O segundo bloco do terceiro dia do Futurecom Digital Summit, realizado pela trilha FutureCYBER nesta quarta-feira, dia 24 de junho, tocou em um dos pontos mais importantes da tecnologia: a cibersegurança. Mediada por Eder Souza, CTO da e-Safer, a palestra com o tema “Aspectos Internacionais da Estratégia de Cibersegurança Nacional” contou com a participação de João Pedro Paro, Consultor Regulatório Internacional na Área de Cibersegurança, que falou a partir de sua experiência sobre este tema tão crucial para o segmento.
“É verdade que exite sim hoje um alto teor de internacionalidade das legislações que envolvem a regulação em geral da cibersegurança, porque ele é não é mais um problema local. Suas fragilidades e eventuais deficiências abrem possibilidades para os cybercrimes não só brasileiros, que podem ocorrer, e geralmente são assim, de forma transnacional. Isso é um problema global”, iniciou o convidado.
Decreto nº 10.222
Para João Pedro, o decreto recentemente publicado pelo governo federal sobre a Estratégia Nacional de Segurança Cibernética - E-Ciber, revela a intenção de que o país se desenvolva a uma potência no meio, mas o especialista alerta para o fato de que, para que tais metas sejam alcançadas, um investimento e dedicação compatíveis são necessários. Explica o palestrante:
“Esse decreto é super amplo, mas não tem o que eu chamei de ‘pródigo em promessas, mas sovina na execução’. Ele tem uma série de objetivos, faz uma série de diagnósticos, mas não vincula orçamento público, não estabelece cronogramas com objetivos claros, ao contrários de outros países, como eu mencionei.”
Leia mais: Impactos e vantagens do IoT e AI são debatidos no Futurecom Digital Summit
Evolução dos cybercrimes
Para ele, é preciso atentar-se ao fato de que o crime evoluiu das fraudes físicas para as digitais, e a cibersegurança precisa acompanhar esse movimento para prevenir ações ilícitas.
“O crime tem feito um acompanhamento para o cybercrime. Esse fenômeno é mundial, não é só no Brasil, e ele acompanha um problema regulatório. Ou seja: a cibersegurança começa a ser regulada com outro tipo de preocupação, que envolve segredos de Estado por um lado, questões operacionais, e envolve a segurança de infraestrutura de países”, reflete.
Ele prossegue: “Essa nova regulação pretende aumentar o custo de oportunidade. Ou seja: se, em alguns países - e o Brasil é um deles - a regulamentação, as punições, a forma de persecução penal ainda é muito rudimentar, os cybercrimes irão procurar explorar oportunidades de enriquecimento ilício nesses regimes de baixa estrutura até de percepção desses crimes.”
Regulação das criptomoedas
Para ele, tendências já observadas em outras regiões do globo podem ditar o tom da cibersegurança nacional, e a questão das criptomoedas será crucial para evitar lavagem de ilícitos no país.
“A União Europeia está focada hoje no dsenvolvimento da quinta diretiva, sobre lavagem de capitais, e ela traz um foco nas criptmoedas, pois os pesquisadores têm coletado de evidência o fato de que o cybercrime financeiro precisa ser coletado de forma muito veloz. Uma vez que esse dinheiro vai para o criptoativo ele consegue alcançar um âmbito de não rastreamento, então eu diria que hoje a grande preocupação regulatória global é como evitar que esse criminoso que enrique regulamento consiga ser rastreado”, explica.
“Eu comparo a questão da cibersegurança e o crime que ela envolve com o tráfico de drogas, pois nos anos 80, o crime organizado e os grandes cartéris passam a explorá-lo como um mercado altamente lucrativo. O que aconteceu nessa época eu diria que é o que está acontecendo agora, o crime organizado se reorganiza e vai para o crime cibernético. É preciso que a legislação companha uma grande estrutura global contra o ativo ilícito, como o do tráfico.”
Colaboração internacional na cibersegurança
Para o especialista, uma colaboração internacional é necessária para uma regulamentação e coordenação das criptomoedas, evitando com que a criação seja utilizada para fins criminais em transações intra-fronteiriças.
“No meu entendimento, acho que é um desenvolvimento natural a incorporação das criptomoedas dentro desses grupos em termos de colaboração internacional para evitar que as fraudes de cybercrime tornem-se ativos viáveis”, concluiu.
Resiliência cibernética
Em sequência, Eder também atuou como moderador no painel de tema “Como aumentar a Resiliência Cibernética nas Organizações?”. Iniciando os debates, o convidado Vitor Sena, que atua como CISO na Gerdau, citou o exemplo da educação para auxiliar na questão:
“Um dos pontos mais importantes da cibersegurança é a educação: quanto mais conhecimento a gente dissemina, menos problemas enfrentamos no dia a dia.”
CISO da Kabum!, Longinus Timochenco deu sequência ao debate, citando aspectos que considera essenciais para um avanço na segurança digital do Brasil.
“Agora estamos vendo a questão da resiliência cibernética, e o que é ela? Na minha visão e no que venho analisando no mercado, ela consiste na capacidade de identificar, prevenir e responder os riscos e externos causados por invasões, falhas e mitigação de dados”, explicou.
Para Longinus, o investimento na área deve ser reconsiderado pelos diretores das empresas, assim como a eficácia das medidas de segurança adotadas:
“O quanto realmente a empresa se preocupa na questão do investimento? E a quantia certa, pois investir não quer dizer que esteja fazendo isso certo. A empresa apresenta excelência no básico? Isso significa investir adequadamente para resolver desafios de qualquer magnitude.”
Avanço da segurança da informação
Para Mihran Kahvedjian Junior, Head of Risk Management & Compliance do Grupo Netshoes, a situação causada pela pandemia do coronavírus trouxe a urgência de mudanças na área, o que contribuiu para o avanço da segurança da informação nas companhias nacionais.
“Ainda não estamos num nível de maturidade sólida, estamos de certa forma em uma zona de conforto e em um plano gerenciável. Acho que agora é a chance de descobrirmos uma nova base, olharmos de forma diferenciado, e trazermos essa oportunidade para que o corpo executivo olhe com carinho para esses sinais que a área de segurança sempre briga, e que os usuários tenham mais consciência disso também”, refletiu.
Para ele, a situação vivenciada atualmente auxiliará para que a área alcance novos patamares: “Vamos passar por um período de acomodação dessa estrutura que tivemos que criar na virada da noite para passar por essa fase. Isso deve fortalecer nossos controles e abrir uma estrada para que as empresas cheguem em um novo patamar para esse aspecto.”
Também participante do painel, Cassio Menezes, CISO da Allianz Brasil, concordou com os colegas, adicionando sua opinião de que situações podem ocorrer, mas os setores de segurança digital devem estar preparados para minimizá-las.
“Muitas vezes vemos companhias que investiram muito questionando o porque algo ocorreu, e é justamente por isso que existem as regulações, pois uma hora essas situações ocorrem. E outro ponto é não focar apenas na prevenção, mas também na reação. Nós estamos trabalhando em saber como mitigar os riscos, mas sempre existe um risco residual, e sempre pode acontecer algo em algum momento, então o ponto é o que fazer para saber como reagir de forma antecipada”, disse.
Mudança cultural
Para ele, a questão da segurança digital nas empresas é algo que deve passar por uma mudança cultural, com cada agente entendendo seu papel na cadeia de proteção executiva.
“Quando a gente se prepara para reagir de forma antecipada, envolvendo toda a companhia, de forma que todos entendam qual é o seu papel na reação de uma crise, e de forma que o negócio fique mais automatizado – é lógico, nunca teremos um script totalmente pronto – mas o fato é que quando algo acontece, já temos coisas previamente preparadas e exercitadas, por que não? Simular crises, fazer exercícios de acordo com os riscos de cada companhia. Então a resiliência é muito importante quando falamos da abordagem que damos na questão da segurança”, refletiu.
Vitor Sena fez coro ao colega, destacando o fato de que variadas situações representarão riscos e ações diferentes que deverão ser tomadas:
“Não vai existir uma bala de prata. Para cada situação, cada indústria, precisa ser desenvolvida uma estratégia. No nosso caso da Gerdau, nós já tinhamos uma prática de home office. Ou seja: todos os cuidados que tinhamos implementados para a segurança dos colaboradores trabalhando em casa, já tinha uma base muito boa. É claro que precisamos tomar outros cuidados, mas isso nos ajudou.”
Novas lições
Para Longinus, a urgência da pandemia também trouxe questões que passarão a ser olhadas com cada vez mais atenção para otimizar a segurança digital no meio empresarial.
“Uma lição que vejo que podemos aprender é o que não devemos fazer. Nossa missão como profissionais da área de segurança é viabilizar os controles para que a operação não pare e trave o negócio”, disse.
“Houve tempo hábil para capacitar os colaboradores? Sabemos que não houve. Então mais aprendemos que precisamos sim ter um plano para estarmos mais preparados para outro dano nesse sentido. Muitas empresas desenvolvem a segurança da informação apenas para evitar ataques e atender as regulamentações, de forma reativa, e não podemos mais ser reativos”, analisou.
Próximos desafios
Para Mihran Kahvedjian, os desafios que se aproximam darão o tom da segurança nos próximos anos: “Creio que temos grandes desafios pela frente para não deixar que isso se torne um pico de preocupação, mas que seja um padrão mais controlável. Temos que aproveitar essa oportunidade para subir a régua mesmo”, completou.
Cassio Menezes concordou, adicionando que a nova fase será uma oportunidade para que o desafio siga em curso. “Existe aquela frase: a segurança só acontece e a gente não percebe. E acho que esse é um desafio para deixarmos a segurança mais transparente e rápida no pós-pandemia”, afirmou.
O moderador Eder frisou que as mudanças dos últimos anos, como a adoção das nuvens, também apresentaram novas questões que passara a ser levadas em conta pelos profissionais do meio: “Hoje cloud é uma realidade para qualquer empresa, então o profissinal de segurança passou a ter que entender sobre como esses servidores tratam e armazenam os dados, entre outras questões.”
Benefícios a médio e longo prazo
Segundo Mihran, o avanço acelerado das novas tecnologias representaram uma oportunidade de nos acostumarmos a um novo ritmo, o que, no médio e longo prazo, poderá beneficiar a sociedade.
“Acredito que hoje todo mundo é ‘forçado’ a entender mais de tecnologia, basta vermos o quão essencial ela está sendo nesse momento de isolamento. Essa dinâmica nova, com seus sistemas e plataformas, trouxe um benefício imediato para todos nós”, explicou.
Para Vitor Sena, o padrão de segurança também mudará, assim como as regulamentações do meio: “Segurança de agora pra frente vai ser muito focada em não haver perímetro, considerando que os recursos estão sendo acessados de qualquer localicado e que a segurança física se tornará algo complementar, e não mais protagonista.”
Ele prosseguiu: “Teremos também o avanço das regulamentações associadas à proteção de dados pessoais. Isso mudará também a forma como fazemos a segurança. Isso traz um desafio, até por ser algo ainda não muito claro, temos muitas discussões sobre o que é certo ou errado, mas de alguma forma isso também vai potencializar o assunto segurança da informação dentro das companhias.”
Consequências do atraso
Segundo Cassio, empresas que ainda estão atrasadas neste quesito poderão sofrer as consequências, fator que faz com que a segurança digital torne-se ainda mais vital para a sobrevivência de diversas companhias do País.
“Definitivamente, a alta liderança que ainda não colocou a cibersegurança na sua agenda, daqui a pouco pode ser tarde, pois essa pode ser a única agenda após um incidente. Eu vejo que daqui pra frente esse tema será cada vez mais pauta dos líderes, com focos na prevenção, mas na pró-atividade também para a reação”, encerrou.
Veja as palestras do terceiro dia de Futurecom Digital Summit em: https://videos.netshow.me/informa. Inscreva-se no evento para acompanhar as palestras dos outros dias desta imperdível realização.