Security Leaders Regionais

O Security Leaders não para! Já estamos trabalhando na agenda e execução dos nossos eventos – sempre de maneira virtual, em atendimento às normas de segurança sanitária da OMS – para este ano.

Além da capital paulista, o Security Leaders também tem presença regional. Em 2020, cidades como Brasília, Rio de Janeiro, Belo Horizonte, Florianópolis, Curitiba, Porto Alegre, Salvador, Fortaleza e Recife receberão a programação em uma agenda repleta de conteúdo e relacionamento.

Acompanhem através de nosso site (www.securityleaders.com.br) e nas nossas newsletters o andamento destes eventos.

Obviamente o alcance dos eventos será nacional, pela natureza virtual da execução que estamos adotando, mas, consideramos o evento regional por privilegiarmos, no conteúdo, palestras, painéis e agenda os temas e enfoque regional, com a avaliação, debate e destaques das práticas de cada região em termos de segurança da informação. Além disso, também teremos painelistas, palestrantes e participantes que nos ajudarão a privilegiar as necessidades e relevâncias de cada uma das cidades e regiões que cobrimos, assim como suas empresas, indústrias, profissionais e experts.

Fale conosco, envie suas sugestões, proponha seus temas e, com certeza, teremos um evento ainda mais aderente à realidade deste nosso Brasil imenso e cheio de peculiaridades, regionais, culturais e na segurança da informação também.

Bradesco desenvolve mapeamento de ameaças globais com inteligência cognitiva

O Banco Bradesco é um dos principais cases de sucesso da plataforma de computação cognitiva Watson, da IBM, e há anos vem colhendo diversos frutos do uso inteligente da tecnologia. Um dos projetos diz respeito ao mapeamento de ameaças globais, que precisava de uma ação ágil e automatizada para entender as vulnerabilidades em todo mundo e o impacto nas organizações.

 

O projeto foi liderado por Waldemar Ruggiero Júnior, Diretor Departamental do Bradesco, pelo time de Infraestrutura do banco, muita dedicação da equipe de cyber inteligência e da própria IBM, que aceitou o desafio de tentar fazer o Watson trabalhar conforme a demanda do Bradesco em um modelo inovador.

 

O case de sucesso foi vencedor na categoria Bronze durante a premiação do Security Leaders em 2019 e a Security Report conversou com o Waldemar Ruggiero Júnior para entender todo o processo e desenvolvimento por trás dessa iniciativa.

 

Security Report: O case de sucesso do Banco Bradesco ficou entre os dez finalistas para ganhar o prêmio durante o Security Leaders 2019. O que motivou esse projeto? Quais eram as demandas internas que dependiam desse atendimento?

 

Waldemar Ruggiero Júnior: O projeto nasceu com a necessidade de resolver o problema de velocidade na identificação das diversas ameaças que ocorrem no âmbito mundial, sendo através de boletins, sites técnicos, de notícias, entre outros.

 

Esse trabalho era executado de forma manual e consumia a equipe de cyber inteligência. O resultado era cruzado de forma manual em nossa base de ativos para identificar potenciais ambientes que poderiam sofrer a ameaça e era realizada interação com o time do SOC para criar gatilhos de prevenção no ambiente de forma processual.

 

Security Report: Ou seja, precisava automatizar todo esse processo. Que tipo de metodologia era necessária para avaliar os riscos associados às ameaças cibernéticas?

 

Waldemar Ruggiero Júnior: O time de Cyber Inteligência já executava e avaliava há mais de 2 anos esse processo de entender a ameaça baseada em sua criticidade na publicação de CVE (Common Vulnerabilities and Exposures) – padrão mundial de classificação de vulnerabilidades e exploração. Com isso, poderia identificar os ambientes que possuíam um potencial risco para essa ameaça.

 

Security Report: E quais foram os principais desafios encarados nesse projeto?

Waldemar Ruggiero Júnior: Trabalhar no Watson com a IBM em uma característica que a tecnologia cognitiva não estava totalmente pronta para atender devido à complexidade de aplicar esse recurso em cyber. Além da curadoria desta mesma tecnologia. Entretanto, esses foram pontos cruciais para torná-la acurada nas identificações, além do trabalho do time interno com a adaptação.

