Transcrição Vídeo:
Rodrigo: Olá, pessoal! Meu nome é Rodrigo eu sou redator aqui na Compugraf e hoje a gente vai ter um papo sobre vulnerabilidades no ambiente de trabalho,e para esse bate-papo a gente vai contar com Denis Riviello que é Head of Security and Customer Success aqui da Compugraf. Quando conectamos nosso computador, celular, kindle ou qualquer dispositivo a internet estamos vulneráveis a diferentes tipos de ataque. Descobrir essas vulnerabilidades algo essencial para as melhorias no sistema de proteção de uma empresa. Vulnerabilidades são elos prováveis frágeis ou desconhecidos que podem ser explorados por cibercriminosos, gerando ameaça para os ativos de uma organização.
Rodrigo: E eu queria começar, Denis, pedindo para você falar um pouquinho sobre o que você faz na Compugraf, né.
Denis: Bom, é… Atualmente eu tô cuidando da parte de segurança e de customer success na Compugraf ou seja eu tô cuidando do que os nossos clientes estão recebendo da Compugraf e como a gente pode melhorar essas entregas ajudando eles a obterem um sucesso com as soluções que a gente está proporcionando e entregando para eles e também toda a parte de segurança em cima das soluções e dos produtos que a gente vende;
Rodrigo: Denis, agora a gente está no momento excepcional, né.
Porque a gente tá vivendo uma crise aí que está no mundo todo. Como é que você, dentro do seu cargo, você tá sentindo esse momento atual de pandemia. Como é que tá sendo essa relação com o cliente, nesse momento específico?
Denis: É. assim… Agora está um pouco mais calmo. Mas quando começou a pandemia teve um período aí de bastante agito, né. Porque toda essa situação demandou algumas ações e algumas soluções que para muitos clientes não eram tão triviais assim, né. E isso atingindo não só a parte de conectividade mas a disponibilidade e também a segurança. Então as empresas ficaram muito preocupadas em disponibilizar todo esse trabalho remoto de forma segura. Então isso acabou fazendo com que nós apoiaremos muito eles a conseguirem isso de forma efetiva.
Rodrigo: Aproveitando a pontinha aí do que você falou sobre o trabalho remoto. Eu queria aproveitar para falar desses últimos tempos que a gente tem vivido, né. Que as pessoas têm uma relação cada vez mais forte com a tecnologia, e fica cada vez mais difícil de separar as relações de dispositivos do trabalho com positivos que a gente tem em casa, né. Eu queria que você falasse sobre como isso afeta a segurança da empresa, sabe? Quais os maiores perigos que isso pode trazer para uma organização.
Denis: Bacana. É, bom tudo isso que você falou sendo feito de forma indiscriminada gera riscos. Mas a partir do momento que a empresa tem ciência e consciência do que é a segurança e do que é essa facilidade. Ela tem que tomar algumas medidas preventivas, para que todo esse acesso e essa facilidade seja disponibilizada de forma segura. Mas também tem que pensar no pós. Imagina que foi pensado todas as medidas preventivas e mesmo assim ocorreu um acidente… Então ela tem que pensar na mitigação disto também. Então o que que é muito importante em todo esse contexto; Ter uma política de segurança e de privacidade definida… Divulgada para todos os colaboradores. As medidas técnicas que vão garantir com que isso seja cumprido. Essas políticas sejam cumpridas à risca de forma a garantir a segurança da empresa. E também ferramentas que vão apoiar caso ocorra alguma coisa não planejada ou não desejada aí para a empresa. Então qualquer vazamento, qualquer infecção ou uma vulnerabilidade… Que você tenha recursos para garantir que o negócio da empresa não não sofra com isso. Então é muito importante ter esse pensamento de segurança engajado com o negócio, levando em consideração: Pessoas, processos e ferramentas, como sempre.
Rodrigo: Então vamos falar sobre algumas maneiras, que a gente pode encontrar nesse caminho… Para proteger as empresas. A gente tem por exemplo como alternativa os testes de vulnerabilidade, né… Que como o nome sugere serve para que as empresas possam, tenha essa habilidade poder testar o seu sistema… Sofrendo algum tipo de ataque,né. Para ver como o próprio sistema se portaria diante disso. Eu queria que você falasse para gente um pouquinho sobre alguns desses tipos de teste de vulnerabilidade, e de repente quais são os mais usados atualmente… Quais são os mais interessantes no geral.
