Segurança da informação: o lugar que lhe cabe na Nova Revolução Industrial

outubro 6, 2016 5:00 pm Publicado por Deixe um comentário

Mobile First, API First, smart cities, Internet das Coisas, nova revolução industrial. Reconhece esses termos? Há algum tempo eles estão em voga entre desenvolvedores e profissionais de Tecnologia da Informação. Mas a pergunta que queremos fazer para você, desenvolvedor é: você acha que está pensando o suficiente em segurança?

Nesta entrevista, Felipe Penaranda Silva, Latin America Security Tiger Team da IBM, fala com a propriedade de quem vivencia a realidade do setor, e mostra sua preocupação com o assunto: “quando falamos de smart cities, estamos falando de uma área de ataque muito maior. As empresas que atuam neste setor estão preocupadas com a segurança das informações e das demais pessoas? Elas estão preparadas para o caos que uma invasão pode trazer?”, questiona Felipe.

img_0773

iMasters: Muito se fala em Mobile First e em API First. Entretanto, em um cenário de IoT, na chamada “Nova Revolução Industrial” e no contexto de smart cities, não seria mais interessante se falar em Security First?

Felipe: Já estão falando há algum tempo sobre smart cities e agora, nos últimos anos e com mais força, sobre a Internet das Coisas. E isso, com certeza, tem mexido muito com a área de segurança da informação porque, infelizmente, em todas essas inovações, o pessoal acaba lembrando da segurança da informação só no final. A área acaba sendo esquecida. O pessoal inova, cria novos modelos e só depois alguém se toca que a segurança da informação é fundamental. E isso é uma constatação unânime de todos os profissionais de todas as áreas. Se você não tiver a questão da segurança da informação muito bem resolvida, você coloca em risco todo o projeto. O que acaba acontecendo é que existe o projeto, a lógica do negócio e APPs extremamente vulneráveis. E quando a gente vai pra smart cities e IoT, a preocupação aumenta muito, porque a área de ataque é muito maior. A vulnerabilidade é muito maior.

iMasters: Juridicamente, em termos de segurança da informação, você acredita que estamos preparados para esse novo mundo de IoT?

Felipe: No aspecto jurídico, temos a questão da privacidade das informações e das pessoas. O Brasil é um dos países mais atrasados nisso. Enquanto a Argentina e o Chile já têm leis de privacidades de dados, o Brasil está colocando a pauta no Congresso, em consulta pública… Apesar do Marco Civil, a gente não tem uma lei federal sobre privacidade de dados.

Outra questão, é como que essas smart cities vão se estruturar em questão de organização. Se acontece um incidente, como uma invasão no sistema de controle de tráfego, por exemplo, quem na cidade, dentro de uma administração municipal ou estadual, será responsável por conter esse incidente? Ainda não existe uma preparação para isso. É preciso pensar na questão da governança e dos processos que precisam ser estruturados.

iMasters: O Gartner publicou uma pesquisa recente, dizendo que umas das principais barreiras para o avanço do conceito de IoT é a segurança. Como as empresas e os desenvolvedores devem se preparar para essa mudança de conceito?

Felipe: Nesse novo mundo para o qual estamos caminhando, acredito que os fabricantes que estão investindo em IoT e smart cities, deveriam se preocupar com uma coisa que inglês chamamos de security by design, que é quando os apps já nascem de formas seguras. E não os desenvolver e só depois se preocupar com a segurança dos códigos. 35% dos apps móveis disponíveis não têm checagem nenhuma de segurança. E eles deveriam, na verdade, é nascer seguros.

É preciso focar em: código seguro, mecanismos corretos de aplicação de autenticação e acesso e criptografia, porque a gente vê vários sistemas comunicando informações abertas, que podem ser capturadas sem nenhum tipo de criptografia. No ano passado, a Fiat Chrysler teve que fazer um recall no mundo inteiro de um dos seus modelos porque se descobriu que através do rádio era possível invadir o sistema que do carro. Imagina o prejuízo que eles não tiveram por não pensar em cyber security?

Além disso, outro caminho que eu vejo, são as certificações. Sistemas tradicionais, empresas, provedores, todos necessitarão de órgãos de certificação a fim de validar seus produtos. Certificar as aplicações que realmente possuem um código seguro, um código que foi desenvolvido com a preocupação de endereçar todos os riscos para aquele contexto em que será aplicado. Então, inevitavelmente nós precisaremos de algum mecanismo nesta linha. Isso naturalmente irá obrigar as empresas que fornecem este tipo de software. Eles não terão opção, terão que desenvolver uma cultura na área de desenvolvimento, precisarão entender que as coisas têm que ser desenvolvidas de forma segura desde o ponto zero da aplicação. Uma vez que isso se torne mandatório na indústria e no mercado, cria-se um pacto direto nas empresas que atuarão neste setor. Infelizmente, é o caminho que precisa ser tomado.

