“IoT foi um golpe na Segurança do perímetro”

Para diretor de TI do Banrisul, Jorge Krug, avanços tecnológicos deixaram gaps na forma como tratamos a SI, faltando tratar o tema já na concepção da aplicação; na visão do executivo, é preciso repensar a segurança e desenvolver soluções combinadas entre hardware e software

Compartilhar:

“Até o final dos anos 2.000, tínhamos uma estrutura tecnológica que nos permitia um nível razoável de proteção. Com a popularização dos dispositivos móveis, criamos novos atrativos e adicionamos mais elementos à rede, mas também novas brechas, vulnerabilidades e uma infinidade de métodos de ataques para cibercriminosos, consequentemente”. Esse é um dos principais desafios do setor financeiro na visão de Jorge Krug, diretor de TI do Banrisul.

 

Segundo Krug, a IoT foi um golpe na proteção do perímetro e a razão disso está diretamente associada à falta de segurança na concepção da aplicação, tornando os dispositivos em armas poderosas nas mãos dos cibercriminosos, vide o ataque Mirai ocorrido no ano passado. “Oferecer software seguro é obrigação do desenvolvedor e para que este objetivo seja alcançado é necessário avaliar a segurança de todo o ciclo de vida de desenvolvimento da aplicação”, afirma.

 

O fato de hoje os clientes estarem constantemente conectados à internet com os seus dispositivos móveis aumentou consideravelmente a exposição dos bancos. Em 2015, foram identificados mais de 3 milhões de aplicativos mobile classificados como phishing. “A falsificação de perfis nas redes sociais associada a essa técnica leva inúmeros usuários a fornecer dados pessoais aos fraudadores”, disse Krug.

 

É preciso repensar a Segurança

 

Os avanços na tecnologia e nos ataques demonstram um gap na forma como a Segurança é tratada. A velocidade com que as ondas tecnológicas estão chegando abre novas lacunas que, se não resolvidas, limitarão a aplicação dessas tecnologias. Segundo Krug, é preciso repensar a Segurança e revisitar o passado.

 

Um bom exemplo é como as fraudes em cartões foram reduzidas após a implantação de chip. O mesmo vale para a telefonia (GSM), cartões de transporte e ATMs. Em todos esses casos há algo em comum: adotou-se uma série de componentes de segurança, reduzindo drasticamente os ataques. “O elemento seguro é justamente a combinação entre hardware e software”, explica.

 

Para isso, alguns caminhos são apontados pelo especialista:

 

– Autenticação biométrica: deve-se investir na autenticação baseada em características físicas dos clientes, porém não como um fim, mas um meio associado a outros critérios que auxiliem na mensuração de risco.

 

– Biometria comportamental: por muitos anos, houve grandes esforços para conhecer e aprender o comportamento dos clientes para melhorar o seu atendimento. Hoje precisamos disso para garantir a Segurança das transações. A tecnologia aprende o comportamento do usuário, tais como velocidade de digitação, movimentação do mouse, pressão e inclinação da tela, tipo de transação.

 

– Autenticação adaptativa: Analisa o tipo/valor da transação e cruza com o score de risco gerado pelo DNA do dispositivo + ID de sessão + biometria comportamental. Para transações de menor risco, poderá ser dispensada ou solicitar uma autenticação mais simples. Para transações de maior risco, deve ser solicitada uma autenticação mais forte de dois ou mais fatores.

 

Krug é enfático ao afirmar que a avalanche tecnológica continuará de forma cada vez mais acelerada. “Mas não podemos permitir que essas ondas de inovações nos cubram”, ressalta. Ele alerta para gestores se concentrarem nos riscos e em pessoas e não apenas em sistemas e dados, que as lições aprendidas devem ser revisitadas e que segurança perfeita é impossível.

 

Proteger igualmente todos os ativos é um objetivo insustentável. Classificar os ativos e investir nos mais sensíveis pode minimizar os danos de um ataque. Proteja os ativos chaves com sistemas de várias camadas. Se uma falhar, a outra pode garantir a integridade do ativo

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Toyota Brasil apura possível vazamento de documentos internos

Desde o último fim de semana, grupos de threat intel presentes na Dark Web apontaram que a gangue de ransomware...
Security Report | Destaques

Soft skills são próximos passos na evolução da confiança em Cyber, avaliam CISOs

Pesquisa da consultoria Kroll aponta que os gestores corporativos confiam integralmente nas pessoas de Segurança para responder aos riscos Cibernéticos....
Security Report | Destaques

Insegurança cibernética e IA são destaques do Security Leaders em BH

O Congresso será realizado no dia 23 deste mês com discussões pautadas na imaturidade em Cyber Security e o quanto...
Security Report | Destaques

Polícia Civil do DF prende suspeitos de roubar 76 milhões de senhas pessoais e governamentais

De acordo com a corporação, os hackers chegaram a incluir todas as credenciais comprometidas em um banco de dados, visando...