O problema das equipes de segurança sobrecarregadas

por Leonardo Moreira, diretor da PROOF

Pelas visitas que tenho feito à algumas empresas brasileiras, posso dizer que grande parte das equipes de segurança da informação estão sobrecarregadas. O maior problema que tenho notado é que os profissionais que são responsáveis pelos projetos de segurança, também são responsáveis pela operação de segurança. Isso causa um conflito inexorável entre o que é urgente e o que é importante. Respectivamente, Operação de Segurança e Projetos de Segurança. Na maioria das vezes o “urgente” toma grande parte do tempo do profissional e a maturidade do ambiente é elevada muito vagarosamente. Como a maturidade é baixa, os problemas e incidentes continuam a “roubar” o tempo do “importante” e o ciclo vicioso nunca termina. Ou nunca terminava…

Outro problema encontrado é que alguns profissionais de segurança da informação são “pilotos” de soluções de segurança. Estes profissionais, em geral, sabem muito sobre uma solução de firewall ou de IPS mas compreendem muito vagamente os desafios que a segurança nos apresenta todos os dias. O verdadeiro profissional de segurança precisa olhar para um ambiente de TI e enxergar as lacunas e “gaps”, entender quais destes devem ser priorizados e ajudar a mitigá-las, mesmo nas ações mais básicas do dia-a-dia. Infelizmente, profissionais com esta capacidade estão cada vez mais escassos no mercado.

O verdadeiro profissional de segurança da informação é inquieto. Pelo menos, no meu tempo, ele era… Eles gostam de movimento, de aprender, ler artigos e “papers”, fazer laboratórios para entender como tudo funciona na prática e estar sempre na vanguarda sobre o mundo de SI. Em geral, este profissional tem paixão por extrair o máximo das soluções e proteções de Segurança. Ter profissionais com este perfil, além de trazer benefícios óbvios, diminui o custo de treinamento e formação (muito altos no Brasil) pois eles são autodidatas. E adoram isso!

No final das contas pode até ser fácil achar profissionais de segurança, mas encontrar um que se encaixe neste perfil é uma tarefa árdua e nem sempre bem-sucedida. Ou seja, a priorização do tempo da equipe de SI não é o único problema. Se você identificou um membro da sua equipe ou um companheiro de trabalho com este perfil, você esta diante de uma raridade hoje.

Terceirização traz maturidade

Para evitar que estes profissionais tenham de lidar diariamente com as tarefas da operação e possam se dedicar aos projetos que irão elevar o nível de maturidade da SI, é recomendado terceirizar parcialmente ou totalmente a operação de segurança. Existem muitas empresas no mercado mundial que oferecem este tipo de serviço com competência e custos compatíveis com a realidade do mercado brasileiro.

No final do dia, estas empresas irão transformar 1 milhão de eventos de segurança diários em poucos alertas. Alguns alertas serão tratados pela própria empresa, através de mudanças nas configurações dos ativos de segurança, outros serão encaminhadas para as equipes de TI para adequação. Assim, se você conta com um profissional conforme eu descrevi anteriormente, seu tempo será utilizado apenas no que é realmente urgente. O resto, fica com o que é importante.

Se, como a maioria das empresas do Brasil, você não conta com este profissional, não se preocupe. Também existem modelos de serviço que disponibilizam recursos humanos para suprir esta necessidade, além de tudo mais que foi citado anteriormente.

Estes modelos de serviço vêm da constatação dos líderes de negócio de que não é eficiente realizar tudo relacionado à SI “dentro de casa”. A terceirização de alguns serviços se tornou uma excelente estratégia para empresas de todos os tamanhos. Afinal, de nada adianta investir em caros controles e sistemas de segurança se um incidente pode acontecer de madrugada, por exemplo, e não houver uma equipe disponível para realizar as medidas cabíveis. Ou pior: um incidente real ser negligenciado por falta de tempo da equipe e de profissionais para investigar.

Como pensar a segurança da informação para pequenas empresas

No Brasil as empresas de pequeno e médio porte em geral não se preocupam com a segurança da informação por não se acharem importantes o bastante para serem alvo de criminosos e, por consequência, não verem valor nisso.

