O problema das “commodities” de segurança

Em períodos de crise, é comum que o investimento segurança da informação diminua, especialmente no Brasil, em que a cultura de segurança nas empresas ainda é muito embrionária.

Além disso, o custo normal de segurança já é mais alto devido à oferta de produtos importados que, com a alta do dólar, geraram uma série de problemas no orçamento.

No entanto, o problema com os investimentos em segurança no Brasil vai muito além da crise econômica.

O que falta às empresas brasileiras é a capacidade de pensar na segurança como investimento e não como custo.

Vemos atualmente muitas empresas investindo em “commodities”, como firewalls e sistemas de prevenção que não serão diferenciais na proteção dos ativos, mas vão contar quando, por exemplo, um auditor fizer uma visita.

Ou seja, muitas empresas, não só pela crise, investem apenas no que veem como necessidade porque existe alguém as obrigando a investir, não por se tratar de uma necessidade para o negócio.

Não enxergam o verdadeiro valor da Segurança da Informação e isso é extremamente prejudicial para a segurança como um todo, pois ela nada mais é que uma corrente que sempre se quebra no elo mais fraco, ou seja, uma hora as vulnerabilidades do ambiente serão encontradas e exploradas.

Essa estratégia acaba fazendo com que as empresas gastem mais, pois realizam escolhas ainda mais custosas, trocando “seis por meia dúzia”.

Em alguns casos, o gestor acaba deixando de investir em inteligência em segurança, algo muito mais urgente e relevante no atual cenário de ameaças avançadas, para adquirir um equipamento que não melhora em nada a visão da empresa em segurança.

Não existe uma solução mágica para criar uma estratégia de segurança ideal, economizar e, ao mesmo tempo, investir de maneira assertiva.

É preciso ter planejamento, conhecer o ambiente e analisar as alternativas com base no negócio e não só nos custos. Só assim será possível tomar decisões que tragam o maior retorno de investimento.

Essa é a maior dificuldade das empresas brasileiras: identificar onde investir o seu real a mais para obter o maior retorno em mitigação de riscos e redução de custos.

Inteligência em segurança é essencial

Enquanto as empresas seguem investindo em “commodities” de segurança, soluções mais modernas, como firewalls de próxima geração, sistemas de controle de acesso e monitoramento continuam sendo ignoradas.

Dados do IDC mostram que os segmentos de threat intelligence, junto de security analytics, mobile security e cloud security estão entre os que mais vão crescer no mercado de cibersegurança na América Latina, que deve movimentar US$ 11,91 bilhões em 2019.

Temos visto um aumento na quantidade de empresas com a proposta de planejar a segurança com base em um mapeamento das técnicas de negócio para realizar uma análise preditiva que identifique problemas futuros.

Estamos caminhando para a área de inteligência em segurança, algo que no Brasil ainda é muito tímido, pois ainda estamos adquirindo níveis mais elevados de maturidade.

Profissionais de segurança devem ser mais independentes e colaborativos

O Brasil e o mundo sofrem com a falta de profissionais de tecnologia, em especial de profissionais de segurança da informação. Segundo dados da Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação, essa área emprega atualmente 1,3 milhão de pessoas e existem ainda 50 mil postos de trabalho à espera de um profissional qualificado.

Segundo Gabriel Bozano, gerente de Recursos Humanos da PROOF, líder brasileira de cibersegurança, a dificuldade não é encontrar os profissionais de tecnologia em si, mas os profissionais com conhecimentos específicos de tecnologias mais avançadas. “Sempre temos muitas opções de candidatos quando as vagas são de base, o problema é quando precisamos de alguém com conhecimento em ferramentas de fornecedores específicos com os quais trabalhamos, como F5 e Splunk”, explica.

Ao mesmo tempo, Bozano citou ainda o problema da rotatividade, quando os profissionais simplesmente não encontram as motivações certas para ficar na empresa e acabam saindo. A PROOF acabou tendo de encontrar novas maneiras de encontrar talentos e mantê-los motivados.

