SEGURANÇA DA INFORMAÇÃO – MSS/ DDoS

EMBRATEL ENTREVISTA: Bruno Tasco (Frost & Sullivan)
SEGURANÇA DA INFORMAÇÃO – MSS/ DDoS
SEGURANÇA DA INFORMAÇÃO – MSS/ DDoS
Em entrevista, Bruno Tasco, consultor sênior da Frost & Sullivan relata os
principais temas relacionados à segurança
O Brasil é hoje um dos maiores alvos globais do cibercrime. As empresas e órgãos
públicos brasileiros estão preparados para esse tipo de “guerra cibernética”?
Bruno: O Brasil é muito atacado e entendo que é por sermos um país emergente que tem
atraído olhares do mundo todo, para novos investimentos. Apesar das questões de
crescimento econômico, o País tem uma perspectiva em termos de adoção de dispositivos
móveis, adoção de novas tecnologias. Só que não somos maduros o suficiente, e eu não
diria nem em termos de adoção de soluções de segurança. O que acontece é que, quando
se trabalha essa questão de segurança da infraestrutura, estamos falando ou de você
mesmo instalando o seu antivírus ou de ter uma empresa te apoiando e fazendo uma
avaliação. Mas o mercado peca muito em dois pontos: o primeiro, é deixar de fazer o
básico, ou seja, deixar de atualizar o seu antivírus, não ter nenhuma gestão do seu parque
de máquinas e de dispositivos. O outro ponto: supondo que há máquinas amparadas por
uma solução de segurança gerenciada e que gere alerta quando há quebra de sigilo, alguém
tentando invadir de alguma forma, seja através de um vírus, malware, ataque DDoS etc. A
grande questão, que discuti com algumas empresas, é: a empresa tem uma solução, mas
depois de gerado o alerta, o que fazer com ele? É muito mais processual do que uma
questão de tecnologia. Então, olhando para essa situação, as empresas do Brasil estão
preparadas? Eu não acho que estejam. Acho que a gente olha para um universo de
estrutura interna muito fraca para a questão de segurança. Não acredito que estejamos em
um patamar pronto, digamos assim, para atuar contra isso.
No âmbito dos fornecedores, o Brasil está no mesmo patamar dos países mais
desenvolvidos na oferta de soluções sofisticadas nessa área?
Bruno – Não tenho a menor dúvida. O que acontece é que estamos em uma economia
globalizada, não fazemos mais negócio local. Para você atender a uma empresa global, você
precisa ter uma expertise global. Temos visto inúmeras parcerias de empresas locais com
empresas globais, ou movimentos de aquisições com foco em segurança que têm mostrado
essa questão da globalização e do entendimento das empresas de que é necessário que elas
tenham essa expertise pra conseguir desenvolver soluções. Os ataques hoje têm um
propósito muito mais definido e centrado. São mais sofisticados, mais complexos, a escala é
muito maior. Até pela existência de mais dispositivos conectados na internet – estamos
falando de mobilidade com smartphones, tablets - a frequência desses ataques tem
aumentado.
Então, é importante que as empresas firmem parcerias ou desenvolvam isso internamente.
Estamos vendo uma evolução muito forte de aplicações e negócio baseadas em web e o
tempo todo você vai estar conectado numa rede, na internet, e é necessário que você tenha
um acompanhamento mais adequado e mais próximo da segurança com relação a todos
esses dispositivos que circulam na empresa.
Antes da Copa do Mundo, havia uma expectativa de ataques em grande escala a
órgãos governamentais e a empresas de alguma forma ligadas ao evento.
Aparentemente, isso não se confirmou. As empresas e o país não estão tão
vulneráveis como se supunha?
Bruno: Talvez os ataques tenham se confirmado, mas não tivemos conhecimento porque
empresas trabalham para impedir esses ataques. O mercado sempre foi reativo para
investimento em solução de segurança. O pensamento predominante é: “Não fui atacado,
não tive nenhum tipo de prejuízo em termos financeiros ou de disponibilidade de
infraestrutura etc, não houve nenhum dano, então, por enquanto, não invisto em
segurança”. Mas conforme vêm ocorrendo invasão a jornais, a sites do governo, a e-mail da
Presidente, passamos a ter ou viver essa iminência de ataques. Assim, empresas mais
expostas – e no caso da Copa do Mundo imagino que esmpresas tenham se preparado passam a investir muito mais.
