Contato: (11) 3043-4171

O novo papel da segurança da informação na gestão corporativa

Com o crescimento do mundo digital, acompanhamos também um enorme crescimento das ameaças cibernéticas. Estas variam de pequenas ações irritantes até desastres catastróficos. E à medida que essas ameaças evoluem, também vemos a evolução de um personagem anteriormente ignorado: o Diretor de Segurança da Informação, ou CISO (Chief Information Security Officer)

shutterstock-deepadesigns temproario

Grant Bourzikas (*)

Não só o papel do CISO está mudando, mas também o relacionamento dele com a organização em que trabalha. Antes eles reportavam ao CIO, agora reportam diretamente ao CEO ou ao Conselho Administrativo. Em seu novo papel, o CISO também precisa de diversas novas habilidades.

O cargo foi introduzido pela primeira vez na organização comercial moderna para monitorar e analisar possíveis riscos de segurança para a empresa. Tradicionalmente, esses profissionais vieram do lado mais técnico e talvez não precisassem entender todo o negócio. Liderança, comunicação e background de negócios podem não ter sido requisitos para o trabalho até então. Mas isso está mudando.

Com ameaças cada vez mais avançadas, é justo dizer que as diretorias corporativas estão enxergando a importância da segurança cibernética. O desafio para o CISO moderno é discutir os problemas do negócio que causam os desafios de segurança (versus a tecnologia apenas). Quando os CISOs trazem ideias para a mesa executiva que são colocadas em termos de escolhas e integração de negócios, é mais provável que as questões sejam abordadas e corrigidas.

Os papéis do CIO e do CISO são diferentes. Ambos estão envolvidos com Tecnologia da Informação, mas de diferentes ângulos. O papel do CIO é assegurar a disponibilidade da informações para administrar o negócio; o do CISO é garantir segurança sem afetar a disponibilidade dos serviços empresariais. Este poderia ser um relacionamento adversário, mas abordado adequadamente - de um ponto de vista holístico - pode funcionar bem.

Toda organização gerencia a segurança de forma diferente, com base nas suas necessidades e estrutura interna. O CIO tradicionalmente trabalha ao lado da gestão de uma empresa e é focado na operação interna. O CISO, por sua vez, é direcionado para fora. Além disso, como o CISO frequentemente reportava ao CIO, nem sempre eram vistos como pares. Uma percepção é que os CIOs são veteranos e líderes experientes, e os CISOs são mais jovens e mais especializados.

O papel do CISO tornou-se mais elevado devido à importância do gerenciamento de dados na era digital. Sem a segurança cibernética uma empresa pode ser seriamente comprometida, tanto monetariamente como em reputação. Para muitas empresas, informações e segurança não fazem parte do negócio; elas são o negócio.

O CISO também se tornou o responsável por trabalhar com os fornecedores de segurança cibernética. Como existem mais de mil empresas de segurança cibernética de diferentes tamanhos e escopos, sua função inclui fazer com que os diferentes tipos de software funcionem juntos. Uma vez que isso seja realizado, ele também precisa comunicar como as ferramentas estão atuando com a classificação e arquivamento.

Atualmente os CISOs devem olhar para o negócio como um todo e não se concentrarem na tecnologia. Se focar apenas nas escolhas técnicas, pode-se considerar a segurança cibernética como um custo. É preciso uma abordagem certa para se concentrar no negócio e gerenciar o meio ambiente, além de comunicar como a segurança é importante para o sucesso da empresa.

Em resumo, o CISO de hoje tem um papel importante e expandido na gestão da segurança da empresa. Eles devem ter um relacionamento com o CEO e com o Conselho, para que as organizações possam avaliar com precisão suas vulnerabilidades. Um bom CISO também é um bom líder e comunicador, alguém que pode influenciar a organização para garantir a segurança e disponibilidade de sistemas. Ou seja, o papel evoluiu da função específica para uma parte vital da gestão de uma empresa.

(*) É vice-presidente e diretor de segurança da informação da McAfee.

