A entrevista de hoje sobre Cibersegurança é com Alicia Dias, Especialista em Segurança da Informação da Raccoon.
Alicia é formada pela Universidade Federal de São Carlos (UFScar) e há pouco mais de dois anos trabalha na Raccoon. Ela possui certificado do centro de desenvolvimento de excelência em segurança online do Departamento de Defesa da Australia, emitido em junho de 2020. Após a especialização Alicia assumiu o cargo como especialista em segurança da Raccoon em julho de 2020.
Confira a entrevista completa:
1-) (Redação) A cibersegurança foi um dos temas mais debatidos, devido as empresas que recentemente sofreram ataques e para iniciarmos lhe pergunto: O que é cibersegurança empresarial?
(Alicia) Podemos resumir cibersegurança empresarial como a grande área que estuda e implementa soluções de segurança e gestão de riscos cibernéticos dentro de uma corporação, seja no âmbito de cloud (nuvem), apps ou ativos conectados aos sistemas empresariais entre outros, a depender da realidade e necessidade de cada empresa, bem como sua área de atuação no mercado e modelo de negócio.
2-) (Redação) As empresas atualmente usam autenticação multi-fator segura ou as senhas curtas ainda reinam em um pedaço de papel anexado em um local visível? Como você visualiza a maturidade do segmento do Brasil?
(Alicia) É comum encontrar senhas sem requisitos bons de segurança, como uma quantidade mínima de caracteres e o uso de números e símbolos por exemplo, além de ser possível encontrar diversas senhas repetidas ou compartilhadas dentro de organizações ao redor do globo, o que me levaria a crer que a maturidade dessa questão no Brasil não está muito diferente dos demais países, onde todas as empresas estão, de uma forma ou de outra, se movimentando para iniciar o aumento de sua cibersegurança.
Isso ocorre, principalmente, pela falta de gerenciamento centralizado de plataformas que os usuários acessam e pela falta de programas de awareness e treinamentos de segurança da informação, que são essenciais para orientar o usuário sobre qual comportamento adotar em relação à segurança de seus acessos.
3-) (Redação) Qual é o papel do CISO? Quais recursos uma pessoa que está se candidatando ao cargo de CISO deve ter?
(Alicia) A pessoa Chefe de Segurança da Informação, tem como principal função orientar e calcular o processo de gestão de riscos de segurança dentro de uma corporação, é ela, por exemplo, que irá definir, no geral, o processo de governança de dados da empresa, a arquitetura de segurança e a inteligência cibernética, mantendo-se sempre atualizada dos principais riscos atuais ao negócio e viabilizando ações da operação que tragam vantagens ao negócio.
Para desempenhar essa função, o mais pedido pelo mercado é experiência, cerca de 10 anos trabalhando na área, afinal trata-se de um cargo executivo, é recomendado também um conhecimento multidisciplinar, como linguagens de programação, legislações de privacidade (por exemplo, LGPD e GDPR) e certificações como a CISSP e CEH.
4-) (Redação) Em sua visão, quais são as tendências do setor de cibersegurança no Brasil para 2022?
(Alicia) Vejo esse assunto ficando cada vez mais em voga, aliado principalmente às questões de privacidade e problemas já muito bem conhecidos como phishing e ransomware, que deverão ser cada vez mais cobrados em termos de soluções pelo mercado nacional. Consequentemente, teremos uma alta demanda por profissionais da área, que será bem competitiva para os níveis mais seniores, como engenheiros de rede, DPOs e auditores, não deverá faltar oportunidades para cargos de entrada na área.
5-) (Redação) O ano de 2020, trouxe uma série de desafios para a liderança das empresas. As alterações de comportamento dos consumidores foram desafiadoras para as marcas que obrigaram a várias empresas a se reinventarem e se tornarem digitais.
Em sua visão, como está atualmente este mercado e quais os riscos para os consumidores?
(Alicia) O risco sempre existiu e sempre irá existir, mesmo empresas que antes de 2020 não atuavam fortemente no digital, já estavam conectadas às redes de alguma forma, o que sempre gera vulnerabilidades.
