A questão da cibersegurança é cada vez mais discutida no mundo dos negócios e deixando de ser algo exclusivo do setor de TI. Para falar sobre o assunto a DCD conversou com Leonel Conti, Diretor de Tecnologia da Redbelt Security.
Qual é a área da Redbelt Security? Com o que vocês trabalham?
A Redbelt Security é uma empresa com 15 anos de vida. Temos uma grande atuação em pentest e know-how muito grande para lidar com invasões, ethical hacker. Temos também uma frente muito forte com SOC, cloud, resposta a incidentes, GRC... A Redbelt é uma empresa focada literalmente em segurança da informação, nada que desvie disso, não vendemos licença e coisas do tipo. Nosso foco é a segurança.
Como está a situação no mercado brasileiro de cibersegurança? Você acha que as empresas estão se preparando ou ainda falta muita coisa?
Muita gente fala que a segurança da informação ainda não é vista como deveria. Concordo em alguns pontos, mas a segurança da informação é uma área que vem crescendo todos os anos. Essa palavra, segurança, está praticamente em todos os produtos hoje, vemos comerciais de instituições falando sobre segurança da informação. É um tema que vem crescendo e preocupando as pessoas. Vejo a segurança da informação como algo que vem ganhando espaço, tendo maior engajamento e apoio da transformação digital.
Qual é o principal problema da cibersegurança no Brasil? Com o que as empresas precisam se preocupar mais?
O principal problema ainda é o ransomware. Deixa todo mundo preocupado porque é um é um sistema que criptografa os dados da companhia e o atacante pede uma solicitação de resgate. A Redbelt aconselha a nunca fazer o pagamento do resgate, porque não há a garantia de que, pagando, você receberá a chave de acesso aos seus dados.
Também é preciso ter cuidado com o phishing, que ainda vitima algumas pessoas. A própria proteção dentro da companhia ficou descentralizada. Antes da pandemia todo mundo estava dentro da empresa. Hoje, com o trabalho híbrido, a segurança da informação tem que chegar até a ponta, isso também nos causa preocupação.
Sobre o sequestro de dados, a Redbelt acredita que a solução é não pagar o resgate?
Como diretor de tecnologia, sou o responsável por uma das áreas de GRC, e temos um serviço bem conhecido e que a procura tem crescido bastante, chamado Tabletop. Com esse serviço nós simulamos uma crise, trazendo cenários sobre o que acontece durante um ataque de ransomware e o pedido de resgate. Nesse momento entra nosso conhecimento e nossa experiência para explicar o que fazer. Nós, como especialistas, orientamos a não pagar o resgate. Porque se você paga corre alguns riscos: o atacante pode não te dar a chave, pode te dar a chave, mas você não sabe se ele ainda está dentro de sua empresa e pode criptografar seus dados novamente 10 minutos depois. Essa negociação precisa ser feita de maneira executiva com os gestores para explicar os riscos e que o pagamento muitas vezes não é a solução. O foco, para a Redbelt, é trabalhar na prevenção.
As empresas estão preparadas para lidar com esse tipo de situação? Os CEOs ainda têm uma certa resistência a conversar sobre cibersegurança?
Os especialistas da área são muito técnicos. E, por ser assim, quando vamos conversar com os executivos, precisamos deixar a linguagem técnica de lado e precisamos saber falar sobre o negócio, precisamos falar sobre o risco. Caso o executivo me pergunte se, dando determinada quantidade de dinheiro para instalar as proteções, no final do dia ele estará protegido, a resposta é não. Ainda existem alguns riscos. Nós trabalhamos muito na área de GRC. Preparamos materiais que fazem com que falemos mais sobre riscos, sobre negócios, sobre investimento trazendo para a mesa quais são esses possíveis riscos.
A área da cibersegurança não é mais uma questão restrita ao setor de tecnologia, é um problema de negócio. Algumas empresas ainda hesitam em lidar com o assunto, como você vê o mercado nesse sentido?
Infelizmente algumas empresas ainda usam o modelo mais tradicional, fazem seus investimentos, mas ficam muito expostas e não conseguem responder rapidamente. No momento do ataque ela pode sofrer por um tempo e voltar ao mercado, mas depois entende o tamanho do impacto que isso pode gerar.
A proteção, na realidade, é de algo que é intangível. As diferenças existem, mas o mercado, na minha visão, está mudando. Estamos conseguindo conscientizar os responsáveis e fazer essa mudança ao longo do tempo. Há muito o que melhorar e há muito espaço para isso, afinal a tecnologia só aumenta, só evolui.
