Palavras-chaves como resiliência, novidades, reinvenção, proferidas pelos palestrantes do Futurecom Digital Summit tornam-se verdades quase que absolutas sobre segurança cibernética, gestão de vulnerabilidades, estratégia de governança de dados, gerenciamento da cadeia de fornecedores e uso de inteligência artificial e análise comportamental contra ameaças. Esses assuntos fazem parte da trilha FutureCYBER, tema do terceiro dia do evento.
O coronel Arthur Pereira Sabbat, diretor do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, abriu a tarde com sua palestra “Segurança Cibernética e os Impactos da Pandemia”. Em sua primeira fala, números reveladores sobre esse assunto. Em tempo de pandemia a procura por informações sobre diferentes tipos de assuntos na internet cresceu absurdamente e isso fez com que pessoas mal intencionadas tirassem proveito da situação de algum modo a partir, principalmente, de artifícios como as phishings. “Essas ameaças têm sido um grande desafio para todas as instituições e nós temos tentando auxiliar máximo possível todos os órgãos e pessoas ao combate desse mal”, explica o coronel.
Os números são assustadores. “Segundo relatórios de segurança cibernética apresentados por algumas empresas, até abril deste ano foram encontrados mais de 35 mil domínios suspeitos com conteúdos sobre COVID19 e com o aumento de trabalhos em estrutura home office, os ataques cibernéticos cresceram mais de 330%”, informa Sabba.
Essa estatística se deve ao fato de as pessoas estarem em casa e, consequentemente, o aumento da dependência da internet. Compras diversas, aquisições de serviços e de materiais, transações financeiras e o serviço home office. A pressa com que tivemos que adquirir esse formato para que as atividades não tivessem que sofrer algum abalo e não comprometer o negócio, fez com que a migração do presencial para o digital não observou, em muitos casos, os princípios de segurança cibernética adequados para ocasião.
Leia mais: O exemplo da Coreia do Sul e o futuro dos negócios no Futurecom Digital Summit
Sobre isso, Sabba explicou sobre a necessidade de extranets que são classificadas como habilidades do home office que permitem que os funcionários da empresa tenham acesso integral aosarquivos de seus servidores. Essa atividade profundaabriu uma oportunidade tremenda para ação de hackers em especial ações de phishings.
Hoje, no Brasil, os ataques de phishings se dividem em 50% de às instituições públicas e a outra metade para em empresas privadas. As primeiras fraudes foram relacionadas ao Corona voucher, a partir dos dados enviados pelos usuários que recorreram a esse auxílio e utilizados pelos hackers. Outras fraudes envolveram marcas famosas de farmácias que por meio de golpistas prometiam produtos de desinfecção mediante fornecimento de dados pessoais; os famosos SMS de supostas instituições financeiras informando que os bancos mudariam de modus operandi e as senhas seriam bloqueadas caso os dados dos clientes não seriam passados. Redes de supermercado, promessas de suspensão temporária de pagamentos de contas de água, luz e gás aos usuários de Bolsa Família, aplicativos de delivery de comida com promoções via WhatsApp em troca de informações são outros exemplos mais.
“O fornecimento de dados pessoais abre leques para várias fraudes todas elas, unanimemente, baseadas em preenchimentos de cadastros”, completa.
No restante do mundo, também tivemos casos em relação à pandemia, como sites falsos em nome da OMS – Organização Mundial da Saúde, que ao serem acessados e direcionados aos fraldários aconteciam sequestros de dados e até de roteadores. Hospitais na Ásiae androidsque sofreram ransomwares.
“Diante do cenário e ameaças cibernéticas crescentes, com a vida se transformado em digitais, as recomendações aparecem como um trinômio: prevenção, segurança e resiliência. Partindo pela certeza de que não existe nenhum sistema 100% seguro, temos que trabalhar em cima da resiliência, que é a capacidade de saber que há problemas e continuar operando sobre ataques”, finaliza o coronel.
Vulnerabilidades
O debate“Gestão de Vulnerabilidades: Lidando com o Crescente Volume e Complexidade de Dispositivos conectados à Rede” foi bastante eclético e reuniu além de grandes nomes do mercado, assuntos comodesenvolvimento de uma estratégia de governança de dados; gerenciamento da cadeia de fornecedores e uso de inteligência artificial e análise comportamental contra ameaças.
Paulo Pagliusi, partner na KPMG e moderador do encontro, iniciou os trabalhos complementando as falas do coronel Arthur Sabba, “cada vez mais a superfície de ataque de tecnologia da informação, seja nas empresas ou nos órgãos públicos, está aumentando. Cada vez que agrego um novo dispositivo que esteja ligado à IoT, amplio as possibilidades de ataque”. E é extremamente importante que essas instituições contem com bom processo de gestão de vulnerabilidade, priorizando a gerência dos riscos de modo adequado. De acordo com a pesquisa da Gartner Security & Risk Management Scenario Planning, “até este ano de 2020, 30% das duas mil maiores empresas globais serão ou foram completamente comprometidas por ataques de ciberativistas ou cibercriminosos. E neste cenário de pandemia as empresas têm sim investido em estratégias de gestão de vulnerabilidade. Lembrando que um celular comum de uso pessoal comente estragos tanto quanto uma estação de trabalho”.
Para a painelista Márcia Tosta, gerente Executiva de Tecnologia da Informação, Petrobrás, os ataques estão cada vez mais sofisticados e temos muitos desafios, pois assim como nós aprendemos muito neste tempo de pandemia, os atacadores também se atualizaram, evoluíram e criam sempre redes que fluem muito bem e com muita troca de informações”.
Ela lembra ainda que os “smart coisas” são o novo alvo. “Tudo está conectado: relógios e celulares, por exemplo, são acessíveis de todos os lugares. Além disso, a LGPD está batendo em nossa porta e temos que cuidar dos dados dos usuários. Assim entramos no novo mundo onde temos tudo à mostra, mas precisando garantir a segurança total.
“Temos que escolher o que é mais importante. Analisar, priorizar, escolher onde vamos proteger primeiramente. Hoje o tempo médio de vulnerabilidade mudou, o que antes demorava de 28 a 32 dias para serem atacados, hoje os atacadores demoram até sete dias. Ficamos mais expostos rapidamente.Pela rapidez, temos que mudar o que estamos fazendo hoje e organizar um fluxo decisório para gestão de vulnerabilidade é uma boa estratégia”, conclui.
Segurança, riscos e TI
José Alberto Torres, CISO da Ministério da Justiça, apresentou a estrutura de SIC do MJSP e suas diretrizes. “Fizemos uma releitura, entendendo que temos que priorizar mais gestão do que execução. Transformamos nossos técnicos em gestores, dando suporte e treinamentos. Mudamos os processos para que se tornassem mais simples e executáveis e integramos as ferramentas”.
William Pinho Rodrigues, CISO, Grupo NC- EMS concorda que gestão de vulnerabilidade é um processo árduo e perene e que na indústria temos que fazer de maneira simples e funcional para otimizar tempo e recurso.
Uníssono, afirmam que uma gestão de vulnerabilidade bem feita é um investimento para assegurar um patrimônio que é feito de dados, informações e sigilos. Assim a segurança está tendo que se reinventar. Daniel Sobral, CISO das Alpargatas “a questão do novo normal fez com que muitas empresas do varejo investissem em e-commerce e com isso a responsabilidade em segurança aumenta bastante, pois temos que criar um contexto em que nossos ambientes estejam sempre disponíveis e seguros. Afinal, incentivamos as transações online”. Também temos que ressaltar a importância da segurança não está somente no momento do scann e as ferramentas, mas desde o início do processo com a criação de uma imagem de um container, da análise de fonte, etc, para que o ciclo de vulnerabilidade seja menor. Atentar-se às origens e configurações”, fala.
LGPD
Para fechar o primeiro bloco do terceiro dia do Digital Summit, André Sucupira, gerente jurídico da SERPRO, foi a fundo no assunto mais comentado do momento, a LGPD- Lei de Geral de Proteção de Dados e seus impactos nas relações digitais.
“Antes, nas relações analógicas nossos contatos eram físicos. Hoje, com tudo online, os fundamentos são outros e deverão conviver harmonicamente. “Mesmo que pareça um pouco conflituoso, temos que conciliar a questão da privacidade com o desenvolvimento tecnológico, um grande desafio que teremos que desenvolver”, fala Sucupira.
Veja as palestras do segundo dia de Futurecom Digital Summit em: https://videos.netshow.me/informa. Inscreva-se no evento para acompanhar as palestras dos outros dias desta imperdível realização da Futurecom.
