“IoT foi um golpe na Segurança do perímetro”

Para diretor de TI do Banrisul, Jorge Krug, avanços tecnológicos deixaram gaps na forma como tratamos a SI, faltando tratar o tema já na concepção da aplicação; na visão do executivo, é preciso repensar a segurança e desenvolver soluções combinadas entre hardware e software

Compartilhar:

“Até o final dos anos 2.000, tínhamos uma estrutura tecnológica que nos permitia um nível razoável de proteção. Com a popularização dos dispositivos móveis, criamos novos atrativos e adicionamos mais elementos à rede, mas também novas brechas, vulnerabilidades e uma infinidade de métodos de ataques para cibercriminosos, consequentemente”. Esse é um dos principais desafios do setor financeiro na visão de Jorge Krug, diretor de TI do Banrisul.

 

Segundo Krug, a IoT foi um golpe na proteção do perímetro e a razão disso está diretamente associada à falta de segurança na concepção da aplicação, tornando os dispositivos em armas poderosas nas mãos dos cibercriminosos, vide o ataque Mirai ocorrido no ano passado. “Oferecer software seguro é obrigação do desenvolvedor e para que este objetivo seja alcançado é necessário avaliar a segurança de todo o ciclo de vida de desenvolvimento da aplicação”, afirma.

 

O fato de hoje os clientes estarem constantemente conectados à internet com os seus dispositivos móveis aumentou consideravelmente a exposição dos bancos. Em 2015, foram identificados mais de 3 milhões de aplicativos mobile classificados como phishing. “A falsificação de perfis nas redes sociais associada a essa técnica leva inúmeros usuários a fornecer dados pessoais aos fraudadores”, disse Krug.

 

É preciso repensar a Segurança

 

Os avanços na tecnologia e nos ataques demonstram um gap na forma como a Segurança é tratada. A velocidade com que as ondas tecnológicas estão chegando abre novas lacunas que, se não resolvidas, limitarão a aplicação dessas tecnologias. Segundo Krug, é preciso repensar a Segurança e revisitar o passado.

 

Um bom exemplo é como as fraudes em cartões foram reduzidas após a implantação de chip. O mesmo vale para a telefonia (GSM), cartões de transporte e ATMs. Em todos esses casos há algo em comum: adotou-se uma série de componentes de segurança, reduzindo drasticamente os ataques. “O elemento seguro é justamente a combinação entre hardware e software”, explica.

 

Para isso, alguns caminhos são apontados pelo especialista:

 

– Autenticação biométrica: deve-se investir na autenticação baseada em características físicas dos clientes, porém não como um fim, mas um meio associado a outros critérios que auxiliem na mensuração de risco.

 

– Biometria comportamental: por muitos anos, houve grandes esforços para conhecer e aprender o comportamento dos clientes para melhorar o seu atendimento. Hoje precisamos disso para garantir a Segurança das transações. A tecnologia aprende o comportamento do usuário, tais como velocidade de digitação, movimentação do mouse, pressão e inclinação da tela, tipo de transação.

 

– Autenticação adaptativa: Analisa o tipo/valor da transação e cruza com o score de risco gerado pelo DNA do dispositivo + ID de sessão + biometria comportamental. Para transações de menor risco, poderá ser dispensada ou solicitar uma autenticação mais simples. Para transações de maior risco, deve ser solicitada uma autenticação mais forte de dois ou mais fatores.

 

Krug é enfático ao afirmar que a avalanche tecnológica continuará de forma cada vez mais acelerada. “Mas não podemos permitir que essas ondas de inovações nos cubram”, ressalta. Ele alerta para gestores se concentrarem nos riscos e em pessoas e não apenas em sistemas e dados, que as lições aprendidas devem ser revisitadas e que segurança perfeita é impossível.

 

Proteger igualmente todos os ativos é um objetivo insustentável. Classificar os ativos e investir nos mais sensíveis pode minimizar os danos de um ataque. Proteja os ativos chaves com sistemas de várias camadas. Se uma falhar, a outra pode garantir a integridade do ativo

 

Conteúdos Relacionados

Security Report | Destaques

APIs e Aplicações: o calcanhar de Aquiles da segurança digital?

Durante Painel de Debates Online Organizado pela TVSecurity, executivos da Brookfield, Grupo Moura, Imperva, e Nec Brasil abordaram os desafios...
Security Report | Destaques

Para combater os desafios da IA, só com uso correto da própria IA

Durante painel de debates transmitido pela TVSecurity, Líderes do Tribunal de Justiça da Bahia, Embratur, Nec Brasil e Skyhigh Security...
Security Report | Destaques

Gartner afirma que IA deverá reduzir gap de talentos em Cyber até 2028

A consultoria apresentou hoje sua lista de previsões para a Segurança da Informação nos próximos anos, e segundo ela, a...
Security Report | Destaques

Black Friday 2024: Governo e sociedade civil se mobilizam para proteger usuário de fraudes

Estudos recentes indicam que a data de promoções deste ano deverá atingir um novo recorde de transações, o que pode...