Em busca da mitigação de risco

Para Alessandro Figueiredo, da SulAmérica, é preciso planejar ações de mitigação de risco para Mobilidade, Cloud, Big Data e Redes Sociais. Coordenador de Segurança da Informação e Sistemas da seguradora, ele avalia que não existe uma única forma de estruturar a segurança para esses quatro pilares, já que existem players que atuam com foco maior em um ou outro. Ele defende ainda que o negócio é que deve definir o apetite de risco da companhia.

Figueiredo é um dos congressistas do Security Leaders Fórum, evento sobre Segurança da Informação e Risco que será realizado em 27 de março no Rio de Janeiro. O executivo fala com exclusividade à Risk Report sobre os desafios do setor.

Risk Report: Na sua visão, a questão da segurança tem o mesmo nível crítico nas tendências Mobilidade, Cloud Computing, Big Data e Redes Sociais? Se não, em qual delas o nível é mais crítico?
Alessandro Figueiredo: Considero que as quatro tendências devam ser enxergadas com o mesmo nível de risco. Portanto, os líderes de segurança da informação de cada organização devem planejar ações de mitigação para cada uma delas.

RR: É possível estruturar a Segurança de forma a apoiar todas essas iniciativas com a mesma plataforma? Ou essas tendências exigem plataformas diferentes e específicas?
AF: Não necessariamente. Existem players que atuam com foco maior em cada uma das tendências citadas. Por exemplo: para segurança de Mobile, teremos empresas que lideram no [quadrante mágico] do Gartner e em outros institutos de pesquisas tanto para soluções de End Point Security quanto para MDM [Mobile Device Management], que não necessariamente serão do mesmo fabricante de soluções que protegem aplicações em Cloud.

Da mesma forma, Big Data e Redes Sociais talvez não sejam riscos que devam ser tratados com uma ferramenta e sim com um serviço de “threat intelligence”, por exemplo.

Em resumo: não existe uma verdade absoluta sobre como estruturar uma área de segurança nesses quatro pilares. Podemos tratar com ferramentas de um mesmo fabricante ou não, assim como podemos tratar como um serviço de MSS [Managed Security Services]. Essas decisões variam conforme o segmento em que a organização atua.

RR: Aspectos como detecção e proteção avançada são impactados por essas tendências?
AF: Certamente. Creio que as ferramentas que previnem os chamados APTs (Advanced Persistent Threats) devem ser providas de capacidade de analisar e monitorar um enorme número de informações; para isso, provavelmente, elas devem se utilizar de ferramentas de Big Data, por exemplo.

RR: Na questão do cloud, data center de próxima geração fará diferença?
AF: Sem dúvida. Uma das preocupações principais que cada líder de segurança da informação deve ter está na segurança física do player que custodiará suas aplicações. Exigir certificações que garantem a excelência do data center e colocar este ponto como uma das cláusulas obrigatórias de uma RFP [Request for Proposal] é uma boa prática que deve ser seguida.

RR: Qual tendência, entre Mobilidade, Cloud Computing, Big Data e Redes Sociais, deverá ser a predominante em 2014?
AF: Não arriscaria a apontar uma das quatro, até porque elas estão correlacionadas. Creio que elas serão destaques em 2014, talvez uma mais e outra menos dependendo do negócio, mas na média estarão bem próximas.

RR: A área de segurança pode contribuir para apoiar essas iniciativas cruzando a visão tecnológica com a demanda do negócio?
AF: A área de segurança sempre deve atuar a fim de apoiar o negócio. O negócio é que deve definir o apetite de risco da companhia, ou seja, mesmo que muitos profissionais de segurança considerem um risco migrar uma aplicação “on premise” (interna) para Cloud, o que deve ser compreendido por nós, de segurança, é a importância desta ação para o negócio.

Após entender a demanda de negócio, devemos realizar um assessment a fim de definir uma arquitetura de segurança que mitigue qualquer risco e, ao final, apresentar o risco residual que possa persistir e formalizar uma aceitação de risco caso este seja de alta severidade.

RR: Qual a contribuição que a área de segurança pode dar para ampliar o escopo dessas tendências dentro das corporações?
AF: Conforme citei antes, o nosso papel, da área de segurança da informação, é garantir que essas tendências tenham seus escopos ampliados com a devida segurança ou com o devido risk assessment formalizado de cada iniciativa.

RR: Como a área de segurança será afetada pelos grandes eventos de 2014, como Copa do Mundo e eleições presidenciais?
AF: Sempre que um país está envolvido em um grande evento, como os citados, a ocorrência de ataques de negação de serviços e/ou phishings/spams que se relacionem aos temas tende a crescer. É uma preocupação, mas não tão diferente com a que devemos ter 24 x 7.

LINK ORIGINAL http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=16094&sid=42

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s