Talvez essa tenha sido uma das conversas mais francas sobre qualquer assunto relacionado à tecnologia ou segurança da informação. Cientista-chefe da McAfee e membro do Centro de Cibersegurança da Europol, Raj Samani é extremamente transparente. Refuta a ideia de que as estratégias em segurança da informação precisam ser totalmente revistas, alertando de que muito do que vemos hoje em termos de ameaça está aí há pelo menos 20 anos. Então, se tudo é conhecido, porque cada vez mais as corporações sofrem perdas por meio de diversos ataques?
Na visão do especialista, que conversou com o IT Forum 365 durante o MPower, evento da McAfee para clientes e parceiros, em Las Vegas (EUA), a resposta é bastante simples: as companhias não estão fazendo o básico. “Eu penso de maneira muito controversa em termos de cibersegurança e essa coisa de dizer que tudo é novo. Se você observar cada uma das ameaças nos últimos dois ou três anos, elas não eram tão sofisticadas assim. Eu entendo a necessidade de focar, investir em machine learning, mas as ameaças que vemos afetar empresas no dia a dia poderiam e deveriam ser facilmente bloqueadas. Um bom exemplo é o phishing. Eu acredito que as empresas primeiro precisam fazer o básico para depois pensar em algo mais sofisticado se for o caso”, avalia Samani.
Ao longo da conversa, ele insistiu que as principais ameaças à cibersegurança estão aí há pelo menos 20 anos e ressaltou por diversas vezes que os fundamentos de segurança não estão sendo seguidos. Um exemplo recente é o WannaCry, que conseguiu bastante sucesso por encontrar brechas que não deveriam existir, como: sistemas desatualizados, VPNs abertas, entre outros pontos relativamente simples quando se discute segurança da informação. Samani diz que mesmo que as pessoas defendam que o WannaCry trouxe elementos novos, a maneira como ele atuava nos sistemas é a mesma de duas décadas.
“Conhecemos isso, temos histórico. Pense num edifício, existem as portas corta fogo, para conter o fogo durante um incêndio, é fácil de usar e de entender, correto? WannaCry é mais ou menos isso, era simples, mas o básico não estava sendo feito. Não estou dizendo que seja fácil ter os fundamentos de segurança em dia, mas com a base feita, tudo fica mais simples. Se quiser ter um ambiente que previna disseminação de malware na rede, você precisa segmentar a rede. Se quiser prevenir fuga de informação, faça uso de Data Diode, isso é o que quero dizer com fundamentos, uma vez que estejam feitos, as ameaças diminuem muito”, defende o cientista-chefe.
Cibersegurança é com o board
Seguindo com a linha de raciocínio de trabalhar os fundamentos, Samani diz que uma das primeiras lições é a identificação correta dos ativos. O que sua empresa quer realmente proteger? “Não existe segredo nisso, são lições que passamos há 20 anos”, complementa. Algo importante é também verificar o quão valioso é determinado ativo, já que se algo vale US$ 10 mil, não justifica investir US$ 30 mil em uma ferramenta.
Em termos de atuação no dia a dia ele também rejeita a tese de sempre jogar a culpa dos problemas de cibersegurança nos usuários. Lembra que sim as pessoas erram e que isso é parte da vida, mas que a equipe de segurança precisa chamar a responsabilidade para si. “Humanos são irracionais, eles amam, odeiam e cometem erros e isso não vai mudar. E não vejo problema. O que temos que fazer como profissionais de segurança é se antecipar aos possíveis erros. Normalmente nós sentamos e falamos mal do usuário por clicar num phishing. Por que nossas fronteiras não estavam seguras? Temos que atuar como goleiros da tecnologia.”
Do ponto de vista de estratégia, além de cuidar dos fundamentos e deixar de culpar os usuários, questionamos o especialista sobre a necessidade da figura do CSO, algo não tão comum no Brasil. Para Samani, bom conhecedor do mercado brasileiro, esse é o ponto menos importante. Ele diz que uma boa estratégia de cibersegurança independe de a companhia ter um CISO ou um CSO. Para ele não há problema em hierarquicamente isso estar sob a responsabilidade da TI, desde que existe uma equipe forte, responsável e que tenha acesso ao grupo mais sênior da empresa.
“Não vamos discutir cargos, mas é preciso que o board reconheça e seja responsável pela segurança dos clientes, dos negócios. No fim do dia, você está protegendo dados da empresa, dos clientes, seus e da sua família”, comenta, lembrando da necessidade de, assim como TI, as discussões em torno de cibersegurança terem espaço nas conversas mais estratégicas das corporações.
O cientista-chefe ainda alfinetou o empresariado local, frisando que o Brasil está na ponta em termos de inovação e que sempre inclui o País em suas pesquisas, seja pela grande comunidade digital, engajamento e apreço por novas funcionalidades. “A sugestão que eu deixo para as empresas brasileiras que querem fazer parte desse novo mundo (digital) é que olhem os talentos disponíveis em seu próprio território. Vocês usam social mídia, são abertos a novas ferramentas e isso é muito bom para inovação, em todos os sentidos.”
*O jornalista viajou a Las Vegas a convite da McAfee
