CISOs compartilham experiências sobre o papel da segurança no processo de inovação

A TVDecision promoveu nessa quarta-feira (22) uma mesa redonda com o tema “Nada é proibido quando o assunto é transformação do negócio? Qual é o papel da Segurança nesse processo de inovação?”. Com mediação da jornalista Conteúdo Editorial Graça Sermound, CISOs de diversas áreas de negócios compartilharam experiências sobre o papel da segurança no processo de inovação. O evento foi realizado pela Conteúdo Editorial, com oferecimento da McAfee e Scunna e apoio do Security Report.

 

Provocados pela mediadora, os painelistas iniciaram a Mesa Redonda respondendo sobre a questão inicial – nada é proibido quando o assunto é transformação do negócio? Vitor Sena da Gerdau destacou que o cenário atual proporciona mais flexibilidade, no entanto, considerou a importância de unidades mínimas de controle para que possíveis riscos não inviabilizem os negócios. “Há 15 anos a Segurança da Informação era vista de outra forma e a transformação digital era outra entidade. Hoje tivemos de nos reinventar. A inovação traz um ponto de agilidade, de mais flexibilidade, de testar coisas novas. E, nesse sentido, não podemos nos posicionar como uma parede. Nós comentamos em fóruns internos nossos, inclusive, que a Segurança da Informação precisa ser uma ponte, conectar os pontos de maneira segura, pois os órgãos de controles precisam ser respeitados”, destacou.

 

Nesse sentido, Marcos Donner do Agibank ressaltou a busca pelo equilíbrio como premissa básica quando se fala em transformação. “Concordo com o Vitor quando se fala em unidades de controle que não podemos abrir mão. Estamos falando por exemplo em aspecto de nuvem, em múltiplos repositórios, controles básicos que as áreas de negócios, produtos e canais vão ter de se adaptar para poder operar dentro desses controles. Nesse cenário, inclusive, representando o setor financeiro, Alexandre Vieira, do Banrisul, destacou os desafios e regras para essa mudança. “Os bancos estão se adequando agora ao Open Banking, que está chegando em novembro, e o papel do gestor de Segurança dentro desse processo de transformação digital e frente às resoluções mais rigorosas, como a Bacen 4658, e também LGPD, é de equalizar isso com as necessidades de negócios. Sabemos que o papel da SI é muito importante e temos de garantir que aquele serviço inovador esteja funcionando mesmo sob um ataque; temos de ter ferramentas sofisticadas de segurança, questões mínimas de políticas de segurança que precisam ser aplicadas e como equilibrar esses controles com a inovação? Logo, considero muito importante que o gestor de segurança tenha mecanismos para poder flexibilizar – e essa é a questão: como garantir segurança mínima diante de um serviço inovador?”.

 

Desta forma, Alexandre defende que uma das questões-chave é a visibilidade da infraestrutura. “A área de segurança tem de ter ferramentas que consigam oferecer uma lupa maior, muitas vezes com Inteligência Artificial, e não ter margem para ataque. Para ter esse ambiente inovador e a segurança necessária para mitigar a flexibilização, vejo muito a necessidade da visibilidade do gestor”.

 

Graça questionou os painelistas até que ponto a segurança pode colaborar com a área de negócios. Nesse aspecto, Dani Berno, do Grupo RBS, disse que pode existir um negócio inseguro, mas não pode existir segurança sem um negócio. “Nesse ponto a segurança mais tradicional, que barra tudo, não é mais possível. Hoje em dia, pela dinâmica e desafios do negócio, é preciso deixar as áreas de desenvolvimento de produtos focadas nisso, e não na segurança. As áreas de produto vão na frente, digamos assim, e a de segurança corre atrás, ajustando as coisas da melhor maneira possível, colaborando com as diferentes áreas”.

 

Já Marcelo Miola, do grupo Boticário, considerou que nem tudo é permitido no processo de inovação. “Somos obrigados a cumprir as regulamentações de mercado, regras internas das empresas, valores morais e éticos. Acho que desde que não se esbarre nesses pilares, as coisas são permitidas. Em um segundo momento, eu vejo essa questão de que a segurança é problema dos outros, como se eu pudesse alegar que desconheço as leis. Eu, como profissional de segurança, não posso alegar imprudência ou imperícia. Acho que o primeiro papel do profissional de segurança é ajudar na condução de mostrar a visão de um risco, eventualmente, até mesmo que um produto seja mau visto. E quando se fala, por exemplo, do papel de um Security Champion, é quase como alguém na área de negócios que consiga levar essa palavra como um evangelizador, mas não alguém que vá obrigar você a seguir algum padrão ou comportamento”.  Miola ressaltou o papel desse profissional hoje como alguém que faz a interface entre as áreas de segurança e negócios e consiga traduzi-la. “É preciso pensar no desenvolvimento e na descentralização da segurança. A segurança tem o papel de educação muito forte”, ressaltou.

 

Shadow IT x Bright IT – como a segurança pode ser mais flexível diante das demandas do negócio?

 

O Diretor de Cyber Defense da Scunna Ricardo Dastis, questionado por Graça Sermound sobre ter usado a expressão “Shadow IT vs. Bright IT”, revelou que o jogo de palavras criado por ele foi uma provocação, uma vez que o profissional de SI tradicionalmente via essa questão de Shadow IT como algo que devia ser combatido. Hoje, segundo Dastis, esse modelo vem sendo pensado de forma diferente. “Nós na Scunna convivemos com clientes, por exemplo, que possuem maturidade e rigorosos controles de segurança. Por outro lado, percebemos que dentro do processo de transformação digital e de inovação o uso de aplicações não sancionadas pelo processo tradicional de TI, bem como ambientes absolutamente heterogêneos, desde devices a plataformas diversas, buckets em nuvem etc. são não apenas tolerados, mas são de certa forma autorizados pela alta-administração. Então daí me surgiu a expressão “Bright IT”, pois o uso de tecnologias alternativas às tradicionais da corporação deixou de ser feito às sombras e passou a ser feito à luz do dia”, explicou.

 

Desta forma, Dastis destaca que talvez o grande dilema dos profissionais de segurança seja encontrar o equilíbrio com abordagens de risco de uma forma inteligente, que permita dar a visibilidade para fora da área de SI e TI, ou seja, para os gestores de negócios e executivos da empresa. “Esse dilema, o equilíbrio da balança, a forma como o profissional de segurança atua talvez seja o grande desafio. Acredito que só haja um caminho de se fazer isso, que já foi falada aqui: monitoração contínua, visibilidade, gestão de risco e descentralização da segurança. Ou seja, nós profissionais de SI implantarmos instrumentos, controles, mas não apenas controles restritivos – e que bloqueiem -, mas controles que permitam a monitoração e visibilidade a respeito dos riscos. E, sobretudo, de governança de segurança da informação aplicada a esse mundo moderno. Acho que esse é o novo protagonismo que a SI ou segurança digital precisa exercer nesse momento”.

 

Segurança em nuvem: caminho ou obstáculo

O Sales Engineer da McAfee, Evandro Rodrigues, trouxe ao debate um dado do Fórum Econômico Mundial, com a estimativa de que em 2020 o mundo perderia três trilhões de dólares em crimes cibernéticos. Entre os setores mais afetados estaria o financeiro. Segundo ele, agora com adoção de nuvem se torna mais fácil que esses dados se concretizem, sobretudo diante desse cenário que vivemos de pandemia. “A nuvem faz parte dos negócios e até as empresas mais conservadoras estão adotando, pois é uma nova maneira de se fazer negócio. Entretanto, a nuvem aumenta consideravelmente a superfície de ataque que  possuímos. É importante aderir aos controles de segurança aplicado quando da adoção da nuvem. O próprio desenvolvimento de negócio atrelado à segurança é importante. E nesse sentido o papel de Security Champion é fundamental. Além disso, hoje, nós temos a capacidade de empregar tecnologia para apoiar todas essas frentes, com visibilidade e segurança, não só em nuvem, mas de desenvolvimento de negócio. É fundamental para que não tenhamos tantos riscos quanto teríamos sem segurança empregada”, destacou.

 

Como buscar a inovação com segurança

 

Para Luciana Talmelli, do Banco Safra, o grande desafio é a parceria de outras áreas com a segurança. “Atualmente a área de segurança tem de participar desde o início do processo de desenvolvimento do produto, hoje já se vê isso em laboratórios de inovação nas empresas. Acredito que temos de ter desenvolvimento dos produtos com os pontos de segurança e o monitoramento também é essencial”.

 

Já André Tritapepe, da Braskem, ressaltou que o papel de qualquer líder de segurança é muito desafiador. “Há um tempo era visto como um centro de controle, onde o ‘não’ imperava, e hoje temos de nos reinventar a cada dia. Agora o papel de um Security Champion é de multiplicador, sobretudo, porque é humanamente impossível o profissional de segurança estar presente em todas as áreas. O desafio de hoje na cadeira de CISO é manter o núcleo duro e entender e disseminar o conhecimento, mas ao mesmo tempo conseguir, dentro dos squads, multiplicar”, disse ele.

 

Outro fator destacado pelo painelista Fabrício Dhein, da AESC, mantenedora do do Hospital Mãe de Deus, é a questão da empatia, mas uma “empatia com responsabilidade”. “Já falamos aqui de controles, mas não podemos esquecer que a nossa existência é voltada ao cliente, ao usuário final. Nós desenvolvemos coisas tão complexas, mas que muitas vezes acaba inviabilizando ou dificultando a vida dos usuários. E nesse sentido, quanto mais conseguirmos trazer esse time de segurança para dentro do negócio e entender o usuário, conseguiremos dar essa virada de chave e as empresas terão sucesso”, disse ele.

 

Na mesma perspectiva, Gustavo Gaidzinski, da Angeloni, defende que a tecnologia está aí para desburocratizar muitas coisas. “Por isso, aposto na automação. Porque é uma ferramenta mais rápida e inteligente que nós. E esse ano conseguimos recriar situações junto às áreas de negócios facilitando a nossa vida interna e de clientes com isso”.

 

Dessa forma, também, Sabrina Costa, da InBetta, segue a posição de que a automatização se faz presente para buscar a inovação. “Acredito que temos de estar com esse olhar na questão de segurança, sobretudo, com os ataques e fragilidades com os quais estamos convivendo durante a pandemia. Temos um comitê para isso, mas as coisas eram mais lentas e a também LGPD trouxe essa necessidade da segurança estar dentro das inovações”.

 

Diante de tudo que foi exposto, Ioquir Sotile, da Celepar, defendeu também que a equipe de segurança precisa evangelizar quem vai vender, desenvolver o produto e consiga concluir o processo com sucesso.

 

Ao final do encontro, Dastis falou que existe esse paradigma da segurança – em que as áreas da SI são responsáveis por entregar a segurança dos processos. “Não nos isentando de boa parte dessa responsabilidade, mas pegando aqui o gancho de várias palavras-chave de hoje, acho que é fundamental que o CISO possua ferramentas avançadas de monitoração, de correlação de eventos, de orquestração e automação etc., de forma a liberar as pessoas a exercerem o papel de evangelizadores, do uso empatia com responsabilidade, de gestores de risco. Para que o CISO possa liberar sua força de trabalho para atividades de fato junto com as áreas de negócio. E, se o risco eventualmente for aceito, que seja uma decisão consciente, com que as áreas responsáveis entendendo e aceitando o risco, de forma que as decisões sejam baseadas em fatos e dados, e não surpresas futuras”, concluiu.