A transformação digital chegou aos documentos de identificação

Certisign temproario

Com o avanço da tecnologia surgem a todo instante facilidades para o dia a dia das pessoas. Mesmo os mais resistentes à era digital acabam aderindo às mudanças por conta dos benefícios proporcionados. Nos últimos meses, observou-se um grande movimento para a substituição de documentos de identificação em papel por eletrônicos, que podem ser armazenados em smartphones e tablets, dispositivos indispensáveis nos dias atuais e utilizados por grande parte da população.
São vários os exemplos, como o e-Título, um aplicativo para Android e iOS que permitirá o armazenamento da versão digital do título de eleitor. Segundo informações do site do Tribunal Superior Eleitoral (TSE) a medida é benéfica para a Justiça Eleitoral, porque permitirá a redução de custos relacionados aos extravios de documentos, emissões de segunda vias, suprimentos para impressão etc. Já o cidadão terá seus dados eleitorais sempre disponíveis, sem o risco de extravios e de deterioração do formato em papel.
A Carteira de Trabalho Digital é outro caso. Desde novembro passado, o trabalhador pode acessar suas informações de Qualificação Civil e de Contratos de Trabalho diretamente do celular ou tablet. Para isso, basta baixar o aplicativo, de acordo com o respectivo sistema operacional do dispositivo. A novidade não elimina a versão impressa que continua sendo disponibilizada.
Por fim, no próximo mês, em fevereiro, deve entrar em vigor em todo o país CNH Digital que também poderá ser armazenada em dispositivos móveis. Ela é destinada aos motoristas quem já têm a versão da CNH com QR Code, que começou a ser emitida em maio de 2017. Quem se enquadra neste perfil, poderá requisitá-la no site do Denatran, mediante o uso do Certificado Digital ICP-Brasil. Quem não tem Certificado, precisará ir pessoalmente em um dos postos do Detran. Neste caso, é o Certificado que garantirá a autenticidade da requisição on-line, já que ele é um documento de identificação no meio eletrônico.
E, por falar em Certificado Digital, a versão destinada para a identificação digital do cidadão, surgiu em 2001 com a criação da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, cadeia hierárquica de confiança que viabiliza a emissão desses documentos. Atualmente, há vários tipos de Certificados, sendo que um deles é o e-CPF, a versão digital do documento em cartão Cadastro de Pessoas Físicas - CPF. Com ele, o contribuinte pode realizar diversos serviços no meio digital, como assinar documentos com validade jurídica - sem papel e sem caneta, enviar a declaração do imposto de renda com mais facilidade, acessar o e-CAC da Receita Federal e dar andamento a diversos processos sem ter que comparecer a um posto físico, entre outros.
Essas possibilidades deixam claro que a transformação digital chegou aos serviços públicos e que deve ser ampliada cada vez mais por conta dos benefícios proporcionados. Possibilitar aos cidadãos o acesso a informações primordiais por meio de dispositivos móveis promove comodidade a ele e sustentabilidade e eficiência operacional à máquina pública. Todos os lados ganham.

(Fonte: Julio Cosentino é vice-presidente da Certisign e presidente da Associação Nacional de Certificação Digital - ANCD).

Pontos de atenção na jornada para nuvem

Guilherme Sesterheim (*)

A jornada para nuvem, assunto ainda muito atual nas áreas de TI de todas as empresas que nasceram com sistemas on-premise, pode ter diferentes níveis de complexidade

Para empresas recentes, com um número de aplicações reduzido, os projetos costumam ser mais simples. Já para empresas com grande histórico de existência, é comum que ocorram projetos de mais de um ano de duração, somente para migrar as aplicações e rotinas.
Quando se fala em modernizar as aplicações para usufruir das vantagens de estar na nuvem, este prazo é ainda maior. Em ambos os cenários, uma série de aspectos precisam ser analisados, observados e monitorados para que o sucesso seja garantido, como:

1 - Segurança: definir políticas e proteger aplicações
Como na maioria das invasões e ataques a sistemas, a engenharia social aplicada no contexto da cloud é a maior preocupação da maioria dos profissionais de segurança consultados. Senhas fracas e falta de cuidado ao definir as políticas de quais usuários possuem acesso a quais tipos de ações no ambiente são os principais problemas. Portanto, crie políticas claras de acessos e responsabilidades para cada usuário, que deverá deve ter permissão para fazer estritamente aquilo que lhe é atribuído. Os usuários superadmins são para uma ou duas pessoas na companhia inteira, que possuam confiança e maturidade para orquestrar todo o time.
Outro aspecto importante da segurança na cloud é a definição, junto ao time de desenvolvimento e arquitetos principalmente, das políticas de acesso às APIs da empresa. Uma API que tenha capacidade de alterar dados sensíveis da companhia deve possuir acesso, protocolos e segurança restritos à sua finalidade.

2 - Validação para impedir perda de informações
Em projetos de migração de dados, como bancos de dados, ou arquivos de quaisquer tipos, seja com finalidade de manter backup, alta disponibilidade ou performance, validações precisam ser executadas para garantir a integridade do que foi migrado e também eliminar risco de perda de grandes quantidades de informações.
Para migrações de grandes volumes, como TB de dados, é importante verificar se a quantidade de arquivos na origem é igual a do destino e se o tamanho total é idêntico nas duas pontas. Já para bancos de dados, a mesma verificação é válida e útil em um primeiro momento, porém, como provavelmente haverá alteração para funcionar no novo ambiente, as validações da integridade e funcionamento da aplicação em si são indispensáveis e devem ser efetuadas por pessoas com profundo conhecimento do funcionamento da mesma.