Onde estão os bons profissionais

Bozano citou a importância das redes sociais na busca por profissionais da área de TI, como o LinkedIn e o Facebook. “As pessoas ainda ficam na dúvida em relação ao Facebook, mas, se você preza por pessoas que gostam de tecnologia, o Facebook pode servir, principalmente para checar se o candidato está dentro do perfil da empresa”, explica.

“Já tivemos um caso em que recebemos um currículo para uma vaga e, quando avaliamos, buscamos o LinkedIn e, no Facebook, descobrimos que o candidato conhecia um de nossos colaboradores, que nos deu um feedback positivo sobre ele. O que era para ser uma ‘candidatura padrão’ virou uma indicação”, conta.

Outra estratégia importante da PROOF na busca por talentos em segurança é estar presente em eventos da área, como eventos de TI, segurança e programação. “No último Roadsec, por exemplo, fizemos uma ação bacana. Levamos bonecos e folhetos e cadastramos pessoas que queriam participar de nossas atividades”, conta Bozano. “É importante fazer essas ações em eventos que não são de recrutamento para que as pessoas se lembrem da empresa”, conta.

No último ano, a PROOF implementou um programa de estágio e trainee com o objetivo de produzir seus próprios talentos. A ideia é criar especialistas em suas áreas em, no máximo, três anos. Para facilitar, o foco acaba sendo profissionais que tenham conhecimento em ferramentas próximas, que poderão aprender mais rápido as tecnologias usadas na PROOF.

Flexibilidade e autonomia são grandes atrativos

Bozano explica que a empresa adotou um conceito diferente na motivação dos funcionários, partindo da ideia de que o dinheiro não é o único propósito dos profissionais de segurança.

“Focamos muito no conceito de maestria, que conta com uma vontade da pessoa de ser especialista, de se tornar mestre em algo, de ser alguém diferenciado”, explica. “Valorizamos muito a questão da autonomia, algo que passa muito pela liberdade”, conta.

Como os profissionais de RH podem motivar suas equipes em empresas de tecnologia? Para Bozano, pagar bem não resolve. É preciso oferecer autonomia e flexibilidade. “Aqui, por exemplo, com exceção de pouquíssimos sites, todos são liberados para acesso pela internet”, conta. “Fazemos festas todos os meses, temos salas de videogame… Incentivamos a diversão com responsabilidade, pois temos de bater metas”, conta. “Nosso objetivo é impedir que os ‘grandes tubarões’ tirem os nossos talentos”.

“Observamos que para os cargos mais básicos de segurança da informação, como técnico de TI e monitoramento, os benefícios contam muito. Esse ambiente mais flexível e com maior autonomia é mais comum nas empresas de tecnologia, mas costuma ser algo mais complicado nas empresas maiores”, afirma. “Identificamos que os funcionários estão dando preferência para empresas de menor porte exatamente por entenderem que vão ter uma participação maior naquele propósito”. Os treinamentos também são importantes, pois vários profissionais só ficam na empresa enquanto estão aprendendo.

Empresas de todas as áreas também são muito cobradas por funcionários que esperam um plano de carreira, principalmente promoções. Bozano explica que na PROOF existe algo definido por ele como carreira em W, que é uma carreira por trilhas. “Entendemos que, dentro da empresa, você pode trilhar por diferentes áreas e diferentes cargos, como projeto e inovação. Não existe uma lista de ‘missões’ que devem ser cumpridas para ‘mudar de fase’.”

Jogos Olímpicos devem aumentar a quantidade de ataques cibernéticos

Com a aproximação das Olimpíadas, cresce a tensão em relação às ameaças cibernéticas, que devem aumentar durante o período, um problema que deve afetar não apenas governos, mas também empresas e turistas que devem visitar o país em agosto.

