SAB CISO 2023 – “Cibersegurança: novos ataques, maiores desafios”

SAB CISO 2023

Por Christine Salomão, jornalista – diretora de conteúdo da ebdi. SAB CISO 2023 – “Cibersegurança: novos ataques, maiores desafios”

Vivemos em um mundo cada vez mais conectado, onde a segurança cibernética se tornou uma preocupação permanente. Principalmente porque o cenário de risco em cibersegurança está em constante evolução, com ameaças sofisticadas surgindo a cada dia. Por isso, as organizações precisam criar estratégias eficazes que as protejam. Foi o que sinalizou Nandor Fehér, CISO da Positivo, ao abrir o clico de palestras do SAB CISO, que aconteceu de 10 a 12 de maio, no Club Med Lake Paradise, em Mogi das Cruzes, São Paulo, uma iniciativa ebdi.

Segundo ele, a primeira estratégia a ser criada é a de responsabilidade compartilhada. Isso porque “a responsabilidade compartilhada em segurança da informação é essencial para negócios bem-sucedidos, exigindo colaboração e comprometimento de todas as partes interessadas para proteger dados e garantir vantagem competitiva no mercado.”

Já “a integração da segurança da informação com as áreas de negócio e a adoção de um mindset voltado para entender as necessidades do negócio são fundamentais para promover uma cultura de segurança sólida e engajar os usuários na proteção da empresa”, afirma o executivo.

Foco nos dados e menos no perímetro é outra estratégia importante citada por Fehér. “A segurança da informação enfrenta o desafio de permitir que os negócios operem de forma segura em ambientes cada vez mais digitalizados e distribuídos, exigindo a adaptação das abordagens tradicionais e o engajamento dos usuários na proteção dos dados da empresa”, ressalta.

Fehér destaca também que a “segurança da informação deve apoiar a inovação e a adoção de tecnologias emergentes, como a IA, de forma responsável e ética, trabalhando em conjunto com o negócio para identificar e lidar com os riscos associados a essas tecnologias, sem ser restritiva ou impeditiva.”

A segurança da informação, na visão do executivo, também deve acompanhar o avanço da IA e do poder computacional, focando na redução do tempo de ameaças não detectadas e na minimização do impacto nos negócios, por meio de estratégias customizadas e integração com as áreas da empresa.”

As empresas devem ainda “desenvolver estratégias sólidas de resiliência e recuperação, focando na antecipação, treinamento e conscientização dos funcionários, enquanto mensuram a capacidade de recuperação na perspectiva de negócio e adaptam-se continuamente às novas ameaças e tendências”, diz Fehér.

Agora, restabelecer ambientes corporativos após danos causados por ataques cibernéticos pode ser um desafio complexo para as empresas, “mas é possível com uma abordagem estruturada e medidas adequadas”, sinaliza Cristiane Dias, head de cibersecurity da AEGEA Saneamento.

Segundo a executiva, “após um ataque, a primeira etapa crítica é identificar quais sistemas e estruturas foram afetadas”. Uma vez identificadas as entidades afetadas, diz a executiva, “é necessário investigar a presença do atacante no ambiente corporativo. E com base nas informações coletadas criar um plano de restauração abrangente.”

Durante a restauração do ambiente corporativo, explica Cristiane, “é importante definir responsáveis. Envolva as partes interessadas, incluindo especialistas em segurança, equipe de TI, equipe de comunicação e até mesmo consultores externos. Em seguida, documente todos os problemas que surgirem, quaisquer indicadores de Comprometimento (IoC) e dependência recém-identificadas.”

Em seguida, já na fase estratégica, “mantenha o negócio informado; crie pares como apoio na validação; crie plano de comunicação; formalize o incidente e faça o report final do incidente”, comenta a executiva, que já sofreu três incidentes durante sua carreira e nos contou as lições aprendidas com os ataques cibernéticos.

SAB CISO 2023: cada vez mais empresas estão migrando para nuvem

As empresas estão migrando para a nuvem por uma variedade de razões, entre elas, inovação, diferenciação, escalabilidade, agilidade, recursos compartilhados e mitigação de riscos relacionados ao ambiente de hospedagem”, afirma Pedro Neves, diretor executivo de expansão e relacionamento mercado da Under Protection.