E aí é importante dizer que, quando se fala de ataques, não estamos nos referindo só a um
tipo. A complexidade ou a extensão que um ataque pode tomar é muito ampla. Eu conversei
com algumas empresas de segurança para fazer um estudo recente e ouvi, por exemplo,
que na área de segurança estratégica para logística, porque tudo hoje é conectado,
atacantes podem acessar o controle central da empresa e desviar um caminhão que esteja
fazendo o transporte para onde for mais conveniente, para que eles possam roubar a carga.
Temos por exemplo, o DDoS, que tem implicações na disponibilidade de serviço, ou seja, na
perspectiva de derrubar um site. Isso tem acontecido com algumas empresas e envolve
também a disponibilidade de rede. Se você controla a rede, tem um domínio, entendimento
e monitoramento da rede, acho que isso te dá uma vantagem competitiva. Porque você
consegue fazer o acompanhamento do fluxo da informação que está trafegando nela.
Ataques de negação de serviços têm acontecido muito. Existem pessoas vendendo ataques
de DDoS na internet. Eu não diria que é algo que está fugindo do controle, mas é uma
realidade, todo mundo sabe, tem conhecimento disso. É algo que há algum tempo atrás não
acontecia.
Quais as principais fraquezas nas abordagens atuais das empresas para se
proteger contra esses ataques de DDoS?
Bruno: Conversei com algumas pessoas e chegamos ao consenso de que não existe
empresa 100% segura. Tem o fator humano, tem tendências ou surgimento de novas
soluções para facilitar o trabalho colaborativo pela internet que precisam ser avaliadas
quanto à segurança para as informações das empresas. A questão do fator humano é
extremamente importante. Vejo que a cabeça dos executivos está realmente mudando, no
sentido de como eles pensam tecnologia, de como eles investem e onde eles estão
colocando seus esforços. Ter o controle da informação, da gestão da sua infraestrutura, da
segurança e de tudo o mais sempre foi uma regra para equipes de TI. Em contra partida,
sempre ouvimos o discurso de foco no core business, de trocar Capex por Opex. Esse
sempre foi um discurso do mercado, e continua sendo, mas acho que agora está começando
a fazer efeito. Estamos evoluindo muito rápido, passamos de um modelo de comercialização
de licença para um modelo móvel, com consumerização, todo mundo trazendo seu
dispositivo pra dentro da empresa, acessando aplicações na web, compartilhando
informação. Então, é tudo mais dinâmico, mais rápido do que era há cinco anos.
As empresas tem que se adaptar de uma maneira ou de outrapara responder as novas
ameaças e modelos de negócio. Na questão do fator humano, por exemplo, é preciso ir
além da implementação e gestão de senhas de acesso, é preciso lidar com o fato de que o
funcionário está trazendo seu dispositivo particular para o trabalho e fazendo uso de
ferramentas de colaboração que não são teoricamente permitidas pela empresa. Isso gera
um risco e traz uma questão bem preocupante no sentido de como monitorar e gerenciar
tudo isso garantindo uma boa experiência do usuários com segurança sem comprometer a
infraestrutura da empresa. Esse novo comportamento abre um pouco a margem para uma
série de problemas, mas ao mesmo tempo é quase impossível impedir que isso aconteça.
Ainda são poucas as empresas que monitoram os aparelhos e dispositivos pessoais
que estão conectados na rede da empresa?
Bruno: Acho que poucas empresas têm essa solução implementada realmente, mas já há
uma quantidade importante de provedores com essa oferta. Mas como já disse antes,
continua a ser reativo e o pensamento que prevalece é “Vou começar a investir quando
realmente sentir que houve uma perda importante das minhas receitas”. Começamos a ver
um investimento muito massivo em empresas de e-commerce, bancos etc. Essas empresas
que têm uma dependência, digamos assim, maior, da utilização de internet, para
comunicação, vendas, para fazer o seu negócio girar, essas sim, vão ser as early adopters
que vão "drivar" os principais investimentos em segurança.
