ESPECIAL | IBM: Segurança já é discutida nos conselhos de administração

Nos últimos anos, a segurança informática tem passado de uma discussão de técnicos para, cada vez mais, ser tema de discussão em Conselhos de Administração. Ao mesmo tempo, as organizações têm mudado bastante a forma de fazer negócio. Muitas vezes, diz a IBM, os clientes pedem a opinião da empresa norte-americana sobre como é que a segurança pode suportar os seus negócios nas suas iniciativas que são frequentemente disjuntivas.

Seja de segurança na cloud, segurança na mobilidade, proteção de dados, ou combate a fraudes avançadas.

E, diz Rui Barata Ribeiro, responsável de Security Systems da IBM Portugal, há uma questão que se mantém sempre presente: como conseguir otimizar a estratégia de segurança e simultaneamente manter a linha de custos. “É uma abordagem que é frequentemente colocada à IBM, em Portugal”, disse à B!T.

Rui Barata Ribeiro, responsável de Security Systems da IBM Portugal
Rui Barata Ribeiro, responsável de Security Systems da IBM Portugal

Para a IBM, 2016 será um ano de consolidação de um conjunto de tendências que têm assolado o mercado: por um lado, o aumento da sofisticação e profissionalismo no mundo do crime informático organizado, e uma democratização de ferramentas de hacking até aqui associadas a ataques sofisticados; por outro, iniciativas do lado das organizações, que procuram o aumento de competitividade por via da reengenharia das TI, nomeadamente com adoção de cloud e de tecnologias de mobilidade. “Consideramos que a conjugação destes fatores, cruzada com a escassez de recursos humanos com perfis e experiência adequados à atividade de segurança, são os principais desafios à segurança das organizações”

“2016 parece-nos vir também a ser um ano potencialmente virado para o cumprimento de regras normativas, como sejam (e ainda há alguns casos) o PCI-DSS, o SecuRePay da European Banking Authority (no caso da Banca), e o futuro Regulamento Europeu de Privacidade de Dados, que poderá ser muito relevante a médio prazo”, diz Rui Barata Ribeiro.

Cloud alterou tabuleiro do jogo

Quanto à cloud, no entender deste responsável veio alterar essencialmente o tabuleiro, não as regras de jogo. “As premissas de segurança mantêm-se inalteradas, e os vetores de ataque são essencialmente os mesmos. A utilização de serviços públicos na cloud tem elementos novos que tipicamente não são considerados em ambientes on premise – como, por exemplo, o data spillage entre clientes num ambiente multi-tenant –, mas a necessidade de proteger as pessoas, as aplicações, os dados e a infraestrutura de uma forma pensada continua a existir, num e noutro casos”.

Basicamente, a IBM considera que a cloud pode ser uma boa maneira de, desta vez, “fazer bem à primeira”, isto é, aproveitar iniciativas de cloud para introduzir segurança nos processos de negócio, para pensar segurança embebida na própria forma como a organização se pensa e aproveitar a elasticidade e abstração da cloud para não ter as dependências que tantas vezes impossibilitam arquiteturas consistentes.

“Aí sim, as organizações poderão capitalizar a cloud do ponto de vista de segurança, enquanto alteram os seus processos de negócio. Aqui, o fator humano é crítico, e cada vez mais o perímetro somos nós”.

Internet das Coisas exponencia risco

Diz a IBM que exploits como o Stuxnet ensinaram-nos que ambientes aparentemente sem contacto com o exterior são vulneráveis a ataques bem pensados. A Internet das Coisas, ou a Internet de Tudo, essencialmente exponencia esta superfície de risco, na medida em que a quantidade de potenciais variáveis é extremamente grande. “Como na cloud, consideramos que esta é uma oportunidade de voltar aos básicos e fazê-los bem, i.e., garantir que existem controlos montados nos vetores certos, mas estamos em crer que esta será uma área onde ainda haverá muita evolução”.

Mas têm as empresas noção do verdadeiro valor dos seus dados e, daí, da necessidade da sua proteção? Rui Barata Ribeiro considera que ainda há muito a fazer neste campo, em todas as perspetivas. A necessidade que a União Europeia teve de regular a privacidade e gestão de dados, quer no campo dos cidadãos (como, por exemplo, no “direito ao esquecimento”), quer no campo da segurança (com a obrigatoriedade de “disclose” de fugas de dados), bem o demonstra.

“A informação, sendo o ativo mais importante na maioria dos negócios dos dias de hoje, não é tipicamente protegida de forma adequada”, diz Rui Barata Ribeiro.

Muitas vezes é revelado que os próprios recursos internos das empresas são uma verdadeira ameaça à segurança. Rui Barata Ribeiro não diz que sejam as suas maiores ameaças à segurança mas admite que é difícil conseguir-se ser bem sucedido num ataque à informação de uma organização sem se ter a colaboração, voluntária ou involuntária de alguém que possa ter um acesso legítimo a essa informação – é o que se designa em termos técnicos por “lateral movement”. “É essa uma das principais razões pelas quais a proteção e monitorização das pessoas e respetivos acessos é um elemento crítico da construção de qualquer estratégia de cibersegurança”.

PME ainda com atenção “básica” à segurança

Pela experiência da IBM, há ainda uma atenção muito básica e limitada aos potenciais problemas de segurança nas típicas PME portuguesas. E, diz o responsável, como regra, a segurança faz parte dos Sistemas de Informação, não tem um budget definido.  “Com frequência, os próprios Sistemas de Informação são muito limitados em recursos, têm uma enorme dificuldade em focarem-se em temas específicos. A maioria das pequenas organizações não tem um responsável de segurança da informação, pelo que tem dificuldade em demonstrar uma política de salvaguarda da informação que gere – o que pode ser um problema de proporções difíceis de definir, face aos desafios que se adivinham no mercado”.