Vejo que agora o mercado digital possui mais portas de entrada e saída de dados, sem realizar todas as camadas de segurança necessárias para tanto, devido à rápida alteração de modelo de negócios que muitas empresas tiveram que adotar devido à pandemia. Para os consumidores o risco de perda, vazamento e exposição de dados aumenta, bem como o risco a fraudes e transações enganadoras, é preciso sempre tomar muito cuidado com quais dados e com quais empresas você está compartilhando online.
6-) (Redação) Em sua visão, como a cibersegurança pode afetar a experiência do cliente com uma marca?
(Alicia) A cibersegurança afeta diretamente a imagem de uma marca, logo ela está intimamente conectada com o sentimento de confiança do consumidor, o que pode levar a perdas significativas para uma empresa.
Além disso, a segurança da informação também afeta a estabilidade dos meios de comunicação com o cliente, um site que sai do ar como forma de prevenir um ataque, por exemplo, pode ser considerado ruim por um consumidor em busca de um produto, fazendo-o evitar o domínio por um longo período de tempo, mesmo sem sequer saber que ocorreu um problema de segurança.
Aqui conseguimos ver uma consequência indireta que a cibersegurança também pode vir a ter com o cliente, fato que ressalta a importância de se ter um plano de recuperação e continuidade de negócios tão bem desenhado quanto o plano de segurança da informação.
7-) (Redação) Analisando o pilar de cibersegurança, quais são as métricas que devem ser acompanhadas pela gestão para garantir a efetiva segurança dos dados e da empresa?
(Alicia) Tudo vai depender do seu campo de atuação, nível de maturidade de segurança e objetivos enquanto empresa.
Dito isso, podemos citar algumas métricas genéricas que são amplamente utilizadas como tempo de detecção e resposta de um ataque, tempo de onboarding e offboarding, elasticidade da aplicação e monitoramento de rede e, a meu ver o mais importante, nível de treinamento e preparação dos colaboradores em relação à segurança da informação.
😎 (Redação) Muitas empresas decidem delegar tarefas CISO aos departamentos de TI. Essa é a abordagem certa e pode funcionar?
(Alicia) Muitas questões que o CISO precisa abordar são técnicas ou diretamente relacionadas à interação do usuário (famoso “fator humano”), nesses casos uma pessoa da área de TI poderia desempenhar a função sem prejuízos, no entanto é importante ressaltar que a pessoa CISO está em uma posição estratégica ao negócio e diluir suas funções pode gerar problemas à longo prazo, como a falta de um padrão de gestão de riscos ou de um plano único e centralizado de adequação de segurança. Novamente, tudo irá depender de qual mercado, nível de maturidade e objetivos estamos falando.
9-) (Redação) O silêncio da organização é um desafio para o CISO em gestão de crises nos momentos de ataques? Qual seria a sua recomendação?
(Alicia) Não existe uma receita de bolo, tudo irá depender sempre do contexto, já vi casos, por exemplo, em que o silêncio inicial de uma organização foi essencial para prevenir rumores e, assim, permitir uma solução assertiva e rápida ao problema enfrentado que, por sua vez, foi prontamente comunicado no prazo estipulado pela lei pertinente.
Minha recomendação é sempre garantir que seu plano de respostas, gestão e continuidade de negócios esteja muito bem alinhado à mesa diretora, ao modelo de negócios e à cultura da empresa, evitando problemas extras e desnecessários em situações de crise.
10-) (Redação) Para finalizarmos, gostaria de deixar uma dica de leitura, filme ou livro que colabore e promova a reflexão junto ao tema de “Segurança da Informação”?
(Alicia) Gosto do filme ‘Snowden: Herói ou Traidor’, pois mostra o processo que levou o funcionário de uma das maiores agências governamentais de segurança do mundo a vazar dados confidenciais. O livro ‘Cult of the Dead Cow’ é muito interessante também pois mostra como o surgimento do “hacktivismo” influenciou e influencia o comportamento do usuário na rede, mesmo sem que este faça ideia do que se trata.
