Geral

Em meio à pandemia, as organizações tiveram que encarar uma mudança na estrutura de trabalho, na venda, na comunicação, tudo passou a ser elaborado para atender as exigências do momento. E a infraestrutura de TI foi e, ainda é, uma parte crucial do sucesso dos negócios desta nova Era Digital.

Para embarcar nesta Nova Era, os líderes de Infraestruturas Digitais buscam repensar os padrões de planejamento e orçamento de TI, alinhando a arquitetura, modernização, operações e modelos de financiamentos com os objetivos do negócio. 

Nessas Infraestruturas Digitais as tecnologias nativas da nuvem permitem dimensionamento, migração e flexibilidade aos recursos sob demanda. As operações autônomas combinam alto nível de governança operacional e análises de IA e Machine Learning. São recursos implantados de maneira ubíqua, capazes de fornecer visibilidade e controle a toda infraestrutura e serviços de rede, computação e armazenamento, independente de sua localização. 

A infraestrutura é tratada como uma única plataforma que habilita a transformação digital dos negócios e não como ativos separados que não conversam entre si. Para isso, exige a colaboração de diversos setores, lideranças e colaboradores – dos executivos que mapeiam KPIs aos líderes de DevOps que demandam agilidade e velocidade.  

Os resultados obtidos são uma melhora na experiência do cliente, através de um engajamento digital, maior produtividade e otimização nos custos de operação e redução dos riscos de atuação.

Quer saber mais sobre como liderar a implementação da infraestrutura digital? Entre em contato conosco.

Você entende os conceitos básicos das aplicações que usa para fazer seu trabalho ou a tecnologia que sua empresa desenvolve e vende? Para pessoas em startups e empresas de tecnologia, há duas grandes oportunidades para se destacar no mercado: entender e trabalhar com desenvolvedores e ser um especialista nas ferramentas que você precisa para fazer seu trabalho.

Como funcionam as ferramentas da sua equipe? Quanto melhor você entender o software em que sua equipe utiliza, mais proficiente você será nele. Toda empresa tem um “usuário avançado” que parece conhecer os meandros da ferramenta e sempre é exemplo para dúvidas e ajuda. Você quer ser essa pessoa.

Leia as documentações oficiais.

Procure tutoriais na internet.

Engaja-se com a comunidade. Assim, transforme sua mentalidade e resolva problemas com antecipação e dê sugestões de melhoria, sendo proativo, você será reconhecido.

Entenda e trabalhe com os desenvolvedores

Produto: Se você é do time de gestão de produto, quanto mais você entender o ritmo do desenvolvimento, as linguagens e modelos, melhor será para gerir e construir um fluxo de trabalho com excelente resultado final. 

Recrutamento: Um dos maiores desafios do mundo da tecnologia é o mercado de trabalho, as vagas são muitas, os profissionais são escassos. Compreender o que os desenvolvedores buscam ajuda a conceber vagas mais assertivas e contratar o melhor profissional. 

Uma boa instrução tecnológica pode ser a chave para conseguir um diferencial no seu trabalho.

Primeiro, saiba o básico de software e hardware:.

# O que é um computador?

# O que é a internet?

# O que é um banco de dados? 

Depois domine e aprofunde seus conhecimentos no que é relevante para seu trabalho:

# Quais produtos seu negócio está desenvolvendo, vendendo e usando?

# Como eles funcionam? Que problemas eles resolvem?

# Como os desenvolvedores os constroem e usam?

A maior dica é experimentar. Não tenha medo de botar a mão na massa e construir, pouco a pouco, mais conhecimento. É no contato com a tecnologia, e com as pessoas que a usam e a desenvolvem, que você adquire excelência para se brilhar no mercado.

Aproximadamente US$ 11 bilhões foram investidos em segurança de rede no período de 17 anos, 2003 a 2020, mas menos de US $2 bilhões foram investidos em segurança de IoT, em uma pesquisa de Neil Daswani. 

Ainda que segurança de redes seja importante, a consolidação dessa área permite que o investimento seja mais racional e eficiente. Por isso, é mais provável necessário mais investimento em segurança de IoT, e outras áreas que receberam subfinanciamento nos últimos tempos, como Inteligência Artificial e Machine Learning, Analytics, Big Data e segurança em databases e privacidade. 

Isso sem desconsiderar áreas críticas, que não são mais tendências e se consolidaram como necessárias, como a segurança em nuvem. 