 

Security Report: Com esse trabalho em equipe, o projeto trouxe diversos benefícios, certo?

 

Waldemar Ruggiero Júnior: Nesta primeira fase do projeto, os benefícios foram identificar de forma automatizada e muito mais ágil o que ocorre de vulnerabilidades no mundo,  trazer ao painel de monitoração quais são essa vulnerabilidades, classificadas com base nos seus respectivos CVE. Ou seja, trazer a agilidade na tomada de decisão para acionamento dos times técnicos.

 

Security Report: As lições aprendidas são inspiradoras para os demais times do Bradesco?

 

Waldemar Ruggiero Júnior: Durante o processo foram realizadas diversas reuniões com os times envolvidos e compartilhada a ideia, que mesmo não sabendo se seria totalmente viável, todos aceitaram o desafio – o time acreditou, entendendo que ideias disruptivas nascem de persistência, empenho e ousadia. Esse case é um exemplo que utilizamos como motivador para outras ideias inovadoras que os times podem trazer em suas atividades.

 

Security Report: Quais são os próximos passos?

 

Waldemar Ruggiero Júnior: Neste momento, temos o desafio de construir, de forma automatizada, um painel de risco por ambiente de negócio, cruzando ameaças globais x ativos internos e separados por canal de negócio. Assim, conseguirmos ter uma Big Picture de potencial risco e também buscando trabalhar com os resultados obtidos deste mapeamento de ameaças, uma forma de compartilhar o resultado através da plataforma compartilhamento de ameaças estabelecida pela Febraban, contribuindo com o setor com parcerias para atuação preventiva e pró ativa.

 

As inscrições para o Prêmio Case do Ano do Security Leaders estão abertas e vão até o dia 01 de junho.

Embratel implementa framework para avaliação padronizada de adequação à LGPD

Por mais que agora o futuro da LGPD esteja confuso com o vai e vem de datas para entrar em vigor e disputa entre Executivo e Legislativo, as empresas seguem com seus projetos de adequação. É o caso da Embratel, que desenvolveu uma metodologia inovadora para determinar os riscos associados ao vazamento e comprometimento de Dados Pessoais, considerando os aspectos tecnológicos relacionados da TI e a comunicação, comportamento humano, regulatórios e jurídicos.

 

O projeto, que foi vencedor Prata no Prêmio Security Leaders em 2019, foi totalmente idealizado pela equipe de consultoria e inovação da diretoria de CyberSecurity e contou com profissionais experientes para compor o time com a missão de desenvolver o framework de Assessment de Segurança e LGPD. Cada etapa do processo foi minuciosamente discutida com a equipe de consultores, sob a orientação de Yanis Cardoso Stoyannis, Gerente de Consultoria e Inovação de Cyber Security da Embratel.

 

Segundo o executivo, a metodologia do projeto foi desenhada para auxiliar clientes da Embratel a superarem o desafio de atender os requisitos da LGPD através do desenvolvimento de um programa orientativo, consistente e eficaz. “O projeto foi patrocinado pela Diretoria Executiva de Soluções Digitais da Embratel, que percebeu a importância em desenvolver uma metodologia própria para atender as solicitações dos clientes. Além disso, é importante destacar para o mercado que a Embratel investe constantemente no aprimoramento de serviços especializados de TI e Segurança”, comenta Stoyannis.

 

Qualidade na condução

 

Assim como todo o início de projeto, surgiram os desafios que consequentemente são enfrentados pelos envolvidos, um deles foi o desenvolvimento do próprio framework, que precisava ser abrangente, empregando um conjunto de conceitos técnicos e regulatórios para resolver o problema de falta de padronização. A equipe analisou detalhadamente todos os aspectos da LGPD e a sua implicação no ciclo de vida de informações pessoais. Cada etapa de tratamento de dados foi verificada para identificar potenciais riscos de violações de atendimento da lei.

