ESPECIAL | Cisco: PME não tem orçamento de segurança definido

Segurança

As pequenas e médias empresas não têm orçamento definido para segurança, pelo que este gasto acaba caindo no rol das despesas não prioritárias, diz Marcelo Bezerra, gerente de engenharia de segurança da Cisco do Brasil,. “O modo típico é reativo. Perde-se os dados e se decide investir em backups”.

O mercado de segurança não existe sozinho, ele está totalmente ligado aos negócios das empresas. Dessa forma, uma boa maneira para ver as tendências de segurança é olhar para as tendências de negócios. E, no entender de Marcelo Bezerra, gerente de engenharia de segurança da Cisco do Brasil, há duas principais, com efeitos variáveis sobre o mercado no Brasil.

MarceloBezerra6
Marcelo Bezerra, gerente de engenharia de segurança da Cisco do Brasil

A primeira delas é a Internet das Coisas, que às vezes parece algo distante e não nos damos conta de que já é uma realidade. “Há dois movimentos paralelos. Um, e o principal para negócios, é a conexão de redes industriais aos padrões e protocolos já utilizados na TI, em uma rede conhecida como OT. É algo bastante específico e diferente de TI no que se refere a prioridades, riscos e efeitos. A indústria de segurança está se adaptando às necessidades de OT, criando sensores de segurança e sistemas de gestão específicos. Pode esperar um aprofundamento em 2016”, disse o responsável.

O segundo, é dos dispositivos pessoais, relógios, óculos, telefones, TVs, etc. “Esse fenômeno conhecido em inglês como Digitization, em português tem sido traduzido como digitalização, o que acaba perdendo o sentido original. Esse fenômeno é a estruturação de negócios antes tradicionais ao redor da TI, e a TI sendo uma infraestrutura de negócio, e não apenas uma estrutura de suporte ao negócio”. Para entender, diz Marcelo Bezerra, basta voltar alguns anos quando empresas ditas tradicionais começaram a usar as redes sociais para ações de marketing. “Hoje, é difícil uma grande empresa não ter mídias sociais em seu plano de marketing”.

Diz a Cisco que ambos estão conectados. Os sensores de automação das fábricas se tornarão mais inteligentes, provendo mais dados contextuais, o que poderá gerar informações mais úteis, permitir maiores níveis de automação e tomada automática de decisão. E mais dispositivos gerarão mais dados para proteger, diz Marcelo Bezerra. “O impacto sobre a infraestrutura será exponencial. De acordo com algumas estatísticas, há atualmente 18.2 bilhões de conexões com a internet, e as expectativas são de 26 a 50 bilhões em 2020, com um volume massivo de dados sendo transmitidos, na ordem de 40 ZB (zettabytes, que equivale a um trilhão de gigabytes). O volume atual é de estimados 10 ZB. Esses dados serão transmitidos de sensores tão simples que a maioria terá pouca a nenhuma segurança própria a depender da tecnologia atual.”

O responsável diz que embora isso não irá estourar em 2016, é aqui que começamos a estruturar a segurança digital para esse futuro próximo.

É necessário realizar avaliação de riscos

No que diz respeito ao cloud computing e a sua relação com a segurança, há dois pontos a considerar, diz a Cisco. O primeiro é o uso de clouds pelas empresas. Se a cloud é privada, ou seja, mantida por uma empresa ou holding para servir às empresas filiadas, estamos falando de conceitos de datacenter e repositórios de dados/informações centralizadas. Muda? Sim, diz Marcelo Bezerra, mas como qualquer outra aplicação/ambiente novo incluído. “É necessário realizar uma avaliação de riscos e proceder com as contramedidas adequadas. Já as clouds de terceiros é antes de tudo um tema contratual. Uma vez na cloud, a responsabilidade da segurança passa a ser do provedor, e aqui entram SLAs. Dependendo da empresa uma cloud de terceiros pode até aumentar a segurança dos dados, se aquela empresa não tem um bom histórico de segurança”.