Denis: Bacana. Hoje em dia é uma boa prática você fazer testes de análise de vulnerabilidades… Até tem testes ou testes direcionados, que a gente chama, né. O que que é isso garante? Até por uma questão ou de compliance ou de requerimento da própria auditoria da empresa, ou da próprias boas práticas de segurança da empresa… Que ela mesmo se audite, de tempos em tempos, que ela consiga checar o quanto essa abordagem de segurança está sendo efetiva e funcional. Então é uma boa prática inclusive é recomendado aí pela 27.000 que você faça essa checagem recorrentes. E análise de vulnerabilidades é uma delas, onde você consegue fazer de tempos em tempos uma análise do ambiente, e ver realmente como que isso está… Tirar uma foto do que está OK, está compliance, ou está de acordo com o mínimo requerido pela empresa. E o que está… De alguma forma, não correto, e precisa ser tratado. O pet ou até… Enfim… Até configurações… Qualquer tipo de parâmetro que não esteja de acordo com o que foi definido. Então um teste de vulnerabilidade vai trazer isso para você. Vai conseguir te mostrar o que tá OK, e o que não está OK dentro do seu parque.
Além disso nós temos também o pentest. O pentest é um teste que vai testar a efetividade de todo o seu sistema. Não é um uma análise. Ele vai efetivamente simular: um ataque, uma invasão, um acesso indevido.
Para checar todo o seu parque de segurança e vai obviamente também te mostrar o quanto isso está vulnerável ou está sendo efetivo.Toda a sua tratativa de segurança. E nós temos também uma outra modalidade que tá bem alta aí, ultimamente. Que é um serviço de teste direcionado, né.
O que que seria isso? Uma vez que você já sabe qual o segmento, ou qual é a parte do seu ambiente que é mais crítica ou está mais vulnerável hoje. Você acaba fazendo mais testes em cima disso, de forma recorrente.
Por exemplo: Um e-commerce de uma empresa que o seu ponto mais vulnerável e mais exposto. Então recorrentemente essa empresa pode checar este segmento do seu negócio, especificamente. Não precisa fazer todos os testes no na sua totalidade. Mas focando ou na parte mais vulnerável, ou na parte mais exposta do seu ambiente.
Rodrigo: Oh Denis, mas ao mesmo tempo quando a gente escuta todos esses testes… Isso pode assustar um pouco as pessoas. Principalmente os gestores de empresas menores, que de repente podem achar que ou que esse tipo de teste não faz parte da proposta da empresa dele ou pode achar também que a solução é um tanto cara. Eu queria que você me ajudasse aqui a derrubar alguns mitos em torno dos testes de vulnerabilidade. Então se um gesto, se o responsável pela segurança de uma empresa, precisasse defender um método como vantajoso para uma empresa. O que seria interessante dele apresentar aí para os diretores daquela empresa?
Denis: Hoje como que a gente acaba vendo em vários clientes nossos…
A partir do momento que a empresa ela tem um plano de segurança, isso já é meio que obrigatório, ele fazer a secagem disso ou por um teste de vulnerabilidade ou por um pentest, nem que seja uma vez por ano, duas vezes por ano. Mas é requerido que seja feita essa secagem. Então um gestor de segurança quando ele desenvolve um plano de segurança da empresa,ele leva em consideração isso. Isso é uma boa prática de mercado. Uma empresa que não está muito acostumada em tratar com esse mundo de segurança em si, ela vai se assustar no primeiro momento. Mas mesmo assim essas modalidades de testes: Tanto análise de vulnerabilidade, como próprio pentest. Hoje dependendo do tamanho da empresa e dependendo do que você quer testar. Óbvio, você não precisa testar toda a sua infra, toda… O ser parque, os seus servidores expostos na internet. Você consegue fazer isso direcionado, e vai garantir com que não só o custo disso. Mas também o trabalho seja muito menor.
Então você consegue, primeiro: Fazer isso como serviço. Então isso já barateia muito. Você não precisa de uma solução comprada, né. E pessoas treinadas para exercer esse tipo de análise ou esse tipo de teste. Então você minimiza muito os custos disso, e traz um retorno muito, muito bom desse investimento feito. Porque você consegue fazer como um teste direcionado, que eu falei, especificamente no seus pontos mais fracos ou mais expostos. Então hoje tem muitas opções para os gestores. Eu acho que não tem mais essa dificuldade de justificar uma metodologia dessa. Tanto do de análise como o pentest, é muito mais tranquilo hoje.
Rodrigo: Então, basicamente você tá dizendo que não importa o tamanho da empresa sempre vai ter um teste para ela. Sempre vai ter algum tipo de testagem que garanta que o sistema dela está seguro.
Denis: Sim, e hoje os gestores tem muitas opções para conseguir gerar algum material e justificar algum investimento, ou até demonstrar alguma vulnerabilidade em cima do seu ambiente. Hoje não só os integradores como também alguns fabricantes disponibilizam e fazem gratuitamente um teste totalmente agnóstico aí do ambiente, focando nas vulnerabilidades e no que pode ser melhorado. Então hoje tá muito mais fácil você ter essa visibilidade e o gestor ter esse apoio externo, até sem custo algum para começar a desenvolver um projeto de segurança.
