Com mais de 25 anos de experiência na área da gestão de IT e segurança da informação, Vaine Barreira é, desde Novemrbo, Cybersecurity Awareness & Education Global Manager da Faurecia, no Porto. O responsável avança à Security Magazine que a engenharia social e softwares sem actualizações continuam a fazer parte das ciberameaças globais. Como aponta, durante 2020, “o ransomware continuará a crescer, assim como as violações de dados”. Além disso, destaca que “o aumento dos dispositivos conectados à internet, com a vinda das redes 5G, levará a mais incidentes nesta área”. Com foco nas pessoas, o especialista acredita que “as empresas precisam ver as pessoas como o elo forte da segurança e não mais como o elo fraco”.
Security Magazine – Com mais de 25 anos de experiência na área da gestão de IT e segurança da informação, com especial destaque no mercado brasileiro, é, desde Novembro do ano passado, Cybersecurity Awareness & Education Global Manager da Faurecia, no Porto. O que o trouxe a Portugal?
Vaine Barreira – Foram basicamente dois factores que pesaram bastante na decisão de mudar-me para Portugal. Primeiro, a questão familiar, buscando uma melhor qualidade de vida. Segundo, a questão profissional, já que Portugal está a transformar-se num hub de tecnologia para toda a Europa, e a oportunidade de desenvolver a área de consciencialização em cibersegurança numa empresa global do porte da Faurecia.
A observar pela sua experiência, como especialista em segurança da informação, crimes digitais e testes de vulnerabilidades, como evoluiu este mercado ao longo das últimas décadas, em termos da tipologia e complexidade de ciberameaças?
A digitalização cada vez maior da sociedade levou a um aumento exponencial dos crimes digitais. Mas houve um factor determinante para esse crescimento.
Passamos de “conhecimento” necessário para “ferramentas” disponíveis, ou seja, há 15 anos era preciso muito conhecimento por parte do atacante para realizar uma acção.
Hoje, qualquer pessoa sem grandes conhecimentos técnicos pode ter acesso a ferramentas de ataques já prontas. Um bom exemplo são as plataformas de “ransomware as a service” disponíveis para locação na Deep Web.
A nível global quais as principais ciberameaças que as empresas e profissionais enfrentam diariamente?
A engenharia social (com as diversas formas de phishing) e os softwares sem actualizações continuam a fazer parte das ciberameaças globais, representado mais 90% dos vectores de ataques. Ransomware também é uma preocupação diária.
O que podemos esperar de 2020 a este nível?
As ameaças continuarão a crescer em 2020, mas as empresas estão a entender melhor o risco, principalmente dos factores humanos.
Do lado dos atacantes, o ransomware continuará a crescer, assim como as violações de dados. O aumento de dispositivos conectados à Internet, com a vinda das redes 5G, levará a mais incidentes nessa área. Também a cadeia de abastecimentos deverá ser mais atacada e veremos uma escalada das “deepfakes”.
Já do lado da segurança deverá se acentuar a prevenção baseada em Inteligência Artificial e o amadurecimento dos processos de DevSecOps e consciencialização. O modelo “Zero Trust”, que reconhece a confiança como uma vulnerabilidade, também deverá ganhar força.
Que diferenças identifica entre o mercado Europeu e o da América Latina em termos de maturidade das empresas no campo da cibersegurança?
O mercado Europeu está à frente da América Latina em termos de cibersegurança. Aqui as regulamentações estão em vigor há mais tempo, o que colaborou muito para o amadurecimento da área. Mas os países da América Latina têm feito os trabalhos de casa, e os resultados começam a aparecer.
Num dos seus artigos de opinião, já amplamente divulgados, refere que “a forma tradicional de segurança da informação acabou”, ou seja, garantir 100% de segurança ou que a empresa não sofrerá nenhum tipo de ataque ou invasão “não é mais possível”. Face a esta situação, qual deverá ser a atitude a adoptar pelas empresas e profissionais?
Lembro que antigamente, nos projectos de segurança, falávamos muito em “impedir ataques”. Hoje isso não é mais possível e a abordagem mais correta é “evitar danos”.
As empresas precisam estar preparadas para sofrer ataques e se restabelecerem rapidamente, sem grandes prejuízos.
Existe uma brincadeira no meio da segurança digital que diz que existem dois tipos de empresas: as que foram invadidas e as que não sabem que foram invadidas. Na minha opinião, resiliência é a palavra-chave em segurança da informação.
