Os avanços e desafios da nova era da ciberespionagem e a necessidade
de inovações urgentes no mundo da segurança da informação
No artigo
anterior, foi descrita a Internet profunda, com seus segredos, riscos e ameaças.
Neste artigo, abordaremos a ciberespionagem global e a necessidade de inovação
na cibersegurança, em seu conceito mais holístico e estratégico, evitando armadilhas
dos pontos cegos nas corporações, que muitos executivos de alto nível
(C-Level) podem não se interessar em enxergar, mas que episódios recentes os estão
obrigando a rever conceitos.
Entre eles,
destacam-se as revelações de Edward Snowden[1]
sobre o fato de que a NSA e outras agências de inteligência governamentais que
formam os “Five Eyes” (EUA, Reino Unido, Canadá, Austrália e Nova Zelândia) têm
agido fora do padrão esperado. Ou seja, coletam e fazem uso massivo da
informação que emerge do “big data” gerado pelo mundo cada vez mais
digital, tendo como foco não mais somente alvos militares, diplomáticos, de
terrorismo ou crime organizado, como esperado. Porém, quebrando este paradigma,
obtêm vantagens econômicas e competitivas para seus países, golpeando a
privacidade de líderes e órgãos de Estados, empresas e, em última instância, de
todos os cidadãos do planeta.
Isto ocorre pela
coleta e armazenamento massivo e indiscriminado de posts, e-mails, vídeos,
fotografias, áudios, telefonemas e mensagens em provedores de acesso e serviços
à Internet e em empresas de telecomunicações. Tive inclusive a oportunidade de acessar
parte do material revelado por Snowden, durante entrevistas concedidas
ao programa “Fantástico”. Fiquei assombrado com o poderio observado, ainda
que na última década já viesse fazendo este tipo de pesquisa para palestras e
entrevistas, pela experiência como oficial da Marinha ciberespecialista.
Sempre soube, por
exemplo, que celular é um aparelho de espionagem que também faz ligações
(mesmo desligado, pode ser usado para escuta clandestina se permanecer com
bateria, ao ser ativado velada e remotamente). E que, quando todas as demais
barreiras são ultrapassadas, uma criptografia forte se torna o obstáculo extremo
para proteção dos dados cibernéticos.
O impacto do caso da NSA/Snowden nos negócios brasileiros foi enorme. Segundo pesquisa da Alvarez
& Marsal (A&M), 66% das empresas do país afirmam que o caso tem afetado
seu nível de confiança em transações na Internet. Corporações e
clientes passaram a ter mais cuidado ao fazer negócios com entidades em que não
podem confiar para proteger seus dados de forma eficaz.
Mas não foram
somente as agências de espionagem que mudaram o modo de agir. Como se não
bastasse essa alteração de paradigma na espionagem global, os hackers
também modificaram seus métodos de operação ao longo do tempo, passando do uso de
vírus destrutivos bastante ruidosos no passado a acessos remotos acobertados
e silenciosos, lançando hoje ataques cada vez mais diversificados,
direcionados e especializados.
Neste cenário, o
crescimento contínuo de ataques cibernéticos acarreta duas implicações chave.
A primeira é que, em dado momento, toda organização se verá diante de uma crise
cibernética. Como resultado, todo líder corporativo deve conhecer e assumir
os riscos cibernéticos. A segunda, é que há necessidade urgente da organização
efetuar mudanças radicais no modelo atual e amplamente aceito de Cibersegurança,
baseado em compliance com padrões tradicionais. Esta abordagem, simplesmente, não
funciona mais. Para estar preparado para
as ameaças cibernéticas emergentes e responder a elas de forma proativa e
precisa, as corporações devem desenvolver inteligência das ameaças baseada nas
evidências e na consciência situacional.
Neste cenário de novas
ameaças, os líderes devem tomar para si a responsabilidade
dos riscos cibernéticos de sua empresa. Não é mais suficiente para o CEO
simplesmente dizer à equipe de TI: “consertem isso”. Na mesma pesquisa da
A&M citada, 52% dos brasileiros entrevistados afirmam que
Cibersegurança deve ser preocupação prioritária dos líderes
empresariais. No entanto, 28% ainda acha que é uma responsabilidade da TI,
o que é um amplo ponto cego. Além disto, 74% das empresas brasileiras
afirmam que aumento do orçamento reduzirá nível de risco em Cibersegurança.
Porém, este é outro ponto cego: mais dinheiro não é necessariamente a
solução, pois antes de se gastar mais, é preciso garantir investimento
disponível aplicado em recursos adequados, visando os riscos certos, na hora
certa.
