O novo papel da segurança da informação na gestão corporativa

Com o crescimento do mundo digital, acompanhamos também um enorme crescimento das ameaças cibernéticas. Estas variam de pequenas ações irritantes até desastres catastróficos. E à medida que essas ameaças evoluem, também vemos a evolução de um personagem anteriormente ignorado: o Diretor de Segurança da Informação, ou CISO (Chief Information Security Officer)

shutterstock-deepadesigns temproario

Grant Bourzikas (*)

Não só o papel do CISO está mudando, mas também o relacionamento dele com a organização em que trabalha. Antes eles reportavam ao CIO, agora reportam diretamente ao CEO ou ao Conselho Administrativo. Em seu novo papel, o CISO também precisa de diversas novas habilidades.

O cargo foi introduzido pela primeira vez na organização comercial moderna para monitorar e analisar possíveis riscos de segurança para a empresa. Tradicionalmente, esses profissionais vieram do lado mais técnico e talvez não precisassem entender todo o negócio. Liderança, comunicação e background de negócios podem não ter sido requisitos para o trabalho até então. Mas isso está mudando.

Com ameaças cada vez mais avançadas, é justo dizer que as diretorias corporativas estão enxergando a importância da segurança cibernética. O desafio para o CISO moderno é discutir os problemas do negócio que causam os desafios de segurança (versus a tecnologia apenas). Quando os CISOs trazem ideias para a mesa executiva que são colocadas em termos de escolhas e integração de negócios, é mais provável que as questões sejam abordadas e corrigidas.

Os papéis do CIO e do CISO são diferentes. Ambos estão envolvidos com Tecnologia da Informação, mas de diferentes ângulos. O papel do CIO é assegurar a disponibilidade da informações para administrar o negócio; o do CISO é garantir segurança sem afetar a disponibilidade dos serviços empresariais. Este poderia ser um relacionamento adversário, mas abordado adequadamente - de um ponto de vista holístico - pode funcionar bem.

Toda organização gerencia a segurança de forma diferente, com base nas suas necessidades e estrutura interna. O CIO tradicionalmente trabalha ao lado da gestão de uma empresa e é focado na operação interna. O CISO, por sua vez, é direcionado para fora. Além disso, como o CISO frequentemente reportava ao CIO, nem sempre eram vistos como pares. Uma percepção é que os CIOs são veteranos e líderes experientes, e os CISOs são mais jovens e mais especializados.

O papel do CISO tornou-se mais elevado devido à importância do gerenciamento de dados na era digital. Sem a segurança cibernética uma empresa pode ser seriamente comprometida, tanto monetariamente como em reputação. Para muitas empresas, informações e segurança não fazem parte do negócio; elas são o negócio.

O CISO também se tornou o responsável por trabalhar com os fornecedores de segurança cibernética. Como existem mais de mil empresas de segurança cibernética de diferentes tamanhos e escopos, sua função inclui fazer com que os diferentes tipos de software funcionem juntos. Uma vez que isso seja realizado, ele também precisa comunicar como as ferramentas estão atuando com a classificação e arquivamento.

Atualmente os CISOs devem olhar para o negócio como um todo e não se concentrarem na tecnologia. Se focar apenas nas escolhas técnicas, pode-se considerar a segurança cibernética como um custo. É preciso uma abordagem certa para se concentrar no negócio e gerenciar o meio ambiente, além de comunicar como a segurança é importante para o sucesso da empresa.

Em resumo, o CISO de hoje tem um papel importante e expandido na gestão da segurança da empresa. Eles devem ter um relacionamento com o CEO e com o Conselho, para que as organizações possam avaliar com precisão suas vulnerabilidades. Um bom CISO também é um bom líder e comunicador, alguém que pode influenciar a organização para garantir a segurança e disponibilidade de sistemas. Ou seja, o papel evoluiu da função específica para uma parte vital da gestão de uma empresa.

(*) É vice-presidente e diretor de segurança da informação da McAfee.

A transformação digital chegou aos documentos de identificação

Certisign temproario

Com o avanço da tecnologia surgem a todo instante facilidades para o dia a dia das pessoas. Mesmo os mais resistentes à era digital acabam aderindo às mudanças por conta dos benefícios proporcionados. Nos últimos meses, observou-se um grande movimento para a substituição de documentos de identificação em papel por eletrônicos, que podem ser armazenados em smartphones e tablets, dispositivos indispensáveis nos dias atuais e utilizados por grande parte da população.
São vários os exemplos, como o e-Título, um aplicativo para Android e iOS que permitirá o armazenamento da versão digital do título de eleitor. Segundo informações do site do Tribunal Superior Eleitoral (TSE) a medida é benéfica para a Justiça Eleitoral, porque permitirá a redução de custos relacionados aos extravios de documentos, emissões de segunda vias, suprimentos para impressão etc. Já o cidadão terá seus dados eleitorais sempre disponíveis, sem o risco de extravios e de deterioração do formato em papel.
A Carteira de Trabalho Digital é outro caso. Desde novembro passado, o trabalhador pode acessar suas informações de Qualificação Civil e de Contratos de Trabalho diretamente do celular ou tablet. Para isso, basta baixar o aplicativo, de acordo com o respectivo sistema operacional do dispositivo. A novidade não elimina a versão impressa que continua sendo disponibilizada.
Por fim, no próximo mês, em fevereiro, deve entrar em vigor em todo o país CNH Digital que também poderá ser armazenada em dispositivos móveis. Ela é destinada aos motoristas quem já têm a versão da CNH com QR Code, que começou a ser emitida em maio de 2017. Quem se enquadra neste perfil, poderá requisitá-la no site do Denatran, mediante o uso do Certificado Digital ICP-Brasil. Quem não tem Certificado, precisará ir pessoalmente em um dos postos do Detran. Neste caso, é o Certificado que garantirá a autenticidade da requisição on-line, já que ele é um documento de identificação no meio eletrônico.
E, por falar em Certificado Digital, a versão destinada para a identificação digital do cidadão, surgiu em 2001 com a criação da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, cadeia hierárquica de confiança que viabiliza a emissão desses documentos. Atualmente, há vários tipos de Certificados, sendo que um deles é o e-CPF, a versão digital do documento em cartão Cadastro de Pessoas Físicas - CPF. Com ele, o contribuinte pode realizar diversos serviços no meio digital, como assinar documentos com validade jurídica - sem papel e sem caneta, enviar a declaração do imposto de renda com mais facilidade, acessar o e-CAC da Receita Federal e dar andamento a diversos processos sem ter que comparecer a um posto físico, entre outros.
Essas possibilidades deixam claro que a transformação digital chegou aos serviços públicos e que deve ser ampliada cada vez mais por conta dos benefícios proporcionados. Possibilitar aos cidadãos o acesso a informações primordiais por meio de dispositivos móveis promove comodidade a ele e sustentabilidade e eficiência operacional à máquina pública. Todos os lados ganham.

(Fonte: Julio Cosentino é vice-presidente da Certisign e presidente da Associação Nacional de Certificação Digital - ANCD).

Pontos de atenção na jornada para nuvem

Guilherme Sesterheim (*)

A jornada para nuvem, assunto ainda muito atual nas áreas de TI de todas as empresas que nasceram com sistemas on-premise, pode ter diferentes níveis de complexidade

Para empresas recentes, com um número de aplicações reduzido, os projetos costumam ser mais simples. Já para empresas com grande histórico de existência, é comum que ocorram projetos de mais de um ano de duração, somente para migrar as aplicações e rotinas.
Quando se fala em modernizar as aplicações para usufruir das vantagens de estar na nuvem, este prazo é ainda maior. Em ambos os cenários, uma série de aspectos precisam ser analisados, observados e monitorados para que o sucesso seja garantido, como:

1 - Segurança: definir políticas e proteger aplicações
Como na maioria das invasões e ataques a sistemas, a engenharia social aplicada no contexto da cloud é a maior preocupação da maioria dos profissionais de segurança consultados. Senhas fracas e falta de cuidado ao definir as políticas de quais usuários possuem acesso a quais tipos de ações no ambiente são os principais problemas. Portanto, crie políticas claras de acessos e responsabilidades para cada usuário, que deverá deve ter permissão para fazer estritamente aquilo que lhe é atribuído. Os usuários superadmins são para uma ou duas pessoas na companhia inteira, que possuam confiança e maturidade para orquestrar todo o time.
Outro aspecto importante da segurança na cloud é a definição, junto ao time de desenvolvimento e arquitetos principalmente, das políticas de acesso às APIs da empresa. Uma API que tenha capacidade de alterar dados sensíveis da companhia deve possuir acesso, protocolos e segurança restritos à sua finalidade.

2 - Validação para impedir perda de informações
Em projetos de migração de dados, como bancos de dados, ou arquivos de quaisquer tipos, seja com finalidade de manter backup, alta disponibilidade ou performance, validações precisam ser executadas para garantir a integridade do que foi migrado e também eliminar risco de perda de grandes quantidades de informações.
Para migrações de grandes volumes, como TB de dados, é importante verificar se a quantidade de arquivos na origem é igual a do destino e se o tamanho total é idêntico nas duas pontas. Já para bancos de dados, a mesma verificação é válida e útil em um primeiro momento, porém, como provavelmente haverá alteração para funcionar no novo ambiente, as validações da integridade e funcionamento da aplicação em si são indispensáveis e devem ser efetuadas por pessoas com profundo conhecimento do funcionamento da mesma.

3 - Legislação: verificar aderência com o negócio
A legislação coloca pé no freio de migrações governamentais há anos e afeta diretamente o negócio de empresas do setor financeiro, por obrigar que os dados sejam armazenados fisicamente em território brasileiro. Mesmo com a existência de datacenters no Brasil, as migrações, às vezes, não são possíveis, pois os cloud providers mantêm replicação automática dos dados e não há como garantir que eles ficarão somente na região selecionada.
Para outras aplicações, não relacionadas ao governo e setor financeiro, o marco civil da internet garante que boa parte das empresas estejam livres destas restrições, e é um bom ponto de partida para consulta e tirar dúvidas.

4- Arquitetura
Transferir aplicações do cenário on-premise para a nuvem em formato AS-IS é uma alternativa quando as restrições do negócio relacionam o tempo envolvido diretamente. Porém, simplesmente transferir a localização de um servidor não resolverá problemas relacionados à arquitetura da aplicação, tais como performance, escalabilidade, estabilidade, telemetria, etc.
Quando a jornada para nuvem começa a abranger a forma como as aplicações foram desenvolvidas, vários novos benefícios podem ser explorados, como:
Arquitetura: Acoplamento/Lock-in – usar serviços autogerenciados ou não? Serviços como AWS Lambda, Amazon RDS, Google App Engine, Google Cloud Spanner, entre outros, trazem excelentes benefícios: mais velocidade ao time de desenvolvimento; tempo de desenvolvimento investido para conectar uma aplicação a este serviço; redução de custos - a abstração criada pelos cloud providers sobre cada um destes serviços, que faz com que não seja transparente a forma como cada um deles opera. A estratégia de execução dos serviços fica a cargo do cloud provider, que usará os recursos de hardware e software da melhor maneira possível, pois detém conhecimento de todo o seu parque.
Estes e outros pontos devem ser avaliados e levados em consideração, tendo ciência de um importante trade-off: o acoplamento. Quanto mais serviços autogerenciados forem usados, maior será a dependência daquela aplicação e, consequentemente, o lock-in com aquele cloud provider.
Arquitetura: Custos – Entender o funcionamento da aplicação e definir o melhor serviço a ser usado para resolver determinado problema é uma forma de reduzir custos significativamente. Um exemplo facilmente tangível é o uso de hardware da nuvem com automatizações, disponíveis a nível de console de administrador, ou ainda via APIs que permitem alterações em nível de código, para reduzir custos com hardware daquela aplicação.
A maioria das aplicações possuem picos de consumo. A arquitetura e planejamento da aplicação permitirão a elasticidade da quantidade de hardware usado para prover as funcionalidades de acordo com a janela de tempo necessária.
Arquitetura: Telemetria – é necessária quando as aplicações começam a crescer, e a quantidade de hardware e recursos envolvidos na operação se torna maior. Por exemplo: uma aplicação que possua 10 microsserviços, e cada um está distribuído em até 5 máquinas físicas - se um problema ocorre, é inviável acessar cada uma das 50 máquinas procurando por onde aquela falha ocorreu. Para solucionar tal problema, podem ser tomadas ações proativas e reativas.
Arquitetura: Latência - sempre que há um movimento para nuvem e o assunto latência é amplamente discutido. Ela sempre existirá. Mas é necessário verificar a aderência do negócio e eventuais maneiras de impedir que a latência afete, de forma relevante, o funcionamento de sistemas:
• Latência entre pedido e resposta do usuário, para migrações AS-IS: para sistemas que somente distribuem informações, a configuração de CDN pode ser a solução completa. Para sistemas que possuem situações transacionais, talvez seja necessário mantê-los em datacenters fisicamente próximos, ou ainda avaliar práticas de arquitetura;
• Latência dentro da própria aplicação: caso hajam muitos microsserviços disponíveis, em muitas máquinas, bancos de dados diferentes com as informações descentralizadas, e ainda mais de uma cloud envolvida, além da latência cliente-servidor, haverá latência internamente na aplicação, que precisa ser trabalhada por meio de práticas de arquitetura, como cache, filas, etc, para prevenir que isto impacte o usuário final.
http://time.com/4841014/cloud-data-security-cybersecurity-hackers/
http://www.computerweekly.com/ news/450296599/Cloud-security-concerns-rise-as-investment-grows-report-shows

(*) É líder de área de desenvolvimento de software na ilegra e mestre em computação aplicada, possui 9 anos de experiência na área de TI.