Existe uma falta de entendimento sobre como a segurança é importante para o negócio e quais seriam as consequências de um ataque bem-sucedido. Se grandes empresas perdem milhões em grandes ataques, para empresas pequenas o dano pode ser catastrófico.

Porém, em tempos de crise, por onde começar? Siga os nossos passos:

Entenda a ameaça real

Um erro comum de pequenas e médias empresas é achar que elas não são um alvo, porém, o relatório Verizon Data Breach Investigations Report de 2015 notou que 60% dos ataques bem-sucedidos foram direcionados às pequenas e médias empresas justamente porque elas não têm a expertise e os recursos necessários para monitorar e gerenciar produtos de segurança no seu ambiente. O relatório também mostrou que os estragos não são em menores proporções quando se trata de empresas pequenas. Grandes empresas de fato têm perdas maiores, mas apenas porque têm mais registros para perder.

Outra razão para que as pequenas e médias empresas corram riscos é achar que basta se proteger para propósitos de compliance, porém, passar em auditorias não quer dizer que a empresa esteja segura. É comum o investimento em ferramentas como firewalls e sistemas de segurança básicos para cumprir com normas de auditorias, enquanto soluções mais modernas são ignoradas.

Segurança da informação é essencial para o negócio

No Brasil ainda são pequenos os investimentos em inteligência em segurança da informação. O budget ainda é direcionado para a troca de um equipamento ou outro que, no final, acaba não acrescentando em nada à segurança.

A falta de maturidade em segurança da informação das pequenas e médias empresas as leva a pensar que a segurança se resume à compra de novos aparatos tecnológicos e não à proteção dos dados. A compra de novos softwares são apenas uma parte da estratégia, que inclui a implementação de políticas de segurança para proteger os ativos da empresa.

Para isso é importante conhecer as vulnerabilidades do negócio, ter capacidade de quantificar o impacto dessas vulnerabilidades caso sejam exploradas, determinar o nível de risco aceitável e o que deve ser mitigado e só então pensar na implementação de tecnologias e processos para eliminar os riscos.

Escolha o melhor parceiro

Nas pequenas empresas é comum ter apenas uma pessoa responsável pela segurança da informação. Quando o negócio vai crescendo e as demandas aumentam é comum recorrer a um parceiro de segurança da informação, que oferecerá implementações, consultorias e serviços gerenciados de segurança (em inglês, Managed Security Service – MSS).

Para isso, é preciso considerar o nível de expertise e de recursos e procurar um serviço que proteja o ambiente durante 24h e sete dias por semana. A empresa precisa ter conhecimento dos produtos de segurança oferecidos e capacidade de detectar e solucionar ameaças, como o MSS PROOF.

Com Dark Reading

Como as pequenas empresas podem aproveitar o big data

“Big data” é uma espécie de termo “da moda” cuja definição varia constantemente, porém, em vez de tentar defini-lo como um grande volume de dados não estruturados gerados em várias fontes, é mais importante definirmos as maneiras como ele pode ser útil para empresas de todos os tamanhos, inclusive as que têm budget limitado para TI.

Apesar de terem o conceito de big data em mente, nos pequenos negócios os projetos de big data são vistos como custosos e complexos demais. Porém, cada vez mais soluções surgem no mercado para oferecer uma opção flexível e escalável.

Ferramentas que analisam dados gerados por máquina, por exemplo, analisam informações que já existem em abundância em qualquer empresa: arquivos de logs, dados de configuração de servidores, aplicações, configurações de rede, métricas de sistema, entre outras.

Não é necessário começar a se preocupar com big data de uma hora para outra, porém, é preciso ter um plano que se adapte aos processos de negócio para que eles possam ser guiados por dados.

Comece de maneira objetiva

Como as pequenas empresas têm poucos recursos dedicados à TI, o melhor é começar a preparar o negócio apenas coletando, armazenando, analisando e usando os dados de maneira efetiva para melhorar e experiência do cliente e a receita do negócio.

Se o negócio for um e-commerce, por exemplo, pode ser uma boa ideia aproveitar os dados gerados pelo próprio website para melhorar a experiência do usuário e encontrar padrões, como páginas que demoram para carregar, seções mais visitadas, níveis de rejeição, entre outros.