Segundo o executivo, a adoção acelerada da nuvem traz novos desafios:

  • “Cobertura insuficiente de segurança: 62% dos executivos de TI dizem que estão tendo dificuldade em acompanhar o aumento da adoção da nuvem (fonte Balbix);
  • Muitas ferramentas de segurança para gerenciar: 59% das organizações corporativas têm mais de 50 ferramentas de segurança separadas implantadas (fonte: IBM);
  • Fadiga de alerta: em um dia normal, as ferramentas de segurança podem gerar mais de 700 alertas de segurança cibernética (fonte: Gartner);
  • Mitigação e remediação: 60% das organizações estão priorizando alertas manualmente ou não estão priorizando alertas (fonte: Forbes)”.

“Isso mostra que a migração dos ambientes para a nuvem elevou a praticidade das operações. Porém, também aumentou a complexidade e as vulnerabilidades dos sistemas”, adverte Neves. E indaga: “Hoje, você possui soluções em que confia totalmente para proteger os seus ambientes em cloud e multicloud?.”

Por isso, comenta o executivo, “a prevenção é o melhor caminho. Analise o seu ambiente, identifique riscos e aplique processos para reduzir a superfície de ataque, prevenindo sua empresa dos prejuízos de uma invasão por ransomware”.

Thiago Bordini, head de CTI da AXUR, nos fez refletir sobre a Cyber Threat Intelligence (CTI), ou Inteligência de Ameaças Cibernéticas, que desempenha um papel fundamental na estratégia de defesa cibernética de uma organização. Segundo ele, a CTI oferece uma visão valiosa das ameaças em potencial, permitindo que as organizações se antecipem e tomem medidas preventivas adequadas.

Afinal, a principal função da CTI é coletar, analisar e interpretar informações sobre ameaças cibernéticas. “Utilize a visão de risco para criar um canal de comunicação direto com os líderes. Lembre-se: a educação gera influência”, ressalta Bordini, que ministrou palestra sobre: “Cyber Threat Intelligence como estratégia de defesa.”

E encerrando o primeiro dia do Encontro, os executivos Marcelo Justino do Itaú, Ronaldo Andrade da Horiens e Danilo Souza do Grupo Vamos comandaram o painel “O papel de cibersegurança na jornada digital”. Segundo eles, a jornada digital apresenta inúmeros desafios em termos de segurança cibernética.

Principalmente porque à medida que as organizações adotam tecnologias emergentes, como a Internet das Coisas (IoT), computação em nuvem, inteligência artificial e big data, surgem novos vetores de ataque e ameaças cibernéticas mais sofisticadas.

Além disso, “a crescente quantidade de dados gerados e compartilhados digitalmente requer medidas robustas para garantir a confidencialidade, integridade e disponibilidade dessas informações”, sinalizam os executivos.

Cibersegurança: prioridade estratégica

No pós-pandemia, a cibersegurança deixou de ser apenas uma preocupação técnica para se tornar uma prioridade estratégica para as empresas. A proteção dos ativos digitais e a garantia da confiança dos clientes e parceiros comerciais são fundamentais para a sustentabilidade e o crescimento dos negócios.

“Segundo pesquisa global realizada pela PwC, ficou evidente que ocorreram significativas mudanças nas empresas após os anos de 2019 e 2020. Essas transformações foram impulsionadas principalmente pelos inúmeros ataques e incidentes cibernéticos que abalaram a segurança da informação em diversas organizações”, afirma Vanessa Secani, CISO da Paper Exellence ao abrir  o segundo dia do SAB CISO.

Uma das mudanças de acordo com o relatório, cita a executiva, “foi que as empresas passaram a tratar segurança como tema crítico e prioritário. E começaram a investir em novas soluções, melhoria de processos, aumento de equipes, especialização, consultorias e investimento em times de segurança. Outras iniciativas foram a criação de comitês de segurança, além de falar e ouvir de segurança da informação de forma genuína. O foco agora é no preventivo e não corretivo.”

Agora, “quem viabiliza segurança são as pessoas, que prospectam tecnologias e aprimoram os processos e, por isso, os profissionais de TI têm que ter um bom entendimento do negócio”, comenta Vanessa. “Além disso, ele deve trabalhar bem em equipe, possuir habilidades de comunicação eficazes, ser capaz de ler o ambiente de forma precisa, identificar possíveis ameaças e se adaptar rapidamente às mudanças no cenário de segurança”, ressalta a executiva.

Mas como contratar um profissional de TI com todas essas habilidades que a Vanessa acabou de citar? indaga Adriano Lima, CISO da GRSA. Sem falar que a tendência é que a escassez de talentos em TI só cresça no mundo. Segundo pesquisa  Gartner, “embora a retenção de talentos seja uma preocupação comum para os líderes de C-Level, os Chief Information Officers (CIOs) estão no epicentro da questão, com uma grande parte de sua força de trabalho em risco”, diz Graham Waller, Vice-Presidente e Analista do Gartner”, comenta o executivo.