Segundo o Centro de Defesa Cibernética do Exército, o país vai contar com 200 profissionais, incluindo militares e técnicos, que serão responsáveis pela proteção cibernética durante os Jogos Olímpicos para evitar invasões a sites públicos e privados e o roubo de informações.

De acordo com Leonardo Moreira, diretor de engenharia da PROOF, invasões a sites e roubo de dados são apenas algumas das ameaças que devem aumentar com as Olimpíadas. “Esses eventos, por causa do dinheiro que movimentam e da atenção que atraem, são um prato cheio para hackativistas, fraudadores e ciberterroristas e o baixo grau de maturidade em segurança da informação que temos no Brasil nos torna ainda mais vulneráveis”, explica Moreira.

Ameaças contra empresas

As empresas patrocinadas serão um alvo constante dos ciberataques e, para chegar até essas organizações, os hackers poderão usar seus fornecedores e outras empresas menores.

“Ao contrário das empresas patrocinadoras, que provavelmente tem um nível maior de maturidade, as organizações menores não contam com os mesmos recursos e estarão mais vulneráveis”, explica Moreira.

Executivos serão alvo

Durante o período, executivos estrangeiros também estarão no País para fazer negócios e aproveitar para ter momentos de lazer. Essa é a chance perfeita para que concorrentes e cibercriminosos tenham acesso a dados sensíveis se não houver alguns cuidados.

Os hotéis, que receberão um grande número de importantes executivos, viverão sob constante ameaça de malwares que infectam a rede para roubar dados dos hóspedes.

Phishing

Os hackers já estão se aproveitando dos assuntos relacionados aos Jogos Olímpicos para atrair as vítimas com sites e e-mails falsos por meio dos ataques de phishing. Assuntos como o Zika Virus, sites que mostram o progresso dos atletas na competição e propagandas falsas de serviços e produtos relacionados aos jogos vão exigir maior atenção do usuário.

Segurança deve ser reforçada

De acordo com Leonardo Moreira, os usuários deverão ficar atentos ao se conectar a redes desconhecidas. “É importante respeitar avisos sobre redes não seguras e ficar atento aos pontos de instalação que exigem o download de aplicativos ou plug-ins, que podem instalar malwares”, explica.

Estima-se que os Jogos Olímpicos de Londres (2012) tenham sofrido pelo menos 97 incidentes graves de segurança, envolvendo, principalmente, ataques de negação de serviço (DoS).

O ciberterrorismo também deve causar uma tensão constante, principalmente após os graves atentados ocorridos em países europeus e atribuídos ao Estado Islâmico (EI). “Diante disso, será preciso reforçar a segurança para proteger sistemas de controle de infraestrutura crítica, como energia e aeroportos, para evitar danos ou interrupções sérias”, explica Leonardo Moreira.

Entenda o impacto das leis de segurança de dados

O mercado de segurança brasileiro se espelha muito nos Estados Unidos e em países mais avançados na área de segurança da informação. No entanto, o Brasil e o país norte-americano têm muitas diferenças quanto ao incentivo das leis no investimento em segurança.

Enquanto nos Estados Unidos existe uma regulação do mercado para tratar da segurança da informação, no Brasil não existe nem a obrigatoriedade de comunicar os incidentes, nem para governos e, muito menos, para empresas.

Enquanto nos Estados Unidos as empresas sabem que, se sofrerem uma invasão, a marca vai perder valor e as ações vão cair – algumas correm até o risco de sair do mercado –, no Brasil a maioria das empresas não sofre com essa possibilidade, pois simplesmente não divulga seus números.

Inclusive, por essa razão, os números de segurança no Brasil são bem pouco confiáveis. Afinal, que empresa vai querer ter uma mancha em sua marca se não for obrigada a isso?

