Ameaças internas são as mais perigosas, diz executivo da RSA

São Paulo - Uma das mais tradicionais empresas no ramo de segurança , a RSA não saiu ilesa de todo o escândalo de espionagem revelado por Edward Snowden .

A companhia foi acusada de colaborar, de certa forma, com a agência de segurança dos EUA, a NSA, utilizando em suas ferramentas uma tecnologia desenvolvida pelas autoridades – e que facilitava, por meio de backdoors, o acesso de agentes aos dados supostamente protegidos.

O trabalho para limpar ao menos um pouco a imagem da marca foi extenso, e envolveu o CEO da RSA negando o suposto acordo de 10 milhões de dólares e explicando como, de fato, funcionava o trabalho conjunto entre as duas partes – algo como uma relação de confiança.

As justificativas foram dadas em fevereiro, durante a RSA Conference, evento em que especialistas de dentro e de fora da empresa se reúnem para discutir avanços e o futuro da segurança – outro tópico em alta recentemente.

Para falar especialmente desses dois temas, INFO conversou com Mike Brown, vice-presidente e gerente geral do setor público global da RSA. O especialista em criptografia está na companhia há quase dois anos e meio, e antes passou mais de três décadas entre a Marinha norte-americana (onde foi criptologista, entre outros cargos) e o Departamento de Segurança Nacional, onde atuou na diretoria de cibersegurança.

Profissional gabaritado, Brown contou o que mudou na indústria após os vazamentos de Snowden e explicou o que espera para o futuro da área. Confira a conversa a seguir.

Você está há quase dois anos e meio na RSA, e viu de perto todo o escândalo de espionagem que se deu a partir de junho de 2013. Para começar, então: nesse tempo em que está envolvido nela, que mudanças na mentalidade da indústria você viu, levando em conta tudo isso?

Duas coisas, principalmente. A primeira foi o reconhecimento por parte de companhias e outras organizações (inclusive governos) de que a ameaça interna pode representar um risco maior às entidades do que atividades maliciosas vindas de fora. Então, o que se viu foi um aumento do desejo de ter um controle verdadeiro de acesso e de identificação, para que mesmo indivíduos de dentro da organização não tenham acesso a todas as informações. A outra coisa foi uma queda na confiança entre indústria e governo norte-americano – e não falo só da indústria focada em segurança, mas a de tecnologia mesmo. Acho que isso foi provocado pelo fato de que não houve transparência suficiente em relação ao que as autoridades estavam fazendo, por que estavam fazendo e como se certificavam de que a privacidade e os direitos e liberdades civis estavam sendo respeitados. Em suma, isso criou uma tensão entre os dois lados, e é parte do que vi acontecer no decorrer do ano.

A RSA esteve envolvida em pelo menos um escândalo no meio de tudo isso, que só se resolveu, de certa forma, em fevereiro deste ano. Como a empresa reagiu?

Na minha visão, fizemos um trabalho fenomenal tentando dar o nível certo de informação e de fatos. Na RSA Conference, durante a keynote de Art [Arthur W. Coviello, CEO da RSA], falamos sobre o que fizemos como companhia e, basicamente, acreditamos que é preciso haver prioridades. E não só pelo governo americano, mas também por governos como um todo e pela indústria. Isso retoma a ideia de certo grau de transparência e responsabilidade, de forma que todos entendam o que está acontecendo e quem está sendo apoiado. Creio que isso tenha sido bem articulado por Art e que tivemos bastante apoio na indústria e no governo, assegurando que haja a transparência apropriada quando autoridades trabalham com empresas e com o setor privado.

Mudando de assunto, ouvimos de um dos principais executivos da Norton que os antivírus estão mortos, e toda uma discussão foi criada em torno disso. Afinal, as ferramentas de segurança tradicionais ainda são suficientes?

Os produtos que são empregados por nós aqui na RSA, aliados à estratégia que adotamos, são o reconhecimento de que as tecnologias existentes antes, [voltadas para “proteger um perímetro”], não são suficientes para ir contra as atuais ameaças, ou mesmo se adaptar às mudanças que tanto ocorrem no ramo. Muito já foi feito por empresas e por governos, mas é reconhecido que os velhos sistemas não são mais suficientes. Você precisa ser capaz de reconhecer os autores das ameaças – quaisquer que sejam as intenções– e bloquear o acesso deles a uma rede de informações. Ou seja, é preciso que as atividades maliciosas sejam descobertas cedo o suficiente para que sejam prevenidas. E é essa a estratégia que empregamos: tentamos entender de onde as ameaças estão vindo, combinando isso com os riscos que elas representam aos negócios.

E em que tipos de soluções a RSA está trabalhando para acompanhar a estratégia traçada?

O principal ponto da estratégia está no nosso Centro Avançado de Operações de Segurança, construído em torno do produto que chamamos de Security Analytics [de certa forma, analisa tráfego de dados, como explicado aqui]. Esta solução mostra o quanto é essencial ser capaz de usar o big data a seu favor, tendo acesso a muitos tipos diferentes de dados para reconhecer o que há lá fora. Quando falamos do conceito de Intelligence Driven Security [segurança movida à inteligência, em tradução livre], é preciso ser capaz de entender riscos e tirar vantagem de informações que dispomos sobre as ameaças. Isso tudo está na nossa central, funcionando junto de uma engine de gerenciamento de risco, o Archer, que assegura que os controles apropriados estejam posicionados.

Com isso, criamos essa postura de Security Intelligence que é muito diferente das medidas tomadas no passado, baseadas na ideia de se delimitar um perímetro. Eram soluções como firewall, sistemas de detecção e prevenção de intrusos, tudo que operava sobre a velha ideia de que já tínhamos visto os impactos causados por uma infecção ou por uma atividade maliciosa. Você só pré-programava essas ferramentas para reconhecer o que já aconteceu. Mas um autor mais sofisticado reconhece aquilo e usa técnicas e procedimentos diferentes, não tão facilmente identificáveis por esses sistemas baseados em assinaturas – e é aí que nossa estratégia, envolvendo o Security Analytics, o Archer, o Silvertail e o SecureID, funciona.

Como você vê, então, o futuro da segurança na tecnologia?

A indústria da segurança está indo exatamente na direção que eu mencionei, de Intelligence Driven Security. A expectativa é que o big seja usado de forma mais extensiva, estando acessível e disponível a empresas e organizações, inclusive governos; a nuvem seja cada vez mais utilizada; e a mobilidade seja reconhecida como algo ainda mais crítico. Só de colocar tudo isso junto, nós já conseguimos ver que a defesa de um perímetro não é suficiente, e que você precisa ser capaz de reconhecer o que é importante para seu negócio e para o atacante. Ou seja, seguir o modelo de segurança movida à inteligência, que balanceia o risco com as informações das ameaças e com os controles apropriados.