Nuvem, IoT, Blockchain e IA desafiarão profissionais de segurança cibernética em 2018
São Paulo,SP--(DINO - 01 fev, 2018) - Leonardo Lemes Fagundes
Os primeiros dias de janeiro foram de uma tensão inesperada por conta da divulgação das vulnerabilidades as quais estão suscetíveis os processadores Intel, AMD e ARM. Contudo, estamos apenas no início de um ano cujo desenvolvimento da economia de dados, o aumento do risco de ataques cibernéticos em massa, a transformação dos processos operacionais, dos modelos de negócios e das experiências dos clientes contribuem para um cenário desafiador para os profissionais de segurança cibernética.
A seguir alguns aspectos que já não são mais novidades, mas que talvez ainda não estejam devidamente endereçados pelas estratégias de segurança de algumas organizações.
Computação em Nuvem. Na jornada sem volta rumo a nuvem é imperativo que os riscos de segurança da informação sejam considerados desde o começo do projeto. Desenhar soluções em nuvem que não contemplem aspectos de segurança é uma irresponsabilidade que provavelmente terá consequências a curto prazo. Ao definir o modelo de serviço (IAAS, PAAS ou SAAS) é preciso ter clareza a respeito de quem é a responsabilidade pela proteção dos ativos e quais os mecanismos de segurança que precisam ser implementados. Quando uma empresa adota o modelo de SAAS cabe ao provedor do serviço a proteção de todos os ativos, exceto os próprios dados. Então, cabe à organização definir a estratégia para proteção dos seus dados que agora estão na nuvem do provedor A ou B.
Se a sua organização ainda "não foi para nuvem" esse é um ótimo motivo para se preocupar com os sistemas que estão na nuvem. Pode parecer confuso, mas não para quem já está acostumado com o termo Shadow IT. Tão arriscado quanto pensar uma estratégia de migração para nuvem sem contemplar segurança é fazer vistas grossas para os diversos aplicativos e soluções em nuvem, que são utilizadas por diversos departamentos da organização ainda que sem o consentimento ou gestão das áreas de TI e/ou Segurança da Informação. Quais os dados da sua empresa estão sendo armazenados e compartilhados na nuvem nesse momento? Quantos registros de reuniões, documentos e informações da sua organização estão nesse momento armazenados fora dos seus domínios? Com quem estão sendo compartilhados?
Internet das Coisas. Em especial, nos últimos dois anos temos presenciado ataques de negação de serviços de grande volume e que são realizados a partir do sequestro de dispositivos vulneráveis que estão conectados à Internet. Com a popularização das casas inteligentes os criminosos terão uma gama ainda maior de dispositivos que facilmente poderão ser sequestrados para fazer parte de grandes redes dedicadas a ataques massivos. A Indústria 4.0 também deve representar uma ótima oportunidade para os atacantes que poderão se valer da exposição dos sistemas ciber-físicos tanto para sequestrá-los quanto para comprometer o processo de produção das indústrias.
Casas inteligentes, a indústria 4.0 e de forma mais ampla as cidades inteligentes impõem diversos desafios para garantia da segurança e da privacidade de dados dos cidadãos. Cabe às empresas que desenvolvem esses dispositivos desenvolver e amadurecer práticas de segurança ao longo de todo o ciclo de vida desses produtos. O Security by Design é parte da solução, mas então porque ainda temos tantos dispositivos vulneráveis e sem atualizações de segurança disponíveis?
Blockchain. Certamente continuaremos observando incidentes relacionados com invasão de servidores e distribuição de aplicativos para mineração de bitcoins, contudo a aplicação do blockchain vai além das criptomoedas. O potencial do blockchain para revolucionar a gestão da cadeia de suprimento é inegável e os grandes fabricantes estão desenvolvendo esse mercado. Porém junto com as oportunidades o blockchain trás riscos que precisam ser avaliados pelas organizações.
Para alguns pesquisadores, cyber supply chain risk management é uma nova disciplina que combina elementos de segurança cibernética, gestão da cadeia de suprimentos e gestão de riscos corporativos para formar uma abordagem que controla e monitora a toda a cadeia de suprimentos de ponta a ponta. Com a revolução que se espera com a adoção do blockchain ficam algumas questões, entre elas: o quanto o blockchain torna a cadeia de suprimentos mais (in)segura? quais os novos riscos?
Inteligência Artificial (IA). Enquanto a indústria de segurança cibernética tem empregado a IA para aumentar a capacidade de identificação de ataques, reduzir o tempo de resposta e aperfeiçoar os mecanismos de defesa, os atacantes usarão a IA para aprender sobre os mecanismos de defesa, superá-los e, assim, realizar ataques ainda mais sofisticados. Esse é um prognóstico comum entre os especialistas, mas algumas perguntas estão em aberto, por exemplo: qual a capacidade de um malware dotado de inteligência artificial? Os mecanismos de proteção atuais serão capazes de detê-los?
Educação e Capacitação. Educar e capacitar são atividades correlatas, porém distintas, embora demandem da mesma maneira investimentos e estratégia. Aquelas organizações que investiram pesado em soluções e deixaram de investir nas pessoas, têm aprendido essa lição da pior maneira possível. Contudo, já se pode observar um aumento no investimento dedicado a campanhas de conscientização, embora muitas empresas ainda estejam ligadas a modelos de eficácia questionável como, por exemplo, reduzir essas campanhas a divulgação de cartilha de segurança e palestras. A estratégia para desenvolver uma cultura de segurança da informação é algo que precisa ser aprimorado.
No que tange a capacitação, as universidades brasileiras precisam assumir o seu papel, não apenas com programas de especialização, mas com cursos de graduação em segurança da informação e defesa cibernética. É importante ressaltar que não apenas as universidades têm a responsabilidade pela formação desses profissionais, mas também o governo e a iniciativa privada. As ameaças tornarão a tarefa de garantir a segurança digital uma atividade cada vez mais desafiadora nos próximos anos e a sociedade precisará contar com profissionais preparados para dar as soluções exigidas.
Leonardo Lemes Fagundes é Sócio e Diretor de Segurança Cibernética na Service IT Security
Website: http://www.service.com.br/
Os primeiros dias de janeiro foram de uma tensão inesperada por conta da divulgação das vulnerabilidades as quais estão suscetíveis os processadores Intel, AMD e ARM. Contudo, estamos apenas no início de um ano cujo desenvolvimento da economia de dados, o aumento do risco de ataques cibernéticos em massa, a transformação dos processos operacionais, dos modelos de negócios e das experiências dos clientes contribuem para um cenário desafiador para os profissionais de segurança cibernética.
A seguir alguns aspectos que já não são mais novidades, mas que talvez ainda não estejam devidamente endereçados pelas estratégias de segurança de algumas organizações.
Computação em Nuvem. Na jornada sem volta rumo a nuvem é imperativo que os riscos de segurança da informação sejam considerados desde o começo do projeto. Desenhar soluções em nuvem que não contemplem aspectos de segurança é uma irresponsabilidade que provavelmente terá consequências a curto prazo. Ao definir o modelo de serviço (IAAS, PAAS ou SAAS) é preciso ter clareza a respeito de quem é a responsabilidade pela proteção dos ativos e quais os mecanismos de segurança que precisam ser implementados. Quando uma empresa adota o modelo de SAAS cabe ao provedor do serviço a proteção de todos os ativos, exceto os próprios dados. Então, cabe à organização definir a estratégia para proteção dos seus dados que agora estão na nuvem do provedor A ou B.
Se a sua organização ainda "não foi para nuvem" esse é um ótimo motivo para se preocupar com os sistemas que estão na nuvem. Pode parecer confuso, mas não para quem já está acostumado com o termo Shadow IT. Tão arriscado quanto pensar uma estratégia de migração para nuvem sem contemplar segurança é fazer vistas grossas para os diversos aplicativos e soluções em nuvem, que são utilizadas por diversos departamentos da organização ainda que sem o consentimento ou gestão das áreas de TI e/ou Segurança da Informação. Quais os dados da sua empresa estão sendo armazenados e compartilhados na nuvem nesse momento? Quantos registros de reuniões, documentos e informações da sua organização estão nesse momento armazenados fora dos seus domínios? Com quem estão sendo compartilhados?
Internet das Coisas. Em especial, nos últimos dois anos temos presenciado ataques de negação de serviços de grande volume e que são realizados a partir do sequestro de dispositivos vulneráveis que estão conectados à Internet. Com a popularização das casas inteligentes os criminosos terão uma gama ainda maior de dispositivos que facilmente poderão ser sequestrados para fazer parte de grandes redes dedicadas a ataques massivos. A Indústria 4.0 também deve representar uma ótima oportunidade para os atacantes que poderão se valer da exposição dos sistemas ciber-físicos tanto para sequestrá-los quanto para comprometer o processo de produção das indústrias.
Casas inteligentes, a indústria 4.0 e de forma mais ampla as cidades inteligentes impõem diversos desafios para garantia da segurança e da privacidade de dados dos cidadãos. Cabe às empresas que desenvolvem esses dispositivos desenvolver e amadurecer práticas de segurança ao longo de todo o ciclo de vida desses produtos. O Security by Design é parte da solução, mas então porque ainda temos tantos dispositivos vulneráveis e sem atualizações de segurança disponíveis?
Blockchain. Certamente continuaremos observando incidentes relacionados com invasão de servidores e distribuição de aplicativos para mineração de bitcoins, contudo a aplicação do blockchain vai além das criptomoedas. O potencial do blockchain para revolucionar a gestão da cadeia de suprimento é inegável e os grandes fabricantes estão desenvolvendo esse mercado. Porém junto com as oportunidades o blockchain trás riscos que precisam ser avaliados pelas organizações.
Para alguns pesquisadores, cyber supply chain risk management é uma nova disciplina que combina elementos de segurança cibernética, gestão da cadeia de suprimentos e gestão de riscos corporativos para formar uma abordagem que controla e monitora a toda a cadeia de suprimentos de ponta a ponta. Com a revolução que se espera com a adoção do blockchain ficam algumas questões, entre elas: o quanto o blockchain torna a cadeia de suprimentos mais (in)segura? quais os novos riscos?
Inteligência Artificial (IA). Enquanto a indústria de segurança cibernética tem empregado a IA para aumentar a capacidade de identificação de ataques, reduzir o tempo de resposta e aperfeiçoar os mecanismos de defesa, os atacantes usarão a IA para aprender sobre os mecanismos de defesa, superá-los e, assim, realizar ataques ainda mais sofisticados. Esse é um prognóstico comum entre os especialistas, mas algumas perguntas estão em aberto, por exemplo: qual a capacidade de um malware dotado de inteligência artificial? Os mecanismos de proteção atuais serão capazes de detê-los?
Educação e Capacitação. Educar e capacitar são atividades correlatas, porém distintas, embora demandem da mesma maneira investimentos e estratégia. Aquelas organizações que investiram pesado em soluções e deixaram de investir nas pessoas, têm aprendido essa lição da pior maneira possível. Contudo, já se pode observar um aumento no investimento dedicado a campanhas de conscientização, embora muitas empresas ainda estejam ligadas a modelos de eficácia questionável como, por exemplo, reduzir essas campanhas a divulgação de cartilha de segurança e palestras. A estratégia para desenvolver uma cultura de segurança da informação é algo que precisa ser aprimorado.
No que tange a capacitação, as universidades brasileiras precisam assumir o seu papel, não apenas com programas de especialização, mas com cursos de graduação em segurança da informação e defesa cibernética. É importante ressaltar que não apenas as universidades têm a responsabilidade pela formação desses profissionais, mas também o governo e a iniciativa privada. As ameaças tornarão a tarefa de garantir a segurança digital uma atividade cada vez mais desafiadora nos próximos anos e a sociedade precisará contar com profissionais preparados para dar as soluções exigidas.
Leonardo Lemes Fagundes é Sócio e Diretor de Segurança Cibernética na Service IT Security
Website: http://www.service.com.br/