Para IBM, lado mais vulnerável de empresas ainda são os parceiros

Por Rafael Romer | 05 de Novembro de 2015 às 08h24
photo_camera Divulgação

A infraestrutura de segurança do ecossistema de parceiros permanece como um dos lados mais vulneráveis para a proteção de dados de organizações, avaliaram executivos da IBM Brasil nesta quarta-feira (04) durante um debate sobre os principais desafios de segurança ainda enfrentados por empresas nacionais.

"Essa preocupação existe, mas é definitivamente um dos lados mais vulneráveis em relação a segurança de informação", avaliou o Líder de Segurança da Informação da IBM Brasil, Felipe Peñaranda.

Questionados pelo Canaltech, executivos da empresa ressaltaram que hoje grande parte das empresas já tem consciência de que qualquer infraestrutura de segurança tem que se estender para parceiros, canais de distribuição e até mesmo cliente, mas ainda assim algumas organizações não estabelecem proteções para esses players.

"É um risco que está crescendo cada vez mais, porque as empresas estão terceirizando muito os serviços, seja o gerenciamento de estações ou de outras partes da empresa ", explicou o pesquisador segurança da informação do Laboratório de Sistemas Integráveis Tecnológico da Universidade de São Paulo (LSITEC-EPUSP), Matteo Nava. "A necessidade de acesso ou de comunicação de empresas terceiras à rede está mais frequente, portanto é preciso ter consciência de controlar não só a empresa, mas todo o ecossistema".

A necessidade de abordar o tema de segurança de ecossistemas já motivou a própria IBM a colocar a relação com terceiros como uma das dez melhores práticas de segurança para organizações, que já se torna quase tão crítica quando a própria segurança interna. "Hoje, a governança não fica mais dentro da empresa, ela acaba sendo pervasiva", disse o Líder de Soluções de Segurança da IBM Brasil, Guilherme Novaes.

No final de 2013, a rede de varejo norte-americana Target se tornou um dos mais simbólicos exemplos da necessidade de proteger seu ecossistema quando um ataque que teve origem fora da organização resultou no comprometimento de informações de mais de 40 milhões de cartões de crédito e débito de clientes da empresa. O ataque teve início fora da Target, nos sistemas de uma fornecedora de ar-condicionados que trabalhava para a companhia, o que resultou em danos de mais de US$ 10 milhões e indenizações a clientes e instituições financeiras.

IBM

Para IBM, governança não fica mais dentro da empresa e deve ser pervasiva (Foto: Rafael Romer/Canaltech)

Durante o debate, a IBM apresentou dados de um levantamento recente da empresa com 40 diretores executivos de segurança da informação (CISOs) de grandes organizações norte-americanas de setores como saúde, varejo, finanças e governo sobre quais os principais desafios de segurança enfrentados por suas empresas.

O primeiro deles é a necessidade de um foco na estratégia de segurança baseada em risco, que fuja do "esforço mínimo" de montar defesas apenas para atender a demandas de compliance. Em segundo lugar, é preciso estabelecer comunicação como uma prioridade, de forma que a estratégia de segurança da empresa possa ser compreendida pelos tomadores de decisão e de orçamento da companhia. Por fim, é preciso colocar a estratégia na prática, tornando-a "consumível" pela organização: não adiantam boas ferramentas, mas guardadas e não ativas dentro da corporação.

"Os CISOs perceberam que precisam ir para um modelo de risco, porque com isso eles ajudam a priorizar a comunicação para níveis mais altos e terem um entendimento e sensibilidade melhor a esse tema, para buscar mais prioridade e orçamento para esse tipo de projeto", explicou Novaes.

O panorama mostrado pelos CISOs, no entanto, parece ser positivo. No total, 88% dos entrevistados afirmaram que seus orçamentos de segurança aumentaram nos últimos anos - só fica de fora o setor público. Além disso, 85% deles disseram que o apoio de tomadores de decisão para os esforços em cibersegurança também têm crescido internamente.

Ainda assim, quando questionados diretamente se eles sentiam que tinham informações o suficiente para gerenciar o risco dentro de suas empresas e priorizar ameaças, apenas 45% responderam que "sim".

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.