Veja o que deve impactar o planejamento de segurança em 2017Para sócio-diretor da iBLISS Digital Security, líderes de segurança terão de demonstrar cada vez mais a importância de estratégias de proteção que acompanhem os avanços O ano de 2017 será marcado pela ascensão de uma série de tecnologias que vão impactar a segurança da informação e, consequentemente, a alocação de recursos do budget dedicado à área. O destaque fica para tecnologias ligadas a inteligência, digitalização e mesh, classificadas pelo Gartner como estratégicas para o próximo ano, que devem impulsionar investimentos em conscientização em segurança digital, gestão de vulnerabilidades e proteção de aplicação web. Segundo Leonardo Militelli, sócio-diretor da iBLISS Digital Security, empresa especializada em segurança digital, isso mostra que os líderes de segurança vão ter de demonstrar, cada vez mais, a importância de contar com estratégias de proteção que acompanhem os avanços tecnológicos. “Os CEOs estão exigindo muito mais dos líderes de TI devido ao seu importante papel na era da transformação digital. São os líderes de segurança, no entanto, os responsáveis por alinhar os processos e os resultados estimados pela estratégia empresarial às estratégias de segurança digital”, afirma o sócio-diretor da iBLISS. O avanço de tecnologias disruptivas, como inteligência artificial, aprendizado de máquina, realidade aumentada e mesh, é um dos desafios que vão pressionar o budget de segurança digital e exigir um planejamento mais rigoroso. A informação está no Guia de Investimentos de Segurança Digital para 2017, da iBLISS, produzido com base em desafios e tendências observados pela empresa ao longo de meses de análise de ambientes de segurança digital. O estudo também envolve dados do Relatório de Ameaças 2016, estudo da iBLISS que teve como base pesquisas realizadas em mais de 70 empresas de diversos setores em 2016, incluindo cartões, esportes, e-commerce, finanças, indústria, internet, logística, seguros, tecnologia, telecomunicações e varejo, e traçou um panorama das principais falhas de segurança digital encontradas nas empresas brasileiras em 2016. Áreas que vão exigir mais investimento em 2017 Para Militelli, áreas como conscientização em segurança digital, gestão de vulnerabilidades e proteção de aplicação web estão entre as que mais vão requerer atenção dos líderes de segurança para lidar com o avanço das novas tecnologias no próximo ano. Saiba mais sobre cada uma delas: Conscientização em segurança digital “O usuário é parte fundamental de uma série de ataques sofisticados que cresceram em 2016. Um programa de conscientização em segurança digital pode fazer a diferença na redução de custos com ataques cibernéticos, como o ransomware, e outras ameaças mais sofisticadas, que usam técnicas de engenharia social e phishing”, afirma o sócio-diretor da iBLISS. Dados do Instituto Ponemon estimam que os ataques de phishing, que dependem diretamente do comportamento do usuário, custam US$ 300 mil por ano às empresas. Por isso, Militelli acredita que os programas de conscientização deverão receber especial atenção dos líderes de segurança. Gestão de vulnerabilidades O Relatório de Ameaças 2016, da iBLISS, revelou que 92% das vulnerabilidades críticas de infraestrutura correspondem a falhas de atualização de sistemas. Além disso, 5% das vulnerabilidades classificadas como “Desatualização” correspondem a falhas de OpenSSL diretamente ligadas ao Heartbleed. “Isso mostra que as empresas ainda têm dificuldade na atualização de aplicações, especialmente por causa da complexidade do ambiente. A gestão de vulnerabilidades acaba se tornando mais difícil, e as empresas vão ter que investir em plataformas que ofereçam mais agilidade aos processos de identificação e correção”, explica Militelli. Proteção de aplicação web “No Brasil, a maioria das empresas privilegia os testes de infraestrutura em detrimento dos testes de aplicação web, o que acaba sendo uma abordagem muito arriscada, especialmente quando analisamos dados do Relatório de Ameaças 2016 que mostram que o volume de vulnerabilidades críticas e de alta criticidade corresponde a 30% das falhas de segurança de aplicação, enquanto, nas de infraestrutura, esse número fica por volta de 20%”, afirma o sócio-diretor da iBLISS. Além de investir em testes de segurança específicos para aplicações web, as empresas terão de investir cada vez mais em ferramentas específicas para proteção de aplicação, como firewalls de aplicação web, mecanismos que antifraude que evitem perdas de milhões de reais e soluções