O segundo ponto é a liberação da cloud para uso pelos funcionários. Aqui, diz este responsável, temos um assunto importante que é o controle de dados confidenciais. “Quem pode usar a cloud? Quais clouds são permitidas? O que se pode gravar nelas? Uma vez lá quem pode ter acesso? Para isso criou-se um novo segmento de mercado em segurança chamado de CASB, ou Cloud Access Security Broker. Trata-se de software ou serviços para filtrar e/ou monitorar o uso da cloud para impedir seu mau uso.”

Mas têm as empresas noção do verdadeiro valor dos seus dados e, daí, da necessidade da sua proteção? É algo ainda a aperfeiçoar, diz Marcelo Bezerra. “Não são muitas as empresas que classificam seus dados e sabem quais os dados que são essenciais ao seu negócio. Muitas tratam todos da mesma maneira, mesmo um segredo industrial. Portanto poucas passam esse sentimento aos funcionários, que acabam não se conscientizando da sua importância”.

Há que treinar funcionários

É muito comum dizer que as principais ameaças à segurança são as internas, com os recursos humanos a desempenharem um papel de relevo. Mas Marcelo Bezerra diz que isto não é necessariamente verdade. Funcionários mal treinados podem permitir que invasores tenham acesso à empresa – física ou virtualmente; ou podem esquecer relatórios confidenciais dentro de um avião. “Ou ter milhões e milhões de reais em dados confidenciais em um laptop não criptografado. Essas são vulnerabilidades, mas não são internas, ou seja, das pessoas. São erros de gestão de segurança que se esquecem do indivíduo. Podemos comparar com o novo plano de segurança nacional divulgado pelo presidente Obama. Um dos pilares principais são os indivíduos, e uma das ações é um plano nacional de conscientização dos cidadãos”.

Ou seja, ameaça interna é um funcionário deliberadamente vazar, adulterar ou apagar dados e informações. “Isso existe e sempre vai existir e independente da TI. Nos anos 60, funcionários adulteravam cheques de pagamento para desviar dinheiro. Mas para isso existem contramedidas baseadas em processos, procedimentos e controles automáticos”.

Para este responsável, a maior ameaça pode depender do ramo da empresa e do grau de maturidade em segurança. “Uma empresa sem maturidade poderá ter todos os seus desktops invadidos para servirem a uma rede bot, como escravos”. Mas aqui a empresa em si não é o alvo. Ou ter todos os desktops invadidos para roubo de dados pessoais dos funcionários, como cartão de crédito. “Aqui os funcionários são as vítimas. Há ameaças de todos os lados, de funcionários, da Internet, de empresas parceiras e da própria falta de investimento e gestão da empresa. Rótulos não ajudam e a estratégia tem que ser global, atuando antes, durante e depois de ataques, independente de onde elas venham”.

BYOD suscita muitas dúvidas

BYOD é sem dúvida uma das dúvidas principais que as empresas têm e colocam às empresas de segurança. Outra é a respeito das ameaças avançadas, como o malware, que muitas sabem que existem, mas não conseguem vê-las por não possuírem produtos capazes de detectar. Outro é o da segurança do acesso, ou como ir além da simples senha, e como monitorar se o que o usuários está fazendo realmente está de acordo com as políticas.

Marcelo Bezerra diz que no Brasil as pequenas e médias empresas não têm orçamento definido para segurança, pelo que acaba caindo no rol das despesas não prioritárias. “O modo típico é reativo. Perde-se os dados e se decide investir em backups. Há um ataque qualquer e se decide investir em segurança de rede ou atualizar os sistemas de proteção dos endpoints. Isso talvez porque segurança parece ser algo muito caro, o que não é verdade. O investimento é proporcional ao tamanho da empresa, mas é claro nunca será zero. Há opções de software, hardware e serviços para todas as empresas, de todos os tamanhos, com custos compatíveis com cada negócio”.


Clique para ler a bio do autor  Clique para fechar a bio do autor