em todo o território global em cerca de 5 minutos”, disse. Em terceiro vem a automação, que visa trazer tecnologia de resposta imediata para contenção de um ataque.

 

O especialista da Fortinet destacou ainda que a indústria está bem preparada para assumir cada vez mais um papel consultivo e orientar usuários em relação às melhores práticas que vêm acontecendo ao redor do mundo e como podem ser incorporadas em situações similares.

 

Na opinião dos executivos, uma estratégia de segurança bem-sucedida independe de tecnologias recém-lançadas no mercado, mas que seja ágil e cuja entrega de resultado tenha pouca interferência no dia a dia da organização. Diante desse contexto, o bom líder será aquele que não assumirá a postura do “stop man”, ou seja, aquele profissional que diz não para tudo. “O novo perfil do líder é aquele que navega pelas áreas de negócio, conhece as dores nas pontas, entende de onde vem a receita e se antecipa às origens do problema, e não aquele que fica no papel reativo”, resumiu Vitor Sena.

 

Conteúdos Relacionados

Security Report | Destaques

Plenário do Senado aprova PL de regulamentação da IA

A decisão se deu em votação simbólica e, agora, o texto seguirá para análise da Câmara dos Deputados. Apesar de...
Security Report | Destaques

Credenciais comprometidas protagonizam 66% dos ataques cibernéticos

Na edição mais recente do relatório Incident Response Trends, a Cisco Talos ressalta o impacto crescente de ameaças baseadas em...
Security Report | Destaques

“Para combater IA como vilã, a Segurança deve transformá-la em heroína”

Durante Painel de Debates no segundo dia do Security Leaders Nacional, os CISOs do Banco Mercantil, Hospital Sírio Libanês, LM...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo as prefeituras municipais de Uruguaiana e Pirajuí; o CEMIG; Polícia Militar...