Os dados podem ser usados na personalização de serviços para praticamente qualquer tipo de negócio, mas principalmente para os que operam online. Com eles, as empresas podem tratar os clientes como indivíduos. O mais importante, porém, é se certificar de que os dados sejam precisos.

Com a tecnologia na nuvem, o custo do big data tem reduzido, uma vez que as empresas não precisam arcar com o hardware para analisar informações em pequena escala. Tudo pode ser feito remotamente. Além disso, as aplicações tendem a ficar cada vez mais amigáveis para o usuário e mais acessíveis a empresas de todos os tamanhos.

Com Smart Data Collective

Ransomware: a praga que vai dominar 2016

Uma das ameaças que mais assombrou as empresas em 2015 foi o ransomware, uma ameaça que consiste no uso de um malware capaz de invadir sistemas e criptografar arquivos, exigindo o pagamento de um “resgate” para liberar uma chave para descriptografar os dados e ter acesso às informações novamente.

O maior diferencial desse tipo de ameaça é que seu objetivo não é roubar dados de máquinas ou redes infectadas. “O ransomware é algo que é realmente para ganhar dinheiro rápido, não para prejudicar a empresa”, explica o diretor de engenharia da PROOF, Leonardo Moreira.

Pouco tempo após infectar uma máquina, o ransomware é capaz de paralisar importantes processos de operação por meio do congelamento de ativos críticos. Além de criptografar o HD dos infectados, os ransomwares exploram a rede para encontrar outros arquivos compartilhados e drives que também possam ser criptografados.

Qualquer um pode ser vítima

Uma das maiores vantagens do ransomware é que a prática exclui a necessidade de o criminoso ter acesso a uma grande rede de pessoas para tirar valor dos dados tipicamente roubados, como dados de cartão de crédito, informações pessoalmente identificáveis, credenciais, entre outros.

Por meio do ransomware, os dados não precisam ser valiosos para o mercado, mas para as vítimas. Ou seja, qualquer um é por ser vítima, principalmente as empresas que dão pouca atenção à segurança da informação – no caso, as empresas pequenas e médias aparecem como o alvo preferido.

Como atinge vítimas de diversas indústrias e empresas de todos os tamanhos, fica difícil construir uma rede de compartilhamento de inteligência, como a da indústria financeira contra os malwares bancários, por exemplo. No caso do ransomware, algumas vítimas apenas pagam o resgate e nem chegam a reportar o crime.

Para onde vai o malware?

O malware está bem longe de ir embora. A tendência é que esse tipo de ameaça atinja um número ainda maior de empresas no Brasil e no mundo em 2016.

Coloque os dados nas mãos do time de executivos

Assim como as pessoas são ativos importantes para a empresa e têm sua importância representada por meio de um chefe de recursos humanos junto ao time de executivos, os dados também precisam desse tratamento, pois são os ativos mais importantes da maioria das empresas. Muitas vezes são os dados que justificam valores no mercado e podem ser grandes multiplicadores.

Porém, são poucas as empresas que dão esse tratamento aos seus dados. Tratá-los como um ativo crítico, com um plano estratégico para protegê-los e aumentar seu valor, é uma das maiores oportunidades organizacionais. Para isso, é preciso ter um executivo responsável por criar e gerir um programa eficiente de governança.

Além de permitir a criação de um bom programa de cyber segurança, os benefícios são incontáveis, como a redução dos riscos com compliance, controles de segurança maiores, redução de armazenamento e outros custos e maior retorno dos dados e ativos de informação.

Criando o ambiente certo

No entanto, para atingir esses objetivos são necessários muitos esforços. Dados e outros ativos de informação ficam restritos a certas linhas de negócio e em áreas funcionais das empresas. Eles residem em data centers, dispositivos como smartphones, laptops e HDs, na nuvem, em papéis, entre outros. Poucas organizações mapearam seus ativos, ou seja, a maioria nem sabe onde estão seus dados.

Além da motivação para aproveitar essas oportunidades, é preciso ter força para criar novas regras, especialmente em relação à cyber segurança e à proteção das informações pessoalmente identificáveis dos clientes.

No Brasil são poucas as leis responsáveis por regular os deveres das empresas em relação aos dados dos clientes. Há anos o país tenta aprovar leis que tratem apenas de privacidade de dados, mas até o início deste ano, nada saiu do papel. Porém, são os hackers que devem ser a principal preocupação. São eles que comprometem dados de segurança e causam danos financeiros.

