Na década de 90 a Internet se tornou popular no Brasil e, em meados de 1995 esta tecnologia é introduzida nas empresas e nas casas dos brasileiros tupiniquins, ainda com uma velocidade muito precária com modem de 9.600 bps, 14.400 bps e 28.800 bps, e foi se radicalizando no meio corporativo. Na época ainda muito centralizada por profissionais e hackers apaixonados por tecnologia com um computador e um modem acessavam os famosos Bulletin Board System (BBS) em sistemas PC Board e similares introduzidos pelos primeiros provedores como Mandic BBS Internet, DialData e NutecNet.
Como era SysOp (Operator System) em um destes provedores, lembro como era delicado configurar um Windows 3.11 com Dial-Up, pois o mesmo não suportava o suite TCP-IP e precisava de um intermediário programa chamado Trumpet Winsock. Ah! Como me lembro de horas gastas com usuários para configurar as conexões e ainda considerar a ansiedade dos usuários para baixar as novas versões dos browsers Netscape e Internet Explorer que disponibilizávamos nas conferências.
O mais desafiante na época foi o aparecimento de hackers explorando estas tecnologias como IRC (Internet Relay Chat) e e-mail, etc, como sabemos novas tecnologias trazem novas vulnerabilidades desconhecidas e como era diária a tarefa de bloquear contas criadas sem autorização nestes sistemas em função de falhas desconhecidas encontradas por hackers nestes softwares.
A Mandic BBS dá um grande passo e implementa o acesso à Internet via BBS com discagem Dial-Up e logo depois os fabricantes como Microsoft lançam o Windows 95 já com o capsulamento com protocolo TCP-IP e a partir deste ponto da noite para o dia a quantidade de usuários de Internet explode massivamente e decola no país. O desconhecido aqui foi que muitos usuários obtinham um acesso direto a um endereço IP fixo permitindo a facilidade de exploração de seus computadores pessoais.
Por outro lado, as empresas contratavam links dedicados ADSL, cable modem, etc, com provedores de backbone e/ou Internet com uma limitação de endereços IPs fixos, com isso deixava também as portas abertas para os invasores com apenas um perímetro de defesa, um router com filtro de conteúdo, DMZ com um firewall era algo talvez novo e os mais expertos já estavam experimentado.
Nesta mesma febre os bancos inovaram com seus Internet Bankings e aprenderam com muita dedicação tornando seus sistemas mais robustos, mas o desafio era driblar o tempo que uma falha de segurança era encontrada versus o tempo de implementação da correção. Como era habitual encontrar sys admins que deixavam para atualizar uma falha em um servidor web ou DNS no dia seguinte e ao amanhecer seus sistemas apareciam pichados ou indisponíveis.
Obviamente que a dificuldade de gerir a velocidade entre a falha e a correção, era para poucos administradores de sistemas e webmasters que relutavam diariamente na sobrevivência em suas respectivas empresas. Consequentemente a Internet era incluída cada vez mais na sociedade. Novas formas de ataques foram criadas, exploits e ferramentas automatizadas que exploravam diversas falhas no Windows e Unix e respectivos serviços, serviços mal configurados, ausência de processos de gestão de patch, ausência de conhecimento no desenvolvimento de software seguro, processo ineficazes de contingência, introdução de backdoors, cavalo de tróia e worms como Nimda e o Code Red massificaram e paralisaram grandes organizações ao redor do globo.
Dado tal cenário instituições como NIST, entre outras começaram a criar frameworks, guidelines e standards, a fim de melhorar a segurança dos sistemas nas organizações devido aos inúmeros ataques e invasões ocorridas principalmente na América. Foi na necessidade e amplitude deste mercado que através de pensadores com mentes inteligentes a coisa começou a ganhar maturidade. Imediatamente os bancos e grandes empresas americanas iniciaram projetos milionários estabelecendo processos e integrando a visão de segurança de TI e movendo para a segurança da informação alinhando com os objetivos de negócios. Cargos e funções foram surgindo e trazendo cada vez mais maturidade e visibilidade para área e ao mercado sobre a importância da matéria.
Enquanto que as empresas multinacionais avançaram em maturidade, infelizmente muitas das empresas nacionais não amadureceram e continuaram no mesmo patamar sem passar para um próximo nível. Obviamente por falta de regulamentação no Brasil e outros fatores (pois tudo chega mais tarde por aqui), continua sendo um entrave para o avanço da maturidade das empresas em nosso território.