Sobre os funcionários da empresa, como orientá-los a não cair nesses golpes? Como as empresas estão lidando com o treinamento?
Vejo os movimentos no mercado que acho bem interessantes. 10 anos atrás, quando comecei a trabalhar na área, não existia o cargo de gerente de segurança da informação. Agora, acompanhando com atenção o mercado, vejo dois tipos de contratações novas que eu nunca tinha visto: o gerente de identidade e o gerente de conscientização. Isso mostra um amadurecimento do mercado, as empresas têm feito testes de phishing, testes de penetração e entendendo as suas vulnerabilidades. Precisamos começar a entender em que local exatamente o dinheiro deve ser investido. As empresas estão olhando a conscientização e a identidade como um ativo importante dentro da empresa.
No geral, você acredita que as pessoas estão se interessando mais e ficando mais atentas à questão da cibersegurança?
Sim. Acho que porque isso já atingiu a pessoa física. Elas começam a entender o risco com exemplos próximos. Quando atinge a pessoa física, ela traz isso para dentro de seu ambiente de trabalho.
Como você vê a questão das empresas com a governança de dados?
As empresas têm áreas de governança, mas é um tema muito difícil de lidar. Hoje as empresas lançam dados para todos os lados, quantos sistemas uma empresa tem hoje? A média é de 30 por companhia, e esses 30 estão conectados com outros formando uma cadeia que gera dados. Chega um momento em que você tem uma base de dados gigantesca. Com a Lei Geral de Proteção de Dados Pessoais (LGPD) algumas empresas maiores já têm um certo controle desses dados, mas não são todas. É muito difícil de ver. Quando você começa a inserir dados, esquece que existem dados que são chave primária e não podem ser anonimizados. Aí é preciso investir dinheiro para anonimizar em trânsito, o que pode causar delay na aplicação.
A governança de dados começou a ser levada a sério, mas é um caminho muito difícil e muito interessante de ser explorado. Acho que nesse caso a IA está vindo para ajudar, porque lidar com todos esses dados é muita coisa para um ser humano. Ele até pode conseguir, mas a IA vai dar uma velocidade maior para trabalhar com esses dados.
Em relação ao uso de IA, acha que as empresas ainda não têm uma visão clara do que querem com essa tecnologia?
Sim, acho. Hoje usamos a IA para benefício próprio. Para responder um e-mail, por exemplo, mas fica óbvio o uso de uma inteligência artificial. Quando a IA entra na empresa, é preciso ter um piloto. Meu propósito com a IA é reduzir o tempo gasto nesse processo porque ele faz muitas consultas. Com a IA consigo muito mais rápido entregar algo um pouco mais íntegro e mais rápido. O Zero Trust, por exemplo, para mim não é uma ferramenta, é um conceito aplicado no tempo. A IA é a mesma coisa. Ela não é uma ferramenta. Acredito que a IA é um conceito que tem que ser empregado. E sim, as empresas ainda usam para benefício próprio.
Com o impacto, algumas empresas cortam a IA de seus negócios. Fecham os sites, proíbem o acesso à IA de outros lugares pelo risco de colocar na rede dados sigilosos. É uma solução mais drástica em vez de tentar trabalhar a conscientização e evolução.
As empresas que estão se afastando da IA estão nadando contra a maré?
A IA é algo que veio pra ficar, não tenho dúvida disso. Mas existem problemas, como qualquer outra tecnologia. Eu também uso muito a analogia de que quando trabalhamos dentro de casa com essas coisas, levamos facilmente para o ambiente da empresa.
Como você vê a regulamentação? Consegue acompanhar o dinamismo da evolução da tecnologia?
Já se fala da regulamentação da IA na Europa e eventualmente vai chegar no Brasil, não tenho dúvidas. E aqui, quando chegar, obviamente será um copy paste. Acho que precisa da regulamentação, não há como fugir disso. Quando começamos a colocar regras o jogo fica muito mais claro para todo mundo, porque hoje não está. Uma inteligência artificial gratuita nunca é de graça, estamos alimentando uma IA e isso precisa ficar claro na regulamentação. Faz todo o sentido chegar uma regulamentação no Brasil e o trabalho evoluir como foi com a LGPD. Ter pessoas analisando e fazendo com que esses grandes players não utilizem os dados como vêm fazendo hoje em dia para alimentar a sua inteligência.