Um líder de governança de dados alinharia toda a empresa aos interesses em relação aos dados ao longo de todas as linhas de negócio e áreas de suporte. Ele deveria ser capaz de se conectar e criar relacionamentos com os departamentos de TI, finanças, jurídico e outros, e entenderia a maneira como os dados são criados e geridos por indivíduos chave, como CIOs e CFOs.

Esses mesmos líderes seriam ótimos para a tarefa de governança da informação. Os CIOs, por exemplo, na maioria das empresas, já se reportam ao CEO para alinhar seus recursos aos objetivos estratégicos da empresa e têm uma relação bastante próxima com os dados, especialmente os relacionados à infraestrutura e sistemas de operação.

Com CFO

Tendências em analytics para 2016

O mercado de big data deve chegar a US$ 48,6 bilhões em 2019 segundo projeções do IDC. O mercado de softwares de business analyitcs e soluções de business intelligence, que inclui a ciência de dados e a computação cognitiva, tende a crescer cinco vezes mais.

Confira tendências em analytics e dados para 2016:

Monetização de dados deve decolar

Em 2016 um número maior de empresas tentará tirar valor e receita de suas informações por meio da comercialização de seus próprios dados. De acordo com o Forrester, em 2014 apenas 10% das empresas colocaram seus dados no mercado; em 2015, os esforços de comercialização de dados subiram para 30%, um aumento de 200%.

A maioria das empresas já está no negócio de dados de alguma maneira. Segundo o IDC, em 2020 mais empresas serão capazes de analisar todos os dados relevantes para obter insights úteis, criando uma vantagem de cerca de US$ 430 bilhões em produtividade em relação aos concorrentes menos habilitados em analytics. Ainda segundo o instituto, a quantidade de dados analisada deverá dobrar nesse período.

Analyitcs será usado em praticamente tudo

Segundo projeções do International Institute for Analytics (IIA), a computação deve se tornar uma espécie de microsserviço capaz de se inserir em tudo, especialmente analytics, por meio de alguma API. Segundo o IDC, em 2020, cerca de 50% de todos os softwares de business analytics vão incluir análises prescritivas construídas com base em funcionalidades da computação cognitiva e serviços cognitivos serão integrados a novos aplicativos.

Escassez de profissionais deve continuar

A automatização da preparação dos dados deve ajudar a lidar com o número limitado de analistas e cientistas de dados. De acordo com o IDC, a escassez de profissionais capacitados deve continuar e se estender a cientistas de dados, arquitetos e experts em gestão de dados. Como resultado, o mercado de serviços de big data deve se expandir rapidamente.

Em 2016, o Forrester prevê que as empresas devem se transformar em fornecedoras de insights e ciência de dados “as a Service” e oferecer opções como o mercado de algoritmos e ferramentas de analytics avançadas acessíveis ao usuário.

A PROOF, em parceria com a Splunk, já oferece ao mercado o serviço de Analytics as a Service, combinando as funcionalidades da computação sob demanda da nuvem com a democratização da informação trazida pelo Big Data. O Analytics as a Service elimina tarefas manuais de TI responsáveis por inibir o acesso a novas tecnologias e permitem, ao mesmo tempo, que as empresas façam análises e tenham acesso centralizado às informações em tempo real.

Com Forbes

Como big data e analytics podem transformar a auditoria

Em períodos de crise a importância dos auditores no mercado financeiro se intensifica. Esses profissionais devem executar auditorias robustas para servir ao interesse público, focando continuamente na qualidade e na entrega de insights e valor aos usuários de serviços financeiros. Ao mesmo tempo, as empresas esperam ter um diálogo mais intenso com os auditores e insights mais relevantes.

A auditoria é uma das áreas que podem sofrer grandes transformações com as oportunidades oferecidas pelo big data e o business analytics. Recentes avanços de tecnologias de analytics estão impactando a maneira como auditoria é pensada e executada. A tendência é que essa prática se expanda para além dos limites dos testes baseados em amostras para incluir grandes volumes de dados mais relevantes (transações, dados de processos chave de negócios, entre outros) por meio de análises inteligentes para entregar uma maior quantidade de evidências e insights de negócios.