de proteção contra ataques DDoS e outras ameaças que possam prejudicar o negócio de empresas por meio do roubo e do vazamento de dados e de longos períodos de downtime. Inscrições para o programa de recrutamento de pessoas com deficiência do Google termina nesta quintaO prazo para se candidatar no segundo Programa de Recrutamento de Pessoas com Deficiência do Google chega ao fim na próxima quinta-feira, 15. Em um canal dedicado, os candidatos podem se inscrever para oportunidades profissionais nos escritórios da empresa em São Paulo e Belo Horizonte. Os pré-requisitos para a candidatura são ter ensino superior completo – ou com conclusão prevista até 2017 – e domínio do idioma inglês. A empresa irá analisar as inscrições recebidas e entrar em contato com os candidatos que possuírem perfil compatível com as posições atualmente abertas. As principais áreas de atuação são vendas, atendimento, marketing, planejamento, engenharia, finanças e recursos humanos. As inscrições podem ser feitas em https://goo.gl/2xlWZs até 15 de dezembro de 2016. | Por que mais empresas estão adotando a gamificação?No Brasil, cerca de 73 milhões de pessoas participam de algum programa de lealdade. Apesar de esse número ter aumentado ao longo dos anos, a quantidade de pontos emitidos diminuiu, passando de 43,9 bilhões para 40,1 bilhões no último ano. Os dados da Associação Brasileira de Empresas do Mercado de Fidelização mostram que muitos programas de lealdade estão falhando em algum estágio da sua jornada. Em um estudo da McKinsey feito com 55 empresas, os programas de lealdade, no geral, não aparecem como boas fontes de receita. Como a lealdade do cliente está diretamente relacionada aos níveis de engajamento, a gamificação foi a forma encontrada de fazer com que os programas de lealdade dessem mais retorno. A ferramenta pode aumentar consideravelmente as atividades do cliente em relação à marca e, consequentemente, os níveis de retenção. Cada vez mais empresas estão adicionando elementos de gamificação aos seus programas de lealdade, porém, nem sempre isso é feito da melhor maneira. Para “gamificar” um programa de lealdade é preciso ter um grande entendimento do cliente e de seu comportamento e muitas organizações não têm capacidade de processar dados em tão pouco tempo para gerar ações em tempo real. Para isso, é preciso contar com uma plataforma de lealdade moderna, que integre big data e capacidades mobile. As empresas precisam integrar a gamificação a uma estratégia geral de marketing e lealdade para gerar maiores níveis de engajamento com o cliente e capturar novos dados que permitam gerar novas iniciativas estratégicas. Ao mesmo tempo, a gamificação precisa criar uma experiência agradável e recompensadora para o cliente, algo que ele não encontra nos pontos de contato “tradicionais”, como as lojas físicas e o site. Essa diferenciação proporcionada pela gamificação nos programas de lealdade inclui dois fatores: • Fator social – Os jogos recentes mais bem-sucedidos incluem alguma interação social que incentiva o engajamento e faz com que o jogador sempre volte ao game e compartilhe suas experiências com outras pessoas por meio das mídias sociais. Por isso, integrar as redes sociais ao programa de lealdade é essencial. Reconhecimento também é uma parte importante dos programas de lealdade que incluem gamificação, e o fator social também é uma parte importante desse elemento. As empresas precisam mostrar por meio de seu programa de lealdade como seus clientes estão progredindo, isso significa estruturar uma estrutura de diferentes níveis e badges que os usuários podem perseguir e exibir como conquista por meio de interações nos canais sociais. Fator diversão – Por mais óbvio que pareça, jogos precisam ser divertidos. Isso quer dizer que os usuários do seu programa de lealdade precisam se divertir enquanto buscam recompensas. Não se trata apenas do sentimento de obter um item gratuitamente, mas do sentimento de conquistá-lo, algo que os jogos precisam oferecer sempre. Por isso, os programas de lealdade precisam contar com ações que desafiem seus usuários e sempre os lembre do quão próximo eles estão de atingirem um novo nível no programa ou conquistar uma nova recompensa. (Fonte: Carlos André, CEO da LoyaltySci) O orçamento margarina– e porque isso não funcionaKevin Magee (*) O orçamento direcionado para cibersegurança é completamente irregular Existe uma infinidade de riscos à integridade de rede por aí, e novos aparecem todos os dias. Os recursos dos hackers são aparentemente ilimitados, e os cibercriminosos estão literalmente