Investir em segurança é, ao mesmo tempo, uma necessidade e um desafio. Confira cinco dicas para orientar-se:

# 1 Foque nas causas-raiz das violações de dados.  

# 2 Compliance é um efeito lateral de um bom programa de segurança. 

# 3 Invista em áreas que estão sendo sub-financiadas. 

# 4 Segurança é uma cultura. Ela integra produtos seguros, informações seguras e infraestrutura segura. 

# 5 Quem habilita a segurança, bem como quem a viola, são as pessoas – invista em inteligência.  

“Estamos seguros?” é uma das perguntas que você, CTO, pode ter ouvido de membros da sua empresa. Ou, quem sabe, “Quão seguros estamos?”. Se essas perguntas não fazem parte do seu roteiro ensaiado, você pode começar a se planejar para não cair na armadilha de um simples sim ou não. 

“Sim” é uma armadilha porque não existe nenhum sistema no mundo que seja 100% seguro. 

“Não” é uma armadilha porque podem se perguntar o que você está fazendo se não puder afirmar que a organização está segura.

Por isso, confira as dicas que separamos para que você possa defender e articular sua estratégia de segurança em um bom discurso! 

# 1. Conte uma história

Seu trabalho é, em parte, contar uma história convincente para aliviar as preocupações sobre riscos e violações, além de promover a missão da organização. Como contador de histórias, você precisa definir a visão, os valores e a agenda do programa de cibersegurança da sua organização.

Responda essas perguntas para um bom roteiro.

Houve incidentes significativos que resultaram na formação ou evolução significativa do programa de segurança? 

Como sua equipe tem se saído com os objetivos iniciais e a evolução do programa?

Existiram tentativas de violação que sua equipe barrou? 

Para quais ameaças você acha que sua organização ainda não está preparada?

# 2. Crie contexto: o que estão protegendo?

Conte sua história com sua abordagem para combater invasores, envolva sua audiência nos perigos enfrentados. 

Embora este exercício não deva se concentrar na criação de medo, incerteza e dúvida – ele deve oferecer uma visão realista do cenário atual de ameaças e, em seguida, mostre as métricas. 

A descrição sobre quais dados a empresa possui, onde e como eram armazenados e como estavam sendo usados ​​e transmitidos permite criar um contexto para melhorar radicalmente as práticas de segurança e criar recursos em um ritmo mais rápido.

# 3. Ligue os pontos.

A estratégia de segurança precisa estar conectada com os objetivos do negócio. Deixe isso sempre claro. 

Se você conseguiu a aprovação necessária da equipe de segurança para um projeto internacional, mostre o resumo das iniciativas de segurança para mitigar quase todos os riscos,  principalmente na segurança de software que envolve o lançamento. 

Se você corrigiu os servidores. Mostre como a proteção dos servidores de middleware previnem os tipos de vulnerabilidades que resultaram na violação de dados em outra organização.

# 4. Relate eventos de segurança com calma.

Por último, ajude a construir a compreensão. A segurança precisa estar sempre em evolução, então compartilhe seus insights. Mas, acima de tudo, seja honesto e transparente: o risco de perdas é grande demais.

Diretores lideram a segurança perguntando as perguntas certas, através do CARE! Nas reuniões, para mapear o estado da segurança, fique atento a esses quatro fatores, com dicas de perguntas chave.

C – Consistência

A – Adequação

R – Razoabilidade

E – Efetividade

Consistência: Marca de regularidade e continuidade estável.

Quais áreas do programa foram inconsistentes entre as diferentes unidades e funções? E qual é o plano de remediação?

Quais são os relatórios que fornecem insights sobre os resultados do programa de segurança? E com que frequência eles são gerados?

Quais são os recursos de relatório e arquivamento (manutenção de registros) que demonstram a consistência do programa em horizontes de tempo mais longos?

Existem inconsistências entre as plataformas de tecnologia, tudo está atualizado e com os mecanismos padronizados?

Adequação: Suficiente para uma requisição ou necessidade específica. 

Existe alinhamento entre a equipe executiva e a liderança de tecnologia nas prioridades e investimentos necessários para alcançar a segurança adequada?

Com quem estamos nos comparando para validar se nossos controles são adequados e quais são os padrões estabelecidos?

Há testes para validar se a equipe de segurança entende o contexto dos negócios e está desenvolvendo controles que equilibram a segurança perfeita e a capacidade de executar os objetivos dos negócios?

O que os dados de segurança dos maiores riscos enfrentados pelos negócios dizem sobre os domínios importantes que afetam os resultados que o apoiam?

Razoabilidade: De acordo com a razão, sem extremos, excessos e exaustões. 

Como o processo de governança de risco e segurança é estabelecido e claramente articulado?

Qual é a qualidade e o progresso tangível que está sendo feito para melhorar os resultados de segurança?

A organização está usando avaliações externas de maturidade para validar controles razoáveis dentro de seu respectivo grupo?

Existe um equilíbrio saudável entre a entrega dos objetivos de negócios e a entrega dos controles de segurança corretos para gerenciar os riscos corporativos?

O programa de segurança está recebendo uma parcela razoável do orçamento de tecnologia de TIC?

Efetividade: Produção de um efeito desejado, decidido e decisivo.

O que os relatórios de auditoria externa destacam como as principais áreas que exigem mais foco?

Existem falhas recorrentes que podem indicar controles ineficazes?

Quais são as principais métricas que comunicam quando os resultados desejados estão sendo alcançados e quando eles falham?

Quais são as principais preocupações e riscos que os líderes de segurança têm e quais são as recomendações que eles trazem para melhorar a eficácia?

Mesmo que cada organização no mundo tenha seus riscos únicos, há muitos riscos, vulnerabilidades e exposições em comum.

Os acontecimentos que ameaçam a segurança são surpresas custosas e inevitáveis, por isso, no mundo digital, a segurança precisa ser parte integral da estratégia e não deixar para ser pensada depois. 

A rápida adoção dos usuários e a velocidade das transformações tecnológicas também exigem a habilidade de escalar e entregar a segurança e privacidade para as marcas e clientes. Por isso, é importante definir quais ameaças são críticas para a empresa e priorizar, dimensionar e planejar os riscos possíveis. 

Assim, gerir incidentes e a divulgação pública dos ataques, caso eles aconteçam, requer planejamento sério. A transparência e a manutenção da confiança com os consumidores são fatores críticos, por isso a comunicação externa é essencial nesse processo, sendo necessário processos legais ou não. 

Mais do que comunicação externa, a comunicação interna dos problemas e riscos precisa chegar até os diretores, compartilhar as notícias ruins é essencial para uma organização saudável gerenciar os próprios riscos. Por isso, não pode haver uma lacuna grande entre membros técnicos e diretores, é preciso existir um meio para as informações circularem com qualidade.  

Hoje, na atuação da internet e tecnologias, sempre há novas ameaças em evolução. As organizações que perdem o foco, tornando-se negligentes na aplicação diária de hábitos corretos, isso as torna possíveis vítimas de invasores e violações de dados.

Gerenciar a segurança de forma eficaz exige os hábitos certos, praticados regularmente. Confira os 7 hábitos altamente eficazes de cibersegurança: 

Seja proativo, preparado e paranóico: Aja ou seja atacado, para isso treine funcionários continuamente, construa e mantenha proativamente uma rede de suporte, preparada regularmente. Evolua constantemente sua estratégia de resposta a incidentes, sendo paranóico, assuma que os invasores já estão em sua rede e detém acesso a seus sistemas e assuma que os cibercriminosos já sabem senhas de funcionários e podem fazer login em suas contas, isso constrói um bom esquema de monitoramento.

Seja centrado na missão organizacional: A segurança precisa ser avaliada do ponto de vista de como ela pode ajudar a apoiar a missão da sua organização, independentemente de ser uma organização sem fins lucrativos, uma agência governamental ou um negócio em rápido crescimento. O foco na integração está no fato de que segurança não é um tempo gasto, e sim um cumprimento de obrigações, que ao ser incrementada na narrativa e ao branding, pode criar um diferencial competitivo. 

Crie segurança e privacidade de dentro: O primeiro passo é estabelecer uma cultura de segurança na organização. Em um nível mais profundo,  a segurança e a privacidade precisam ser incorporadas na área de desenvolvimento de produtos, aplicações e prestação de serviços. Mantenha a simplicidade, a complexidade é inimiga da segurança. Valorize o privilégio mínimo, cada usuário deve ser limitado às suas funções.   

Concentre-se primeiro na segurança, o compliance é consequência: O foco na detecção de ameaças, controles preditivos, controles preventivos e controles de detecção fornecerão defesas de alta qualidade que permitem que o compliance seja um subproduto das boas práticas de segurança. Por isso, não fixe-se em  tradicionalismo e atente-se a inovação e resultado efetivo. 

Avalie a segurança: Meça a suscetibilidade de phishing, através de testes com funcionários, meça a detecção de malware, prestando atenção na porcentagem de malware desconhecido que é possível encontrar, e controle as vulnerabilidades de software, através do pensamento estratégico, corrija sempre com prioridade vulnerabilidades críticas e exploráveis.

Automatize tudo: A capacidade humana não pode ser dimensionada rapidamente para atender aos desafios de segurança em grandes ambientes, já prevenção, detecção e contenção automatizadas conseguem escalar conforme as necessidades organizacionais, principalmente em ambientes complexos. Por isso, automatize o possível.