O business analytics tem permitido que auditores identifiquem melhor processos financeiros, fraudes e riscos operacionais, permitindo que os profissionais aprimorem sua abordagem para entregar uma auditoria mais relevante.

Principais obstáculos

Há uma série de barreiras à integração do analytics aos processos de auditoria. A primeira é a captura eficiente dos dados, sem a qual os auditores são incapazes de usar ferramentas de analytics. As empresas investem em segurança de maneira significativa e, preocupadas com essa questão, podem relutar em oferecer dados.

Além disso, auditores também têm de lidar com centenas de diferentes sistemas de contabilidade, muitas vezes, dentro de uma mesma empresa. Assim como esses profissionais não têm a extração de dados como competência principal, muitas organizações também não têm, o que pode resultar em múltiplas tentativas.

Outro obstáculo é o aumento na complexidade dos dados que a integração de big data à auditoria deve trazer. Esse processo deve incluir, por exemplo, informações de processos financeiros adjacentes como dados de receita ou de aquisições.

Mesmo que o uso de análises descritivas seja relativamente fácil para entender o negócio e identificar potenciais áreas de risco, o uso de analytics para produzir evidências em resposta a esses riscos é mais difícil, pois ainda existirá a natural “caixa preta” proveniente da análise de dados, com os algoritmos e regras usados para transformar dados e produzir visualizações e relatórios.

Por isso, o valor da integração entre analytics e auditoria só será totalmente realizado quando os auditores usarem o conceito para influenciar o escopo, a natureza e a extensão da auditoria. Isso vai exigir o desenvolvimento de habilidades para usar dados de analytics para produzir evidências, desenhar conclusões e derivar insights de negócios.

Com Fei Daily

Dados podem indicar problemas e oportunidades

Os dados são uma das maneiras mais eficientes de ganhar insights sobre o negócio, produtos e o comportamento dos clientes, indicando problemas e oportunidades de crescimento. Isso, no entanto, exige tempo, esforço e, de preferência, um ambiente adaptado à ciência de dados.

Dificilmente uma equipe vai analisar dados e tirar soluções mágicas deles em cinco minutos, porém, o uso de ferramentas de visualização, que criam gráficos e figuras com base nos dados armazenados, podem facilitar esse caminho. Um simples gráfico é capaz de mostrar a um analista o que dez análises não conseguiram, pois apresentam as descobertas de uma maneira mais informativa e fácil de entender.

A visualização de dados, no entanto, exige algumas ferramentas avançadas, que, graças à ascensão do big data, estão muito mais acessíveis no mercado. Atualmente, não só os grandes negócios têm acesso a esse tipo de tecnologia, mas também os pequenos e médios. Inclusive, por causa de sua maior vulnerabilidade, para as pequenas empresas é ainda mais crítico identificar oportunidades de crescimento e encontrar ameaças ao negócio.

Possíveis usos para as ferramentas de visualização

Empresas de todos os tamanhos já fazem uso de ferramentas de business analytics para guiar sua estratégia de negócio. É comum o uso de softwares de dashboards ou gestão que ajudem a ver além e guiar decisões. Várias dessas soluções geram alto volumes de dados, mas poucas maneiras de visualizá-los. As ferramentas de visualização podem ser plugadas a esses softwares e então permitir que as empresas usem sua interface visual para trabalhar com os dados.

Esse tipo de aplicação torna a extração de insights muito mais fácil até para quem não tem anos de experiência em big data, permitindo um nível considerável de inteligência com um investimento pequeno de esforço e dinheiro.

Entre os usos disponíveis para os materiais gráficos gerados com os dados, estão os estudos para campanhas de marketing, permitindo analisar o resultado de campanhas específicas e sua contribuição para o crescimento do negócio, mostrando seu impacto em diferentes conquistas.

Com as ferramentas da Splunk para business analytics, fornecidas pela PROOF, é fácil analisar e prever cenários futuros. O software obtém informações em tempo real a partir de dados de máquina e cria contexto por meio da integração e análise de dados estruturados junto a dados de máquina.

Com Smart Data collective

Como os CSOs podem incentivar uma cultura de segurança

Segurança da informação não se trata apenas de novas tecnologias e conhecimentos técnicos. As pessoas são essenciais para colocar em prática as políticas de segurança e garantir que os ativos da empresa estejam protegidos. Por isso, CSOs e gestores de segurança devem ter não apenas conhecimentos técnicos, mas também uma grande capacidade de engajamento.