Ainda sobre tendências como BYOD, mobilidade e computação em nuvem, como
elas podem agravar os ataques virtuais?
Bruno: A empresa pode garantir a segurança dentro da rede dela. Por exemplo, quando o
empregado traz seu dispositivo para dentro da empresa e o conecta na rede corporativa,
não está usando uma rede WiFi aberta, e sim criptografada, protegida, com todos os níveis
de segurança que a empresa requer para quem utiliza sua rede. Assim, teoricamente se
está em ambiente seguro e sem prejuízo devido a ataques ou acesso indevido às
informações. Só que hoje é possível ir a um restaurante e utilizar redes grátis de WiFi.
Quem garante a segurança dessa rede? Na verdade, o atacante não precisa ir direto na
empresa para acessar o dispositivo do empregado. Ele pode fazer um mapeamento de onde
está a pessoa que é seu alvo, que tipo de dado ele está tentando acessar e por uma rede
mais vulnerável acessar esse dispositivo. Quando o empregado volta para a sua empresa e
conecta seu dispositivo na rede corporativa, o hacker consegue fazer o ataque de maneira
mais eficiente, sem precisar passar diretamente pelas barreiras de segurança da empresa.
Essa possibilidade gera uma preocupação maior com gestão de rede, de dispositivos, de
links de internet. Segurança se tornou um negócio muito mais complexo e amplo do que
era. E aí entra a necessidade de o CIO ser mais estratégico. Apesar de ele ainda passar
mais da metade do tempo dele cuidando da infraestrutura, ele é o executivo que tem que
trabalhar para que o negócio não pare, dentro de um ambiente muito mais complexo do que
era há ulguns anos atrás.
Quais as vantagens da abordagem de MSS (managed security services) para
incrementar a segurança da informação das empresas?
Bruno – Vou elencar os benefícios com as principais dificuldades do mercado hoje. Já citei a
evolução tecnológica, a complexidade, escalabilidade e sofisticação dos ataques. Imagine
que isso está ficando maior, mais inteligente, mais robusto. Para acompanhar e responder a
tudo isso, a empresa precisa estar atualizada. Hoje não existe só ataque de vírus. Tem
DDoS, malware, vírus e uma série de outras situações para se preocupar. Para estar apta a
fazer isso dentro de casa, a empresa precisa investir em infraestrutura, ter um SOC, uma
equipe treinada, investir em soluções e atualizações. Quando se fala em contratar um
provedor terceiro para cuidar de sua segurança, ainda que ele vá fazer isso remotamente,
fora das instalações da empresa, no que a gente chama de modelo de outsourcing, é muito
mais vantajoso. Porque estamos falando de empresas que têm certificação, expertise, que
conhecem dados diários de novos ataques, novos malwares, e conseguem realmente se
posicionar. Empresas que investem ano a ano milhões de dólares em P&D para conseguir
combater os atacantes. Então, a chave é buscar um parceiro preparado e com experiência
em garantir segurança. Até porque, o negócio da sua empresa não é segurança e é cada vez
mais importante focar na atividade core e contar com parceiros para responder a questões
específicas. O foco de uma construtora, por exemplo, é planejar, construir e vender imóvel.
Ela não tem de se preocupar em ficar investindo milhões de dólares para garantir a
segurança. Ela contrata alguém que realmente tem a capacidade, que seja especialista
certificado, que tenha background de mercado para fazer isso por ela. Assim, ela consegue
trabalhar tranquilamente em seu negócio principal.
A redução de gastos é de fato importante nos investimentos de segurança?
Bruno: Os gastos são tangíveis e intangíveis. A empresa pode investir por conta própria em
segurança, mas como esse não é o core, não é possível garantir que esteja fazendo da
maneira mais adequada possível e mais dificil ainda é quantificar quanto um ataque vai
pode custar. Quando a empresa não faz sua própria solução ou faz só uma parte, existe
custo que não aparece no papel. A redução de custo ocorre se comparada a situação de se
fazer internamente ou contratar um provedor com toda uma estrutura capacitada por trás,
monitorando, gerenciando e mantendo atualizada toda a sua base de soluções de segurança
para poder garantir o andamento do negócio.