reinvestindo seus lucrativos ganhos em inovadoras maneiras de abusar, extorquir e roubar sua organização. Porém, para despistar, frustrar e impedir os nefastos esquemas desses bem equipados e financiados adversários, nós, profissionais da cibersegurança, temos um lamentável e escasso orçamento. E ainda nos pedem para esticar esse escasso dinheiro ao máximo possível para nos defender de toda ameaça concebível lá fora, garantindo para todos os envolvidos no negócio (gestão, executivos e o conselho de administração) que, “fazemos tudo o possível”. Se esse cenário te parece familiar – e não apenas por lembrar uma trama de Missão Impossível – você não está sozinho. Um chefe de segurança da informação que eu conheço me explicou o problema dessa maneira: “Me dão um orçamento de cibersegurança que tem o tamanho de um pote de margarina. Então me pedem para espalhá-la igualmente e uniformemente em cima de uma superfície de ataque do tamanho da lua. A pior parte não é nem isso ser impossível, mas de que serei responsabilizado quando falhar”. Infelizmente, nós nunca teremos Doriana o suficiente para fazer esse trabalho direito enquanto os empresários pensarem em cibersegurança como um problema do TI – em vez de um obstáculo real, com os riscos administrativos que de fato possui. Mudando as regras Pode parecer uma situação sem possibilidade de vitória, ou não. Como o Capitão Kirk nos ensinou quando se tornou a primeira pessoa a passar no teste Kobayashi Maru (sempre que nós geeks precisamos de conselhos de liderança, nos voltamos para James T. Kirk), “Se você não pode vencer o jogo, então mude as regras”. Quando se trata de orçamentos e prioridades para cibersegurança, essas são as conversas que chefes de segurança da informação precisam ter com os empresários: Chega de notícias “sensacionais”, por favor! Não importa quais riscos à cibersegurança que você viu na CNN que ameacem outras organizações, então por favor pare de me mandar todas essas “histórias interessantes” para ler. O que mais importa são os riscos específicos que ameaçam a nossa organização. São sobre essas que precisamos falar e nos focar. Frequentemente executivos sem conhecimento técnico se deixam levar pelas dramáticas histórias de horror com a “brecha do mês” e perdem a noção de quais são as ameaças específicas e muitas vezes até mundanas da sua própria organização. Priorize as joias da coroa. Quais são nossos recursos digitais mais críticos que precisamos proteger e como devemos priorizar nossa estratégia de segurança adequadamente? Essas joias da coroa podem ser óbvias: informações do cartão de crédito de clientes para organizações do varejo, o código-base para uma companhia de software ou as informações pessoais de saúde para um hospital. Mas talvez sejam coisas nem tão óbvias assim, como o compartilhamento de arquivos com um acordo de fusão detalhado e aquisição de documentação que só o departamento de finanças está ciente. Sem contexto, o TI não pode tomar essas decisões; só os responsáveis pelo negócio podem direcionar e priorizar de maneira adequada. Ou, no mínimo, entender que eles precisam estar envolvidos na discussão. Se não podemos ver, não podemos proteger. Nós temos total visibilidade e as ferramentas que precisamos através da rede e da corporação para monitorar e proteger tudo que é mais valioso e mais vulnerável? Se não temos, então financiar essas iniciativas precisa ser uma prioridade estratégica e a nível corporativo. Líderes executivos precisam entender que cibersegurança não é mais um custo para se ter um negócio, é um custo para se manter no negócio e, consequentemente, precisa ser financiado de maneira apropriada. A única forma de fazer isso é ter líderes calculando o impacto financeiro dos riscos identificados e trabalhando juntos para priorizar soluções adequadamente. Procure aumentar o pote de Manteiga Líderes de negócio gostam de discutir só o resultado final. Infelizmente, eles veem a cibersegurança como um centro de custo porque não entendem totalmente o impacto que um ataque ou brecha pode ter em termos financeiros reais ou as vantagens competitivas que eles poderiam ganhar conquistando e mantendo “confiança” no mercado. Depende de nós enquanto profissionais de cibersegurança mudar a perspectiva deles e desafiar suas suposições envolvendo-os nessas discussões que podem mudar tudo. No final, nós podemos conseguir apenas um pote de manteiga um pouco maior que o anterior, mas pelo menos saberemos exatamente onde espalhá-la melhor para fazer com que ela fique. (*) É diretor Regional de Vendas no Canadá da Gigamon. |