O podcast Vozes de Peso chegou ao seu 13º episódio. Na oportunidade, Pedro Henrique e Fernanda Ortiz entrevistaram Douglas Henrique Lucas Vieira , coordenador de segurança da informação da Toledo do Brasil, e Darci Vereda Jr., especialista em segurança da informação, que exploraram o tema “A importância de Cyber Security”.
Continue lendo este artigo e veja como foi esse bate-papo.
O que é helpdesk, o que é infra e qual o papel de cada um
Uma das perguntas feita aos entrevistados foi o que é helpdesk, o que é infra e qual o papel de cada um desses setores da Toledo do Brasil.
De acordo com Douglas, o helpdesk é uma área de entrada para as dúvidas técnicas do TI. “Sempre que os colaboradores estão com uma dúvida, que não seja complexa, como algo relacionado a uma senha, o helpdesk pode atendê-los.”
Ele explica que, falando em estrutura, a Toledo conta com as áreas de segurança da informação, sistemas da informação e infraestrutura.
“A infraestrutura garante que tudo que a Toledo tem esteja no ar. Então, quando você faz uma consulta no SAP , e aquela consulta não demora para ser exibida, é porque existe alguém que faz um trabalho para sua consulta ser exibida em um determinado tempo dentro dos limites que a empresa tem.”
Douglas ressalta que, atualmente, a Toledo conta com muitos sistemas SaaS, que consistem em software como um serviço.
“Quando você contrata um produto SaaS, como seu gmail, você não precisa fazer nada, simplesmente criar seu login lá e usar o serviço. É isso que nós contratamos hoje em dia. Nós contratamos, por exemplo, nosso e-mail, que é como um serviço, aí, nós não cuidamos de nada de hardware, não precisamos nos preocupar com esse tipo de coisa”, destaca.
Conforme explica, a equipe de sistemas cuida, geralmente, da integração entre sistemas. “Agora estamos implementando o CRM e precisamos trazer os dados do SAP para o CRM para que os dois sistemas satélites da empresa consigam conversar e nós consigamos chegar a resultados importantes”.
Douglas enfatiza que a área de segurança avalia todos os aspectos relacionados a TI. “A segurança olha para tudo isso. Se o login que está sendo utilizado é um login formatado como nós documentamos. A senha, duplo fator de autenticação, enfim, estou citando coisas um pouco mais genéricas, para ficar fácil de entender, mas têm muitas outras coisas para falar em relação a isso”.
Quando segurança da informação e engenharia se juntaram?
Douglas afirma que, em algum momento, o time de segurança da informação percebeu que não seria possível implementar todas as questões de segurança sem envolver o core da empresa, que é o departamento de engenharia.
“Nós não poderíamos avançar de forma a impactá-los, mas precisávamos trazê-los para que pudéssemos estar alinhados. Foi esse o pensamento. Vamos trabalhar juntos para que consigamos chegar a resultados melhores”.
Ele comenta que, por muito tempo, na tecnologia da informação, as empresas não olhavam para a parte de segurança, já que o desejo sempre foi entregar por entregar.
“E aí, principalmente depois que houve o lançamento das criptos, tivemos esse ataque novo, que é o ransomware, que é o sequestro de dados. Ser um hacker, hoje em dia, é ser monetizado”.
Segundo Douglas, a pandemia foi um divisor de águas na área de TI. “Funcionários que nunca tinham trabalhado de home office, tiveram que ir para o home office, então, foi realmente um divisor de águas, e naquele momento, nós percebemos que não daria para manter as coisas do jeito que estavam”, expõe.
Douglas diz que o trabalho remoto fez com que as empresas perdessem o controle sobre seus colaboradores.
“Agora, a pessoa está na casa dela, fazendo o que quer que seja, tirando uma foto de um dado da empresa que seja importante, compartilhando com concorrente, enfim, fazendo várias coisas das quais a empresa não tem conhecimento”.
União das áreas e “profissionalização” dos crimes
Darci explica que os profissionais de cibersegurança estão se unindo cada vez mais, visto que o crime cibernético vem sendo executado de uma forma muito estruturada.
