O Expand 2023, evento realizado pela Redbelt Security, reuniu mais de 100 líderes de empresas brasileiras para discutirem a evolução dos ataques de cibercriminosos e principais tendências e desafios de cibersegurança no mercado nacional. Chega à sua segunda edição com foco em proporcionar um espaço para discussão de tendências e reflexões, em uma era em que a segurança deixou de ser reativa e agora exige proatividade constante dos gerentes e CISOs das empresas.
“Criamos o Expand para promover a consolidação de uma network de gestores de cibersegurança para troca de experiências e disseminação de boas práticas e novas tecnologias a fim de fortalecer nosso segmento. Fazemos isto por meio de conversas sobre conteúdos técnicos e de negócios fundamentais em momentos decisivos e críticos, nos quais é preciso lidar com ataques cujos impactos nos negócios e na reputação podem ser muito graves”, explica Eduardo Lopes, CEO da Redbelt Security.
No primeiro keynote “Jogos Infinitos: o novo conceito de cibersegurança nas empresas hoje”, Nycholas Szucko, diretor regional de Vendas na Nozomi Networks, falou sobre a proteção das áreas de infraestrutura e reforçou a importância de eliminar os silos nas companhias, pois quanto mais silos existem, maior é o risco de um ataque bem-sucedido. “Quanto mais homogênea é a estratégia de cibersegurança da empresa, com todas as áreas envolvidas, mais assertiva ela é. Isto porque é importante conhecer as vulnerabilidades de todas as áreas e tê-las envolvidas nos esforços de proteção. É preciso ser mais do que resiliente, ser antifrágil – que significa ser capaz de se aperfeiçoar para resistir melhor aos próximos choques”, diz Szucko.
Segundo Szucko, isso é importante porque os hackers, que são jogadores desconhecidos, se aprimoram constantemente e mudam as regras em um jogo infinito para conseguir o retorno financeiro ou causar os danos que pretendem. “Esta característica exige que os gestores de cibersegurança se esforcem sempre e se reúnam em uma network de confiança para trocar conhecimentos, estudar e aprender sempre a fim de estar alguns passos à frente para proteger as empresas, seus dados, patrimônio e reputação”, ressaltou o diretor da Nozomi.
“Em momentos críticos é essencial ter uma rede confiável e uma equipe coesa, motivada e suficiente para garantir rotatividade 24 horas por dia, sete dias por semana, com ferramentas de última geração para se antecipar aos criminosos, o que só é possível com intercâmbio de ideias e conhecimento frequentes. Isto porque os gestores de segurança da informação trabalham sempre com uma cobrança acima da média e precisam conhecer ao máximo seus adversários para serem capazes de responder às expectativas e defender os negócios das companhias.”, enfatizou o CEO da Redbelt, Eduardo Lopes.
Os dois executivos concordam que isto só é possível ao se pensar como o atacante, aceitando que se vive diante de incertezas, o que exige a tomada de decisões rápidas baseadas em probabilidade e testes constantes da infraestrutura. “Outro aspecto fundamental é garantir a segurança e a visibilidade total de todos os devices e softwares, o que está cada vez mais difícil diante do avanço da transformação digital e da adoção mais intensa de tecnologias IoT e IA nas mais diversas indústrias e organizações governamentais. Quanto maior a visibilidade, menor é a surpresa no caso de uma invasão”, reforça Szucko.
Szucko explica ainda outro dificultador é o fato de que os gestores de TI e CISOs não podem ser invasivos no chão das fábricas e precisam trabalhar em colaboração com os profissionais das diversas áreas produtivas, pois estes conhecem detalhadamente os equipamentos, necessidades e prazos de manutenção e especificidades de cada fabricante. “A colaboração entre TI, cibersegurança e operação é fundamental, pois se um hacker decide fazer um ransomware na área de Marketing ou RH há como fazer um resgate, ter um backup, mas se atacar uma linha de produção, em geral, o prejuízo é grande e a empresa tem de pagar, porque não tem alternativa”, destacou Szucko.