Rodrigo: Oh, Denis. Você falou aí, você citou, algumas soluções. Eu queria que a gente expandir-se mais um pouquinho esse tema. Porque também é uma crença comum, para muitos gestores de empresas menores, que acham que basta eles adquirirem aí uma solução de antivírus premium… Que todos os dispositivos, tudo da empresa já vai estar seguro. E gente sabe que a conversa não é bem assim. Porque uma empresa pode ter todo sistema segurado por softwares, pelas melhores soluções do mercado. Que ainda assim não não garante que ela vai estar segura, porque uma grande parte… Uma grande responsabilidade da segurança também parte das ações humanas, que a gente chama de: Fator humano. A gente sabe também que uma das maneiras de melhorar esse processo é tornando a relação das pessoas que trabalham na empresa com a tecnologia melhores, mais saudáveis e a gente consegue fazer isso a partir de campanhas de conscientização. Eu queria que você falasse um pouquinho sobre o tema. Sobre porque é tão importante para uma empresa conscientizar os funcionários sobre os dispositivos.
Denis: Bacana. É muito importante. Hoje qualquer plano de segurança tem que levar em consideração a campanha de conscientização bem efetiva e é um dos pontos que despende mais planejamento, e esforço para se conseguir. Porque comprar uma solução e implementar hoje em dia é muito mais fácil, do que você conscientizar pessoas. Então, como a gente havia falado um pouco atrás, você depende de três fatores muito importantes: As pessoas, o processo de tudo isso e as soluções, as ferramentas. Só que o lado humano, hoje em dia, é o mais desafiador. Então, você conseguir com que as pessoas se conscientizem da importância da solução, façam com que elas utilizem isso, vejam benefício nisso. Você precisa fazer um bom trabalho aí de bastidor, que a gente chama, né. E inclusive impor em todos os níveis da empresa. Você pega por exemplo: Uma indústria.
Você tem: Desde o chão de fábrica, que é um cara que não vai utilizar muito computador no dia a dia. E você tem a parte operacional dessa empresa, e tem a alta gestão. Então, todos têm que estar com a mesma consciência, com o mesmo discernimento e essa preocupação com segurança. Porque qualquer um deles pode se tornar o elo fraco e é onde você vai acabar expondo a companhia toda. Então é muito importante ter essa campanha de conscientização muito bem pensada e planejada, de acordo com a cultura da empresa e com o tipo de empresa que é. Então, hoje nós temos empresas especializadas e fazer isso. Nós já fizemos algumas dessas campanhas também. Mas é um trabalho que tem que ser muito bem elaborado para garantir que todo esse público seja, não só atingido, mas seja efetiva. Eles consigam entender a importância disso e consigam cumprir essas boas práticas. Você tem razão, é um dos pontos cruciais para um sucesso com essa parte de segurança.
Rodrigo: Ah! E falando de público aí já que você citou… Essas campanhas de conscientização normalmente elas são direcionadas para quem? Porque depende a pessoa que já trabalha com TI, não precisa de conscientização… Ou não? Ou é para todo mundo?
Denis: Uma campanha de conscientização deve envolver todos, independente da área, independente do nível, independente de qualquer coisa, idade, sexo ,o que quer que seja. É uma campanha que tem que atingir todos na empresa. Porque você acaba dando muitas dicas, e isso gera muitas dúvidas, geralmente tem um canal que apoia essa campanha de conscientização. Eu já participei de algumas, e você acaba tendo muita coisa esclarecida, por pessoas que você imaginava que já eram detentoras desse conhecimento de segurança. É sempre bom e a imprescindível que seja uma campanha que consiga abranger todo o parque, todo o público da empresa, tá bom.
Rodrigo: Bom, conforme o Denis comentou, o fator humano é considerado o elo mais fraco de segurança de um sistema corporativo. Mesmo com as melhores soluções e tecnologias de segurança, os agressores podem descobrir vulnerabilidades emocionais dos seus colaboradores encontrando assim um caminho até seu ambiente. Nós da compugraf preparamos para vocês um jogo: O Protection Game! São três fases que testam o nível de conscientização da sua equipe em dois ambientes: Dentro de casa, agora em home office/ trabalho remoto, e dentro da empresa. Eu vou deixar na descrição do vídeo o link para que vocês possam acessar o jogo e todos os outros materiais que nós preparamos sobre conscientização em segurança da informação.
Protection Game: https://bit.ly/2AhCT01
MÍDIA SOCIAL
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
Instagram: https://www.instagram.com/compugrafcg/
Facebook: https://www.facebook.com/compugrafcgs/
Linkedin: https://www.linkedin.com/company/compugraf/?originalSubdomain=br