E o estudo indica ainda que apenas 29,1% de trabalhadores de TI do planeta têm intenção de permanecer em seus empregos atuais. “De acordo com as pesquisas,  a demanda por profissionais em cyber subiu 40% nos Estados Unidos. E a tendência é que falte mão de obra qualificada e que as ameaças cibernéticas aumentem no mundo, sendo que o Brasil ocupa o segundo lugar no ranking de Ramsonware”, afirma Lima ao ministrar palestra no Encontro, intitulada: “O apagão de talentos em tecnologia: transformando o desafio em oportunidades”.

Segundo Paulo Baldin, CISO da Startk Bank,  “94% do malware é entregue por e-mail. Isso se deve muito ao fato de “a engenharia social ser cada vez mais utilizada pelos cibercriminosos para manipular e enganar as pessoas a fim de obter acesso a informações confidenciais, como senhas, dados financeiros ou outras informações sensíveis”, explica o executivo.

Mas embora a engenharia social seja uma técnica utilizada por cibercriminosos para explorar as vulnerabilidades humanas, o objetivo da conscientização sobre a engenharia social é educar as pessoas sobre essas técnicas e fornecer orientações para evitar que elas caiam em armadilhas.

“Ao compreender os diferentes tipos de ataques de engenharia social e suas características, os funcionários ficam melhor preparados para reconhecer e se proteger contra eles. Isso inclui identificar e-mails de phishing, desconfiar de solicitações de informações confidenciais por telefone e adotar práticas seguras ao interagir com desconhecidos online”, ressalta o executivo.

Além disso, o fortalecimento da cultura de segurança da informação é de extrema importância na luta contra os riscos cibernéticos, pois refere-se ao “conjunto de valores, atitudes, crenças e comportamentos adotados por todos os membros de uma organização em relação à segurança cibernética”, comenta Baldin.

Tipos de ataques cibernéticos

Existem diversos tipos de ataques cibernéticos que podem comprometer a segurança da informação e causar danos às empresas, ressalta Josean Siqueira, DPO-SI Information Technology and Security da SAPORE, ao ministrar palestra no Encontro. Entre eles, cita o executivo:

  • Ataques DDoS (Distributed Denial of Service): nesse tipo de ataque, um grande volume de tráfego é direcionado a um sistema ou rede, sobrecarregando-o e tornando-o inacessível aos usuários legítimos. O objetivo é interromper ou prejudicar a disponibilidade do serviço, causando prejuízos financeiros e afetando a reputação da organização.
  • Ataques de Força Bruta: nesse tipo de ataque, um invasor tenta descobrir senhas ou chaves criptográficas testando todas as combinações possíveis até encontrar a correta. Esse método é intensivo em recursos computacionais e pode ser utilizado para acessar contas de usuário, sistemas ou redes.
  • Ataques Ransomware: é um tipo de malware que criptografa os arquivos de um sistema ou rede e exige um resgate em troca da chave de descriptografia. Esse ataque pode resultar na perda de dados importantes e causar sérios danos financeiros, além de comprometer a continuidade dos negócios.
  • Ataques de Phishing: os ataques de phishing são tentativas de enganar os usuários para obter informações confidenciais, como senhas, números de cartão de crédito ou dados pessoais. Geralmente, os atacantes se passam por entidades confiáveis, como bancos, empresas ou serviços populares, enviando e-mails ou mensagens falsas que direcionam os usuários a sites fraudulentos.
  • Ataques de Engenharia Social: a engenharia social envolve a manipulação psicológica das pessoas para obter informações confidenciais ou acesso a sistemas e redes. Os ataques de engenharia social podem ocorrer por meio de telefonemas, e-mails falsos, perfis falsos em redes sociais ou até mesmo pessoalmente. Os atacantes exploram a confiança das vítimas, enganando-as e convencendo-as a revelar informações sensíveis.

Na visão de Siqueira, “as campanhas de phishing são caminhos para conscientização e propagação da cultura de segurança em toda companhia”. Afinal, essas campanhas simulam ataques de phishing em um ambiente controlado, com o objetivo de educar os funcionários sobre os riscos associados a esse tipo de ameaça e capacitá-los a identificar e evitar ataques reais.