Comprometa-se com a melhoria contínua: Qualquer organização pode melhorar através de pequenas práticas diárias e pequenos projetos incorporados ao longo do tempo, com consistência, o resultado após um ano é gigantesco. 

Com bons hábitos uma organização pode minimizar continuamente as probabilidades de ataques. Não deixa sua organização à merce das ameaças cibernéticas.

Ameaças virtuais e ciberataques agora precisam ser uma questão central para os negócios. Os riscos de perda são gigantescos e, com o contínuo acréscimo tecnológico, crescem as brechas e as modalidades de risco.

No dia 19 de Agosto de 2021, as Lojas Renner foram vítimas de um Ransomware, um malware que criptografa arquivos importantes no armazenamento local e de rede, exigindo um resgate para descriptografar os arquivos. A retomada completa das aplicações da empresa só aconteceu no dia 22 de de agosto.

No dia 23 de Junho de 2022, a Fast Shop encontrou suas aplicações e serviços indisponíveis. Além disso, teve seu Twitter invadido, em que foi anunciado atraso nas entregas e ataque por uma organização hacker. Contudo, no mesmo dia os serviços foram restabelecidos e as mídias retomadas. Em nota oficial, a empresa divulgou a tentativa de acesso e estabeleceu que os dados dos clientes não estavam danificados e expostos.

Esses eventos demonstram a importância de uma estrutura e estratégia de segurança eficazes para prevenir violações e atuar rapidamente com medidas quando elas acontecerem. O comprometimento de dados pode gerar perdas financeiras irreparáveis.

Além disso, a imagem e credibilidade da organização está diretamente ligada a seu posicionamento quanto à vigilância, em que o tempo de resposta para a retomada do serviço é fundamental. #VEMSERORAEX

A violação da Rede Marriott em 2018 teve 383 milhões de dados roubados, com mais de 5 milhões de números de passaporte. Os dados roubados incluíam nomes, datas de nascimento, informações de cartão de crédito e endereços residenciais.

Na época de sua violação em 2018, a Marriott era a maior empresa hoteleira do mundo, operando em mais de 130 países. Por meio de propriedades próprias e franqueadas, a Marriott ofertava cerca de 1,3 milhões de quartos de hotel. Os dados dos clientes, como reservas, local de hospedagem, quantidade de dinheiro gasto, itens comprados no hotel eram dados críticos para a estratégia de negócio. Para manter seu grande número de quartos de hotel ocupados, a Marriott investia em campanhas de marketing orientadas por dados, e a continuidade nesse aspecto a levou a comprar a Starwood, que além de incrementar sua rede de hotéis, contribuia com uma grande base de dados.

Em setembro de 2018, quase três anos após a assinatura da aquisição, começaria a detecção da mega violação de centenas de milhões de registros e milhões de números de passaporte.

A detecção começou quando o IBM Guardium, uma ferramenta de segurança que detecta consultas anônimas em bancos de dados, identificou que foi emitida uma consulta para um banco de dados que continha dados sensíveis. Uma equipe de segurança terceirizada foi contratada para averiguar. A equipe constatou que os invasores já haviam roubado muitos dados antes mesmo da consulta que resultou no alerta do Guardium.

Assim que os arquivos roubados foram identificados, a Marriott iniciou o processo de notificar mais de 300 milhões de clientes sobre a violação. A violação anunciada em 2018 não havia sido percebida por quatro anos, ocorrendo antes da assinatura da aquisição e da vistoria que a Marriott realizou nos sistemas da Starwood para comprá-la.

A importância de uma cultura de segurança rígida, com investimento bem feito, pode prevenir que perdas grandes como a da Marriott aconteçam, que prejudicam não só o capital da empresa, mas também a sua marca. Por isso, a segurança precisa ser tratada como uma prioridade do negócio. Entre em contato conosco e proteja sua empresa. #VEMSERORAEX

A história da Capital One é um marco para a segurança em nuvem. Ocorrida em 2019, mais de 100 milhões de inscrições de cartões de crédito foram roubadas por Paige A. Thompson, ex-colaboradora da Amazon. O Banco de Dados das inscrições de cartões continha 80 mil números de contas bancárias. O custo estimado da violação poderia ser de mais de 300 milhões de dólares, mas a organização foi multada em 80 milhões de dólares em 2020.

Como isso aconteceu?

Erro de configuração: uma configuração equivocada de identidade e política de acesso em que o acesso a partição do armazenamento que continha dados sensíveis era ampla demais. 

