“IoT foi um golpe na Segurança do perímetro”

Para diretor de TI do Banrisul, Jorge Krug, avanços tecnológicos deixaram gaps na forma como tratamos a SI, faltando tratar o tema já na concepção da aplicação; na visão do executivo, é preciso repensar a segurança e desenvolver soluções combinadas entre hardware e software

Compartilhar:

“Até o final dos anos 2.000, tínhamos uma estrutura tecnológica que nos permitia um nível razoável de proteção. Com a popularização dos dispositivos móveis, criamos novos atrativos e adicionamos mais elementos à rede, mas também novas brechas, vulnerabilidades e uma infinidade de métodos de ataques para cibercriminosos, consequentemente”. Esse é um dos principais desafios do setor financeiro na visão de Jorge Krug, diretor de TI do Banrisul.

 

Segundo Krug, a IoT foi um golpe na proteção do perímetro e a razão disso está diretamente associada à falta de segurança na concepção da aplicação, tornando os dispositivos em armas poderosas nas mãos dos cibercriminosos, vide o ataque Mirai ocorrido no ano passado. “Oferecer software seguro é obrigação do desenvolvedor e para que este objetivo seja alcançado é necessário avaliar a segurança de todo o ciclo de vida de desenvolvimento da aplicação”, afirma.

 

O fato de hoje os clientes estarem constantemente conectados à internet com os seus dispositivos móveis aumentou consideravelmente a exposição dos bancos. Em 2015, foram identificados mais de 3 milhões de aplicativos mobile classificados como phishing. “A falsificação de perfis nas redes sociais associada a essa técnica leva inúmeros usuários a fornecer dados pessoais aos fraudadores”, disse Krug.

 

É preciso repensar a Segurança

 

Os avanços na tecnologia e nos ataques demonstram um gap na forma como a Segurança é tratada. A velocidade com que as ondas tecnológicas estão chegando abre novas lacunas que, se não resolvidas, limitarão a aplicação dessas tecnologias. Segundo Krug, é preciso repensar a Segurança e revisitar o passado.

 

Um bom exemplo é como as fraudes em cartões foram reduzidas após a implantação de chip. O mesmo vale para a telefonia (GSM), cartões de transporte e ATMs. Em todos esses casos há algo em comum: adotou-se uma série de componentes de segurança, reduzindo drasticamente os ataques. “O elemento seguro é justamente a combinação entre hardware e software”, explica.

 

Para isso, alguns caminhos são apontados pelo especialista:

 

– Autenticação biométrica: deve-se investir na autenticação baseada em características físicas dos clientes, porém não como um fim, mas um meio associado a outros critérios que auxiliem na mensuração de risco.

 

– Biometria comportamental: por muitos anos, houve grandes esforços para conhecer e aprender o comportamento dos clientes para melhorar o seu atendimento. Hoje precisamos disso para garantir a Segurança das transações. A tecnologia aprende o comportamento do usuário, tais como velocidade de digitação, movimentação do mouse, pressão e inclinação da tela, tipo de transação.

 

– Autenticação adaptativa: Analisa o tipo/valor da transação e cruza com o score de risco gerado pelo DNA do dispositivo + ID de sessão + biometria comportamental. Para transações de menor risco, poderá ser dispensada ou solicitar uma autenticação mais simples. Para transações de maior risco, deve ser solicitada uma autenticação mais forte de dois ou mais fatores.

 

Krug é enfático ao afirmar que a avalanche tecnológica continuará de forma cada vez mais acelerada. “Mas não podemos permitir que essas ondas de inovações nos cubram”, ressalta. Ele alerta para gestores se concentrarem nos riscos e em pessoas e não apenas em sistemas e dados, que as lições aprendidas devem ser revisitadas e que segurança perfeita é impossível.

 

Proteger igualmente todos os ativos é um objetivo insustentável. Classificar os ativos e investir nos mais sensíveis pode minimizar os danos de um ataque. Proteja os ativos chaves com sistemas de várias camadas. Se uma falhar, a outra pode garantir a integridade do ativo

 

Conteúdos Relacionados

Security Report | Destaques

De CISO para CISO: 8 pilares para mudar a Cibersegurança ainda em 2025

Na visão de Bruno Moraes, fundador do Cyber Horizon Group, o mercado brasileiro precisa virar a chave da Cibersegurança. Em...
Security Report | Destaques

Gerente do Banco da Amazônia é preso por facilitar fraude cibernética

O mandado foi executado em Santa Inês, no Maranhão, contra um suspeito de facilitar a fraude de R$ 107 milhões...
Security Report | Destaques

Operação conjunta prende dois novos envolvidos no incidente da C&M

A Polícia Federal, juntamente com o Ministério Público de São Paulo, deflagraram a operação Magna Fraus em Goiás e no...
Security Report | Destaques

“A linguagem de risco consiste em dinheiro”, diz CEO da Qualys

Durante a abertura do Cyber Risk Conference Brazil, o CEO da Qualys, Sumedh Thakar, defendeu que traduzir o risco cibernético...