No Minutos Corporativos de hoje recebemos Vitor Sena, CISO Global da Gerdau, maior empresa brasileira produtora de aço, presente em dez países e pioneira no setor da implantação de iniciativas de inovação digital.
Vitor conta com mais de 25 anos de experiência no mercado corporativo de TI, sendo 20 deles como executivo de segurança da informação em empresas de grande porte. O tema é a relevância da cibersegurança no ambiente industrial em toda a cadeia da economia.
Quais passos são importantes para a educação da cibersegurança digital, prioridade de todo CISO e Head de Segurança? Vitor fala também sobre a LGPD, a atuação em casos de vazamentos de dados e sobre como uma organização deve se blindar para estar em alinhamento com ela.
Conta ainda quais ações as empresas podem adotar para mitigar ataques cibernéticos e como o 5G, em fase final de entrar em operação no Brasil e já tão importante para a indústria, pode ser usado e aplicado nos negócios, além de seus impactos.
Você sabia que o cibercrime é mais rentável que o tráfico? Continue conosco porque o papo é bom!
Futurecom: Pode nos falar um pouco mais sobre o cargo de CISO, um profissional tão valioso para as organizações?
Vitor Sena: “Claro. CISO significa Chief Information Security Officer, e ao longo do tempo essa profissão foi se adaptando. No começo, quando TI não era ainda algo tão presente no negócio, era mais uma área de apoio, essa atividade de segurança da informação era muito tímida e conhecida pelo ‘não’, que dizia que não se pode fazer isso, não se pode fazer aquilo.
Hoje o CISO precisa conhecer muito do negócio da empresa, precisa conhecer disciplinas além da tecnologia da informação. É muito comum você precisar conhecer coisas relacionadas à direito e questões legais, processos de negócio, compliance, conformidade com regulações e normas, então essa posição tem se adaptado para esse novo cenário, onde a segurança da informação em determinados contextos pode ser parte inclusive do core business da empresa.
Em alguns mercados, como o mercado financeiro, que tratam a informação como core business, essa posição é estratégica e ajuda a direcionar onde a empresa vai. Existem hoje empresas tanto no Brasil quanto fora que, por conta de não cuidar bem do tema segurança da informação, foram muito impactadas e tiveram que se reinventar.
Então o perfil do profissional hoje está muito mais conectado ao negócio e menos à técnica como era no passado. Ele precisa ser multidisciplinar.”
Futurecom: Como você define a cibersegurança nesse sentido, em especial no campo da indústria?
Vitor Sena: “Hoje a área de cibersegurança na indústria tem se tornado cada vez mais relevante até mesmo pela digitalização dos processos industriais. A gente sabe que estamos no momento da quarta revolução industrial, a indústria 4.0, e alguns pilares dela trazem novos desafios para o ambiente industrial, como a hiperconectividade, trazer novas tecnologias que não eram comuns para o chão de fábrica, e tudo isso expõe mais o ambiente a riscos cibernéticos.
Dentro de todos esses pilares, quando você pega infográficos da indústria 4.0 você verá temas como Realidade Aumentada, Gêmeos Digitais, virtualização, uma série de novas tecnologias, e também em destaque a cibersegurança. Antigamente, nas fases anteriores de revolução industrial, isso era protegido por estarem isolados, mas agora estão conectados com o mundo.
O próprio IoT que é um dos temas mais comentados no ambiente industrial hoje é muito vulnerável a isso. São dispositivos que não foram desenvolvidos olhando para o aspecto de segurança porque tinham uma pretensão mais tímida no início. Hoje eles têm papel fundamental, muitos são sensores que estão conectados com equipamentos e ajudam a prever manutenção e otimizar a produção, e se isso para de funcionar você tem um impacto direto no negócio ou na operação industrial.
E por conta desse motivo a cibersegurança passa a ter essa relevância mais acentuada no cenário industrial. Não que não tivesse antes, mas agora passa a estar mais no principal objetivo, em olhar as questões industriais.”
Futurecom: Como desenvolver uma imunidade digital e proteger os negócios de ataques?
Vitor Sena: “Eu vou dar um passo atrás e falar também das ameaças. Quando falamos de que a indústria evoluiu para a versão 4.0, as tecnologias evoluíram também, trazendo novas oportunidades, mas o cibercrime evoluiu junto. Essa ameaça que falamos de hackers, de grupos organizados, de sabotagem industrial, isso também sofreu uma evolução muito acentuada por vários fatores.
