Vencedores do Prêmio Case do Ano apresentam projeto no Security Leaders Virtual

Há mais de 10 anos o Security Leaders premia as melhores práticas do mercado e organizações em medidas, políticas e implementações tecnológicas em Segurança da Informação. Todos os anos conhecemos e reconhecemos o esforço das empresas em melhorar seus procedimentos e compartilhar estes casos para que a comunidade de segurança do nosso Brasil possa aprender e crescer com elas.

Este ano, em nosso evento Virtual, apresentaremos os cases vencedores de 2019:

  • Metodologia de Avaliação de Segurança e LGPD – Yanis Stoyannis, Gerente de Consultoria e Inovação de Cyber Security – Embratel
  • Plataforma de Autenticação as a Service – Vitor Sena, CISO Global – Gerdau
  • Mapeamento de ameaças globais com automação de fontes de inteligência Watson – Waldemar Ruggiero Jr, Diretor Departamental – TI – Bradesco

Em pitches de 10 minutos poderemos conhecer detalhes da implementação e os bons resultados alcançados que poderão orientar e ajudar à comunidade de CISOs em suas próprias práticas.

Além disso, ao final do nosso evento anunciaremos os vencedores dos Cases de Sucesso Security Leaders 2020. Nossas inscrições se encerraram no último dia 1 de junho e agora é torcer pela sua história que será contada em detalhes na próxima edição do nosso evento. Não percam!

Bradesco desenvolve mapeamento de ameaças globais com inteligência cognitiva

O Banco Bradesco é um dos principais cases de sucesso da plataforma de computação cognitiva Watson, da IBM, e há anos vem colhendo diversos frutos do uso inteligente da tecnologia. Um dos projetos diz respeito ao mapeamento de ameaças globais, que precisava de uma ação ágil e automatizada para entender as vulnerabilidades em todo mundo e o impacto nas organizações.

 

O projeto foi liderado por Waldemar Ruggiero Júnior, Diretor Departamental do Bradesco, pelo time de Infraestrutura do banco, muita dedicação da equipe de cyber inteligência e da própria IBM, que aceitou o desafio de tentar fazer o Watson trabalhar conforme a demanda do Bradesco em um modelo inovador.

 

O case de sucesso foi vencedor na categoria Bronze durante a premiação do Security Leaders em 2019 e a Security Report conversou com o Waldemar Ruggiero Júnior para entender todo o processo e desenvolvimento por trás dessa iniciativa.

 

Security Report: O case de sucesso do Banco Bradesco ficou entre os dez finalistas para ganhar o prêmio durante o Security Leaders 2019. O que motivou esse projeto? Quais eram as demandas internas que dependiam desse atendimento?

 

Waldemar Ruggiero Júnior: O projeto nasceu com a necessidade de resolver o problema de velocidade na identificação das diversas ameaças que ocorrem no âmbito mundial, sendo através de boletins, sites técnicos, de notícias, entre outros.

 

Esse trabalho era executado de forma manual e consumia a equipe de cyber inteligência. O resultado era cruzado de forma manual em nossa base de ativos para identificar potenciais ambientes que poderiam sofrer a ameaça e era realizada interação com o time do SOC para criar gatilhos de prevenção no ambiente de forma processual.

 

Security Report: Ou seja, precisava automatizar todo esse processo. Que tipo de metodologia era necessária para avaliar os riscos associados às ameaças cibernéticas?

 

Waldemar Ruggiero Júnior: O time de Cyber Inteligência já executava e avaliava há mais de 2 anos esse processo de entender a ameaça baseada em sua criticidade na publicação de CVE (Common Vulnerabilities and Exposures) – padrão mundial de classificação de vulnerabilidades e exploração. Com isso, poderia identificar os ambientes que possuíam um potencial risco para essa ameaça.

 

Security Report: E quais foram os principais desafios encarados nesse projeto?

Waldemar Ruggiero Júnior: Trabalhar no Watson com a IBM em uma característica que a tecnologia cognitiva não estava totalmente pronta para atender devido à complexidade de aplicar esse recurso em cyber. Além da curadoria desta mesma tecnologia. Entretanto, esses foram pontos cruciais para torná-la acurada nas identificações, além do trabalho do time interno com a adaptação.

 

Security Report: Com esse trabalho em equipe, o projeto trouxe diversos benefícios, certo?

 

Waldemar Ruggiero Júnior: Nesta primeira fase do projeto, os benefícios foram identificar de forma automatizada e muito mais ágil o que ocorre de vulnerabilidades no mundo,  trazer ao painel de monitoração quais são essa vulnerabilidades, classificadas com base nos seus respectivos CVE. Ou seja, trazer a agilidade na tomada de decisão para acionamento dos times técnicos.

 

Security Report: As lições aprendidas são inspiradoras para os demais times do Bradesco?

 

Waldemar Ruggiero Júnior: Durante o processo foram realizadas diversas reuniões com os times envolvidos e compartilhada a ideia, que mesmo não sabendo se seria totalmente viável, todos aceitaram o desafio – o time acreditou, entendendo que ideias disruptivas nascem de persistência, empenho e ousadia. Esse case é um exemplo que utilizamos como motivador para outras ideias inovadoras que os times podem trazer em suas atividades.

 

Security Report: Quais são os próximos passos?

 

Waldemar Ruggiero Júnior: Neste momento, temos o desafio de construir, de forma automatizada, um painel de risco por ambiente de negócio, cruzando ameaças globais x ativos internos e separados por canal de negócio. Assim, conseguirmos ter uma Big Picture de potencial risco e também buscando trabalhar com os resultados obtidos deste mapeamento de ameaças, uma forma de compartilhar o resultado através da plataforma compartilhamento de ameaças estabelecida pela Febraban, contribuindo com o setor com parcerias para atuação preventiva e pró ativa.

 

As inscrições para o Prêmio Case do Ano do Security Leaders estão abertas e vão até o dia 01 de junho.

Embratel implementa framework para avaliação padronizada de adequação à LGPD

Por mais que agora o futuro da LGPD esteja confuso com o vai e vem de datas para entrar em vigor e disputa entre Executivo e Legislativo, as empresas seguem com seus projetos de adequação. É o caso da Embratel, que desenvolveu uma metodologia inovadora para determinar os riscos associados ao vazamento e comprometimento de Dados Pessoais, considerando os aspectos tecnológicos relacionados da TI e a comunicação, comportamento humano, regulatórios e jurídicos.

 

O projeto, que foi vencedor Prata no Prêmio Security Leaders em 2019, foi totalmente idealizado pela equipe de consultoria e inovação da diretoria de CyberSecurity e contou com profissionais experientes para compor o time com a missão de desenvolver o framework de Assessment de Segurança e LGPD. Cada etapa do processo foi minuciosamente discutida com a equipe de consultores, sob a orientação de Yanis Cardoso Stoyannis, Gerente de Consultoria e Inovação de Cyber Security da Embratel.

 

Segundo o executivo, a metodologia do projeto foi desenhada para auxiliar clientes da Embratel a superarem o desafio de atender os requisitos da LGPD através do desenvolvimento de um programa orientativo, consistente e eficaz. “O projeto foi patrocinado pela Diretoria Executiva de Soluções Digitais da Embratel, que percebeu a importância em desenvolver uma metodologia própria para atender as solicitações dos clientes. Além disso, é importante destacar para o mercado que a Embratel investe constantemente no aprimoramento de serviços especializados de TI e Segurança”, comenta Stoyannis.

 

Qualidade na condução

 

Assim como todo o início de projeto, surgiram os desafios que consequentemente são enfrentados pelos envolvidos, um deles foi o desenvolvimento do próprio framework, que precisava ser abrangente, empregando um conjunto de conceitos técnicos e regulatórios para resolver o problema de falta de padronização. A equipe analisou detalhadamente todos os aspectos da LGPD e a sua implicação no ciclo de vida de informações pessoais. Cada etapa de tratamento de dados foi verificada para identificar potenciais riscos de violações de atendimento da lei.

“Estabelecemos um critério de avaliação de maturidade baseado em indicadores quantificáveis. Foram incorporados pontos de checagem para garantir consistência em cada etapa do processo e possibilitar a geração de resultados confiáveis. O desenvolvimento do modelo exigiu muito esforço e dedicação dos profissionais envolvidos”, acrescenta o executivo.

 

Para garantir a qualidade na condução dos projetos, todas as ações foram supervisionadas pelo Centro Compartilhado de Consultoria de Segurança e LGPD da Embratel, desde a etapa de planejamento, seguida de levantamentos das informações, desenvolvimento das análises, construção dos planos de ação e demais demandas. Os trabalhos foram suportados através de uma aplicação para automatizar boa parte do processo de avaliação. Cada projeto executado retroalimenta o modelo com novos insights que possibilitam fazer ajustes dos parâmetros de configuração do sistema.

 

Lições Aprendidas

O executivo destaca que a principal ação no início do projeto foi estabelecer uma estratégia transparente com a direção da organização. Esta etapa foi fundamental para obter apoio de áreas essenciais da empresa para garantir sucesso do projeto, como Vendas, Pré-Vendas, Estratégia, Produtos e Operações.

 

“Para obter confiança e apoio destas áreas, foi necessário desenvolver uma apresentação executiva contendo uma série de fatores como o objetivo do projeto, as tendências internacionais de regulamentações de privacidade, comparando-as com o cenário nacional, justificativas técnicas e mercadológicas para desenvolvimento de um serviço de consultoria próprio da Embratel. Além de uma visão geral da metodologia proposta destacando-se os principais conceitos e, por fim, demonstrar que os resultados poderiam alavancar novas oportunidades de serviços com clientes”, explica Stoyannis.

 

Na fase final do projeto, foi desenvolvido um plano interno de comunicação e capacitação das áreas envolvidas e a divulgação da solução para o mercado em geral. “Foi um trabalho extenso que exigiu a colaboração de várias áreas internas da empresa. O comprometimento e profissionalismo dos consultores foram fundamentais para o sucesso desta iniciativa” finaliza Yanis Cardoso Stoyannis.