A importância da identificação e gestão de comportamentos
Em seguida, Leonel Conti, superintendente de Cyber da Sompo Seguros, contou como a análise de comportamento na empresa evoluiu o SOC para gerenciar riscos, com o objetivo de conseguir traduzir o impacto efetivo das ameaças nos negócios. “O SOC tradicional, com integração de sensores, coleta de dados ativos, firewalls, equipamentos, ferramentas, análises reversas, playbooks, testes de detecção etc. e seus diversos alertas falsos, com o tempo começa a exigir cada vez mais camadas de proteção e novas tecnologias, o que é visto pela alta direção apenas como custo”, disse Conti.
De acordo com o executivo da Sompo, apesar de surgirem milhões de tecnologias anualmente, é necessário ter primeiro uma definição dos processos necessários para a proteção da empresa, antes de definir o que realmente é necessário ter em termos de ferramentas tecnológicas. “Os processos de cibersegurança precisam permear toda a companhia – negócios, infraestrutura, sistemas etc. Isto porque não existe uma “bala de prata” que resolva tudo e traga a tranquilidade. Será que é preciso proteger em camada, para ter uma maior possibilidade de detectar um ataque e ter uma resposta maior? Ou isto só oferece para o invasor mais caminhos para ele disparar vários alarmes e entrar por onde não se espera?”, questionou Conti.
O superintendente da Sompo acredita que a principal resposta para ter uma cibersegurança mais assertiva está em ter uma visão panorâmica de comportamentos especialmente no que realmente é a “joia da coroa”, ou seja, no que realmente importa para a companhia. “Com este objetivo é fundamental ajustar a detecção de comportamento das máquinas em conjunto com outros fabricantes dos equipamentos industriais, identificar ativos críticos e focar na proteção deles, além de ajustar os processos de entorno, como gestão de riscos, vulnerabilidades, indicadores, backups, entre outros. É essencial também além de pentests, fazer simulações tabletop de ataques envolvendo executivos chave e usuários”, acredita Conti.
Em outras palavras, monitorar comportamento do ambiente traz conforto. Isto significa ter números e volumetria para identificação de desvios, conhecer os riscos da operação, indicadores de exposição, de pessoas, de cultura corporativa, técnicos de cibersegurança e análises estatísticas acuradas. Além disso, é preciso também ter sempre parceiros estratégicos prontos para auxiliar nos momentos críticos. “Porém, tudo isto só funciona se você se envolver em processos que não são da nossa competência e ajudar no aperfeiçoamento deles para serem mais seguros, pois os negócios sempre vão exigir a evolução da frente de cibersegurança”, alerta o executivo da Sompo.
Márcia Tosta, ex-CISO da Petrobrás, concorda com a visão da Sompo. “O maior obstáculo para a defesa das empresas é a falsa sensação de segurança da alta direção e dos executivos de outras áreas. Por esta razão, os gestores de cibersegurança precisam conhecer o negócio, ter visão estratégica e aprenderem a se comunicar na linguagem da empresa para construir uma relação de confiança. Isto se consegue com métricas que conversem com o negócio e que tornam possível mostrar as vulnerabilidades e riscos existentes em cada processo operacional”, afirma a executiva.
Indústria está preocupada com cibersegurança na integração IT e OT
No principal painel do evento sobre “Convergência IT e OT: integrando empresas verticalmente a partir de soluções de segurança”, Bruno Vecchia, CIO da Unipar, informou que hoje a área de Tecnologia da Informação puxa a área de Tecnologia Operacional e este assunto é pauta das reuniões de board e dos conselhos.
“A área operacional da indústria começa a se preocupar muito com cibersegurança e vem buscando soluções. Simultaneamente, há uma consciência de que ser mais ou menos seguro depende de disciplina e não de ter mais ou menos soluções tecnológicas. Os ataques estão cada vez mais sofisticados, mas a maioria deles ocorrem por fragilidades simples. Muitas empresas querem se proteger, mas deixam de fazer o básico, que é controlar os pilares de cibersegurança, antes de avançar e isto é algo que reforço diariamente junto à minha equipe”, disse Vecchia.
“Com esta finalidade, TI precisa ter conhecimento operacional e as duas áreas precisam trabalhar integradas, para que exista um conhecimento interno sólido de toda a infraestrutura de softwares, hardwares e equipamentos industriais. Esta integração é relevante também porque une as duas formas diferentes de pensar de IT e OT para gerar estratégias mais robustas e assertivas na hora de evitar ou parar um ataque à operação industrial”, reforçou Marcelo Santos, CIO da Nexa Resources.