Mais recentemente a modalidade de ataque conhecida como ransomware, em que o malware contamina o ambiente mas ao invés de danificar ele encripta ou cifra as informações, deixando-as indisponíveis e pedindo um resgate.
Muitas vezes ele também filtra as informações para fazer chantagem e também pedir um resgate, ou seja, existe uma monetização que incentiva novos criminosos a entrarem nesse meio e explorarem esse tipo de negócio obscuro.
Recentemente eu vi um estudo que dizia que se o que se arrecada hoje com o cibercrime fosse uma nação, seria o terceiro maior país do mundo, ficando atrás somente dos EUA e da China em termos de volumes. Se não me engano são 3 trilhões de dólares, mas seria algo nessa proporção, a terceira maior economia do mundo caso isso fosse centralizado.
E hoje o cibercrime já é mais rentável que o narcotráfico. Então para todo esse cenário, a questão da imunidade digital é importante, mas o primeiro passo que temos que dar é ter a consciência que não existe 100% de imunidade e segurança. Isso é utopia.
Em um ambiente hoje distribuído e conectado, você tem milhares de vulnerabilidades para tratar, de configurações para revisar e novas ameaças que aparecem. Para quem defende existe todo esse conceito gigante, e para quem ataca ele só precisa descobrir uma.
Então partimos do pressuposto de que não há 100% de proteção. Visto isso, você tem sua estratégia de prevenção que precisa estar sempre em dia, cuidando dos fundamentos de segurança, mantendo os ambientes atualizados, ter as ferramentas corretas, um time adequado para trabalhar nessa prevenção.
Existem práticas de gestão de vulnerabilidade e resposta a incidentes, mas o ponto chave é que você precisa estar preparado para sofrer e responder ao incidente de acordo com um nível aceitável de tempo e resposta. E estar preparado também para recuperar o ambiente.
O que se diz hoje é que responder é tão importante quanto se proteger. Na maioria das vezes você vai se proteger de uma série de ameaças, mas em alguns casos os incidentes vão acontecer, e se acontecer sua estratégia de cibersegurança tem que estar preparada para ter uma detecção rápida, pois em muitas ameaças, na avaliação posterior do incidente vemos que a pessoa foi comprometida meses antes de receber o impacto, então se preparar.
Uma vez detectado você precisa estar pronto para fazer a contenção, ou seja, não permitir que esse comprometimento se alastre ou se movimente lateralmente. E depois da contenção você precisa responder, parar o sangramento, e por fim recuperar o que foi perdido. E então existe toda essa estratégia de backups, disponibilidade, contingências, e tudo isso compõe o cenário da estratégia de cibersegurança para você ter mais resiliência do seu ambiente em um contexto de segurança da informação.”
Futurecom: Como podemos trazer a agilidade e proteção aos dados associando recursos de backup e recuperação no caso de um incidente?
Vitor Sena: “Hoje existem várias ferramentas que usam de Inteligência Artificial, aprendizado de máquina, para você ter uma resposta rápida. Mas abstraindo um pouco a questão da tecnologia, temos dois pontos que são extremamente importantes nesse contexto também.
Um deles é você conhecer muito bem o seu ambiente, trabalhar na questão de documentação, ou seja, saber onde estão as coisas, os processos, ter boas políticas, e que além delas serem boas, estarem no dia a dia das pessoas.
E aí vamos para o segundo pilar, que é a conscientização dos usuários e colaboradores. A educação de segurança digital está no Top 3 de todo CISO ou Head de Segurança. Você treinar seu usuário a detectar alguma coisa que não é normal, uma possível ameaça, um ataque de engenharia social, porque quando o atacante usa uma técnica para que a pessoa faça uma ação indevida, isso já ajuda muito e é extremamente indicado para este contexto.
Desde quando começaram os ataques cibernéticos, o principal vetor geralmente é o chamado ‘phishing scam’, ou seja, o golpe de pescaria de senha. É um email que geralmente é enviado para uma pessoa em uma organização com uma história pedindo uma ação ou dando um cenário de ameaça, dizendo que você precisa fazer algo rápido, até se passando por comunicação interna, e aí eles carregam um artefato ou link malicioso que será o start da invasão.
