Compartilhar para proteger

22/05/2018 - Pesquisadora defende troca de informações para aumentar segurança cibernética

Criar um modelo para compartilhar informações sobre ameaças de ataques entre as instituições financeiras é desafiador, mas as recompensas desse intercâmbio de dados serão consideráveis para quem busca evitar prejuízos aos bancos e a seus clientes. E mais: esse compartilhamento pode ser a arma mais forte do setor bancário contra a “enxurrada” de incidentes cibernéticos que ocorrem em todo o mundo. A avaliação é da pesquisadora norte-americana Joan McGowan, analista em finanças da consultoria Celent, com 18 anos de experiência em tecnologia e estratégias de crescimento para os mercados financeiros globais.

Por aqui, o compartilhamento de dados também é recomendado pelo Banco Central, na resolução prestes a ser divulgada para estabelecer uma política de segurança cibernética no Brasil. A medida já conta com apoio dos bancos e de entidades do setor, que encaminharam sugestões para regular o tema.

Joan McGowan trabalhou como estrategista sênior para os principais fornecedores de tecnologia de serviços financeiros e assessora bancos e cooperativas de crédito em todo o mundo, com foco em risco operacional, gerenciamento de risco de terceiros, além de segurança e análise de dados.

Quais são as medidas mais urgentes para se adotar uma política de segurança cibernética eficiente no setor financeiro?
Joan McGowan – Uma das ações mais urgentes que uma instituição financeira deve empreender é mover a segurança cibernética, para além da barreira da tecnologia da informação. Tratar o risco cibernético apenas como um problema de TI é perigoso e limitado. Embora as instituições tenham implementado firewalls [dispositivo de segurança da rede de computadores que monitora o tráfego que entra e sai da rede], dispositivos anti-intrusão e de segurança em pontos de extremidade [com terceiros], ainda precisam conectar completamente os controles por meio de uma interação maior das pessoas, dos processos, das tecnologias, dos projetos arquitetônicos, dos softwares e serviços adotados. Isso deve ser implementado em todos os níveis da empresa.

O que pode ocorrer sem essa integração?
Joan McGowan – Se os departamentos não falam uns com os outros, um ataque que poderia ser barrado pode passar despercebido. Por exemplo: um ataque de denegação de serviço distribuído, o DDoS [aquele em que um hacker usa o computador mestre e faz com que vários computadores acessem um site ao mesmo tempo, sobrecarregando o sistema e fazendo com que o site ou o serviço saia do ar]. Ele cria uma variedade de riscos que podem surgir por meio de uma atividade de fraude de transação, sabotagem operacional ou risco inesperado de reputação. Em muitos casos, o ataque serve de distração, enquanto os hackers tentam tipos alternativos de fraude.
As instituições, se ainda não o fizeram [a integração entre os departamentos], devem estabelecer um compromisso de longo prazo para impulsionar uma abordagem de baixo risco interna e diminuir as ameaças externas para a segurança cibernética.

Como as instituições devem tratar a questão da cibersegurança?
Joan McGowan – As instituições devem dar um passo atrás e observar as ferramentas, as políticas e os controles que já implementaram. Quão eficaz é o programa atual? Elas possuem um centro de comando central no local? Estão aproveitando ferramentas e práticas em todos os departamentos? Abordam a qualidade e a integração dos dados? Os falsos positivos são muito altos? Os funcionários têm um programa de educação e treinamento no local? Eles compartilham inteligência fora da instituição? Em síntese: as empresas puseram seu programa de segurança cibernética em plena operação? A maioria das instituições provavelmente irá responder "não". É um exercício desanimador de ser feito, mas necessário. Se não puseram o plano em operação e não enfrentaram ainda esses questionamentos, as instituições estão permitindo ataques que poderiam ser evitados. É como fechar a porta, mas manter a janela aberta.