Como classifica a importância da resiliência num cenário de ciberataque?
A resiliência das empresas é vital no cenário de segurança. Como não é possível impedir completamente os ataques, ter ferramentas, procedimentos e equipas treinadas para rapidamente identificar, responder e se restabelecer desses ataques é essencial para evitar perdas ou vazamentos de informações importantes.
Melhor formação e maior sensibilização VS melhor software e hardware. As pessoas são muitas vezes apontadas como o elo mais fraco e a porta de entrada de muitas das situações vividas nas empresas em termos de ciberataques. O foco das empresas deverá passar pelo reforço da formação e sensibilização e redução de investimentos em software e hardware?
Uma acção não é inversamente proporcional a outra, muito pelo contrário. As empresas precisam continuar a investir em tecnologias (hardware e software), mas ao mesmo tempo devem investir muito no factor humano. Como essa balança hoje não é equilibrada é natural que o maior vector de ataques seja a engenharia social.
As empresas precisam ver as pessoas como o “elo forte” da segurança e não mais como o “elo fraco”. Gosto do conceito de “firewall humano”, onde as pessoas são vistas como uma camada a mais de segurança, e não como um problema.
Essa abordagem é possível com uma cultura forte e positiva de cibersegurança, construída através da mudança de comportamento das pessoas.
Como e que estratégias podem ser adoptadas para implementarmos uma verdadeira cultura de segurança?
A cultura de cibersegurança refere-se ao conhecimento, crenças, atitudes, normas e valores das pessoas em relação à cibersegurança e como elas se manifestam na interacção com as tecnologias da informação. A ideia por trás desse conceito é tornar o tema de segurança da informação parte integrante da vida diária das pessoas.
Uma estratégia a ser adoptada é a da cultura positiva, onde o foco é premiar e incentivar as pessoas por bons comportamentos, e não em punir as más acções. Quando as pessoas têm medo de mostrar os seus erros, elas escondem-no, mas o objectivo deve ser a transparência. Gosto muito da expressão: “If you see something, say something!”.
Outra boa estratégia é relacionar os temas de segurança com a vida pessoal. O conteúdo precisa ser relevante e essencial para o dia a dia digital das pessoas. É mais fácil adoptar hábitos seguros quando percebem que a acção é essencial para elas, não apenas para a empresa.
Na sua perspectiva, qual o papel que deverá desempenhar um CISO dentro de uma organização e quais as principais skills que deverá possuir?
Acredito que um dos principais desafios de um CISO seja realmente conseguir incorporar a cultura de cibersegurança dentro de todos os projectos da empresa, isso é, garantir que a segurança seja totalmente incorporada à cadeia de valores dos negócios. Também é muito importante que o CISCO se concentre no lado humano da segurança.
Além do skills técnicos, é importante o CISO ter boa comunicação além de conhecimentos de negócios, que incluem competências em governança, auditoria, regulamentações, gestão de conformidade, gestão de operações, planeamento estratégico, gestão financeira e de risco.
Existem cada vez mais ciberataques mais elaborados, feitos quase que à medida de determinada empresa, sector ou individuo. A indústria automotive tem desafios acrescidos no que toca a segurança da informação quando comparada com outras indústrias? A ciberespionagem industrial é uma preocupação para este sector?
A indústria automotive, além das preocupações habituais com cibersegurança, tem agora o cenário dos veículos conectados e automatizados, que aumenta em muito a superfície de ataque.
A ciberespionagem é um problema de toda indústria, e novamente o investimento no lado humano da segurança é um bom caminho para prevenir as violações e vazamentos de dados sensíveis.
Que conselhos deixaria aos nossos profissionais e empresários no sentido de melhor se prepararem para os desafios do futuro em matéria de cibersegurança?
Aos profissionais, já que também sou da área de educação, o conselho é nunca parar de estudar. Conhecimento é a base da segurança. Além de temas técnicos, estudar também sobre o comportamento humano. Pensar como um “hacker” ou como um “engenheiro social”, ajuda muito na estratégia de defesa.
Aos empresários o conselho é que invistam também no factor humano. Não só no treinamento técnico das equipas de tecnologia, mas na consciencialização de todas as pessoas. A maturidade na cultura de segurança só ocorre quando as pessoas adoptam comportamentos seguros e isso não é simples de se conseguir.
