No dia 29/10 aconteceu na Futurecom 2019 o painel “Segurança em Redes Corporatvias aliando Tecnologia e Cultura em toda Cadeia” no qual tive a oportunidade de moderar e muito foi explorado sobre essa nova fase das empresas onde o perímetro deixou de existir e os provedores de serviços em Cloud estão tão presentes.
Por Eder Souza
Conversamos muito sobre esse novo cenário que muitas empresas já embarcaram, onde tanto o trabalho remoto quanto os escritórios compartilhados estão tão presentes e quando olhamos para a infraestrutura tecnológica, os fornecedores de serviços e infraestrutura em Cloud também estão com posição bem sólida, trazendo grandes benefícios relativos ao custo e velocidade na entrega de recursos.
Se esse novo cenário trás agilidade e redução de custos às empresas, para os profissionais de Segurança da Informação pode se tornar um grande desafio, já que as novidades não são poucas e exigem uma reciclagem profunda com o objetivo de entender os riscos inerente a essa nova fase.
A mídia especializada há algum tempo já vem relatando vazamentos de dados decorrentes do uso inadequado dos recursos em Cloud, como por exemplo, serviços de armazenamento de dados que estão indevidamente configurados para permitir o acesso público e em alguns trabalhos de consultoria destinados a avaliar a infraestrutura na Cloud encontramos situações onde servidores de aplicações ou de banco de dados estão com regras que permitem o acesso de qualquer parte do mundo, servidores de banco de dados usando credenciais frágeis ou até áreas de armazenamento de dados sensíveis completamente expostas.
Provavelmente essas situações são decorrentes de um modelo de fornecimento mais flexível e ágil, onde em alguns cliques é possível provisionar serviços e infraestruturas que antes exigiam diversas pessoas e muita conversa, inclusive com os profissionais de Segurança da Informação e hoje um colaborador pode fazer todo o trabalho sem exigir a colaboração de outro profissional.
Outro ponto que gera um grande desafio para os profissionais de Segurança é a adoção dos escritórios compartilhados onde a adesão ao modelo cresce fortemente, já que ao invés de investir em salas comerciais e reformas muitas vezes demoradas e custosas é possível ter o espaço para alocar o time disponível em dias ou até horas.
O ponto crítico aqui está relacionado ao uso de redes de comunicação compartilhadas e até o desafio de manter o sigilo de informações estratégias, já que o ambiente é frequentado por diversas pessoas que são estranhas ao negócio da empresa.
Salas de convivência, elevadores e outros espaços são frequentados por indivíduos que não estão ligados ao negócio da empresa e a própria infraestrutura tecnológica é administrada por terceiros e compartilhada com diversas pessoas e empresas, chegando ao momento onde é possível afirmar que o perímetro corporativo desapareceu e assim os dados sensíveis estão mais expostos e vulneráveis.
Com tudo isso ficou claro que agora precisamos tratar cada dispositivo como um perímetro e proteger as informações nesses dispositivos ao invés de tentar criar uma área segura. Assim, a atenção aos dispositivos dos usuários precisa ser repensada e investimentos em equipamentos de proteção de perímetro precisam migrar para soluções de proteção que garantam a segurança do dispositivo carregado pelo usuário.
Além deste ponto, buscar soluções que monitorem o comportamento os usuários em serviços na Cloud, além de ações e configurações executadas é essencial para se antecipar a um evento que pode ser desastroso. Existem ainda consultorias e soluções que podem analisar a infraestrutura na Cloud e sugerir adequações importantes para prevenir vazamentos que muitas vezes acabam impactando de forma relevante na imagem das empresas.
Com isso, está claro que os profissionais de Segurança da Informação precisarão deixar as ferramentas que já utiliza a mais de 20 anos e buscar soluções que realmente se encaixem nessa nova realidade corporativo e assim dê condições para as empresas ficarem mais competitivas sem colocar em risco seu ativo mais importante, a informação.
Participantes do painel
COORDENADOR Eder Souza Cofundador e Diretor Técnico @ e-Safer Consultoria
Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO. Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital. Atua há vinte anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria. Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte. Eder é colunista e membro do conselho editorial do CryptoID.
Rubén Longobuco Chief Security Officer @ Vivo
Advogado formado na Universidade Nacional de Buenos Aires. Mestrado em Gestão de Segurança pela Universidade de Comillas, em Madrid. Quarenta anos de experiência nas áreas de segurança e mais de vinte anos em Segurança da Informação. Atualmente como CSO na VIVO Telefônica do Brasil.
Galeno Garbe Chief Information Security Officer @ Movida Aluguel de Carros
Galeno é um dos nomes mais conhecidos da cena de Cyber Segurança no Brasil. Está no mercado há mais de 25 anos. Possui experiência internacional atuando em projetos em 12 países principalmente nos EUA, Canadá e Suíça. Possui diversas certificações internacionais dentre elas CISSP, tento atuado na ISC 2 como presidente fundador do capítulo Brasileiro dessa associação. Palestrante, escritor e incansável pesquisador nos temas de gestão de saber segurança, já ministrou palestras nos maiores eventos no Brasil e estará conosco na Futurecom 2019.
Fabio Abatepaulo tem mais de 20 anos de experiência trabalhando para líderes do setor de tecnologia como Dell, IBM, CSG e Amdocs e atualmente lidera a oferta de Security na América Latina para a OpenText. Fabio liderou e atuou em projetos nos Estados Unidos, Alemanha, Irlanda, Canada, Israel, Mexico e Colombia nos setores de Cloud, Segurança e Aplicação
André Luiz Telles CIO @ Coelho da Fonseca
Bom é isso, e até a próxima!
- Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
- Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
- Atua há 18 anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
- Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
- Eder é Cofundador e Diretor Técnico da e-Safer Consultoria e colunista e membro do conselho editorial do Crypto ID.
Leia outros artigos do Colunista Eder Souza. Aqui!
Chegou a LGPD e agora, o que fazer? Por Eder Souza
Os desafios em operacionalizar uma Central de Operação de Segurança (SOC)