Fazer com que a
organização esteja preparada para lidar com problemas de cibersegurança não é
tarefa fácil e requer iniciativa de toda a organização, que só vem com uma mudança
a partir dos altos escalões. Neste contexto, a necessidade de unir negócios e
tecnologia exige que a equipe executiva desempenhe um novo papel
na intersecção entre tecnologia, negócios e risco,
a fim de poder iluminar os pontos cegos existentes. No entanto, 47% das
empresas brasileiras, conforme a pesquisa da A&M, afirmam que existe um baixo
nível de diálogo entre as equipes de segurança e os líderes
empresariais. Os líderes de hoje devem ser preparados para lidar com riscos de tecnologia
juntamente com os riscos do negócio, ao invés de deixar os problemas de Cibersegurança
sob a responsabilidade do CIO.
Outro ponto cego:
60% das organizações não sentem que têm recursos humanos necessários
para se proteger e responder a um ataque. Sem a devida competência, não há
defesa cibernética, somente uma ilusão dela, e este é o pior cenário para toda
corporação – pensar que está segura, quando de fato não está. Pois, como
costumamos afirmar, neste ramo não há espaço para amadores.
Os cenários de ameaças
são cada vez mais complexos e não estão apenas correlacionadas à
tecnologia, na verdade muitas vezes o uso da tecnologia é parte do problema.
Assim, não adianta dispor somente de um bom time técnico, pois há necessidade
de envolver toda a corporação de forma holística na defesa cibernética.
Como resultado, cresce a importância do CISO para a corporação, que deve
ser educado para construir uma estratégia dinâmica e abrangente de
Cibersegurança, que una os mundos anteriormente distintos de TI e
negócios.
No atual e
complexo ambiente operacional, as corporações precisam de um modelo de
Cibersegurança inovador e dinâmico. Ao invés de confiar em compliance, elas
precisam construir um processo de ciberproteção que se adapte e responda
continuamente às suas mudanças, das interfaces com clientes, da cadeia
de fornecedores e no universo das ameaças cibernéticas.
Segundo um
relatório do Information Security Forum (ISF), nos últimos anos, em
muitas organizações a equipe de segurança cibernética tem se concentrado
em alinhar a estratégia da função de segurança da informação à do
negócio. No entanto, nesta era de espionagem globalizada e de
cibercriminosos especializados, isso não é mais suficiente: a crescente
dependência do negócio ao ciberespaço colocou uma demanda sobre a função de
segurança para definir e executar uma estratégia de segurança da informação que
vá mais longe rumo à efetiva integração com o negócio.
A transição do
alinhamento para a integração é vital para a função de segurança da
informação poder fornecer o que o negócio precisa. Em nosso método, definimos
três passos que formam um “círculo virtuoso” para levar às
corporações uma estratégia integrada de segurança da informação:
1. Compromisso: pois a função de segurança da informação deve
ficar perto do núcleo do negócio e adequadamente representada em fóruns de
tomadores de decisões-chave, incluindo o conselho de desenvolvimento da
estratégia corporativa.
2. Antecipação: para identificar mudanças no cenário de negócios e
ameaças que poderiam comprometer ou aumentar a chance de sucesso do negócio.
3. Resiliência: devido à necessidade de reconhecer que é
impossível de se defender contra todos os ataques, mas que o planejamento e
preparação podem reduzir o impacto potencial.
Deixamos para o
final uma pergunta derradeira, para reflexão do leitor: qual a importância que governos
e empresas que lidam com nossos dados utilizem uma estratégia de
cibersegurança inovadora, que possa sanar os pontos cegos?
Muita gente pensa: “ah, para mim, tanto, faz; vou levando minha vida e esta
história não me afeta em nada, não tenho nada a esconder, é problema do governo
e das grandes empresas”. Nossa linha de pensamento é que, sem uma adequada estratégia
de segurança cibernética, não há privacidade. Sem privacidade, não há liberdade
de expressão. E, finalmente, sem liberdade de expressão, não há democracia.
E este não é o futuro que sonhamos para nossas próximas gerações, não é mesmo?
Em nosso próximo artigo, abordaremos um
tema comum ao nosso cotidiano: a segurança de dispositivos móveis, categoria
que inclui desde smartphones até tablets. Aguardem, queridos
leitores, e até lá. Bons ventos!
Paulo Pagliusi, Ph.D., CISM
Palestrante e Consultor em CiberSegurança Estratégica
[1] Veja em: http://www.mpsafe.com.br/2014/05/fantastico-entrevista-edward-snowden-na.html . Uma notícia recente é a de
que o novo livro do Glenn, “No Place to Hide” (Sem Lugar para se Esconder) será
utilizado em uma nova produção de Hollywood, do mesmo produtor de “Skyfall”, o
último filme de James Bond. http://www.hollywoodreporter.com/news/sony-nabs-film-rights-edward-704063
Nenhum comentário:
Postar um comentário