Confira a seguir as principais características das leis de segurança da informação nos Estados Unidos e no Brasil:

 

Estados Unidos

Os Estados Unidos têm cerca de 20 leis específicas por setor de privacidade ou leis de segurança de dados e centenas de leis estaduais. Só a Califórnia, onde está localizado o Vale do Silício, tem mais de 25 leis estaduais de privacidade e segurança de dados.

Ainda que não haja uma autoridade nacional responsável pela segurança da informação, a Federal Trade Commission (FTC) tem jurisdição em casos de segurança da informação.

No país, a definição de dados pessoais varia de acordo com cada regulação. O FTC considera informação pessoal aquela que pode ser usada para contatar ou distinguir uma pessoa, incluindo endereços de IP e identificadores de dispositivos.

Os dados pessoais sensíveis também variam de acordo com a regulação. De maneira geral, dados pessoais de saúde, dados financeiros, dados estudantis, informações pessoais de crianças abaixo de 13 anos coletadas online e informações que possam ser usadas para praticar ou identificar atos criminosos ou fraudes são considerados sensíveis.

Todas as empresas americanas devem arcar com medidas técnicas, físicas e organizacionais razoáveis para proteger informações pessoais sensíveis. Alguns estados têm leis mais específicas quanto às exigências de segurança para os dados. O estado de Massachusetts, por exemplo, tem leis que se aplicam a qualquer empresa que coleta e mantém informações pessoais sensíveis de residentes do estado.

Além do estado de Massachusetts, o estado de Nevada também impõe exigências de criptografia na transmissão de dados pessoais sensíveis em redes wireless e armazenados em notebooks e dispositivos portáteis.

Entre as leis específicas para cada setor, podemos citar o Health Insurance Portability and Accountability Act (HIPAA), que regula entidades do setor de saúde. O setor financeiro também impõe uma série de exigências por meio de reguladores federais, incluindo a exigência de auditorias de segurança.

Em grande parte do território americano, as empresas são obrigadas a notificar violações de dados envolvendo informações sensíveis de residentes, incluindo números de seguro social, outros dados de documentos, cartões de crédito ou contas bancárias. Em cada vez mais estados, dados sensíveis incluem informações médicas, números de plano de saúde, dados biométricos e credenciais de acesso, além de datas de nascimento e certidões de nascimento e casamento.

 

Brasil

O Brasil não tem leis específicas de segurança da informação, mas têm alguns princípios gerais para proteção de dados e privacidade definidos na Constituição Federal e leis e regulações específicas para alguns tipos de relacionamento, como o Marco Civil da Internet, o Código Civil Brasileiro e as Leis do Trabalho.

A Constituição Federal prevê que a intimidade, a privacidade, a honra e a imagem sejam invioláveis, que a confidencialidade da correspondência e dos meios de comunicação eletrônicos seja protegida e que todos tenham garantia de acesso à informação sempre que necessário para exercício de atividade profissional, ainda que a confidencialidade da fonte seja protegida.

O Marco Civil da Internet, que estabeleceu princípios, direitos e obrigações gerais para o uso da internet, contém algumas diretrizes importantes para o armazenamento, o uso, o tratamento e a divulgação de dados coletados online. Porém, além de não haver obrigatoriedade de divulgar incidentes de segurança, não existe uma definição legal do que são considerados dados pessoais ou dados pessoais sensíveis. O país também não tem uma autoridade nacional em proteção de dados.

Apesar de haver princípios gerais, como a obrigatoriedade de medidas organizacionais, físicas e técnicas razoáveis para proteger a segurança de dados pessoais, não há exigências, restrições ou detalhes específicos de como a segurança deve ser implementada. O Marco Civil da Internet, por exemplo, apenas estabelece que provedores de serviços e de redes e aplicações devem manter registros de acesso confidenciais, em um ambiente controlado e seguro. O tempo de retenção obrigatório de dados varia de acordo com a natureza do negócio. O período ainda pode ser estendido com base em pedidos de autoridades públicas.