Eu estou há 20 anos atuando na segurança da informação e desde que me lembro é quase sempre por aí que começa uma invasão. A principal barreira para isso, de acordo com a evolução das técnicas, é o usuário, o colaborador. Se ela tem uma educação a esse tipo de ameaça, se consegue detectar uma tentativa de extorsão ou golpe e age de maneira apropriada, 90% de seus problemas reduzem, porque você tem ali seu colaborador como a primeira barreira de defesa.
Então isso é muito importante e é algo no qual estamos trabalhando muito. E a técnica vem melhorando sensivelmente. No passado lembramos que os spams vinham em e-mails mal construídos, com erros de ortografia, imagens distorcidas. Hoje em dia não, eles vêm perfeitos.
Temos exemplos que chegam na nossa monitoração de que, se a pessoa não for muito técnica, ela não consegue diferenciar o verdadeiro do falso. Elas conseguem enganar até as ferramentas, pois elas trabalham com algoritmos para identificar se o e-mail é uma ameaça ou não, e essas pessoas conhecem os algoritmos e constroem o email de forma que não seja considerado algo malicioso. Em muitos casos o comportamento seguro é fundamental em sua estratégia de segurança.
Futurecom: Como você vê o papel da LGPD para casos de vazamento de dados? Como uma organização deve se blindar neste alinhamento com a lei?
Vitor Sena: “Eu sou até um pouco polêmico nesse aspecto, porque eu acho que conformidade não deveria ser seu principal objetivo para fazer segurança. Você deve fazer segurança e cuidar da proteção de dados independente de se tem uma regulação ou legislação que te peça para fazer isso, porque o negócio da empresa está em jogo, quer seja por competição, quer seja pelo cuidado com o cliente.
Mas a LGPD tem um contexto muito positivo para a gente, porque isso chama para discussão da sociedade esse tema, traz à luz das empresas que não tem essa visão clara do quão importante é isso o porque tem que ser feito. Para o Brasil a publicação da lei foi um passo muito importante, mas ainda temos algumas questões que precisam ser melhor trabalhadas.
Para fazermos um paralelo, a LGPD foi inspirada na GDPR, que é a lei europeia para a proteção de dados pessoais, porém a lei europeia é muito mais detalhada e já tem uma maturidade porque ela é derivada de um outro grupo de regulações de privacidade, então ao contrário do que muita gente pensa, a GDPR não foi a primeira regulação, mas sim já veio de outra regulação anterior. E todo o contexto que estava ali foi muito detalhado.
A GDPR de Portugal tem 92 páginas, e a LGPD tem 18, se não me engano, então ela foi muito resumida e tem muitas coisas que dão margem para a interpretação. E por conta disso foi criada a Agência Nacional de Proteção de Dados, que é um órgão do governo que ajuda a regular e fiscalizar.
E o que eu falo que precisamos evoluir são justamente nas regras que aguardamos que a agência defina para que fique mais claro. Hoje não existe uma receita de bolo para adequação à LGPD. Existe um entendimento da lei e você cria sua estratégia para estar em conformidade com aquilo, mas não tem algo muito claro.
Ela coloca em situação equânime todo mundo que trata com informações de clientes, então quando eu faço isso eu subo a régua para a proteção de dados. Porque se só eu faço essa proteção, e outro pedaço da minha cadeia, seja um fornecedor, um parceiro, ele não tem o mesmo cuidado, e se você fica com um elo fraco na corrente, todos se balizam pelo elo fraco.
Então a LGPD tem todo esse apoio, dando suporte para as ações de segurança da informação, e ela também dá uma série de direitos que acabam obrigando as empresas a se policiar a respeito disso.
Todo titular de dados hoje pode chegar em uma empresa com a qual tem ou teve relacionamento e questionar sobre os dados, como estão sendo tratados, se for baseada em consentimento pode pedir a revogação e exclusão, então isso ajuda a puxar a régua para cima e aí o coletivo se beneficia. Então ela tem muita importância.”
Futurecom: Qual é a importância de uma estratégia de proteção para grandes volumes de acesso?
Vitor Sena: “Eu acredito bastante na questão de mapeamento, inventário e classificação das informações. Hoje muitas vezes quando você tem um cenário que é um tema atual e que virou importante em todas as empresas é trabalhar os dados que ela tem em benefício do negócio, o famoso analytics, Big Data, todos mecanismos para analisar melhor o dado e ser mais assertivo no que é entregue ao cliente. Porém às vezes a gente exagera no que precisamos de dados.
Se você perguntar a uma pessoa que trabalha com isso que tipo de dados ela quer para fazer análise, ela dirá que são todos. Mas se você falar qual ela realmente precisa, isso gera algo bem menor.
E na verdade isso é o começo de uma técnica que nós chamamos de privacy by design, então se as empresas começarem a se conscientizar disso, de que tudo que começam a construir leva a privacidade em consideração primeiro, isso gera melhor controle e aumenta a capacidade das empresas de protegerem as informações. No caso da pessoa fazer a coleta de dados, isso já vai colocar uma questão: ‘Eu preciso desses dados? Por que estou trazendo dados que não preciso tratar?’.
Muitas vezes é preciso fazer uma estatística, como quantas advogadas mulheres eu tenho na minha organização. Eu não preciso saber o nome e CPF, nem registro da OAB, e sim sexo, profissão e região, e isso não é dado pessoal, pois não identifica a pessoa. E esse tipo de conceito só é visto quando você trata a privacidade no design, e você já parte no princípio de ter a segurança como consequência disso.
Existem várias ferramentas que apoiam isso, não podemos desprezar a tecnologia, mas isso tudo o dinheiro compra. O que você precisa ter é o mindset da equipe do que é privacidade e de como trabalhar com ela.”
Futurecom: Em 2019 a Gerdau implementou uma plataforma de autenticação as a service com o objetivo de aumentar a agilidade e segurança na autenticação de APIs e aplicações SaaS. Como foi esse projeto, e que resultados ele deu?
Vitor Sena: “Esse projeto foi interessante, e recebemos até um prêmio por ele pela questão de inovação. O que a gente criou foi uma plataforma onde os times de desenvolvimento não precisavam envolver a área de segurança para poder construir a camada de autenticação de suas aplicações com segurança.
Então criamos um produto as a service interno, trouxemos a parceria de uma ferramenta que ainda não existia no Brasil, fomos os primeiros a trazer, começamos a ver isso em 2018 e o projeto foi implementado em 2019.
E de forma modular os desenvolvedores durante o processo de construção das aplicações utilizam essa plataforma e gerar um contexto de autenticação e com uma série de informações de onde as pessoas estavam se conectando, com granelização dos direitos das aplicações de maneira autônoma.
O foco do projeto era de segurança, obviamente, mas além disso de agilidade, de apoiar a empresa no movimento de transformação digital que a Gerdau está conduzindo desde 2016. Hoje isso é mais comum, até popular, mas na época era algo novo. Nós tínhamos N squads de desenvolvimento e um time bastante otimizado de segurança.
Hoje a segurança da informação está passando por um apagão de mão de obra. Existe um déficit estimado de 4 milhões de posições em segurança de informação que não se preenchem porque não tem pessoas capacitadas para ocupar essas posições, então o projeto ajudou muito a gente nesse aspecto, no pipeline de desenvolvimento desses squads.
A gente segue trabalhando com ele, mas hoje já virou commodity, e já estamos olhando outras coisas, mirando em arquitetura zero trust, conceitos novos que o mercado já está desenvolvendo, e para os quais estamos olhando com calma para poder desenvolver mais algo nos próximos anos.”
Futurecom: Qual a importância de agregar a nuvem em uma estratégia de segurança no atual cenário do grande volume de dados armazenados tendo o desafio da sofisticação dos ataques criminosos? A fragmentação da rede em acesso à informação é um caminho?
Vitor Sena: “Sim. A segmentação, ou micro segmentação de rede, é uma das estratégias mais eficientes e mais modernas, porém ela tem uma certa complexidade de implementação. Então em modelos mais maduros você tem mais facilidade para fazer.
Tanto a micro segmentação de rede, como também a monitorização desse tráfego entre pares são estratégias relevantes hoje no contexto de proteção de cloud. E nesse aspecto, cloud para muitas empresas ainda é um mundo desconhecido. Apesar de não ser um tema tão recente, muitas empresas tratam a cloud como se fosse o seu ambiente tradicional, de data center on premises.
Muita gente nessa jornada de migração para cloud simplesmente fez o movimento de pegar o que tinha no data center e colocar no ambiente virtualizado de um provedor de cloud. Esse tipo de movimentação sem análise e estratégia pode trazer riscos. Não significa que a cloud seja menos segura do que o ambiente on premises, pelo contrário, a segurança da cloud quem faz é você.