Já os executivos Miller Augusto e Tiago Sabino, ambos do Grupo Ivy, nos fizeram refletir sobre: “Conectividade humana e os riscos sociais”. “Cerca de 83% dos ataques nas indústrias são phishing”, ressaltam os executivos. Mas por que isso ocorre? Principais pontos:

  • senhas fracas: um convite para invasores
  • uso inadequado de dispositivos
  • acesso não autorizado: o perigo da negligência
  • processos definidos
  • treinamentos recorrentes
  • validações práticas
  • a importância da cultura de segurança

Outro ponto alto do Encontro foi o painel: “Liderança preditiva: os principais desafios dos CISOS”, comandado pelos executivas Cristiane Dias da Aegea Saneamento; Fabi Tanaka da Leroy Merlin Brasil; Tauane Jesus da Henry Schein. Afinal, como defensores-chave da segurança da informação nas organizações, os Chief Information Security Officers (CISOs) enfrentam uma série de desafios em um ambiente cada vez mais complexo e em constante evolução.

E para superar esse difícil cenário e em constante transformação, os CISOs estão adotando uma mentalidade de liderança preditiva, “antecipando as necessidades e os requisitos de segurança em colaboração com as partes interessadas relevantes. Eles estão se envolvendo ativamente em discussões estratégicas, educando os líderes de negócios sobre os riscos de segurança e demonstrando o valor da segurança para a organização como um todo”, sinalizam as executivas.

Multicloud não é para todos

A adoção de uma estratégia multicloud pode oferecer muitos benefícios para as empresas, como maior flexibilidade, resiliência e escalabilidade. No entanto, “é importante reconhecer que o multicloud não é para todos. Antes de embarcar nessa jornada, é necessário considerar cuidadosamente diversos fatores para determinar se essa abordagem é adequada para o seu negócio”, adverte Paulo Condutta, CISO do Banco Ourinvest, ao ministrar palestra no Encontro. 

O executivo também afirma que “segurança de Perímetro e VPN não são mais suficientes”. Com a adoção de arquiteturas em nuvem e a expansão das operações para além dos limites tradicionais, essas medidas de segurança tornaram-se insuficientes. “É necessário adotar uma abordagem mais abrangente, que leve em consideração aspectos como identidade e acesso, governança, segurança de dados e proteção contra ameaças”, ressalta ele.

Abaixo, outras considerações feitas pelo executivo durante a palestra:

  • Conheça seu negocio, clientes, usuários, ambiente e aplicações;
  • Gaste maior tempo na estratégia, arquitetura e planejamento. Escolher uma melhor abordagem pode acelerar adoção e estratégia correta de uso do Multicloud;
  • Prepare a Fundação, pense simples e esteja aberto a mudanças;
  • Adote uma jornada usando frameworks focando em Governança, SSO/IAM, Well-Architected, IaaC, DevSecOps, FinOps, SASE / ZeroTrust ;
  • Tenha a visão além do alcance – Segurança ė segurança em qualquer lugar mas pense na CLOUD de forma diferente;
  • Defina guardrails – CSPM irá ajudar nesse desafio;
  • Busque parceiros para abordagem segura da Cloud; 
  • Conheça, Mapeie e mantenha à observabilidade do ambiente;
  • Compartilhe e delegue, mas tome cuidado com o “ShadowIT.

Na palestra seguinte, intitulada “Antecipe-se ao risco com proteção de aplicações WEB  & APIs na nuvem”, André Mello, vice-presidente na América Latina e Caribe da NSFOCUS, citou que a “o Gartner recentemente entendeu que soluções de WAF não devem somente proteger aplicações WEB, mas também precisam oferecer proteções contra ataques em API e BOTs.”

Com isso, comenta o executivo, “a nomenclatura foi alterada para WAAP (WEB Application and API Protection) e a NSFOCUS, que já possui tais funcionalidades disponíveis em nossa solução de WAF onpremises, passou a oferecer o serviço de CloudWAAP para grandes empresas..

“O serviço de CloudWAAP NSFOCUS está disponível no Brasil e é entregue através do Datacenter local, além de possuir Datacenters ao redor do mundo também para redundâncias e mitigação DDoS mais perto da origem”, explica Mello.

Agora, Flávio Honda, secutity customer engineer do Google, nos mostrou como é eficaz modernizar o SOC utilizando as soluções do Google Cloud Security de SIEM e SOAR. Vale ressaltar que o SIEM é uma tecnologia que centraliza a coleta, análise e correlação de dados de segurança em tempo real, provenientes de várias fontes, como logs de eventos, informações de identidade, fluxos de rede e registos de sistemas.