“Estabelecemos um critério de avaliação de maturidade baseado em indicadores quantificáveis. Foram incorporados pontos de checagem para garantir consistência em cada etapa do processo e possibilitar a geração de resultados confiáveis. O desenvolvimento do modelo exigiu muito esforço e dedicação dos profissionais envolvidos”, acrescenta o executivo.

 

Para garantir a qualidade na condução dos projetos, todas as ações foram supervisionadas pelo Centro Compartilhado de Consultoria de Segurança e LGPD da Embratel, desde a etapa de planejamento, seguida de levantamentos das informações, desenvolvimento das análises, construção dos planos de ação e demais demandas. Os trabalhos foram suportados através de uma aplicação para automatizar boa parte do processo de avaliação. Cada projeto executado retroalimenta o modelo com novos insights que possibilitam fazer ajustes dos parâmetros de configuração do sistema.

 

Lições Aprendidas

O executivo destaca que a principal ação no início do projeto foi estabelecer uma estratégia transparente com a direção da organização. Esta etapa foi fundamental para obter apoio de áreas essenciais da empresa para garantir sucesso do projeto, como Vendas, Pré-Vendas, Estratégia, Produtos e Operações.

 

“Para obter confiança e apoio destas áreas, foi necessário desenvolver uma apresentação executiva contendo uma série de fatores como o objetivo do projeto, as tendências internacionais de regulamentações de privacidade, comparando-as com o cenário nacional, justificativas técnicas e mercadológicas para desenvolvimento de um serviço de consultoria próprio da Embratel. Além de uma visão geral da metodologia proposta destacando-se os principais conceitos e, por fim, demonstrar que os resultados poderiam alavancar novas oportunidades de serviços com clientes”, explica Stoyannis.

 

Na fase final do projeto, foi desenvolvido um plano interno de comunicação e capacitação das áreas envolvidas e a divulgação da solução para o mercado em geral. “Foi um trabalho extenso que exigiu a colaboração de várias áreas internas da empresa. O comprometimento e profissionalismo dos consultores foram fundamentais para o sucesso desta iniciativa” finaliza Yanis Cardoso Stoyannis.

O que a LGPD tem a ver com o Código de Defesa do Consumidor?

O ano de 2020 promete muitas reviravoltas e grandes repercussões em torno da Lei Geral de Proteção de Dados (LGPD), que entrará em vigor no Brasil em agosto deste ano. Entre as diversas demandas da nova regulação que está movimentando as empresas brasileiras – tanto em questões de processos, quanto em investimentos em pessoas e tecnologias – existe um ponto a ser destacado: o cidadão, o proprietário do dado.

De acordo com o advogado André Peixoto, gestor jurídico do IDTI – Instituto de Direito da Tecnologia da Informação no Ceará e Consultor Jurídico em Proteção de Dados da OAB-CE, a informação pessoal passou a ser um bem jurídico, com relevância econômica que traz um grande valor comercial. Para ele, a tendência é que, com a vigência da LGPD, o cidadão passe a entender melhor o valor que tem sua informação pessoal e certamente buscará seus direitos de privacidade e proteção de dados junto aos órgãos de defesa.

“Esse ponto é fundamental para quem está desenhando a estratégia de implementação da LGPD, pois não só a ANPD vai fiscalizar como as empresas estão cuidando dos dados dos brasileiros, os PROCONs e ajuizados especiais também estarão de olho no tratamento e armazenamento do dado e cobrarão maior segurança das informações pessoais”, alerta o executivo durante o Security Leaders Fortaleza, que aconteceu em dezembro passado.

Para o especialista, a sociedade brasileira enxerga no Código de Defesa do Consumidor um apoio importante para buscar seus direitos e certamente o titular do dado estará em uma posição de protagonista com a LGPD vigente.

“No campo legislativo, o Brasil é um país moderno com ótimas leis. O Código de Defesa do Consumidor e o próprio Marco Civil da Internet são regulações que tiveram uma participação popular muito grande e se tornaram leis democráticas e transparentes. Da mesma forma, a LGPD vai evoluir a ponto de alcançarmos um cenário básico de direitos e deveres, o que impacta empresas e cidadãos”, completa André Peixoto.