Masters: Vamos falar de segurança nos meios de pagamento. Convenhamos que o cartão de crédito não é muito confiável, visto que a chave primária e o código de segurança estão visíveis para qualquer pessoa. Então, atualmente, temos tokens, criptografia fim a fim, autenticação etc. Com todo esse desenvolvimento, como você vê o futuro da segurança nos meios de pagamento?

Felipe: No Brasil, sempre tivemos um número enorme de fraudes nos meios de pagamento, mas com a vinda dos cartões chipados isso diminui no meio físico. Agora começam a aparecer outros dispositivos de pagamento. A percepção que eu tenho quando você fala sobre outros dispositivos e meios de pagamento, eu acredito que já existe neste segmento especifico uma maior conscientização sobre os aspectos de segurança. Existe um padrão amplamente utilizado, que completou mais de dez anos, o PCIDSS (payments card industry data security standards), que está na versão 3.2, se não em engano, que é amplamente divulgado pelo mundo inteiro. Sendo assim, neste mundo de meios de pagamento, esse modelo fez com que vários segmentos da indústria que não olhavam para segurança da informação começassem a olhar. Este padrão, sempre se atualiza em função do surgimento de novas tecnologias. É claro que as superfícies de ataque aumentam bastante com o surgimento de novos dispositivos, porém, o padrão PCI foi um caminho muito interessante que mitigou os riscos nesse escopo.

iMasters: Como você enxerga a evolução da segurança em um cenário de big data?

Felipe: Você começa a ter um conjunto enorme de informações e hoje, já possuímos, sim, plataformas que podem capturar e gerenciar uma quantidade gigantesca de informações e colocar inteligência em cima de disso. Mas o que preocupa um pouco nesse aspecto é a qualidade dos profissionais. No Brasil, você tem uma carência muito grande de profissionais voltados para segurança da informação.

iMasters: Como você vê a proximidade do time de segurança com o time de front-end?

Felipe: Essa é uma discussão que acontece há muito tempo e a gente viu nos últimos anos os times de aplicação e desenvolvimento serem integrados ao time de segurança da informação, inclusive do time de devops. Hoje, nós temos mecanismos, que facilitem isso, como a metodologia Agile. Existem mecanismos na nuvem e mesmo em plataformas, que você consegue fazer com que os times trabalhem juntos.

Você tem algumas ferramentas como a análise de caixa branca, sendo mais uma opção que o desenvolvedor tem dentro do próprio ambiente de desenvolvimento. Ele já faz a varredura do código dele, ou na nuvem, onde, com um clique, ele coloca o código, integrando tudo isso no próprio esquema de desenvolvimento. E também temos a análise caixa preta, quando a aplicação já está na homologação, e você não tem mais acesso ao código da aplicação, então, faz uma outra análise que complemente a análise de caixa branca. Aqui você olha para a aplicação, a infraestrutura, onde essa aplicação está e se está deployada. Assim, você consegue manter essa agilidade entre todos os componentes de segurança, integrados neste ciclo de desenvolvimento.

iMasters: Muitas empresas, atualmente, trabalham com BYOD. Você vê esta prática como uma possível falha de segurança, ou uma oportunidade de proteger melhor o seu sistema?

Felipe: Essa é uma prática para qual as empresas já têm se atentado, se preparado… Quando a gente fala em BYOD, é, sem dúvidas, mais uma superfície de ataque que as empresas estão trazendo para dentro delas. Mas mal, ou bem, as empresas têm soluções que já conseguem mitigar os riscos do BYOD.

Mas quando falamos de smart cities, de IoT, é algo muito maior! São coisas que não estão dentro de uma empresa, ou organização, onde se tem controle de entrada, saída e segurança. Temos que pensar na segurança física dos devices. Como vamos fazer o controle de alguém que pode fazer tudo a distância? Tem aquele caso que ficou famoso no mundo inteiro, conhecido como Stuxnet, que era um código malicioso usado para sabotar as plantas de enriquecimento de urânio no Irã. Aquilo foi um pendrive que colocaram diretamente no dispositivo.

iMasters: É sabido que a maior parte das falhas se segurança vem dos usuários do sistema, e não do código em si. Como você vê a necessidade de um documento de política de segurança da informação, e a quais empresas esse documento se aplica e como isso pode ser escalado?

Felipe: Dentro de uma organização é simples: você tem os documentos, as políticas e as campanhas de conscientização. Porém, em SC e IoT, você terá uma população que irá interagir com as aplicações. Como conscientizar toda uma população de que não adianta ter toda a eficiência e a automação, se ela não utilizar os dispositivos de forma segura? É preciso que os governos, nas suas esferas federais, estaduais e municipais, atuem como parte das iniciativas de smart cities e tenham um mecanismo de conscientização global dos cidadãos.