Com a evolução das redes multisserviços 5G e 6G a tendência é que seja ampliada a adoção de tecnologias IA e IoT, tornando o desafio da cibersegurança ainda maior, o que demandará planos de contingência mais adaptáveis para incluir as novas ferramentas e que sejam capazes de enfrentar os novos riscos que surgirão em velocidades impressionantes. “Esta é uma realidade para a qual nós já temos de estar preparados, pois nossa indústria está em plena transformação digital. Os cibercriminosos estão sempre se aperfeiçoando para obter novas fontes de renda e se superarem em suas conquistas e nós como gestores de cibersegurança temos de fortalecer nossa network e investir cada vez mais em aprendizado, na busca de novas tecnologias e estratégias de defesa, porque só tenho uma certeza- unidos nós somos mais fortes”, concluiu Eduardo Lopes, CEO da Redbelt.
Tabletop Exercise
E quando se fala de preparação para lidar com ameaças, um Plano de Resposta a Incidentes precisa entrar na pauta. E um plano precisa ser testado, periodicamente, para que a empresa tenha confiança de que ele será eficaz quando um incidente real ocorrer. Durante o Expand, Eduardo Lopes comandou um exercício de simulação, por meio de tablets distribuídos pelas mesas, para testar o conhecimento dos participantes a respeito do que fazer durante um ataque. “A ideia do Tabletop Exercise é apontar lacunas na estratégia de defesa, como solucioná-las, tornando a resposta célere e assertiva, minimizando impactos à imagem e reputação, à operação e ao financeiro da empresa”, explicou o CEO da Redbelt.
Lançamento da nova versão do RIS
Durante o Expand 2023, o CEO da Redbelt, Eduardo Lopes, apresentou ao mercado a nova versão do RIS (Risk Information and Security), plataforma de desenvolvimento próprio SaaS, que combina integrações dos mais variados softwares (APIs), machine learning alimentada por inteligência humana, automação para enriquecimento de dados e orquestração na tomada de decisões. O RIS executa, por exemplo, bloqueios de IPs em firewalls, limpeza automáticas de e-mail maliciosos em ambientes Microsoft 365 até o bloqueio de usuários comprometidos.
O principal diferencial dessa versão é ter uma linguagem ainda mais visual, leve e amigável, contemplando necessidades de customização apontadas pelos usuários a fim de facilitar e agilizar as tomadas de decisões executivas. “O intuito é que os gestores das empresas tenham uma visão mais ampla e gerencial do negócio e de todo o ambiente de TI em tempo real, e que a equipe técnica possua todas as informações necessárias e detalhadas em uma única tela, para fazer uma análise rápida e assertiva do cenário”, explicou Eduardo Lopes, CEO da Redbelt.
Em sua nova versão, o RIS, que centraliza todos os serviços de cibersegurança por meio de integrações”, garante mais autonomia de ação aos profissionais de segurança dos clientes, que podem criar relatórios e dashboards personalizados, cruzando dados e recursos de segurança para ter uma proteção cibernética mais adequados às demandas específicas de cada negócio.
Outra novidade é que o RIS agora, com seu módulo de “Gestão de Vulnerabilidades”, inclui uma ferramenta automatizada de testes de vulnerabilidades, ou seja, os usuários podem realizar ataques simulados para testar os sistemas da empresa, de acordo com a necessidade do negócio. Isso torna ainda mais assertiva e ágil a identificação de vulnerabilidades e riscos e, por consequência, o aperfeiçoamento dos protocolos, políticas e sistemas de cibersegurança.
Atitude de campeão
O evento encerrou com a palestra de Gustavo Borges, empresário e medalhista olímpico, em que ele falou sobre o significado de ser vitorioso no que fazemos todos os dias. “Atingir a excelência, não é necessariamente nunca fracassar e chegar sempre em primeiro lugar”, disse Borges. Em sua palestra, fez paralelos entre a natação e a carreira de qualquer executivo de cibersegurança, em que ataques deixaram de ser uma questão de “se” e sim de “quando”, e que, vencer é, muitas vezes, manter o foco em momentos de crise e aprimorar as defesas a partir das lições aprendidas em ataques.
Ao final, o CEO da Redbelt, Eduardo Lopes, convidou ao palco o CCO Matheus Borges, para agradecer a participação de todos os líderes de segurança no Expand 2023.