Ele acrescenta que, em caso de vazamento de dados, o cidadão provavelmente vai procurar os ajuizados especiais – que são operações que cuidam de processos de até 40 salários mínimos e que podem ser operacionalizadas por pessoa física pela internet. “Sugiro para que os gestores de Segurança considerem esses atores diante da LGPD, pois os titulares irão buscar seus direitos junto a esses órgãos”, finaliza.

Quando o Big Data se depara com a LGPD

Mesmo diante das incertezas de como a LGPD passará a vigorar e quando a Autoridade Nacional de Proteção de Dados entrará em cena, efetivamente, para dar as diretrizes de como empresas e órgãos públicos terão que tratar o dado pessoal, o certo é que o Brasil vive hoje essa jornada de conformidade. De acordo com a IDC, quase 2/3 das empresas estarão em processo de adequação ao longo de 2020 e a previsão é que haverá uma explosão de solicitações de privacidade por parte do titular do dado.

Ou seja, em um cenário de Big Data, haverá uma necessidade de educação sobre as práticas de privacidade em vários níveis: usuários, desenvolvedores, áreas de negócio e um aculturamento do próprio dono do dado. Na visão de Amalia Camara, professora de Direito Digital da Universidade de Pernambuco e Doutora em Ciência Política, os 5 Vs do universo de Big Data nunca fizeram tanto sentido quanto no atual cenário regulatório.

“Volume e variedade do dado, o valor dessa informação que traz um poder riquíssimo para as áreas comerciais, velocidade e veracidade são pontos que repercutem na LGPD quando se manipula informações sensíveis dos titulares. No mesmo sentido em que as empresas exploram o universo do Big Data para personalizar e customizar ações de campanha publicitária, o titular começa a ganhar um empoderamento para confrontar de que maneira seus dados estão sendo manipulados”, reflete Amalia durante o Security Leaders Recife.

Para se ter uma ideia, a IDC projeta que Analytics e Inteligência Artificial são tendências cada vez mais entrelaçadas, com objetivo de simplificar o consumo de um volume crescente de dados que geram insights para os negócios. As soluções de software voltadas para essa sinergia de Analytics e AI crescem 11,5% e, juntas, devem somar US$ 548 milhões no Brasil este ano.

Ou seja, um universo de informações pessoais que tende a crescer a cada dia em que a humanidade gera mais dados, tanto online quanto offline. “Mesmo desconectados da internet, produzimos dados todos os dias, aliás, desde o início da nossa existência, da biometria à documentos pessoais, tudo é baseado em dado”, pontua Amália.

Cultura de proteção

A especialista levou toda a plateia do Security Leaders a refletir nesse mundo dos dados, em que a informação é considerada o novo petróleo de tão valiosa e para o direito, é um cenário típico do conceito de vigilância. Isso também está atrelado ao ciclo de vida do dado, em que nas relações comerciais, por exemplo, ele nasce, cresce, vive e morre.

“Quando olhamos para a LGPD, que coloca uma enorme lista de verbos associados a tratamento de dados, podemos compreender que essa informação tem um ciclo de vida dentro das empresas, que em algum momento, ela perde a utilidade comercial e precisa ser descartada”, explica.

Ela acrescenta que daqui pra frente todos os brasileiros viverão uma nova jornada de aprendizado, pois é um processo cultural. Diferente dos europeus, que têm a cultura pautada em privacidade, os brasileiros não se importam em entregar suas informações pessoais em troca de facilidades. “Por isso é tão complexo para nós lidarmos com uma legislação que foi pautada em uma lei europeia, leva um tempo para se adequar, até mesmo porque cada região interpreta dados pessoais de forma diferente”, completa.

Ela explica que nos Estados Unidos, dado pessoal é interpretado como patrimônio, posse que pode ser negociável. No Brasil, é um direito típico de personalidade, algo que compõe o cidadão e está no mesmo nível de integridade física. Enquanto na Europa, é interpretado como direito fundamental, posto em constituição.

“Percebe-se que cada região tem um nível de interpretação, uns mais cautelosos, outros mais comerciais, tudo isso impacta em como lidamos com esse cenário e como será o tratamento da proteção e privacidade daqui pra frente”, conclui.