Eles precisam saber que para que se tenha uma cidade segura e inteligente, na qual os riscos do caos e tragédias sejam mínimos, o cidadão faz parte dessa frente de segurança da informação. Isso se relaciona com aquilo que eu disse sobre o aspecto judicial. Pensando na organização de como os governos irão se estruturar para manter equipes de respostas a incidentes e como eles irão se estruturar para ter mecanismos de conscientização uma população.

iMasters: Outro assunto que está na moda é a inteligência artificial. Temos diversas aplicações de IA espalhadas pela web, captando nossas informações a fim de treinar uma rede neural. Como garantir a segurança dessas informações?

Felipe: A IBM fez um anúncio muito grande dia 10 de maio sobre a plataforma Watson, uma plataforma de computação cognitiva. Agora você tem um conjunto enorme de informações sendo geradas ao redor do mundo. Um malware que explorou um dispositivo no leste europeu, por exemplo, no minuto seguinte estará explorando algo aqui no Brasil. Então, se você tem um mecanismo de consumo dessas informações, você dá mais inteligência ao sistema de segurança, só que essas informações estruturadas, ou inteligência de segurança, são 8% do total das informações, ou seja, que podem ser consumidas por meio de sistemas automatizados.

Então, mais de 90% são informações são não estruturadas, wiks, blogs, pesquisas, papers e conferências sobre segurança. É um monte de informação não estruturada que está disponível por aí e que é impossível de ser consumida. E é nesse ponto que entra a inteligência artificial, que atualmente possui uma vertente chamada cognitive security, que é uma nova área da segurança da informação. Então, com esse sistema, agora é possível, consumir todas estas informações acessadas a fim de treinar os sistemas que se utilizam de inteligência artificial para que sirvam de insumo aos analistas de segurança da informação. Sendo assim, o propósito em se utilizar a inteligência artificial e sistemas cognitivos é, justamente, para reduzir ao máximo o tempo de resposta. Exemplo: se acontece uma invasão no sistema semafórico, e você tem um sistema que varre continuamente todas as informações não estruturadas que vagam pela rede, você consegue, em poucos minutos, ou segundos, disponibilizar esta informação para que o analista de segurança, ou o operador de segurança, ou cara que está no front-end dos clientes, rapidamente possa responder a isso, uma vez que está suportado para um sistema cognitivo de segurança da informação. Do ano passado par cá, isso ganhou uma relevância muito grande, e é isso que se espera destes sistemas cognitivos utilizados para cyber secutiry.

iMasters: Como você enxerga o novo cenário de CyberSecurity? Quais os rumos que a segurança da informação deve tomar para ser mais assertiva e eficiente?

Felipe: A computação cognitiva é, sem dúvida, um dos rumos que a segurança da informação vai trilhar, porque este volume enorme de informações irá aumentar exponencialmente, então, o cenário começa a ficar humanamente impossível de ser controlado. Logo, cabe aos sistemas cognitivos, com sua capacidade escalar gigantesca de processar este conjunto de informações, entende-las de uma forma cognitiva, e entregar isto de prontidão para um analista de segurança. Para que tenhamos um ambiente com um risco melhor gerenciado, já que não existe risco zero quando falamos de segurança.

iMasters: Para finalizar, quais dicas de segurança você daria para um time de desenvolvedores? Podem ser ferramentas, materiais para estudo, práticas… Aquilo que você acredita ser indispensável para um bom time de desenvolvedores.

Felipe: O que eu gostaria de falar para cada desenvolvedor, olhando nos olhos dele é: independentemente de você ter alguma regulamentação que te obrigue a isso, como o PCI, por exemplo; independente de algum tipo de certificação, o desenvolvedor é uma pessoa chave para construir um ambiente seguro do ponto de vista de cyber secutiry. Então, eu acho que todo desenvolvedor deveria ir ao site da OWASP.org, que é a referência mundial neste mercado e que já existe há muitos anos na na área de desenvolvimento de código seguro. Lá você encontrará os top 10 do owasp dizendo quais são as dez maiores vulnerabilidades nas aplicações tradicionais. De uns anos para cá, eles trabalharam em um top 10 para aplicações móveis e agora já existe um trabalho das top 10 do owasp para IoT.

Hoje, o desenvolvimento de código seguro é uma raridade. Eu trabalho com diversos seguimentos, financeiro, hotéis, varejo, governo dentre outros. E a situação é preocupante. Você vê times de desenvolvimento que não têm absolutamente preocupação nenhuma com desenvolvimento seguro. Então, o que eu gostaria de deixar como mensagem para o desenvolvedor é isso: primeiro, eles são peças fundamentais para o desenvolvimento seguro! Segundo, que tenham cada vez mais esse site como referência.

***

Artigo publicado originalmente na Revista iMasters #19

Mensagem do anunciante:

Ferramentas da IBM exclusivas para criar seu próximo app! Acesso a APIs de computação cognitiva, livros técnicos da O'Reilly, Packt e muito mais no developerWorks Premium. Saiba mais.

Source: IMasters

Categorizados em:

Este artigo foi escrito pormajor

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *