Especialistas apontam como evoluir as operações de Segurança e romper com paradigmas de SOC
O Diretor de Cyber Defense da Scunna, Ricardo Dastis, mediou na terça-feira (15), durante o Mind The Sec 2020, o painel “SecOps – Casos de Uso para Eficiência em SI” -, com o CISO do Magazine Luiza, Bruno Motta Rego, e o Head de Cyber Security do Serpro, Tiago Iahn. Os especialistas defenderam a necessidade de automação da operação de Segurança, a capacitação dos profissionais, bem como a integração dos times de SI com outras áreas da empresa e o foco no desenvolvimento do negócio.
Dastis iniciou o painel apresentando o case de transformação digital do Magazine Luiza, que de acordo com o ranking da BrandZ Brasil, é a marca mais valiosa do varejo brasileiro. É uma empresa que no segundo trimestre de 2020, em plena pandemia, teve um crescimento de 49% em vendas em relação ao mesmo período do ano passado, tendo apresentado uma expansão de 182% na sua operação digital. Ele questionou Bruno sobre o desafio do CISO em atuar com foco no negócio e na inovação diante dessa transformação digital, e como gerenciar o impasse com relação às atividades operacionais. “A Magalu é uma empresa com 63 anos, que tem apresentado resultados impressionantes. Adquiriu seis empresas nesse ano, que se somam agora a esse ecossistema. Sem dúvida, os desafios são grandes, temos de ser estratégicos para tentar reduzir a superfície de ataques e aumentar a visibilidade sobre todos esses ambientes. O desafio é fazer a segurança em escala, de uma forma mais racional. Talvez não se tenha visibilidade de tudo, mas estamos protegendo o que é ativo crítico: o processo de negócio”, enfatizou ele.
Referência na área pública, Dastis destacou que o Serpro é a maior empresa de tecnologia da informação do mundo. Fundada há 56 anos, e, que, naturalmente, também deve enfrentar desafios de segurança justamente pela relevância e abrangência. “Tiago, quando falamos de cloud computing para órgãos públicos, LGPD, e o próprio case do Portal Transparência, imaginamos a quantidade de eventos e dados armazenados e monitorados por vocês. Como funciona a área de Segurança no dia a dia?”, questionou ele.
Tiago reiterou a relevância do Serpro no país, destacando o fato de que a empresa prioriza a questão de segurança e atua com especialistas em diversos nichos. “Nós acreditamos nesse modelo de especialistas por nichos. Também temos o SOC, o desafio é diário. Tentar ver tudo parece impossível, no entanto, uma questão que mudou bastante diz respeito à automação. Nesse sentido, percebemos que precisamos contar com um time de segurança que agregue valor e isso, felizmente, nós temos na nossa equipe. Pessoas comprometidas em analisar a demanda, transformar, mexer em uma arquitetura, repensar aquela situação e mudar alguma coisa se necessário”, disse ele, reforçando a necessidade de talentos que diante dos desafios pensem a segurança como um todo.
Ao propor a reflexão sobre o gargalo em segurança com relação às atividades operacionais, que muitas vezes dispensam tempo e equipe, Dastis questionou como desonerar o CISO dessas questões, para que ele possa dar foco no negócio e nos processos de inovação, e deixar a operação de segurança mais automatizada.
Nesse sentido, Bruno revela que quando se está vivendo esse modelo de operação manual, pode-se deixar de “olhar o risco”, alertando para o fato de que um dos maiores desafios é quando o gestor não sabe os riscos de segurança da sua empresa. “Dessa forma, como direcionar esforços para tentar mitigar esses riscos? Nesse momento de pandemia, por exemplo, muitos executivos estão distantes da segurança digital, pois estão priorizando a sobrevivência de seus negócios. Quando se está no operacional, dependendo do nível de maturidade da empresa, você tem de dar visibilidade para o executivo para que algumas decisões sejam tomadas no sentido de resolver os problemas do dia a dia”, disse ele, enfatizando questões estratégicas.
“Eu, por exemplo, gosto da abordagem de segurança baseada em risco. Processos baseados em riscos, mas para chegar lá temos de passar por todo o operacional. Logo, sem desenvolvimento, talento, ou visão estratégica de qual foco vamos dar, não conseguimos atuar com esses itens operacionais e fazer a segurança em escala”, assegurou.
No que se refere à estrutura de pessoal, outro dilema enfrentado no mercado é a escassez de profissionais capacitados. Tiago avalia que antes mesmo de chegar nesse ponto é importante reconhecer o talento “artesanal” das pessoas do time, lembrando que as equipes de segurança atuam não só com ferramentas, mas conhecimento e habilidades. “É preciso conscientizar as pessoas mostrando o risco real e atentar as pessoas para a exploração das vulnerabilidades que geram os riscos dentro da empresa”, defendeu ele, destacando a importância de profissionais habilitados nesses quesitos.
Questionado por um convidado sobre o processo de reação e resposta a incidentes nas suas empresas, Tiago revelou sua posição contrária à maioria quanto à segurança dos dados em nuvem. “Tem muita gente que prega que na nuvem é tudo diferente, mas para mim não é. Eu sinto que os aspectos principais, tratamento de incidentes, foco em risco, a questão de prevenção e monitoração de segurança, elas seguem os mesmos aspectos. Não precisa fazer tudo diferente, o perímetro do CISO mudou. Algumas ferramentas e visões precisam ser implementadas sim, mas não precisamos mudar tudo”, defendeu.
Assista ao Painel