 
 

Mais artigos...

  1. Tecnologia 18/01/2018
  2. Tecnologia 17/01/2018
  3. Tecnologia 16/01/2018
  4. Tecnologia 13 a 15/01/2018
  5. Tecnologia 12/01/2018
  6. Tecnologia 11/01/2018
  7. Tecnologia 10/01/2018
  8. Tecnologia 09/01/2018
  9. Tecnologia 06/01/2018 a 08/01/2018
  10. Tecnologia 05/01/2018
  11. Tecnologia 04/01/2018
  12. Tecnologia 30/12/2017 a 02/01/2018
  13. Tecnologia 29/12/2017
  14. Tecnologia 28/12/2017
  15. Tecnologia 27/12/2017
  16. Tecnologia 23 a 26/12/2017
  17. Tecnologia 22/12/2017
  18. Tecnologia 21/12/2017
  19. Tecnologia 20/12/2017
  20. Tecnologia 19/12/2017
  21. Tecnologia 16 a 18/07/2017
  22. Tecnologia 15/12/2017
  23. Tecnologia 14/12/2017
  24. Tecnologia 13/12/2017
  25. Tecnologia 12/12/2017
  26. Tecnologia 09 a 11/12/2017
  27. Tecnologia 08/12/2017
  28. Tecnologia 07/12/2017
  29. Tecnologia 06/12/2017
  30. Tecnologia 05/12/2017
  31. Tecnologia 02 a 04/12/2017
  32. Tecnologia 01/12/2017
  33. Tecnologia 30/11/2017
  34. Tecnologia 29/11/2017
  35. Tecnologia 28/11/2017
  36. Tecnologia 24/11/2017
  37. Tecnologia 23/11/2017
  38. Tecnologia 22/11/2017
  39. Tecnologia 18 a 21/11/2017
  40. Tecnologia 17/11/2017
  41. Tecnologia 15 e 16/11/2017
  42. Tecnologia 14/11/2017
  43. Tecnologia 11 a 13/11/2017
  44. Tecnologia 10/11/2017
  45. Tecnologia 09/11/2017
  46. Tecnologia 08/11/2017
  47. Tecnologia 07/11/2017
  48. Tecnologia 02 a 06/11/2017
  49. Tecnologia 01/11/2017
  50. Tecnologia 31/10/2017
  51. Tecnologia 28 a 30/10/2017
  52. Tecnologia 27/10/2017
  53. Tecnologia 25/10/2017
  54. Tecnologia 24/10/2017
  55. Tecnologia 21 a 23/10/2017
  56. Tecnologia 20/10/2017
  57. Tecnologia 19/10/2017
  58. Tecnologia 18/10/2017
  59. Tecnologia 17/10/2017
  60. Tecnologia 12 a 16/10/2017
  61. Tecnologia 11/10/2017
  62. Tecnologia 10/10/2017
  63. Tecnologia 07 a 09/10/2017
  64. Tecnologia 06/10/2017
  65. Tecnologia 05/10/2017
  66. Tecnologia 04/10/2017
  67. Tecnologia 03/10/2017
  68. Tecnologia 30/09 a 02/10/2017
  69. Tecnologia 29/09/2017
  70. Tecnologia 28/09/2017
  71. Tecnologia 27/09/2017
  72. Tecnologia 26/09/2017
  73. Tecnologia 23 a 25/09/2017
  74. Tecnologia 22/09/2017
  75. Tecnologia 21/09/2017
  76. Tecnologia 20/09/2017
  77. Tecnologia 19/09/2017
  78. Tecnologia 16 a 18/09/2017
  79. Tecnologia 15/09/2017
  80. Tecnologia 14/09/2017
  81. Tecnologia 13/09/2017
  82. Tecnologia 12/09/2017
  83. Tecnologia 07 a 11/09/2017
  84. Tecnologia 06/09/2017
  85. Tecnologia 05/09/2017
  86. Tecnologia 02 a 04/09/2017
  87. Tecnologia 01/09/2017
  88. Tecnologia 31/08/2017
  89. Tecnologia 30/08/2017
  90. Tecnologia 29/08/2017
  91. Tecnologia 26 a 28/08/2017
  92. Tecnologia 25/08/2017
  93. Tecnologia 24/08/2017
  94. Tecnologia 23/08/2017
  95. Tecnologia 22/08/2017
  96. Tecnologia 19 a 21/08/2017
  97. Tecnologia 18/08/2017
  98. Tecnologia 17/08/2017
  99. Tecnologia 16/08/2017
  100. Tecnologia 15/08/2017
Outras Matérias sobre Tecnologia

 

Mais Lidas