Conversamos com Augusto Barros, VP de Pesquisas e Chairman da 4ª edição da Conferência.

Pergunta 1

Os grandes ciberataques estão ganhando cada vez mais atenção da mídia e vem sendo noticiados com bastante frequência. O que essa ampla exposição significa para os líderes de segurança?

As organizações tem dado foco a impedir invasões de dados, apesar de ser uma batalha já perdida. Os líderes precisam se atentar a preparar o negócio para não apenas prevenir, mas também responder aos ciberataques, inclusive os casos de  ransomware cada vez mais comuns. Então, é importante construir e implementar planos estratégicos capazes de prevenir, detectar, responder e recuperar dados.

 

Os ciberataques se mostraram extremamente caros e com perdas significantes para líderes de segurança e negócio. Algumas das maiores empresas globais de varejo reportaram perdas de mais de 300 milhões de dólares devido a ciberataques e malware.

 

Empresas de seguro vem tentando encorajar organizações a fazer investimentos apropriados em segurança antes que outros ataques ocorram. Executivos seniores, não apenas CIOs, vem perdendo seus empregos por conta de vazamentos de dados, sem falar de impactos não quantificáveis, como reputação de marca.

Pergunta 2

Assim como os ecossistemas de negócios digitais se expandem, a exposição ao risco também se elevou. Como as organizações podem proteger todo o supply chain digital?

Novas ferramentas estão surgindo para ajudar as empresas a entender melhor sua exposição ao risco em ambientes de risco multicamadas. Um passo importante é implementar uma estratégia denominada CARTA (Continuous Adaptive Risk and Trust Assessment). Esta é uma abordagem estratégica, contínua e proativa que ajuda a gerenciar melhor os riscos associados aos ecossistemas de negócios digitais. Significa identificar problemas mais cedo, bloquear o que é possível, e responder ao que não pode ser prevenido.

 

Os níveis de confiança e risco associados às entidades empresariais digitais e suas ações são dinâmicos e precisam ser avaliados continuamente a medida que as interações acontecem e de acordo com as mudanças de contexto. A CARTA, juntamente com os investimentos em pessoas, processos e ferramentas, pode ajudar no acompanhamento de ecossistemas complexos e mudanças contínuas.

Pergunta 3

Novos desafios em torno de Compliance estão surgindo. O que está conduzindo essas mudanças?

O marco regulatório está sempre mudando com novos regulamentos e interpretações de regulamentos existentes. As organizações precisam desenvolver uma nova capacidade para análises forenses detalhadas dos ciberataques e suas consequências, e equilibrar os riscos reais com requisitos legais e regulatórios — Compliance não é igual à segurança.

 

Devido à recente onda de violações e ataques de alto nível, os governos ao redor do mundo estão começando a prestar atenção. Os novos regulamentos de privacidade da Europa, particularmente GDPR, vão entrar em vigor este ano, e mais ainda está por vir. Uma comunicação mais detalhada das violações tornar-se-á obrigatória em algum ponto. Seja na empresa ou através de parcerias, as organizações terão de desenvolver a capacidade de controlar e relatar incursões em um nível detalhado.

Pergunta 4

Que outras tendências estão impactando estratégias de segurança e gerenciamento de riscos este ano?

A proteção de dados está evoluindo para incluir tecnologias emergentes, como inteligência artificial, machine learning, blockchain, convergência     OT-IT, analytics avançada, e a presença de dispositivos móveis, cloud e IoT. Estas tecnologias estão trazendo novas oportunidades, bem como novos riscos e desafios. Por exemplo, a mão de obra qualificada que é necessária para trabalhar com essas novas tecnologias está se tornando muito escassa. Há maneiras de fazer mais com os recursos existentes, que é um tema-chave que vamos discutir na Conferência de Segurança e Gestão de Risco dias 14 e 15 de agosto.

 

A segurança de Cloud evoluiu em uma direção positiva. As soluções estão agora em um ponto onde é hora de se aprofundar e começar a investir. As tecnologias de segurança por assinatura e de pagamento-pay-as-you-go permitem que você pule o longo e dispendioso processo de RFP, e dê mais opções para atender as necessidades de expansão dos negócios digitais.

Pergunta 5

Todos os olhos estão em segurança, mas o budget pode ser uma outra história. Qual é a melhor forma de fazer com que líderes de negócios e o conselho apoiem novas iniciativas na área de segurança?

Você tem que pensar sobre os objetivos de negócios em primeiro lugar e fazer a sua história de segurança alinhada a esses pontos. Estas podem ser prioridades assim como o faturamento, market share, risco do negócio, e reputação da marca. O desafio mais difícil de superar ao criar métricas de gestão de segurança e risco é fechar a lacuna entre o que a segurança faz e de que maneira os negócios se beneficiam. Não é sobre metas de segurança e objetivos. Trata-se de como a segurança e gestão de riscos apoiam os valores e objetivos da empresa.

Pergunta 6

Depois de tantas invasões, e sabendo que elas tendem a aumentar, fica aqui a pergunta: Você aprende com Hackers? 

Sim, o aprendizado é constante, e formalizado a ponto de ser uma das disciplinas mais importantes da segurança, a inteligência de ameaças (Threat Intelligence). Através dela aprendemos sobre o comportamento, objetivos, técnicas e até mesmo as ferramentas utilizadas por hackers e outras ameaças. Esse aprendizado nos ajuda a adaptar de forma contínua os controles de segurança para prever, prevenir, detectar e responder aos ataques.

Pergunta 7

Quais são as key learnings da Conferência 2017 e qual a evolução para essa edição do evento em agosto?

Na conferência de 2017 nós introduzimos o conceito de CARTA – Continuous Adaptive Risk and Trust Assessment – que traz a idéia de segurança adaptativa e com avaliação risco contínua. O ponto principal era a necessidade das organizações se prepararem para avaliar continuamente os riscos e adaptar seus controles e posture de segurança de acordo com eles. Em agosto deste ano vamos mostrar que essa necessidade ainda existe, e é ainda mais desafiadora por conta da grande velocidade e escala dos negócios digitais. Vamos falar sobre como transformar suas estratégias de segurança, gestão de risco e compliance para aumentar a resiliência em todas as áreas da organização, através de pesquisa avançada em assuntos como arquiteturas ágeis, gestão de continuidade de negócios, privacidade, segurança na cloud e para a Internet das coisas (IoT). 

Pergunta 8

Vemos cada vez mais a preocupação com Fake News e a intenção de veículos de mídia e até redes sociais, como Facebook, tentando impedir esse avanço. O que isso significa para líderes de segurança?

Líderes de segurança já trabalham há anos com o desafio de lidar com a origem duvidosa de informações; basta pensarmos em tudo que é feito para combater phishing, websites falsos e outras formas de engenharia social. Assim como fake news podem ser utilizadas para alterar o destino de eleições, também podem ser utilizadas em tentativas de manipulação de mercados ou mesmo negociações diplomáticas. Líderes de segurança devem rever os processos de negócios de suas organizações para identificar possíveis alvos dessas tentativas de manipulação. Com os negócios digitais cada vez mais incorporando caracterísiticas de redes sociais, é necessário compreender que os desafios que elas enfrentam podem passar a fazer parte de sua realidade também. Tecnologias inovadoras, como o blockchain, podem trazer novas formas de incorporar a confiança adaptativa, um dos principais pilares da metolodia CARTA, aos negócios sujeitos ao efeito das fake news.

Tudo isso e muito mais você verá na Conferência Gartner Segurança e Gestão de Risco que acontece dias 14 e 15 de agosto no WTC Sheraton em São Paulo.

 

Convido você a participar ! #GartnerSEC

 

Te vejo lá!

 

Augusto Barros

VP de Pesquisas do Gartner

Chairman da Conferência

 

 

Voltar para o Topo

Tenha as respostas para seus principais desafios.