Ao adotar a solução de SIEM do Google Cloud Security, “sua organização pode obter visibilidade e inteligência acionável sobre eventos de segurança em toda a infraestrutura de TI, ajudando a detectar e responder a ameaças de forma mais rápida e eficiente”, enfatiza o executivo.

O SOAR, por sua vez, é uma solução que combina automação, orquestração e resposta para lidar com incidentes de segurança de forma rápida e consistente. Com as capacidades de SOAR do Google Cloud Security é possível automatizar tarefas de resposta a incidentes, como triagem, análise forense, bloqueio de ameaças e remediação.

O sono do CISO

“Quem opta pela carreira de TI ou SI sabe que dormir nem sempre é um opção, mas um desejo. E acordar lentamente, sem precisar atender o telefone ou olhar os e-mails com angustia é realmente o que pensamos e o que queremos para todos aqui na sala”, comentam os executivos Marília Cardoso e Gabriel Rimoli da Netsecurity ao ministrarem palestra intitulada: “O sonho do CISO, sono ou pesadelo?.”

Para ilustrar e até mesmo nos mostrar as dores dos profissionais, eles citaram vários pesadelos dos CISOS e, em contrapartida, nos apresentaram soluções eficazes como: “Automação e SOAR – otimização do tempo dos analistas em todo o processo, seja da empresa ou terceirizado; playbooks automatizados de enriquecimento e operações automatizadas”.

Marcelo Marcon, Tenente do Exército Brasileiro, nos fez refletir sobre o papel da tecnologia nas estratégias de cibersegurança. E deixou bem claro que “toda invasão vem de uma falha, brecha de segurança ou facilitação interna”. E acrescenta: “Ao facilitar o uso de recursos, facilita as brechas na Segurança da Informação.”

Segundo Marcon, os três pilares da segurança da informação são:

  • “Confidencialidade: garantir que somente as pessoas autorizadas tenham acesso aos dados;
  • Integridade: garantir que a informação estará completa, exata e preservada;
  • Disponibilidade: garantir que a informação esteja sempre disponível para as pessoas autorizadas.”

Marcon ressaltou ainda que “a alta disponibilidade das informações é garantida com a redundância de sistemas, ou seja, quando a empresa dispõe de infraestrutura replicada  (física ou virtualizada). Se um equipamento de TI (servidor, roteador, nobreak, etc) falhar, o seu substituto entra em operação imediatamente, permitindo a continuidade transparente das operações.”

A contrainteligência foi outro assunto abordado pelo Tenente. “Os principais coletores de informações, considerados potencialmente perigosos, são os próprios colaboradores da empresa, em decorrência do fácil acesso às informações, bem como da possibilidade de coletá-las, sem causar qualquer tipo de suspeita”, alerta.

Sem falar na quantidade de dados sensíveis que as pessoas publicam em suas redes sociais e que são usadas contra elas, acrescenta Marcon. “Temos que nos atentar no tipo de informação que publicamos e principalmente para quem publicamos, pois as redes sociais são um prato cheio para os criminosos atuarem, buscando informações sigilosas e usando-as contra o próprio autor”, ressalta o Tenente. 

Proteção de dados atingi vários setores da sociedade

O tema de proteção de dados alcança diversos setores da sociedade e o desportivo não ficou de fora. Foi o que sinalizou Calza Neto, DPO – suporte Club Corinthians Paulista, ao ministrar palestra no evento, intitulada: “Esperar não é a opção: sensibilizar ou conscientizar”.

Afinal, a cibersegurança desportiva envolve a proteção dos sistemas de informação, dados pessoais, transações financeiras, infraestrutura digital e a preservação da integridade de competições esportivas. E os ataques cibernéticos, podem ter diversas motivações, como obtenção de informações confidenciais, manipulação de resultados, interrupção de serviços e extorsão financeira.

E para encerrar o SAB CISO 2023, os executivos: Burt Lima da RecargaPay, Ivan Benevides, Josean Siqueira da Sapore e Rodrigo Vetere da Monkey comandaram o painel: “O futuro da cibersegurança: qual o caminho a seguir?”. Eles nos fizeram refletir sobre a complexidade desse tema dentro das empresas diante dos avanços tecnológicos, que tornam os ataques cada vez mais frequentes e sofisticados.

Participe do SAB CISO 2024. Acompanhe o calendário de Encontro da ebdi: clique aqui.

COMPARTILHE: