A cibersegurança está cada vez mais na ordem do dia das organizações mundiais. As empresas de todo o mundo têm vindo a apostar cada vez mais na segurança do seu negócio. Ataques mundiais, como o WannaCry e o Petya / NotPetya, ou falhas de segurança, como o Spectre e Meltdown, lançaram o pânico em organizações de todo o mundo.
Estes acontecimentos fizeram com que cada vez mais empresas e cidadãos tomassem conhecimento do que são as ameaças cibernéticas e quais os potenciais danos. Jorge Alcobia, CEO da Multicert, esclarece que as empresas têm prestado mais atenção à cibersegurança e na resolução do tema. Agora que as empresas têm estado mais atentas a esta temática, as organizações “não querem saber apenas que há problemas, que há vulnerabilidades. Depois vem o tema a seguir: como é que as resolvo?”. Atualmente, começam a aparecer pedidos de ofertas cada vez mais transversais por parte dos clientes, não só para acompanhar e monitorizar os incidentes, mas para ter soluções que permitam resolver de facto os problemas que aparecem no dia-a-dia das operações.
João Abreu, Business Unit Manager Security da Arrow, defende, também, que há uma crescente preocupação com a segurança.
“Há um maior awareness, não só nas empresas maiores, mas também nas PME, onde antigamente a segurança era vista como um custo e sempre descurado. Temos notado um crescimento de preocupação nesse segmento de mercado”.
Para o representante da Arrow, as empresas querem uma fotografia daquilo que existe nas suas redes e saber como podem resolver esses mesmos problemas. “Vimos um crescimento na área de serviços, continua a existir uma falta de recursos nas empresas, de conhecimento”, explica. “Há claramente um aumento de awareness por parte dos clientes, fruto dos ataques que têm acontecido”, esclarece Rui Gouveia, Channel Sales Executive da Lenovo. A segurança está na mente dos principais executivos dentro das organizações, sendo este um tema que aparece regularmente em reuniões. No caso específico da Lenovo, a empresa procura perceber como pode ajudar o utilizador através do dispositivo: como pode ajudar a proteger os dados do cliente, a identidade do utilizador, a sua presença online e o dispositivo em si.
Para Daniel Passos, Solutions & Technology Manager da Informantem, 2018 foi o ano em que trouxe a cibersegurança para a ordem do dia. “Agora vem a tendência de separar o trigo do joio: a solução efetiva, a solução que se acha que pode ser complementada”. Daniel Passos relembra que, na área da cibersegurança existem “os falsos messias, os falsos profetas” e que “nada está seguro”. Deste modo, é impossível alguém oferecer uma solução que proteja a 100% uma empresa e, explica, quem prometer uma “solução milagrosa está claramente a enganar-se a si e aos outros”.
Paulo Vieira, Sales Manager da Palo Alto Networks, defende que “2018 teve dois momentos-chave”. Um deles foi a entrada em vigor do RGPD, que colocou a segurança dos dados pessoais na ordem do dia. O outro momento-chave foi “trazer para a opinião pública a necessidade de existir uma abertura para os temas de segurança que culminou na multa ao Centro Hospitalar do Barreiro-Montijo”.
“Vemos cada vez mais as organizações a necessitar de ter velocidade e agilidade e para ter isso é impossível não ter segurança”, explica Paulo Vieira. “Estamos a virar-nos para um modelo mais app-centric, muito cloud, muito virado para a aplicação, e é preciso ter uma camada por cima disto que garanta que continuamos a fazer as coisas com o mínimo de segurança”. Já Nuno Nogueira, Diretor Pré-Venda e Gestão de Projetos na Decunify, afirma que ao longo do último ano tem existido uma crescente preocupação por parte das organizações em ter segurança em várias camadas, “em múltiplos níveis, não só como um projeto de segurança, mas para todo o negócio”.
Nuno Nogueira salienta que, no entanto, este modelo está, ainda, muito focado apenas nas grandes empresas, existindo, ainda, um mercado de PME relativamente frágil em termos de cibersegurança. O Diretor de Pré-Venda e Gestão de Projetos alerta que, por norma, as empresas olham para “o topo da pirâmide, para os ataques massivos, mas não protegem o básico, onde as portas de rede estão totalmente abertas”.
Técnicas escolhidas têm evoluído
Nuno Reis, Business Development da Ingecom, afirma que o que tem saltado mais à vista não tem sido o volume de ataques, mas sim o tipo de ataques e as técnicas escolhidas para aceder à informação das empresas. “Para além do ransomware que tem afetado o mercado, o que tem crescido é a apropriação de credenciais e alguma falha na otimização de processos dentro das organizações”. De acordo com a Ingecom, tem existido, também, uma maior procura para formar os colaboradores das organizações em termos de cibersegurança.
O CEO da WhiteHat, Nuno Mendes, explicou que 2018 ficou marcado pelos famosos data leaks e que mostrou que as “empresas gigantes não estão imunes, existiram casos severos de data leaks e de exfiltração de dados”. Para Nuno Reis, o RGPD teve um papel importante para entrar numa fase embrionária na perceção do ciber risco. “O nosso contacto direto com as PME mostra que há algum caminho ainda a percorrer”. A WhiteHat tem apostado na formação das pessoas dentro das organizações e é, também, preciso voltar ao básico daquilo que é a segurança cibernética.
Luís Maurício Martins, Infrastructure Solutions Senior Manager na Noesis, disse que “há uma necessidade grande por parte das organizações de fazerem aquilo que é o básico”. O representante da Noesis explica que a “tecnologia per si obviamente que vai ajudar a endereçar muitas questões, vai ajudar a automatizar ou agilizar um determinado tipo de coisas, mas, na prática, não vai resolver aquilo que são problemas da própria organização, que tem de olhar para os seus processos, criar ou otimizar”. João Farinha, Head of Audit da S21Sec, salientou que 2017 foi o ano do WannaCry e onde começou o boom mediático à volta da cibersegurança. “2018 também foi um ano excecional em termos de segurança, mas se calhar não pelas melhores razões”.
O ano passado teve como foco o RGPD e a privacidade dos dados, principalmente por casos como o do Facebook. O Head of Audit da S21Sec referiu, ainda, que “em Portugal, se calhar com algum atraso em relação a outros países, começamos a ver o pequeno crime a atingir as PME, mas muito focado”. Como resultado disso, é preciso pensar neste setor, uma vez que, como é sabido, o grosso do tecido empresarial português é composto por pequenas e médias empresas.
Por sua vez, Rui Barata Ribeiro, Security Leader na IBM, explicou que o mercado mundial de segurança cresceu consideravelmente e que este crescimento não está para abrandar. “Observamos quatro macrotendências, que já vêm de trás: a democratização das capacidades dos ataques, a pressão regulatória, como o RGPD, a uma falta de recursos no mercado, uma tendência que não irá melhorar, e, por fim, há uma oportunidade de fazer segurança por design”.
A resposta da indústria
“Em muitos casos, a resposta ainda depende da pessoa que está no IT, que esteja mais ou menos sensível ao tema. Não há uma
resposta transversal”, explana Jorge Alcobia. As empresas têm, por hábito, uma reação aos grandes acontecimentos de segurança cibernética e, fora desses acontecimentos, por hábito apostam menos em cibersegurança.
Para João Abreu, da Arrow, a preocupação em cibersegurança é consistente, ainda que exista uma maior preocupação quando acontece um grande caso de falha de segurança. “Normalmente, a segurança não está no topo das prioridades do top management; a segurança está muito associada à equipa de IT”, afirma o responsável da Arrow.
Os Parceiros têm um papel naturalmente importante na implementação de soluções de segurança, mas enquanto a necessidade real não for passada a quem decide, a segurança será sempre um problema de orçamento. “O Parceiro vai tentar fazer o melhor possível com o budget que está disponível, mas nem sempre esse investimento vai corresponder à verdadeira necessidade do cliente”, diz João Abreu, garantindo que é preciso encontrar “uma balança” entre a necessidade da empresa e o correspondente investimento. “Há uma grande preocupação por parte dos clientes na escolha das soluções de segurança, principalmente nas grandes organizações”, assegura Rui Gouveia.
Os ataques recentes alertaram o grande público para os problemas associados ao tema da cibersegurança, mas as empresas têm de perceber que não é possível comprar segurança a quilo. O Channel Sales Executive da Lenovo esclarece que a chave, pelo menos para as PME, é apostar num Parceiro e num fabricante de confiança, uma vez que têm uma menor possibilidade de recursos para se proteger.
A segurança “é um tema do IT”, garante Daniel Passos, acrescentando que “é o IT que tem de agilizar os processos” de segurança dentro das organizações. O Solutions & Technology Manager da Informantem defende que deve existir security by design, mas não pode ser a única fonte alvo de investimentos. Paulo Vieira afirma que “o nível de exigência aumentou muito”.
“Se uma PME gasta dois mil ou três mil euros num equipamento de segurança, ela quer tudo”. Nestes casos em concreto, onde o orçamento é mais reduzido, o cliente não consegue compreender porque é que a solução não incorpora determinadas soluções de segurança.
Microsegmentar para minimizar o ataque
“Há uma exposição maior a ataques”, alerta Nuno Nogueira. É necessário pensar, também, em microsegmentação em termos de segurança para que, desse modo, a empresa possa confinar um ataque a um determinado setor da sua empresa e que não se alastre a todo o negócio. Nuno Reis acautela que a IoT tem de ser controlada uma vez que é uma porta de entrada para possíveis ataques a uma determinada organização.
Por outro lado, é preciso formar os colaboradores das organizações. Na experiência do representante da Ingecom, os clientes têm procurado cada vez mais as formações e as certificações dos próprios fabricantes. “As pequenas e médias empresas devem ter determinadas preocupações”. Nuno Mendes diz que a maioria das microempresas acreditam que ninguém lhes quer fazer mal, mas “cada elemento que tenha interação com a internet é uma possível vítima”. “Em termos de resposta, as organizações têm de se focar em determinar qual é o risco”, esclarece Luís Maurício Martins.
Para a resposta ser efetiva, as organizações têm de microsegmentar e perceber o potencial risco para toda a organização, isto porque é necessário perceber o que é o mais importante dentro da empresa para priorizar o investimento nessa área. João Farinha defende que a resposta tem de ser pensada, uma vez que não é possível improvisar a resposta a um determinado ataque que esteja a acontecer.
O Head of Audit na S21Sec alerta que os criminosos melhoraram na questão das operações de segurança, tendo um modelo mais eficaz para explorar vulnerabilidades abertas. Para Rui Barata Ribeiro “a resposta tem de passar pela pergunta”. Se uma organização reage à posteriori, essa organização já está a perder. As empresas “têm que ter uma gestão de risco e um plano que pode passar por deixar cair serviços”, tendo em conta que as organizações não têm, por hábito, a capacidade para se proteger de todos os ataques que podem existir num determinado momento.
Inteligência Artificial e a segurança
Não há dúvidas que a Inteligência Artificial (IA) vai ter um papel fundamental em cibersegurança, seja para defender, seja para atacar. O Security Leader da IBM defende que a IA aplicada a cibersegurança “tem de estar muito bem suportada por humanos”, uma vez que é fácil fazer com a inteligência artificial ‘do bem’, que tenha capacidades de machine learning, seja influenciada pelo mal. João Farinha, da S21Sec, explica que tem sido feito um trabalho onde os humanos trabalham com IA. A inteligência artificial pode fazer uma rápida análise de um determinado ataque que está a ocorrer e que permite que o humano acelere a sua resposta a esse mesmo ataque.
Para o Infrastructure Solutions Senior Manager da Noesis, a aplicação de IA em cibersegurança “é incontornável”. Com a ausência de talentos em todo o setor de IT, uma das possíveis abordagens é o investimento em inteligência artificial e automatizar tudo o que seja possível dentro da temática da cibersegurança. No caso da WhiteHat, a inteligência artificial já está presente há bastante tempo. Na opinião de Nuno Mendes, a IA será bastante importante na interpretação de dados; os dados de segurança são, também eles, massivos e a IA dará uma importante ajuda na análise dessas informações.
Nuno Reis dá como exemplo os Network Access Control, que era visto como um processo difícil e pesado, mas hoje em dia é muito procurado para interligar todas as tecnologias no local do cliente. Com uma componente de inteligência artificial, é possível perceber qual a melhor solução a utilizar num determinado ataque. Já Nuno Nogueira acrescenta que a IA vai permitir eliminar os erros humanos na defesa dos ataques às organizações. A informação é muito mais rapidamente detalhada e quem se vai defender tem uma informação mais completa para uma defesa mais assertiva.
O Sales Manager da Palo Alto Networks destacou o User Behaviour Analytics. O UBA é, de certo modo, uma evolução da análise de eventos de cibersegurança e como se transformam 200 ou mais eventos num SOC para apenas dois ou três. Com IA, é possível ter um salto quantitativo em termos de valor para a cibersegurança. Daniel Passos receia que a democratização da inteligência artificial possa aumentar a procrastinação, o que pode prejudicar a segurança cibernética.
Para além disso, também é possível ter atenção a como se vai ensinar a máquina para que não se volte contra o criador.
De acordo com o Rui Gouveia, a
tendência é “com a inteligência artificial, evoluirmos para sistemas cognitivos que aprendem e simulam ataques”.
Também é preciso relembrar que já há tecnologias presentes em vários dispositivos que contêm componentes de IA para proteger esse mesmo dispositivo. O Business Unit Manager Security da Arrow defende que os pontos fracos dos sistemas têm de ser protegidos de alguma forma e sugere que a IA pode ser uma arma para defender estes pontos mais vulneráveis.
Priorizar os investimentos
João Farinha explica que muitas vezes se pensa em novas tecnologias, mas que por vezes se perde a noção daquilo que é o básico. O inventário e o controlo de hardware e software, por exemplo, arruma várias questões ligadas ao IoT, uma vez que é possível saber o que está ligado a uma rede e diminuir as intrusões à rede.
Para Luís Maurício Martins não há dúvida nenhuma que as empresas devem pensar bem em quais são os seus problemas e quais as áreas que devem receber investimento primeiro. “As empresas, por vezes, acabam por investir na última tendência em vez de olhar para a sua organização”, declara. Cada organização terá de perceber quais são os riscos que correm e definir quais os pontos onde vai investir primeiro.
Nuno Mendes afirma que é preciso voltar às raízes e deixar de gerir por comparação. “É preciso identificar o risco, isso significa arrumar a casa, perceber quais são as ameaças, se são apenas externas ou se são, também, internas”, esclarece. Assim, as organizações têm de investir em tecnologia e voltar ao básico, algo que nem sempre é fácil de fazer, mas que é necessário para o negócio continuar a correr.
O Business Development da Ingecom defende que “não existe uma fórmula mágica” para proteger uma empresa, “mas existe um processo”. O primeiro ponto passa pela visibilidade e auditar as organizações para perceber quais os
seus problemas. “É preciso perceber que
há em casa antes de gerir, antes de arrumar o que quer que seja”, esclarece.
Também Nuno Nogueira, da Decunify, concorda que é preciso perceber primeiro o que se passa nas organizações. “Para além da auditoria, também é preciso perceber quais são os padrões de tráfego dentro da empresa. Há muitos departamentos de IT que dizem que não recebem orçamento, mas muitos não sabem quais são os padrões de tráfego dentro da organização”, explica.
A formação é, simultaneamente, um ponto importante para aumentar e melhorar a segurança dentro das empresas. “Tipicamente a Transformação Digital divide-se em três áreas: agilidade, a forma como conseguimos fornecer mais serviços e, finalmente, aumentar a produtividade dos próprios empregados”, afirma Paulo Vieira, da Palo Alto Networks.
Acrescenta o Sales Manager que “o grande ponto de foco de investimento é existir soluções que respondem à maior parte dos problemas que os clientes têm”. Rui Barata Ribeiro, da IBM, diz que as boas práticas de segurança não são um tema apenas do IT, mas sim de toda a organização. “Se conseguir colocar toda a organização a pensar em consciência de risco, terei feito boa parte do meu trabalho”, afirma.
O papel dos Parceiros
Daniel Passos defende que o papel dos Parceiros é fulcral para priorizar os investimentos. “Ao IT e aos Parceiros dá-se a responsabilidade de fazer o guidance para apresentar as soluções mais emergentes e que vão de encontro às necessidades do negócio”, afirma.
O Channel Sales Executive da Lenovo afiança que os Parceiros têm um papel fundamental porque muitas vezes as empresas não têm os recursos ou os conhecimentos necessários. “O Parceiro serve muitas vezes para fazer perguntas que os próprios clientes não fazem. É importante contar com um Parceiro para perceber o que é crítico para a empresa”. João Abreu, da Arrow, acredita que a regulamentação iria ter um papel importante para que as organizações se tornem mais seguras. “As PME têm de pensar que a sua sobrevivência vai depender da sua maturidade. A exposição vai ser cada vez maior e só os mais capazes vão ser capazes de sobreviver”. Neste ponto, o papel dos Parceiros é fundamental para aconselhar o que é melhor para o negócio do cliente.
|