Edward Snowden: o caso serviu muito mais como um “wake-up call” para empresas (AFP)
Da Redação
Publicado em 14 de setembro de 2014 às 12h51.
A popularização de novos recursos tecnológicos não foi benéfica apenas para os negócios. Cibercriminosos também se aproveitaram dela, e hoje já conseguem atacar empresas mesmo estando há milhares de quilômetros de distância. Foi essa conclusão tirada, em entrevista dada a INFO, por Jack L. Johnson, líder global em Segurança da Informação da gigante prestadora de serviços PwC (ou PriceWaterhouseCoopers, como ainda é conhecida).
O executivo chegou a terras brasileiras nesta última semana para “compartilhar experiências” e “trazer conhecimento e novas perspectivas na área de cibersegurança”. Ex-funcionário do governo norte-americano, onde atuou como CSO no Departamento de Segurança Nacional, Johnson ainda não teve muito tempo para conhecer o Brasil a fundo, mas já destacou a “ótima posição do país em uma perspectiva global e econômica”.
No entanto, também deixou um alerta: “[essa posição de destaque] também faz com que vocês sejam um alvo muito atraente, e por isso o número de ataques a organizações daqui vai continuar crescendo”. Fora isso, na entrevista que deu a INFO junto com Edgar D’Andrea, líder em Segurança da Informação na PwC Brasil, Johnson falou um pouco mais sobre o cenário do cibercrime no mundo e o que já mudou – ou ainda precisa mudar – na atitude de governos e empresas mais de um ano após o escândalo de Snowden. Confira abaixo.
Já conversamos com um executivo da RSA sobre as mudanças que os vazamentos de Snowden provocaram na indústria de segurança. E fora dela, nos governos e em outras empresas privadas, o que aconteceu?
Jack L. Johnson: Para mim, o caso serviu muito mais como um “wake-up call” [“despertador”, de certa forma] para empresas, sejam elas do setor público ou privado, nacionais ou internacionais, alertando sobre a necessidade de proteger os próprios dados. Houve uma mudança drástica no ecossistema de negócios e no cenário de riscos só nos últimos poucos anos. E acho que isso forçou as empresas a serem muito mais proativas na forma como protegem as próprias informações e as instalações, também vetando o acesso de funcionários para se proteger de ameaças internas. Muitas outras medidas de segurança estão agora na “fileira da frente” para várias organizações, sejam elas governamentais ou comerciais.
Edgar D’Andrea: Por aqui, não tenho detalhes, mas o governo está fazendo algo e sinto que todas as agências, ministérios e governos estaduais ficaram mais preocupados com o assunto – e por isso estão investindo em segurança da informação. Mais do que proteger as informações, eles provavelmente começaram a tomar mais cuidado com elas, o que é uma diferença enorme – e é isso que Jack chama de “wake-up call”. Todo mundo está mais esperto, mais preocupado em tomar conta dos próprios dados, especialmente os confidenciais – e, novamente, isso vale tanto para o setor público quanto para o privado.
Que tipos de mudanças de comportamento vocês destacariam nessa transformação toda?
Johnson: Primeiro de tudo, organizações agora têm a necessidade de ser proativas na hora de avaliar a própria postura em relação à cibersegurança e entender que o cenário mudou. Explicando melhor: o número de ameaças, vulnerabilidades e vetores de ataques que vemos hoje mirando no setor público e organizações comerciais começou a crescer mais e mais diariamente. Então as empresas precisam agora entender e identificar quais são suas “joias da coroa” e dar prioridade a elas, porque não há forma de proteger tudo de toda ameaça em potencial.
E elas também têm que entender que o cenário de riscos está ficando muito mais complexo a cada dia – e com diferentes unidades de negócios se conectando e se relacionado de alguma forma, é importante manter a visão de um “todo”, e não focar em um setor específico. Porque é assim que os invasores vão agir: eles vão procurar por qualquer forma de explorar falhas no sistema e ganhar acesso a ele, não importando por onde eles vão entrar.
A última edição da pesquisa anual da PwC, a Global State of Information Security, mostra que o número de ataques pelo mundo cresceu e muito – e esse número não dá indícios de que vai parar de subir. Há explicação?
Johnson: Vamos olhar para a infraestrutura básica dos negócios: a tecnologia é o sangue que corre nas veias dela, e está ficando mais difundida a cada dia. Os avanços na tecnologia nos últimos anos nos deixaram mais eficientes, mas também mais dependentes. E o que está acontecendo é que nossos adversários procuram ativamente por falhas e fraquezas nesse ecossistema. Isso exige um novo nível de complexidade na forma como protegemos nossos sistemas.
A pesquisa do último ano notou que o aumento nos incidentes cibernéticos ficou acima dos 25%, e eu não vejo esse número caindo tão cedo. E não só ele vai crescer: o impacto nas organizações está ficando cada vez mais alto. A perda média no último ano cresceu 18%, e os impactos atinge de propriedade intelectual a valor das ações, mostrando que a segurança hoje não é mais um custo. Segurança agora é um facilitador de negócios (“business enabler”), que precisa ser considerado para que uma organização continue viável e competitiva.
Você está no Brasil há apenas alguns dias, mas já deu para notar diferenças entre o país e os EUA, por exemplo, nesse ramo de segurança? Ou tudo está “igual”, de certa forma?
Johnson: Como a tecnologia ajuda nossos negócios a crescer, vemos mais e mais organizações tendo presença global. Então os desafios que as empresas da América do Sul veem quando passam pelo Brasil, pela Europa, pela África ou pelos EUA serão parecidos com os enfrentados por companhias norte-americanas que marcam presença nesses lugares. Precisamos entender que a conexão permitida pela nossa tecnologia também fez com que invasores viessem de diferentes partes do mundo. Então não importa mais onde eles estão. Não é como se você tivesse que se preocupar em ser roubado na saída do prédio. Alguém pode muito bem fazer um “roubo virtual” a 8 mil quilômetros de distância.
Por fim, sobre o surgimento constante de novas tecnologias: é preciso se preocupar?
Johnson: Vemos hoje uma grande pressão do mercado novos avanços, e ótimos conceitos surgem – mas muitas vezes o que temos são organizações lançando novas tecnologias antes de observar que tipos de implicações de segurança elas podem trazer. Nos EUA, por exemplo, acabamos de ver o enorme vazamento de fotos de celebridades, vindos de um provedor de serviço de armazenamento na nuvem.
Não sei os detalhes, mas é só mais um exemplo de como muitas novas tecnologias são introduzidas sem ser totalmente analisadas e avaliadas na parte de segurança, em minha opinião. Que tipos de implicações de segurança e quais fraquezas elas possuem? Acho que isso é algo que teremos que discutir e focar mais, da mesma forma que precisamos proteger toda uma organização. Conforme novas tecnologias chegarem e evoluírem, precisaremos ter certeza de que a segurança já é considerada – e não necessariamente precisará ser adicionada depois.