 

Qual o impacto dessa diferença

A presença de uma legislação forte em segurança da informação acaba fazendo com que as empresas invistam mais nessa área. Afinal, quando há obrigatoriedade de comunicar violações de dados, as empresas sentem mais a pressão de manter seus dados seguros para proteger o negócio.

O Marco Civil da Internet, apesar de ter trazido uma série de princípios necessários para proteger os dados do usuário, detalha bem pouco os controles e procedimentos necessários para proteger as informações.

Enquanto isso, as empresas brasileiras seguem “desobrigadas” pela lei a investir em sua estrutura de segurança da informação de maneira mais proativa.

Sua empresa pode estar sendo vigiada

Quando o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil (CERT.br) divulgou dados sobre os incidentes registrados em 2015, vimos (além de uma queda no número de incidentes registrados), um crescimento nos ataques motivados por scan.

Em 2014, os ataques por fraude foram os campeões, representando 44,6%, enquanto, em 2015, caíram para 23,3%. Já os ataques de scan, saltaram de apenas 25% em 2014 para 54% em 2015.

Para entendermos os motivos desse crescimento, precisamos esclarecer um ponto importante: o scan não chega a ser um ataque, mas uma intenção. Esse tipo de ação equivale à de alguém que passa de carro na frente da casa de uma vítima para sondar se sua correspondência está na porta ou se existem jornais se acumulando na entrada. Não chega a ser roubo, mas um levantamento do alvo. Apenas se houver uma tentativa de invasão o suspeito será preso.

O scan é a primeira atividade de um cibercriminoso e consiste na instalação de softwares capazes de escanear uma rede inteira. Assim, os criminosos podem descobrir o que está “do outro lado” – quais serviços existem no servidor e na rede, quais são as vulnerabilidades e qual é o melhor momento para tentar uma ação.

A quantidade de scans registrados pelo CERT.br preocupa principalmente por mostrar um aumento nas tentativas de ataque e, apesar de não ser considerado propriamente um ataque, o scan é, sim, considerado um incidente. Afinal, que empresa gosta de alguém vigiando seus ativos para tentar uma ação maliciosa a qualquer momento?

Já existe uma série de softwares que funcionam nas mãos dos criminosos como “robôs” que passeiam pela web em busca de vulnerabilidades. Essas aplicações ficam escaneando a rede até encontrar algo que possa ser explorado.

Os dados mostram que os cibercriminosos no Brasil estão de olhos mais abertos e abrangendo grupos cada vez maiores para atacar nos momentos mais oportunos. Estamos sendo cada vez mais observados e as falhas de segurança das empresas são ainda mais perigosas, pois são percebidas com rapidez pelos hackers.

Para evitar esse tipo de ataque, é preciso investir na proteção de perímetro e em equipamentos capazes de detectar ameaças pelo comportamento. Esse tipo de ferramenta pode ajudar a manter os ativos mais seguros, pois consegue detectar ações suspeitas, como múltiplas tentativas de conectar-se em várias portas diferentes. O bloqueio pode ser feito por soluções de IPS, por exemplo, ou um Next Generation Firewall.

O número de ataques diminuiu?

Além do aumento nos casos de scan, outra informação que saltou aos olhos de quem viu os dados divulgados pelo CERT.br foi a diminuição no número de incidentes divulgados. Vale lembrar que, no Brasil, ao contrário dos Estados Unidos, as empresas não são obrigadas a divulgar os incidentes que sofrem.

A diminuição no número de incidentes no ano de 2015, no entanto, mostra que o ano de 2014 foi um “ponto fora da curva” por causa da Copa e das eleições em outubro, com ataques de DoS e de fraude dando saltos no final de setembro.

Seguindo esse padrão, podemos prever que o ano de 2016 trará registros assustadores, com a ascensão do ransomware e a chegada das Olimpíadas. Sua empresa está com a segurança em dia para enfrentar os cibercriminosos?