Quais serviços são os mais demandados?
Bruno: Segmentamos esse mercado em monitoramento e gerenciamento de ativos. Este
sem dúvida é o principal. Envolve correlação e análise de eventos, a questão da notificação,
da geração de alertas em cima da gestão de ativos, se a rede está sendo infectada,
invadida. É o mais demandado por ser o mais simples. O mercado ainda está na base da
pirâmide em termos de investir em soluções de segurança.
De forma geral, as empresas que estão adotando mais (MSS) são de e-commerce e bancos,
mas toda empresa que tem aplicação web ou trabalha com website é um alvo potencial para
sofrer ataque mais forte, principalmente de DDoS. Estamos vendo demandas pontuais nas
áreas de logística e construção civil.
Analistas afirmam que fatores como ataques mais direcionados e sofisticados;
compliance e regulamentação; e convergência e integração de redes empurram as
empresas para o MSS. Poderia comentar cada um dos drivers?
Bruno: Muitas empresas investem em MSS por compliance (algumas regulamentações
demandam, principalmente no ambiente financeiro). Um ponto importante é a questão da
convergência – demandas como colaboração, vídeo em dispositivos móveis entrando nas
empresas, adoção de novas tecnologias, big data, nuvem, mobilidade etc. A convergência
de TI, hardware, software e serviços traz uma necessidade muito maior (de MSS), pela
complexidade que tudo isso gerou nos últimos anos, com o avanço de novas tecnologias
dentro do segmento corporativo.
Também há a questão de que, quanto mais dispositivos conectados à internet, maior
facilidade de acessar a internet via WiFi espalhada pela cidade. Ou seja, como o pessoal de
segurança costuma dizer, quanto mais queijo você tem, mais buracos e menos queijo. Maior
facilidade de acesso implica mais riscos para a segurança. Redes abertas de WiFi que não
têm controle, monitoramento e gestão de segurança, podem gerar ataque mais facilmente.
Em favor de soluções de MSS, o que dizer a um CIO/CEO/CFO que tem dúvidas
devido a dificuldades em justificar investimento e qualificar o ROI?
Bruno: É difícil justificar financeiramente o investimento em alguma solução de tecnologia.
As métricas normalmente são mais qualitativas como tempo de resposta e ganho de
performance de uma determinada aplicação, por exemplo. Talvez, em um modelo como
serviço, essa equação comece a ser melhor estruturada. Entendo que as empresas são
cobradas por números, lucratividade e é natural que os executivos busquem métrica
quantitativas em seus investimentos de TI, mas no caso de segurança é mais complicado,
pois estamos falando de investimentos que vão te proteger de uma possível perda e não é
simples quantificar isso.
Qual a vantagem de se adquirir serviço de segurança (como solução anti-DDoS) de
operadoras de Telecom, em lugar de empresas globais de TI ou de provedores
puro-sangue?
Bruno: Ataque DDoS significa derrubar uma operação online fazendo estourar a capacidade
de banda. E quem faz monitoramento dessa banda são as telcos. Elas, melhor do que
ninguém, conseguem monitorar o tráfego na rede, o tráfego no link, o tráfego na solução de
conectividade que elas oferecem, Então, eu vejo como uma vantagem competitiva
extremamente importante exatamente por isso. Ela faz esse monitoramento do que está
acontecendo na rede, em cima da banda que oferece. E consegue quase que prever,
digamos assim, um ataque, baseada nesse monitoramento.
Pode-se considerar a segurança da informação como um dos legados importantes
da Copa do Mundo?
Bruno: Os investimentos em telco ficam como legado realmente importante para nós
usuários de serviços de telecom. Estamos inciando conversas com empresas para entender
um pouco o que aconteceu na realidade, em termos de número de ataques que ocorreram,
quantos foram barrados, quais foram os tipos mais comuns – imagino ataques de DDoS
tenham sido bem comuns. Mas não há dúvida nenhuma de que o legado de TI e telecom
que ficou para nós é extremamente importante.