Alexandre Morelli (*)
A série americana Mr. Robot conta a história de um grupo de programadores talentosos que resolve agir como vingadores e invadir o sistema da fictícia instituição financeira mais poderosa do mundo. O cenário principal da série é uma empresa de cibersegurança que acaba de fisgar a conta do grande cliente.
A tendência estava lá. Mas por que uma grande corporação terceirizaria seu sistema de segurança? A primeira temporada da série foi ao ar em 2015, quando o gasto global com cibersegurança era de US$ 77 bilhões.
As projeções para 2020 indicam que os gastos devem chegar a US$ 123 bilhões. Em um ano especialmente difícil em todo mundo por causa da pandemia, os cibercriminosos não só intensificaram como vêm sofisticando os ataques. Usuários domésticos e corporativos no Brasil responderam por mais da metade dos ataques na América Latina, por exemplo.
Num ambiente em que estamos cada vez mais dependentes de dados, as empresas têm dificuldade natural de manter seu time interno de tecnologia preparado para toda ameaça. Sem falar no alto custo operacional entre equipe de engenheiros e infraestrutura de TI.
Vazamento de informações trazem consequências de imagem e prejuízos financeiros que giraram em torno de US$ 3 trilhões em 2019, de acordo com a Juniper Research. Outro estudo, da IBM, calcula que cada informação perdida ou vazada custe, em média, US$ 150.
Esse panorama deixa claro que as áreas de TI das empresas, que pode ser uma pessoa só ou equipes bem treinadas, não são capazes de oferecer os níveis de cibersegurança adequados aos riscos de negócio envolvidos.
Um programa bem desenhado de cibersegurança como serviço é algo que toda organização pode se beneficiar, seja para aperfeiçoar o que já é feito ou ampliar a cobertura de ações contra as ameaças.
Cybersecurity as a Service ou CSaaS não é como um antivírus, que basta fazer o download, configurar e pronto. Trata-se de um conjunto de soluções e diversos produtos desenhados de acordo com as necessidades de cada empresa a partir da definição de três aspectos: quais áreas ficarão a cargo do time interno, quais as vulnerabilidades e, a partir disso, priorizar e planejar a mitigação de cada risco.
São vários tipos de serviços que podem ser fornecidos, tais como:
– ESRM (Enterprise Security Risk Management) é um approach de administração da segurança ligado à estratégia e missão da empresa, utilizando princípios interacionais e consagrados de gerenciamentos de riscos.
– Governança e consultoria
– Treinamento
– Soluções de proteção para laptops, desktops e servidores (os “endpoints”)
– Gerenciamento de segurança de e-mail, dados jogados na nuvem e de acesso de usuários (físicos ou digitalmente)
– Criptografia
– SIEM (Security Information and Event Management), tecnologia que agrega alertas e documenta as respostas para criar um processo auditável que sirva ao gerenciamento e à governança.
– CSIRT (Computer Security Incident Response Team), um grupo técnico que fica responsável por resolver incidentes relacionados à segurança dos sistemas.
– SOC (Security Operations Center), o local onde os encarregados monitoram e analisam continuamente o comportamento de redes, sistemas e softwares para identificar potenciais ameaças e, em conjunto com o CSIRT, responder a ataques.
Geralmente, a área em que as empresas precisam de mais ajuda por ser território desconhecido é a reação aos incidentes e a inteligência para prever as ameaças. Se a empresa esperar o incidente para reagir é como dormir no frio debaixo de 1kg de cobertores mas com a janela aberta!
Adotar o CSaaS também é reduzir custos. Fazer um plano de segurança adequado para uma única empresa sai caro e a tendência é de alta dado a sofisticação dos cibercriminosos. Manter um SOC 24×7 custa em torno de US$ 1 milhão por ano.
O ganho de escala em pessoal e equipamentos é evidente. Imagine fazer o treinamento de uma nova ferramenta que pode ser usada no atendimento a múltiplas empresas. Faz todo o sentido!
Além disso, há a questão de disponibilidade de profissionais no mercado. De acordo com relatório da Cybersecurity Ventures haverá no mundo em 2021 cerca de 3,5 milhões de vagas abertas para as quais não há gente qualificada. O desemprego no setor é zero desde 2011.
No Brasil, com a entrada em vigor da Lei Geral de Proteção de Dados, os executivos tiveram de redobrar a atenção com o tema da cibersegurança. A LGPD exige que a maioria das empresas mude processos e tecnologias responsáveis pela proteção de dados além de declará-las guardiãs das informações, estabelecendo penalidades para as omissões ou falhas.
De acordo com uma pesquisa realizada pela Kaspersky, cerca de 13% dos brasileiros caíram, entre abril e junho de 2020, em algum link que os direcionava para sites maliciosos. A média mundial está em 8,3%, o que coloca o país entre os maiores alvos de phishing do mundo.
Agora em setembro já tem gente tentando dar golpe em cima do cadastramento do PIX, o novo sistema de pagamento do Banco Central que entrará em vigor em novembro.
Um bom fornecedor de CSaaS será um parceiro da empresa. Não é uma relação do tipo “configura e fatura o boleto no fim do mês”. Os fornecedores ajudam o cliente a tomar boas decisões gerenciais e de governança para mitigar riscos, resolver vulnerabilidades e responder aos incidentes. Assim, o empresário pode ter uma noite tranquila de sono (e com a janela fechada)!
(*) Alexandre Morelli é Head of Cybersecurity na Yaman
