Apesar de haver uma onda sobre a garantia da segurança no meio digital, dado o crescimento das tecnologias e uso de dispositivos móveis, o assunto vai além da cibersegurança, mas envolve outros aspectos como a segurança nacional, na saúde, nas finanças e nas relações humanas. E essa tese é alicerçada também pelo crescimento de IoT, cidades inteligentes, inteligência artificial e todo esse contexto conectado com os celulares.
Por isso, de acordo com Rogério Reis, vice-presidente de segurança da NEC no Brasil, a companhia é associada ao FIRST – Forum for Incident Response and Security Teams, maior organização global em resposta a incidentes de segurança, que reúne diversos CSIRTs – Computer Security Incident Response Teams – no mundo todo, visando a cooperação na prevenção dos incidentes, rapidez e assertividade na reação e, ainda, compartilhamento de informações relevantes e confiáveis. “Com a alta conectividade do mundo digital de hoje, aliada a milhões de transações de acesso a dados, autenticação de dispositivos, demandas de registros de logs, consultas, e-commerce, etc, as empresas precisam cada vez mais investir em sistemas eficientes em resposta às demandas do mercado”. Em entrevista para a Security Report, Rogério Reis, fala sobre a estratégia da NEC no Brasil e como as empresas estão se preparando para enfrentar a LGPD.
Security Report: Como a NEC está olhando para o mercado de segurança com o lançamento do novo portfólio de produtos apoiado nos pilares de Segurança Física, Infraestrutura Crítica, Segurança Cibernética, Antifraude, Segurança Pública e Cidades Inteligentes?
Rogério Reis: Segurança e Safety são prioridades globais da NEC, e diversos investimentos estão sendo realizados na área para contribuir para uma sociedade mais segura. Nossa oferta está alinhada com evolução dos últimos anos: mais próxima do negócio, integrada, aberta e completa. Nos posicionamos como one stop shop em Segurança Física, Infraestrutura Crítica, Segurança Cibernética, Antifraude, Segurança Pública e Cidades Inteligentes.
Security Report: A NEC é associada ao FIRST (Forum for Incident Response and Security Teams). De que maneira isso beneficia os clientes?
Rogério Reis: O FIRST nos informa sobre eventos que ainda vão acontecer, de forma que podemos proteger nossos clientes antes do ataque. Além disso, no caso de um incidente que envolva ataques que utilizam técnicas ainda não conhecidas, temos a ajuda do FIRST na resposta ao incidente. Um provedor de serviços gerenciados de segurança que não possua essa associação não consegue responder de forma efetiva a ataques.
Security Report: Muitas empresas migraram para cloud sem se preocupar com a questão da segurança. O que a NEC recomenda?
Rogério Reis: A recomendação é que qualquer novo projeto seja desenvolvido utilizando o conceito “Security by Design”. Ou seja, os projetos precisam considerar a segurança desde o início, para que o produto final nasça seguro. Essa é a forma mais fácil e barata de se fazer segurança. Às vezes é a única forma possível.
Security Report: Como a NEC avalia as novas soluções de orquestração, baseadas no conceito de SOAR?
Rogério Reis: Automatizar resposta a incidentes sempre foi um desejo, mas o desafio é enorme. Se pensarmos mesmo em soluções antigas, como bloqueio automático em firewalls, IPSs e endpoints, as soluções nunca foram bem resolvidas: os falsos positivos sempre causaram grandes impactos e, por vezes, inviabilizaram o uso de soluções ou recursos. Portanto, apesar de ser uma tendência, as soluções de orquestração ainda terão grandes barreiras.
Security Report: Quais os principais problemas nos projetos de segurança e como resolvê-los?
Rogério Reis: O principal problema é realizar projetos de forma reativa e pontual. Historicamente os projetos de segurança só ganham força quando acontece um incidente (real ou simulado) ou quando temos uma nova lei ou regulamentação (LGPD, SOX, PCI, Normas do Banco Central, etc.), e o escopo é sempre mal definido, pois tem somente foco no compliance ou é definido, às pressas, no calor do incidente. Isso tem levado, invariavelmente, ao mesmo resultado: o investimento realizado não endereça o problema! O segredo está em definir uma estratégia adequada, começando pela identificação do problema (GAP Analysis) e um plano de ação para corrigir as decisões erradas do passado. E quanto ao futuro? Secure by design! Não tem muito segredo.
Security Report: Como arrumar a casa para a LGPD? As empresas estão preparadas para a avalanche de ataques, já que muitos hackers irão se aproveitar da contrapartida das multas aplicadas pela ANPD?
Rogério Reis: O grande problema é que mais de 85% das empresas não tem como estar compliance, simplesmente porque não se ganha maturidade do dia pra noite. Apesar de positiva, a LGPD foi aprovada de forma atropelada, à reboque da GDPR, por interesses estritamente cormeciais.
Security Report: Do ponto de vista de novas tecnologias de segurança, quais são as principais tendências que a NEC está olhando para os próximos anos e por quê?
Rogério Reis: Segurança na nuvem, IoT e segurança para infraestruturas críticas. Os dois primeiros pelo movimento do mercado e o último pelo fato de termos essas infraestruturas falando TCP/IP e serem muito sensíveis aos negócios.