1_conferencia_gartner_gestao_de_risco

Responsabilidade das áreas de negócios e flexibilidade técnica são as chaves da gestão de riscos e segurança, diz Gartner

Determinar com precisão os riscos e, a partir disso, assegurar a identificação e resposta às ameaças mais relevantes é a premissa do modelo de segurança do Gartner. “As áreas de segurança têm que respeitar os recursos e os orçamentos, escolhendo as batalhas mais importantes. Se buscarmos uma solução que cubra 100% dos riscos, somos obrigados a dizer ‘não’. Para dar conta da velocidade requerida pelos líderes de negócios e tornar segurança inerente às estratégias digitais, temos que ter uma abordagem mais flexível e dinâmica”, diz Cláudio Neiva, vice-presidente de pesquisas do Gartner e chairman da Conferência Gartner Segurança & Gestão de Risco, que ocorreu nesta semana em São Paulo.

Como resposta ao cenário de ataques e riscos, o Gartner formulou o modelo CARTA (Continuous Adaptive Risk and Trust Assessment, ou Análise Contínua e Adaptável de Riscos e Confiança), um conceito da Arquitetura de Segurança Adaptativa, promovido pela consultoria em 2014.

Em termos táticos, o CARTA recomenda o uso contínuo de ferramentas de data analytics, para consolidar as informações de diversos sistemas e identificar ameaças de forma inteligente. “A detecção de anomalias e o aprendizado de máquinas estão nos ajudando a achar os vilões que de outra forma passariam pelos nossos sistemas de prevenção baseado em regras”, comenta Felix Gaehtgens, diretor de pesquisas do Gartner. O resultado prático desse monitoramento, por sua vez, depende da capacidade de automatizar a resposta a ameaças, para viabilizar a execução de contramedidas a tempo. “Indicadores técnicos precisam ser analisados em um contexto comportamental, que leve em conta o lado humano da segurança. É importante entender intenção do usuário quando busca o dado”, complementa Willian Rodrigues, engenheiro de sistemas sênior da Forcepoint.

Outro eixo do CARTA, relacionado a DevOps, agile e outros aspectos do desenvolvimento de produtos, envolve os riscos de vulnerabilidade nas aplicações. A proposta é estabelecer uma cadeia de suprimentos segura, com componentes pré-validados e “serviços” de segurança comuns. “Grande parte do software hoje não é codificada, é construída. Cada componente pode ter sua vulnerabilidade. Portanto, a abordagem mais eficaz é fazer a análise dos componentes antes”, resume Gaehtgens. Neiva lembra que tal abordagem já é adotada por organizações como o Federal Reserve, que só permite a criação de aplicativos sobre componentes certificados. De certa forma, é como verificar a qualidade de cada ingrediente antes do preparo do prato, para atenuar o risco de surpresas na hora de servir (ou de concluir a codificação do aplicativo, no caso). “Precisamos nos concentrar em aplicar a CARTA não apenas a produtos já implementados, mas para novos serviços e recursos conforme eles são construídos”, destaca Augusto Barros, também diretor de pesquisas da consultoria.

A consolidação de dados críticos em serviços seguros – como cadastro, registro ou autenticação, acionáveis pelos aplicativos – também é outro acelerador do desenvolvimento de produtos, com a simplificação das questões de conformidade e controle.

Mesmo em setores sem uma regulação institucional, a alternativa de criar essas bibliotecas seguras, que agilizam a execução de produtos digitais sem que a pressa acrescente riscos, tende a ser disseminada por líderes de cadeias industriais, como montadoras e bancos, como parte das exigências de segurança impostas a parceiros conectados, menciona Gaehtgens.

Estratégias de riscos determinam tecnologias e investimentos

Cláudio Neiva compara o papel do profissional de segurança ao de um consultor financeiro.  “Para cada cliente, o consultor pode criar uma carteira com compra de opções, ações tradicionais e poupança, de forma que adéque a perspectiva de rentabilidade e a tolerância a perdas aos níveis de risco de cada investimento. Da mesma forma, não é só visão técnica que determina uso das ferramentas, mas o risco assumido pelo negócio”, ilustra.

A interlocução com as áreas de produtos e negócios, defende o consultor, é também fundamental para que se definam de forma eficiente o escopo das políticas de segurança e sair do dilema do tudo ou nada. Neiva recomenda uma avaliação granular dos riscos, com as peculiaridades de cada área ou atividade da organização. “O vazamento dessa ou daquela informação pode ter impacto bem diferente. Tratar tudo como um bloco é inviável”.

“É importante que companhias entendam suas prioridades, para um planejamento pragmático de investimentos. Produto é consequência”, diz Daniel Bortolazo, gerente de engenharia da Palo Alto. “O desafio de classificação de informação depende da definição de valor da informação, o que deve vir dos profissionais de cada área. Cabe à sustentação tecnológica dar condições ao usuário de atribuir valor à informação, por exemplo, na hora de gravar um documento. Assim se otimiza o retorno de investimento em ferramentas de DLP e outras defesas”, acrescenta Nélio Penido, engenheiro de sistemas da NetConnections.

Compartilhe

Notícias relacionadas

Blog
Mudança na natureza jurídica da ANPD fortalece aplicação da LGPD
Por Edilma Rodrigues A Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022 assinada pelo...
Blog
Mercado Pago usa tecnologia de segurança da Mastercard para criptos
A carteira digital do Mercado Livre, o Mercado Pago, vai usar
Blog
Ant Group lança banco digital para micro, pequenas e médias empresas em Singapura
O ANEXT Bank, banco digital de atacado de Singapura e parte do Ant Group, anunciou...
Blog
Cetelem vai reduzir 6 mil toneladas de CO² com emissão de cartões reciclados
O Banco Cetelem Brasil emitiu cerca de 370 mil cartões de plástico reciclado, desde o...

Assine o CANTAnews

Não perca a oportunidade de saber todas as atualizações do mercado, diretamente no seu e-mail

plugins premium WordPress
Scroll to Top