É comum encontrar casos onde o Security Officers promoviam ousados projetos de mudança da maturidade de segurança, mas foram travados por Diretores, CTO e líderes tão mesmo de tecnologia com argumentos “Ah, minha empresa vende remédio, não vendo TI e portanto não vou gastar com controles para o PCI neste momento”, ou “Infelizmente a nossa empresa ainda não está tão madura para sustentar um modelo de gestão e governança em segurança da informação, e por isso estou lhe demitindo”. Enfim, talvez por falha de comunicação, mas por hora quanto são as histórias que conhecemos.
Mesmo depois de um 2017 conturbado, onde ataques massivos de ransomware como WannaCry e Petya afetaram mais de 300 mil computadores em 150 países, causando perdas de milhões de dólares em empresas no globo, ainda é relevante a falta de visão de grandes organizações com a importância deste tema. Recentemente nas últimas semanas, uma empresa de serviços de saúde na região sul do Brasil sofreu um gravíssimo incêndio, ocasionando total indisponibilidade do data center e interrupção total dos serviços.
O que então precisa ser feito para despertar a nossa geração e partir para um next level em segurança? Ah… temos novas tecnologias que podem auxiliar, Machine Learning, Inteligência Artificial, Internet of Things (IoT), Big Data, enfim, todas estas sopas de letras com certeza irão ramificar e facilitar a vida dos gestores de segurança da informação improvisando novas formas de medir, detectar e reconhecer ataques cibernéticos.
De fato, o que precisa realmente mudar? Creio que, na minha opinião, precisamos pensar fora da caixa. Talvez entender como outros mercados e países já aprenderam sobre segurança cibernética.
Para finalizar este longo retrato da história, quem sabe as ideias abaixo possam fazer sentido?
– Ter uma real foto do ambiente de tecnologia talvez seja algo que nunca foi feito ou já faz muito tempo que foi realizado. Com a diversidade de tecnologias (Cloud, BYOD, mobile, AI, big data, etc) parece que a estrada não tem fim, literalmente nunca terá, mas termos que ser pró-ativos sendo preventivos fazendo o básico de segurança; “inventário de ativos”, “’backup de dados”, “gestão de patches”, “classificar os ativos de informação” e “determinar os requerimentos de segurança”, “adotar novos standards” e “métodos de proteção” e agora com a onda de cybersercurity procure olhar as bibliotecas disponíveis ex: NIST, “convide players de segurança, conheça os cenários e tendências de ameaças na sua região” e apresente ao seus executivos e cave para cima.
– Precisamos passar para o next level, para isso temos que encarar alguns medos e reconhecer nossas limitações, assim como nós teremos de fazer se quisermos avançar e deixar de lado a mentalidade de jogar para não perder e nos apoderarmos da mentalidade que jogar para ganhar.
– Certa vez um amigo fez uma analogia da diferença entre o termômetro e o termostato. O termômetro serve para indicar a temperatura da atmosfera. Já o termostato é aquele que estabelece a temperatura da atmosfera. Há dois meses viajei para os EUA, e o frio estava muito intenso. Chegue ao hotel e coloquei 21 graus no ar condicionado. Do lado de fora fazia uns 7 graus e, embora estivesse frio, o termostato não permitia que a friagem penetrasse o local em que eu estava. Não importa se estará frio ou calor do lado de fora, do lado de dentro estará 21 graus, porque foi a temperatura que eu designei para estar. Essa é diferença de jogar para não perder e jogar para ganhar. Não temos que indicar a temperatura dos ambientes onde estamos, mas estabelecer a temperatura da atmosfera a partir do que existe dentro de nós e ao nosso alcance.
Entretanto, como pensadores, líderes de segurança e apaixonados por tecnologia procure aplicar os recursos que estão a disposição e use a criatividade para tornar o dia a dia mais seguro assim como a empresa que você foi contratado para proteger e principalmente mudar a mentalidade em nosso pais em fazer as coisas. Não deixe de fazer amanhã o que pode ser feito hoje, estude, se atualize, viaje e esteja sempre aprendendo o novo, além do mais esteja aberto ao next level em segurança.
* Rangel Rodrigues é especialista em Segurança da Informação, CISSP e pós-graduado em Redes e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP