As principais preocupações de segurança da informação
Longinus Timochenco, da Stefanini Rafael
OUÇA O ÁUDIO COMPLETO
Numa era cada vez mais digital, os incidentes com informações se tornam mais comuns e frequentes. Os computadores, telefones celulares e outros dispositivos têm se tornado mais acessíveis, interconectados e globalizados. Consequentemente, mais pessoas e organizações estão interconectadas e expostas aos riscos de fraude, roubo de informações, invasões, espionagem industrial, guerras cibernéticas, etc. A propagação do uso da Internet é um fator que agrava esta situação, uma vez que as relações de negócios se consolidam com base na troca de informações por meio da grande rede.
A preocupação com a segurança da informação motivou a criação de padrões e normas internacionais. Em 1995, foi criada a norma BS 7799, um padrão britânico que trata da definição de requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). A partir daí foram desenvolvidas várias outras normas e legislações que definem diretrizes para garantir a segurança em um ambiente computacional. A norma mais recente é a ISO/IEC 27001, de 2005. Existem ainda outras regulamentações adotadas pelo Banco Central (resolução 2554), ICP-Brasil, Comissão de Valores Mobiliários (Instrução 358) e Governo Federal (decreto 4553).
O novo padrão General Data Protection Regulation (GDPR) está chegando ao país para evitar casos de vazamentos de dados pessoais. Com a sua implementação, as organizações terão que notificar a organização responsável, a DPA – Data Protection Authority dentro de 72 horas, após ter detectado a violação. A notificação não precisa ser feita à DPA, se o vazamento não resultar em risco aos direitos e liberdades individuais.
Previsões de segurança até 2020
Com o aumento contínuo das violações de segurança, crescem também os processos para combatê-las e evitá-las. No entanto, as principais ameaças nos próximos anos, provavelmente, serão de um tipo de hack conhecido pelos profissionais de segurança. Nossa primeira previsão sublinha o fato de que os ataques resultarão de vulnerabilidades conhecidas, traduzindo “Pecamos muito ainda no básico”.
A seguinte lista compartilha outras suposições de Planejamento Estratégico (SPAs) pela consultoria Gartner para segurança nos próximos dois ou quatro anos.
Até 2020, 99% das vulnerabilidades exploradas continuarão a ser conhecidas pelos profissionais de segurança e TI por pelo menos um ano. As empresas devem permanecer focadas em corrigir as vulnerabilidades que conhecem. Embora sejam fáceis de ignorar, elas também são mais fáceis e mais baratas de corrigir do que mitigar. Por volta de 2020, um terço dos ataques bem-sucedidos experimentados pelas empresas estarão na sombra dessas vulnerabilidades. As unidades de negócios lidam com a realidade da empresa e vão se envolver com qualquer ferramenta que os ajudem a fazer o trabalho. As empresas devem encontrar uma maneira de abordar a sombra de TI e criar uma cultura de aceitação e proteção contra detecção, resposta a incidentes rápidas/eficientes e punição.
As vulnerabilidades de alto impacto e risco para o negócio devem ser, também, de responsabilidade da alta gestão, que precisa monitorar e promover suas resoluções proativamente, o que varia de país para país, conforme o nível de maturidade. Precisamos trabalhar na “tendência” para sermos mais efetivos e preditivos. Para atingir este nível é fundamental investir na educação, capacitação, conscientização periódica, regras claras (políticas/normas), monitoramento em tempo real, respostas a incidentes preditivos e penalidades. Só assim teremos mais transparência, confiança, credibilidade e tranquilidade em todos os ambientes.
Até 2018, a necessidade de evitar quebras de dados de nuvens públicas deve estimular que 20% das organizações desenvolvam programas de governança de segurança de dados (DSG), identificando lacunas na política de segurança de dados. A segurança cibernética será apropriada para melhorar a visibilidade, tomada de decisões e gestão mais eficiente para o negócio.
Em 2020, 40% das empresas envolvidas no DevOps protegerão aplicativos desenvolvidos por meio da adoção de tecnologias de autoteste, autodiagnóstico e autoproteção de segurança de aplicativos. Poucas empresas ainda adotam as “Metodologias de Desenvolvimento Seguro”, ou seja, muitas vezes sobem suas aplicações para produção com base em testes ineficientes, se preocupando apenas com a parte funcional e com os prazos de entrega, impactando diretamente nas vulnerabilidades, exposições e riscos para o negócio.
Adote a autoproteção de aplicativos de tempo de execução (RASP) para DevOps. Avalie vendedores e fornecedores menos maduros para possíveis opções de segurança.
Até 2020, 80% das novas ofertas para corretores de segurança de acesso baseados na nuvem (CASBs) serão empacotadas com plataformas de firewall de rede, gateway web seguro (SWG) e firewall de aplicativos da web (WAF).
Até 2018, as empresas irão ampliar a contenção móvel nativa, em vez das opções de terceiros, que aumentarão de 20% para 60%.
Até 2019, 40% das implementações de identidade de serviço (IDaaS) substituirão aquelas de gerenciamento de acesso e identidade no local (IAM).
Até 2019, o uso de senhas e tokens, em casos de uso de risco médio, cairá 55% com a introdução de tecnologias de reconhecimento.
Até 2018, mais de 50% dos fabricantes de dispositivos da IoT – Internet de coisas não poderão lidar com ameaças de práticas de autenticação fracas.
Até 2020, mais de 25% dos ataques empresariais identificados envolverão IoT, embora a Internet das coisas represente apenas 10% dos orçamentos de segurança de TI.
Conclusão
Muitos profissionais da segurança da informação acreditam que os próximos três anos determinarão se as organizações podem ganhar a guerra cibernética.
A postura das organizações ajudará na tomada de decisões mais inteligentes sobre seus investimentos em pessoas, processos e tecnologias, para alcançar o nível satisfatório e maior maturidade.
Para chegar a este entendimento, nos dirigimos aos líderes de segurança da informação em todo o mundo para que identifiquem as tendências mais importantes para os próximos três anos.
Com base nas descobertas, seguem algumas recomendações e observações:
• Preparem-se para lidar com ameaças externas, como invasores de estados, nações, ciberguerra ou ciberterrorismo. Com o risco de exclusão de negligência, mais recursos devem ser alocados para lidar com um crescente criminoso cibernético sofisticado e sigiloso.
• Estabeleçam programas regulares de treinamento cibernético e conscientização. Esses programas são críticos, tornando os funcionários e empreiteiros a primeira linha de defesa contra ataques maliciosos ou criminosos.
• Desenvolvam uma estratégia para lidar com os riscos criados pela Internet das coisas. Conduzam uma segura avaliação de probabilidades e impactos sobre como a IoT afetará a segurança da sua organização.
• Estejam cientes da crescente adoção de moedas virtuais, que poderão representar novos riscos para organizações e clientes.
• Compreendam como usar grandes análises de dados efetivamente. Certamente haverá um volume maior de dados confidenciais a serem protegidos. Por outro lado, a disponibilidade de análises será muito útil na detecção e bloqueio de ataques cibernéticos.
• Voltem para as escolas e recrutem especialistas em segurança cibernética. Um diferencial chave entre as organizações estará na capacidade de contratar e manter conhecedores e experientes praticantes de segurança cibernética.
• Invistam nas tecnologias testadas e verdadeiras. Incluam criptografia de dados em repouso e em movimento, SIEM, tecnologias de segurança cibernética e firewalls.
• Preparem-se para lidar com um crescente ambiente litigioso em função de ações coletivas e litígios de responsabilidade civil. A carga de custos de conformidade aumentará para as organizações devido a mandatos de proteção de dados e infraestrutura.
É CISO – Chief Information Security Officer & Diretor de Governança Corporativa na KaBuM!. Tem mais de 25 anos de experiência em tecnologia e possui forte atuação em defesa, governança corporativa, risco & fraude, compliance e gestão de TI. Membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil, Timochenco desenvolveu uma série de trabalhos junto a consultorias e grandes corporações globais no gerenciamento de projetos estratégicos, auditorias e combate a crimes cibernéticos. Premiado – Security Leaders Brasil 2014 e 2016.