Você tem ali um ambiente básico, onde você vai estabelecer seu perímetro computacional, e esse entorno é muito bem feito, falando dos principais provedores, não indico a pessoa arriscar colocar em qualquer cloud sem uma análise prévia. Mas os principais provedores de cloud têm muito cuidado e tudo é muito bem feito. Porém, essa parte da segurança da cloud, ela é apenas um pilar que protege de uma invasão lateral ou algo nesse sentido, ele é só um primeiro patamar.
Tudo que você coloca na cloud precisa de segurança, de que você implemente suas estratégias, e nesse contexto a cloud te dá N possibilidades com várias ferramentas, e até a própria micro segmentação de rede que falamos ela é viável na cloud, já que no ambiente on premises não seria tão fácil. Ambientes de códigos e de hardware as a code também te permite automatizar muito a questão da segurança.
Você cria um baseline de segurança que teria que ser aplicado em cada dispositivo no ambiente tradicional, você consegue aplicar com um script em cloud e em termos de segundos isso é aplicado. Mas é preciso ter o entendimento de que são ambientes diferentes que têm abordagens diferentes e que precisam de pessoas especializadas nesse contexto.
Você precisa trabalhar na questão de estratégia, de como implementar isso, e depois controlar e monitorar. A questão de volume eu não acho que seja tão relevante quanto a estratégia de segurança na ponta, pouco volume mal protegido e muito volume bem protegido são cenários opostos, a proteção independe se é muito ou pouco. Outro ponto que é importante é o dos aspectos legais.
Quando falamos de dados proprietários que você não quer que ele seja divulgado, é preciso saber que, dependendo de onde você hospeda esse dado, o que vale é a legislação do local. Um exemplo para ilustrar é o que nos EUA existe uma lei de segurança digital que o governo pode solicitar o acesso a qualquer dado se ele desconfiar que aquilo gera algum risco para a segurança pública, e às vezes pode estar ali um segredo de negócios que você não quer divulgar, mas pode ser que isso possa ser acesso.
Tudo isso tem que ser levado em consideração, e sempre pensando em estratégia de backup. O provedor de cloud não é responsável pela sua segurança e seu backup, você precisa lembrar disso. Fazendo bem feito, na minha opinião, temos mais possibilidades de segurança na cloud do que on premises.”
Futurecom: O 5G, que está em fase final de entrada em operação no Brasil, causará quais impactos ele terá em uso e aplicação nos negócios?
Vitor Sena: “Falando da indústria em específico vai ser um divisor de águas. Aquilo qeu eu comentei sobre transformação da indústria 4.0 está muito ligado à conexão, coletar dados de equipamentos, fazer análises e retroalimentar o ambiente, otimizar a produção, ser mais eficiente em manutenções, poder distribuir melhor sua força de trabalho, então tem uma série de coisas que essa conectorização ajuda.
O 5G torna isso mais simples e rápido. Todos IoTs trabalhando em 5G e com cobertura maior serão potencializados, então nesse aspecto é muito importante.
No ponto de vista da segurança ainda precisamos conhecer melhor a tecnologia, estudar casos de implantação para saber o que é mais ou menos adequado, mas temos um ponto positivo em relação à isso porque as empresas estão trazendo as opções de 5G privado, em que você consegue construir sua rede isolada do mundo mas com a velocidade e conectividade do 5G.
Já há empresas fazendo estudos e implementação disso, e o prognóstico é de que seja algo que potencialize muito a indústria 4.0. Então parece ser bastante adequado em termos de segurança.”
Futurecom: Se você tivesse a oportunidade de conversar com alguém no âmbito pessoal ou profissional, com quem você falaria?
Vitor Sena: “Eu tinha uma pessoa que sempre quis muito conhecer, que era uma referência, e que tem um instituto de segurança chamado ISC², que eles coordenam algumas certificações de segurança que por muito tempo no mercado foram conhecidas como as mais difíceis de conquistar.
E um dos fundadores desse instituto se chamava Harold Tipton, ele já faleceu há alguns anos, e eu tive a oportunidade de falar com ele antes. Eu por acaso participei de um evento em que ele estava, o reconheci e pude tirar uma foto e conversar um pouco com ele.
Foi uma pessoa que viveu 40 anos de sua vida em segurança da informação, e aquilo para mim era uma referência. Eu estou há 20 anos no mercado, e é onde eu espelhei minha carreira também, viver de segurança de informação para o resto da vida, e espero poder chegar ao patamar onde ele chegou.”
Confira mais entrevistas do Minutos Corporativos!
