O desafio da segurança no mundo das coisas

Por Colaborador externo | 18.07.2017 às 11:50

Por Eduardo Carvalho*

O potencial de mercado da Internet das Coisas é alto, isso não é novidade. Segundo o Gartner, 8,4 milhões de dispositivos estarão conectados em todo o mundo até o final deste ano – e a previsão é chegar a 20,4 bilhões até 2020. Nesse cenário de crescimento absurdo da IoT, a segurança, não é segredo para ninguém, é um dos pontos mais críticos. Isso porque essa tecnologia envolve diretamente as informações pessoais de indivíduos por todo o mundo.

Até hoje, muito do que se investe em segurança de TI é voltado para proteção de dados sobre os negócios das empresas. Mas, com a IoT, as ameaças passam a ser outras e podem comprometer a privacidade das pessoas. Um estudo da Federal Trade Commission, agência norte-americana de proteção ao consumidor, descobriu que menos de 10 mil domicílios são capazes de gerar mais de 150 milhões de dados sensíveis por dia.

Imagine lidar com dispositivos que contam a sua localização ou passam informações sobre sua saúde e rotina pessoal, por exemplo. Onde ficam esses dados? Quem é responsável pela segurança desse conteúdo? Não precisamos ir longe, muitas pessoas contam com sensores de alarmes e câmeras de segurança em suas casas. O acesso a esse tipo de informação, por alguém mal-intencionado, pode comprometer a segurança física dos proprietários.

Há, ainda, as grandes tendências que pouco a pouco têm se tornado realidade em nosso dia a dia – carros autônomos, smart houses, indústria 4.0, smart cities. O Rio de Janeiro já conta com iniciativas para se tornar uma cidade inteligente e hoje é considerado um dos municípios mais conectados do país. A cidade tem, por exemplo, uma parceria com o Waze. O aplicativo aproveita imagens das câmeras cariocas e os incidentes reportados pelos guardas municipais para se manter atualizado e, em troca, disponibiliza informações que alimentam o Centro de Operações, quartel-general de dados da prefeitura. Essa é uma excelente iniciativa, mas precisa ter uma camada impecável de segurança por trás. Se esse tipo de acesso cai em mãos erradas, o estrago pode ser imensurável.

Por essas e outras, a questão da segurança é urgente. Já existem projetos de lei em tramitação no Congresso para definir quais tipos de dados existem e regulamentar o tratamento de todas essas informações. Independentemente dessa regulação, é imprescindível que as empresas comecem seus investimentos em mecanismos de proteção. É preciso pensar em como manter os dados de seus clientes sob o menor risco possível.

Nesse caso, temos alguns itens fundamentais. O principal é desenvolver aplicações com as tecnologias mais seguras e atuais possíveis. As empresas precisam investir em criptografias e softwares que reduzam os riscos ao máximo. E mais do que isso – as atualizações devem ser constantes, uma vez que os cibercriminosos têm se tornado cada vez mais rápidos em encontrar brechas nesses tipos de sistemas.

Além disso, a infraestrutura física por trás de todas essas tecnologias deve estar segura. Manter o centro de processamento de dados dentro da própria companhia é uma péssima ideia quando se trabalha com as informações sensíveis do consumidor, afinal, esse tipo de ambiente precisa ter níveis de segurança física e lógica que exigiriam investimentos altíssimos em segurança. Nesse caso, investir em uma boa solução de data center e/ou cloud computing é o ideal. Essas empresas são especializadas em manter dados seguros em todos os âmbitos e, por isso, reduzem ao máximo a vulnerabilidade dos sistemas.

Outro ponto importante são as certificações. Não apenas a sua empresa deve ser certificada, todos os parceiros que atuam com você no ecossistema também devem ter selos e segurança. E aqui falamos de companhias de data center, provedores de cloud, empresas de software, processadores de pagamentos, gateways ou quaisquer outras que lidem com a informação, direta ou indiretamente, de seus clientes e usuários.

Selos como o ISO27001:2013 valem para todo tipo de companhia. Ele atesta as melhores práticas de mercado em segurança da informação. Além disso, o PCI:DSS, valida a segurança dos dados financeiros e transações feitas por meio de cartões. Existem, ainda, as certificações mais específicas, como as de data centers, por exemplo. TIER, ISAE3402 e SSAE16 SOC1 asseguram a eficácia dos controles operacionais dos DCs. Enquanto outra, como SSAE16 SOC2 avalia outras questões amparadas em cinco grandes pilares: segurança, disponibilidade, integridade, confidencialidade e privacidade. Já a ISO 22301:2012, norma internacional para gestão de continuidade de negócios, especifica os requisitos para a recuperação de ambientes de TI no caso de eventos inesperados, como desastres naturais. Esses são só alguns exemplos. Muitos, né? Vale saber se todos os seus parceiros contam com os selos.

Por último, mas não menos importante, é essencial trabalhar com a conscientização do usuário. Essa pode ser uma barreira um pouco mais resistente, pois envolve mudança de cultura e de hábitos das pessoas. Existe uma máxima que diz que uma corrente é tão forte quanto o seu elo mais fraco. E, nesse caso, a ponta mais fraca, quando o assunto é segurança, costuma ser o usuário final. Sou eu, você.... Nossos smartphones, relógios e televisores conectados. As companhias devem investir na conscientização de todos nós para evitar qualquer tipo de risco.

Quanto mais preocupados, cautelosos e bem informados todos estiverem, tanto as empresas quanto seus colaboradores, mais seguro será todo o sistema alimentado pelo mundo de dados proveniente da Internet das Coisas. Especialmente porque o mundo conectado é um futuro sem volta e precisamos nos preparar (cada vez mais) para aproveitá-lo da melhor maneira (e mais segura) possível.

*Eduardo Carvalho é presidente da Equinix no Brasil.