3 - Legislação: verificar aderência com o negócio
A legislação coloca pé no freio de migrações governamentais há anos e afeta diretamente o negócio de empresas do setor financeiro, por obrigar que os dados sejam armazenados fisicamente em território brasileiro. Mesmo com a existência de datacenters no Brasil, as migrações, às vezes, não são possíveis, pois os cloud providers mantêm replicação automática dos dados e não há como garantir que eles ficarão somente na região selecionada.
Para outras aplicações, não relacionadas ao governo e setor financeiro, o marco civil da internet garante que boa parte das empresas estejam livres destas restrições, e é um bom ponto de partida para consulta e tirar dúvidas.

4- Arquitetura
Transferir aplicações do cenário on-premise para a nuvem em formato AS-IS é uma alternativa quando as restrições do negócio relacionam o tempo envolvido diretamente. Porém, simplesmente transferir a localização de um servidor não resolverá problemas relacionados à arquitetura da aplicação, tais como performance, escalabilidade, estabilidade, telemetria, etc.
Quando a jornada para nuvem começa a abranger a forma como as aplicações foram desenvolvidas, vários novos benefícios podem ser explorados, como:
Arquitetura: Acoplamento/Lock-in – usar serviços autogerenciados ou não? Serviços como AWS Lambda, Amazon RDS, Google App Engine, Google Cloud Spanner, entre outros, trazem excelentes benefícios: mais velocidade ao time de desenvolvimento; tempo de desenvolvimento investido para conectar uma aplicação a este serviço; redução de custos - a abstração criada pelos cloud providers sobre cada um destes serviços, que faz com que não seja transparente a forma como cada um deles opera. A estratégia de execução dos serviços fica a cargo do cloud provider, que usará os recursos de hardware e software da melhor maneira possível, pois detém conhecimento de todo o seu parque.
Estes e outros pontos devem ser avaliados e levados em consideração, tendo ciência de um importante trade-off: o acoplamento. Quanto mais serviços autogerenciados forem usados, maior será a dependência daquela aplicação e, consequentemente, o lock-in com aquele cloud provider.
Arquitetura: Custos – Entender o funcionamento da aplicação e definir o melhor serviço a ser usado para resolver determinado problema é uma forma de reduzir custos significativamente. Um exemplo facilmente tangível é o uso de hardware da nuvem com automatizações, disponíveis a nível de console de administrador, ou ainda via APIs que permitem alterações em nível de código, para reduzir custos com hardware daquela aplicação.
A maioria das aplicações possuem picos de consumo. A arquitetura e planejamento da aplicação permitirão a elasticidade da quantidade de hardware usado para prover as funcionalidades de acordo com a janela de tempo necessária.
Arquitetura: Telemetria – é necessária quando as aplicações começam a crescer, e a quantidade de hardware e recursos envolvidos na operação se torna maior. Por exemplo: uma aplicação que possua 10 microsserviços, e cada um está distribuído em até 5 máquinas físicas - se um problema ocorre, é inviável acessar cada uma das 50 máquinas procurando por onde aquela falha ocorreu. Para solucionar tal problema, podem ser tomadas ações proativas e reativas.
Arquitetura: Latência - sempre que há um movimento para nuvem e o assunto latência é amplamente discutido. Ela sempre existirá. Mas é necessário verificar a aderência do negócio e eventuais maneiras de impedir que a latência afete, de forma relevante, o funcionamento de sistemas:
• Latência entre pedido e resposta do usuário, para migrações AS-IS: para sistemas que somente distribuem informações, a configuração de CDN pode ser a solução completa. Para sistemas que possuem situações transacionais, talvez seja necessário mantê-los em datacenters fisicamente próximos, ou ainda avaliar práticas de arquitetura;
• Latência dentro da própria aplicação: caso hajam muitos microsserviços disponíveis, em muitas máquinas, bancos de dados diferentes com as informações descentralizadas, e ainda mais de uma cloud envolvida, além da latência cliente-servidor, haverá latência internamente na aplicação, que precisa ser trabalhada por meio de práticas de arquitetura, como cache, filas, etc, para prevenir que isto impacte o usuário final.
http://time.com/4841014/cloud-data-security-cybersecurity-hackers/
http://www.computerweekly.com/ news/450296599/Cloud-security-concerns-rise-as-investment-grows-report-shows

(*) É líder de área de desenvolvimento de software na ilegra e mestre em computação aplicada, possui 9 anos de experiência na área de TI.

 
 
Outras Matérias sobre Tecnologia

 

Mais Lidas

Rua Vergueiro, 2949, 12º andar – cjto 121/122
04101-300 – Vila Mariana – São Paulo - SP

Contato: (11) 3043-4171