As pessoas são o elo mais fraco em um sistema de segurança e, para que se tornem suas maiores aliadas, é preciso focar em cada indivíduo, incorporando-o à estratégia de segurança. Veja como:

Faça-os entender os benefícios pessoais da segurança

Os funcionários não querem ser incomodados com políticas de segurança a menos que entendam sua importância e seus benefícios. Para que entendam o valor da segurança é preciso mostrar a eles como uma violação os impactaria individualmente. Por exemplo, um funcionário ficará mais preocupado com segurança da informação se souber que seus projetos estão salvos em uma rede segura contra roubos, ataques e falhas no sistema.

Ensine o valor da segurança com exemplos práticos

Simplesmente dizer aos funcionários o que fazer, como fazer backup dos dados, respeitar as políticas de segurança e ficar atentos a malwares, não vai ensiná-los o valor da segurança da informação. Para isso, é preciso compartilhar exemplos que demonstrem como a segurança já impactou as empresas. Se alguém abre um e-mail de phishing, por exemplo, um malware pode ameaçar toda a rede corporativa.

Crie políticas de segurança fáceis de reforçar

Ter a mais avançada estrutura de segurança não é o suficiente para garantir que os ativos da empresa estejam seguros, pois ainda há a possibilidade de erro humano. Perdas de dados por causa de malwares, falhas no hardware e acidentes são as ameaças mais comuns e fáceis de prevenir. Crie processos fáceis em que o time de segurança da informação possa analisar e aprovar aquisições de novos softwares.

Estreite o relacionamento com funcionários

Líderes de segurança da informação são responsáveis por aconselhar e consultar os funcionários para ajudá-los a entender suas responsabilidades em relação à segurança. Como parte disso, eles devem quantificar o risco e explicar como isso se aplica a cada departamento. Os CSOs devem mostrar como a segurança se estende aos endpoints, redes e datacenters e como qualquer novo elemento pode expor toda a rede.

Com Dark Reading

Como reduzir os custos com o legado

por Leonardo Moreira, da PROOF

A complexidade é um dos maiores problemas enfrentados pelas empresas de grande porte em relação à segurança da informação. O ambiente dessas empresas é extremamente amplo, com vários sistemas que trocam informações de diversas formas, tornando muito difícil mitigar todos os riscos de segurança. Em geral, essas empresas têm muitos problemas com o legado, plataformas muito antigas que, em geral, existem poucos profissionais treinados e raramente alguma documentação disponível.

Como exemplo recente da gravidade deste problema, podemos citar o fechamento temporário de um aeroporto na França, em novembro do último ano, porque um sistema rodando em cima de uma plataforma legada falhou. O problema aconteceu em um programa chamado DECOR, que é essencial em situações de baixa visibilidade durante o pouso e a decolagem. Sem ele, os pilotos não conseguem receber informações dos controladores de voo, tornando ainda mais difíceis estágios do voo que normalmente já são delicados.

Esse software legado funcionava em cima do velho sistema operacional Windows 3.1. Isso mesmo, Windows 3.1!! Um conjunto de falhas no sistema levou a um grande problema, pois o Windows 3.1 foi lançado em 1992 e, evidentemente, não tem mais suporte.

Isso é só para registrar a gravidade do problema do legado nas empresas. Quando uma plataforma não é mais suportada pelo fabricante, não há a quem recorrer caso surja algum problema. A solução imediata é encontrar os raros profissionais capacitados para lidar com essas ferramentas e pagar o seu alto preço.

O legado precisa mesmo ir embora?

As empresas precisam ser responsáveis ao lidar com o legado e realizar um assessment para entender como ele funciona, se pode ser atualizado e como ele se comunica com outros sistemas da empresa. Depois desse estudo é possível entender se há necessidade de substituí-lo e então criar um plano de migração.

Não se pode ser radical em relação ao legado. Ao migrá-lo, é preciso sempre pensar em como impactar o negócio da melhor forma possível, sem simplesmente trocar “seis por meia dúzia”. Se uma plataforma de legado não representa problemas de operação, por exemplo, não há por que substituí-la.