Em quais áreas os riscos têm avançado mais?
Joan McGowan – As instituições enfrentam ataques em muitas frentes e precisam ter capacidade de parar ataques específicos e multifacetados em toda a organização. Uma das áreas com mais ameaças que mais crescem, por exemplo, é a de riscos internos. As instituições devem concentrar recursos para compreender o comportamento de seus profissionais. E, mais uma vez, a análise da inteligência artificial é fundamental para entender padrões sutis de comportamento dentro da organização e, assim, detectar ameaças internas.

Como é o atual nível de proteção do setor financeiro no Brasil comparado a outros mercados?
Joan McGowan – Com base em minhas pesquisas, descobri que esse é um problema comum em todo o mundo. [O que precisa ser melhorado] é a estratégia de cibersegurança descendente [em todos os níveis da instituição]; otimizar e operacionalizar completamente as ferramentas existentes, sistemas e integração de dados; além de superposição com detecção de inteligência artificial e prestar atenção às ameaças internas.

O que precisa ser feito para proteger dados dos clientes em um cenário de crescente uso de meios eletrônicos e de inovações tecnológicas?
Joan McGowan – A pressão para abrir e analisar dados no setor bancário criará uma mudança profunda e, especificamente, aumentará exponencialmente a superfície do ataque cibernético. Assim, o redesenho de produtos e processos, a criação de capacitadores de tecnologia, protocolos para APIs e a governança devem levar em consideração riscos de segurança de dados e conformidade com requisitos e expectativas externas específicas.

Poderia detalhar melhor como devem ser essas ações?
Joan McGowan – Por exemplo, será exigida uma autenticação de cliente mais sólida, com base em duas ou mais informações de conhecimento dos usuários. Algo que eles saibam, algo que eles tenham ou algo que eles usem [no momento de acesso a uma operação]. As instituições também devem aplicar uma abordagem "não confiável" para o desenho de APIs [a empresa de software deve aumentar os níveis de segurança quando tem a intenção de que outros criadores de software desenvolvam produtos associados ao seu serviço]. E as instituições também devem adaptar sistemas de pontuação de fraude para ter uma infraestrutura segura para TPPs [Protocolo de Transferência de Hipertexto Seguro, é a versão mais segura do protocolo de transferência de dados entre redes de computadores na internet]. Considerando que a maioria das instituições depende das interações diretas dos clientes com a instituição, será um grande desafio produzir pontuações de risco.

Prevenção e ataques caminham na mesma velocidade?
Joan McGowan – O setor financeiro ainda é uma prioridade para os golpistas e sempre será. A cibersegurança é um problema muito grande para que uma instituição possa resolver sozinha. Os ataques crescem em complexidade, sofisticação técnica e audácia. As penalidades pelos erros são imediatas e extremamente preocupantes para os executivos dos bancos. Para ter uma chance de luta, os bancos devem ser mais colaborativos e dispostos a compartilhar inteligência de ameaças cibernéticas (CTI) com seus pares. A motivação para dividir informações sobre ameaças é óbvia: a detecção de um incidente por parte de um banco é a prevenção de um ataque por parte de outro banco. Mas como as instituições adotam programas diversos de combate a riscos cibernéticos, a indústria financeira está longe de ter uma prática uniforme, o que é recomendado para o setor.

Os investimentos em cibersegurança têm avançado?
Joan McGowan – A despesa com segurança cibernética em todo o setor financeiro ainda é alta, mas vejo uma estagnação na trajetória dos gastos. As instituições não podem dispender recursos e manter gastos na taxa que observamos na última década. O foco está na automação, na racionalização e na otimização do que eles dispõem. O investimento está na superposição de novas tecnologias baseadas em inteligência artificial e que não são excessivamente onerosas, necessariamente.

  •  Fonte: http://www.ciab.com.br/publicacoes/edicao/74/compartilhar-para-proteger?utm_source=akna&utm_medium=email&utm_campaign=Revista+CIAB+74
     NEOCONSIG  ECONOMIA  SEGURANCA CIBERNETICA  BANCOS  INFORMACOES