O que ganhamos com as redes de inteligência de segurança

As redes de colaboração em segurança, que consistem no compartilhamento de dados relacionados a ameaças cibernéticas, começaram em 2014 com a criação da Cyber Threat Alliance. A rede de inteligência em segurança foi fundada por grandes fabricantes de soluções de segurança, entre eles a Symantec e a Palo Alto Networks. Desde então, a tendência é que mais empresas se juntem a esta iniciativa.

Essas redes têm como objetivo o monitoramento de fontes de dados de inteligência de segurança para notificar, alertar e emitir indicadores de possíveis ameaças, além de coletar dados de inteligência relevantes para diferentes organizações e identificar atacantes, suas táticas, técnicas e procedimentos.

Essa prática traz uma série de benefícios para empresas das mais diferentes indústrias. O compartilhamento de conhecimento permite que cada organização possa fortalecer sua estrutura de segurança com base em informações atualizadas, além de criar planos de resposta a incidentes mais eficientes.

O maior desafio desse processo, no entanto, é convencer as empresas da importância de dividir seus dados de segurança para um bem comum. Também é difícil compartilhar informações relevantes para um programa completo de segurança, incluindo prevenção, monitoração e reposta.

Felizmente, novas ações têm gerado progresso na eficiência das redes de colaboração, conforme é possível destacar na iniciativa abaixo do governo dos Estados Unidos.

 

Compartilhamento de dados públicos e privados

Em 2015, o governo dos Estados Unidos deu um grande incentivo ao compartilhamento de inteligência em segurança por meio de iniciativas voltadas para a cibersegurança nacional. Um dos legados mais importantes do presidente Barack Obama foi a criação de uma rede de colaboração de dados, o Cyber Threat Intelligence Integration Center (CTIIC).

Desde a criação do CTIIC, o progresso tem sido lento, porém, a colaboração ainda é uma das maiores prioridades do governo americano. O CTIIC faz parte da mesma rede de compartilhamento de inteligência que inclui também a National Cyber Investigative Joint Task Force, cujas missões incluem a manutenção de parcerias com a indústria, o setor privado e a National Cybersecurity and Communications Integration Center, que inclui o compartilhamento de dados privados.

O objetivo do CTIIC é promover uma cooperação mais rápida para remediar o problema dos recursos governamentais insuficientes para lidar com as ameaças digitais. O órgão vai reunir informações de vários departamentos que trabalham separadamente e deverá também coordenar ações contra o ciberterrorismo.

No Brasil, as atividades relacionadas à inteligência são frágeis. O país não conta com um sistema de inteligência na área tecnológica e as leis não exigem que incidentes de segurança sejam tornados públicos, diferentemente dos Estados Unidos. Casos como o de Edward Snowden, que revelou atos de espionagem da Agência Nacional de Segurança (NSA) americana ao Brasil, mostram nossa fragilidade. Milhões de e-mails e ligações de brasileiros e estrangeiros foram monitorados no país durante a ação do governo americano.

 

Cooperação é inevitável

O compartilhamento de informações entre empresas da mesma indústria também é algo que deve crescer com o tempo, mas que progride com lentidão no Brasil e no mundo. Historicamente, as empresas adquiriram o hábito de guardar seus dados a sete chaves por considerarem sua posse uma vantagem competitiva e por terem medo de revelar informações confidenciais.

Porém, as organizações, aos poucos, terão de perceber que, ao fazer isso, estão guardando informações que serviriam ao bem maior de toda a comunidade. Ações como a do governo americano estimulam o crescimento de mais alianças para compartilhar informações de segurança para empresas de toda a indústria.

O avanço da complexidade das ameaças mostra que o compartilhamento de dados de segurança deve continuar se fortalecendo e será cada vez mais importante para desenvolver as proteções necessárias para as novas ameaças. Além de dados mais ricos sobre ameaças, essa cooperação trará a governos e indústrias mais informações sobre ferramentas e táticas.