Software vulnerável: uma vulnerabilidade para falsificação de solicitações do lado servidor em que o atacante foi capaz de ter suas solicitações retransmitidas para o serviço de metadados da Amazon e receber respostas, incluindo credenciais de segurança.

A Amazon fornece um “Simple Storage Service” (S3) que permite que os programas armazenem e recuperem grandes quantidades de dados. O S3 permite que os programas armazenem dados em “buckets”.

Uma vez que um firewall de rede ou um grupo de segurança da AWS permite a comunicação com um servidor web, um WAF (web application firewall) pode ser usado para impor e manejar as comunicações com o servidor web e aplicativos web que o compõem.

Os buckets do S3 da Capital One eram privados e configurados para serem acessíveis a uma função do IAM (gerenciamento de identidade e acesso) que foi atribuída ao WAF. Embora os buckets S3 da Capital One não tenham sido configurados incorretamente para serem públicos, eles potencialmente foram configurados incorretamente para serem acessíveis ao WAF, em que o correto seria atribuir uma função mais restritiva, ao invés do WAF cujo trabalho era mediar solicitações da web vindas do mundo externo.

Assim, a violação foi possível por erro de configuração e exploração de uma vulnerabilidade do software. Tenha este case como um exemplo do perigo potencial que é deixar sua organização sem uma estrutura eficiente de cibersegurança. Conte conosco para proteger sua infraestrutura com tecnologias e profissionais especialistas. #VEMSERORAEX

Há três causas-raíz “meta-nível” e seis causas-raiz técnicas para que violações de dados ocorram. As “meta-nível” são a falha em priorizar segurança, investir em segurança e executar iniciativas de segurança, é quase como um planejamento implícito para que uma violação ocorra e ela irá acontecer devido as seis causas técnicas, que são dados não criptografados, phishing, malware, comprometimento por terceiros, softwares vulneráveis e erros por descuido dos colaboradores. A maioria esmagadora das violações ocorre por essas três causas. Conheça elas:

Causas “Meta-Nível”: Falha na priorização, no investimento e na execução. 

Esse tipo de causa opera no nível estrutural da empresa. Por isso, a segurança precisa ser uma prioridade, e tratada como tal, ela deve ser levada em conta em todos os projetos e níveis da organização. Assim, é importante designar um executivo responsável pela segurança das informações e dados de uma organização. Dito isso, a necessidade de investimento é clara. Porém, apenas gastar mais não diminui os riscos, é preciso gastar nas áreas certas. Entender qual área gastar vem com a maturidade dos protocolos de segurança. A execução deve ser sempre multisetores e multifunções.

Causas Técnicas: seis causas técnicas são as maiores responsáveis pelas violações de segurança nas organizações:

1. Dados Não Criptografados: Eliminar todos os dados não criptografados é uma grande contra medida pois, mesmo se dados sensíveis forem roubados, não há perdas se a informação, por estar criptografada, é inútil.

2. Phishing: Phishing é uma técnica de engenharia social usada para enganar usuários e obter informações confidenciais, como nome de usuário, senha e detalhes do cartão de crédito. São comunicações falsificadas que parecem vir de uma fonte confiável. Mesmo sendo uma tática antiga, em 2022 ainda é um risco. Medidas anti-phishing como autenticação de dois fatores e tokens fazem a diferença.

3. Malware: Softwares maliciosos como vírus, worms, rootkits, keyloggers e ransomwares podem ser usados para roubar informações, impedir acessos e danificar os sistemas.  Conscientização, antivírus e proteção de endpoints são medidas interessantes, mas, em geral, é todo o protocolo de segurança que é eficaz nesses casos.

4. Comprometimento por terceiros: Às vezes, a organização pode ser comprometida não por um ataque direto, mas sim por terceiros como fornecedores, parceiros e clientes. Por isso, a segurança deve ser uma prioridade e levada em conta até nesse aspecto.

5. Softwares Vulneráveis: Softwares próprios ou de terceiros muitas vezes são indispensáveis para o funcionamento da sua instituição, é possível que erros em patches ou bugs sejam explorados para violar a segurança.

6. Erro por descuido dos colaboradores: Configurações erradas de sistemas, patches mal aplicados, usuários e senhas padrão, senhas fáceis de acertar, uso errado de e-mail, perda de dispositivos e  acesso a URLs maliciosas podem acontecer por descuido. Por isso, treinamentos de consciência das medidas de segurança e compliance é indispensável.

Quer saber mais sobre como investir e planejar adequadamente uma iniciativa de cibersegurança e impedir esses erros em sua organização? Entre em contato conosco.