“Temos grupos muito profissionalizados de ataques que visam dinheiro. Portanto, as equipes de cibersegurança das empresas como um todo têm se unido para trocar informação, para se atualizar.
Se foi com você hoje, vai ser comigo amanhã. Então, precisamos trocar figurinha, fazer esse networking o tempo inteiro para todo mundo se defender junto, o ecossistema como um todo”.
Os perfis de cada time
De acordo com Darci, a equipe de segurança da informação é dividida em times, que recebem diferentes incumbências. “O mercado batiza esses times e dá cores para isso. Então, temos o time vermelho, o time azul e o time amarelo. Cada um com uma incumbência diferente”.
Ele comenta que sua afinidade maior é com o time vermelho, que é a equipe que faz cibersegurança ofensiva. “Atacamos plataformas para descobrir brechas. Hoje em dia, nós chamamos isso de hacker ético”.
Conforme sua explicação, o time azul é mais focado em defesa. “É uma equipe que tem um papel maior, no sentido de abranger mais coisas no que diz respeito ao ecossistema corporativo”, frisa.
Douglas afirma que trabalha com o time azul. “O time vermelho faz a análise e descobre uma falha. Então, o time azul vai lá, coloca uma barreira, faz uma redução de superfície. O importante é não conseguir. Se ele não tiver sucesso é porque o meu trabalho está bom”.
Segundo Darci, a equipe de engenharia da Toledo conta com o apoio do time amarelo. “Esse profissional é um pouco diferente, ele fica perto dos programadores, analisando o código-fonte dos softwares, procurando brechas. Um dos seus trabalhos é treinar os programadores”.
A mudança com a pandemia
Douglas afirma que, antes de iniciar a pandemia de covid-19, existia um processo de digitalização em andamento, mas esse processo era bastante moroso, pois acompanhava a evolução das próprias pessoas.
“O negócio tinha que enxergar um ganho de capital para que a empresa se tornasse digital. Mas, a pandemia jogou qualquer plano de estratégia de negócio para o ar. Exigiu que todas as empresas fechassem, exigiu que todos os colaboradores que pudessem fossem para casa”.
Ele explica que, devido à pandemia, aumentou a demanda por profissionais de TI. “Nessa época, da pandemia, a demanda por profissionais de TI foi extrema a ponto de profissionais juniores ganharem como seniores pela escassez de profissionais. E a empresa tinha que aceitar porque não havia profissionais no mercado”.
De acordo com Douglas, empresas de fora do país também competem com empresas brasileiras pela mão de obra em TI. “Tudo isso corroborou com esse problema. E aí, essa digitalização trouxe um monte de insights, um monte de aplicações, que não estavam preparadas para isso, para o mundo digital”.
Darci complementou que a pandemia levou muitos criminosos que atuavam no ambiente físico para a internet.
“Hoje em dia, as facções criminais aqui no Brasil recrutam os jovens para eles poderem já ter uma instrução desde cedo ali, de como praticar esse tipo de crime. O cibercrime hoje é o crime mais rentável que existe no mundo. Já passou o tráfico de drogas e o tráfico de armas”.
A conscientização em cibersegurança
Douglas afirma que faz parte do trabalho da equipe de cibersegurança testar e conscientizar os funcionários da empresa sobre os riscos inerentes ao ambiente digital.
“É parte do nosso trabalho educar os colaboradores, testar se as pessoas estão atentas, se elas estão de olho nos links em que clicam, porque nós não podemos estar por perto o tempo todo e as ferramentas não são invioláveis. Alguma coisa acaba passando”.
Segundo Darci, não é incomum que os usuários cliquem em phishing por estarem tranquilos, já que a Toledo conta com um time de segurança.
“Por isso, nossos programadores constantemente passam por treinamentos que nós mesmos ministramos. Nós temos uma trilha de segurança. Quando o colaborador entra na equipe, ele tem uma trilha de treinamentos para fazer, deve assistir a vários vídeos que nós fizemos também, para ele poder entender que tem que estar seguro acima de tudo”.
A importância da segurança dentro de uma empresa
Fernanda destaca que proteger a segurança digital de uma empresa é um trabalho que deve ser feito em conjunto.
“Cada um deve ter sua parcela de cuidado, de prestar atenção, de cuidar dos dados, os próprios e os da empresa, já que a empresa carrega informações dela, dos clientes e dos funcionários. Querendo ou não, nosso RH, por exemplo, tem nosso endereço, CPF, tudo. Então, às vezes, por uma bobeira de alguém, a empresa inteira pode ser afetada.”.
Darci comenta que a Toledo do Brasil é importante na cadeia de suprimentos de seus clientes. “Oferecemos peças de reposição para o Brasil inteiro, de balanças que são muito importantes para os negócios das empresas. Por exemplo, tem muitas operações que só se concluem se a operação passar pela balança, porque, fiscalmente, eu preciso de um peso”.
Ele enfatiza que, analisando em um cenário um pouco mais macro, a Toledo é fundamental para vários setores da economia.
“Os nossos sistemas ali dentro não são só nossos. Isso é importante para todas as empresas que nos cercam. Então, como estamos falando desse conceito, de fazer segurança em conjunto, vai muito além das fronteiras da Toledo. Temos que pensar no todo.”
A preocupação de outras empresas
De acordo com Douglas, as empresas que contratam a Toledo do Brasil estão preocupadas com cibersegurança.
“Nós recebemos vários questionários perguntando quais são as ações de segurança que nós tomamos. Formulários que temos que desprender o dia inteiro para preencher aquilo, para mostrar quais ações estamos tomando, o que já está implementado na empresa, o que nós pretendemos fazer nesse e no próximo ano”, afirma.
Ele comenta que hoje as empresas têm ciência de que precisam se preocupar. “Não é só simplesmente colocar lá para funcionar. Preciso me preocupar, preciso saber o que está fazendo, como está fazendo, porque está fazendo, que tipo de acesso tem. Qual tipo de melhoria está sendo implementada”.
A responsabilidade de todos
Douglas reforça que a segurança da informação é uma responsabilidade de todos os colaboradores da empresa.
“Se a empresa for afetada, ela não vai afetar só a mim. Vai afetar todo mundo. A Toledo é uma empresa incrível, que nesse tempo todo me ajudou a construir tudo o que eu tenho na minha vida. Nós temos que cuidar da Toledo para que a Toledo continue cuidando da gente”, aconselha.
Ele destaca que cuidar da empresa é permitir que ela se mantenha resiliente no mercado. “É o nome da Toledo que está em jogo. Por isso, todo mundo é responsável pela segurança da informação”.
O papel da nuvem e a importância que ela tem
Darci afirma que a equipe de infraestrutura da Toledo do Brasil está migrando servidores que eram físicos para nuvem e que esse movimento tem sido feito por vários motivos, como segurança, custo e praticidade.
“Nós temos as soluções, as balanças vão ser físicas, espero que durante muito tempo ainda, mas as soluções de software que gerenciam essas balanças, elas já estão também fazendo esse movimento para a nuvem”, explica.
De acordo com ele, isso está alavancando os negócios, na medida em que aumenta sua abrangência.
“Nós conseguimos atingir agora um público que talvez nós não conseguiríamos. Por exemplo, para ter um sistema complexo de gerenciamento de balanças de mercado, era necessária uma infraestrutura muito boa ali, de vários computadores conectados, gerenciando servidores”.
Ele destaca que a nuvem possibilita que um pequeno ou microempresário que tenha balanças conecte seus equipamentos em uma plataforma que está na internet. “Isso sem nenhuma responsabilidade de fazer um backup, de prover a segurança daquela plataforma, manter ela atualizada”.
Douglas comenta que a forma de cobrar pelo serviço em nuvem também é diferente. “É cobrado por uso, não é como antigamente, quando você tinha que comprar servidores, e tinha que fazer um pagamento ali na hora e lidar com o envelhecimento dos servidores”.
Ele acrescenta que a infraestrutura em nuvem é segura por design. “Vou pegar um exemplo do nosso parceiro que é a Microsoft. A Microsoft provê esse serviço para nós, tanto para a parte corporativa como para a parte de produto, e ela tem que lidar com vários países, várias regulações. Então tem a GDPR, tem a SOX (Sarbanes-Oxley), tem todas as normativas do NIST nos Estados Unidos, tem a LGPD aqui, enfim, tem várias normativas de vários países que ela segue”.
Os cuidados com os dados e onde você os usa
De acordo com Douglas, conforme a tecnologia evolui, os riscos também evoluem. “Falando de inteligência artificial (IA), têm vários riscos associados a isso”.
Fernanda destaca que até mesmo compartilhar informações no LinkedIn pode gerar riscos. “Às vezes, queremos postar uma conquista, compartilhar algo positivo que acontece conosco, só que não deixa de ser um dado ali que vai ficar exposto”.
Darcy explica que as primeiras etapas de um teste de invasão são totalmente passivas, sem entrar em contato com o alvo.
“Você permeia tudo o que está em volta dele. Então, você vai no LinkedIn, vai levantar possíveis credenciais primeiro. Depois, você vai entender qual tecnologia ele está usando para defesa em relação ao que eles colocam ali”.
Douglas ressalta que, em eventos de cibersegurança, os participantes, muitas vezes, ganham um crachá com um QR Code que dá acesso a suas informações e acabam postando fotos com aquele crachá no LinkedIn. “Então, a pessoa que quer torná-los alvo, vai lá e pega os seus dados só por aquele QR Code”, adverte.
Ele observa que não é uma boa prática os profissionais de cibersegurança terem acesso a todos os dados de uma empresa. “Nós não praticamos isso na Toledo. Cada pessoa tem que ter acesso somente aquilo que usa para desenvolver o seu trabalho. Estamos bem colocados no mercado em relação a isso”.
Como posso testar a minha empresa?
Darci revela que faz parte do mercado de TI ser auditado por empresas de fora. “Nós temos as certificações de segurança da informação. Elas vão te auditar para saber se os seus processos são condizentes com aquele comportamento que é esperado das boas práticas. E um deles, por exemplo, é o teste externo”, detalha.
Ele comenta que a Toledo conta com empresas parceiras, que realizam esses testes. “Lógico, todos os testes são combinados. Tem escopo, o que eles vão procurar, o que eles podem fazer, até onde eles vão, quanto tempo eles duram, mas isso também é uma prática de mercado.”
Douglas acrescenta que o profissional de segurança maduro deve ter consciência de que nunca está seguro. “É natural querer essa sensação de estar seguro, mas o profissional maduro, ele tem que ter em mente que é pressão total. Ele tem que se sentir mesmo ameaçado para que esteja de olho em tudo.”
Perguntas de peso
Douglas e Darci receberam duas perguntas de peso do time da Toledo do Brasil. Veja, a seguir, quais foram essas perguntas e como eles as responderam.
Oque seria o famoso deepfake e quais as consequências negativas que ele pode trazer?
Darci afirma que o deepfake tem a capacidade de colocar um rosto em um vídeo que aquela pessoa não fez, e que esses vídeos têm parecido cada vez mais reais.
“Você consegue formular áudios com a voz de alguém que você queira. Então, por exemplo, pessoas famosas que têm a voz publicada na internet, onde for, hoje em dia as ferramentas são muito fáceis de utilizar para fazer um deepfake”, diz.
Ele resume o deepfake como uma falsificação desenvolvida em um nível muito profundo. “É um vídeo seu, com você falando alguma coisa sobre um partido político ou sobre um viés de outra coisa, que você nunca falou e nunca fez”.
Darci informa ainda que as regulações de IA preconizam que as empresas que desenvolvem IA devem oferecer ferramentas para detectar o que for produzido utilizando essa tecnologia. “Isso permite utilizar a inteligência artificial de uma forma mais saudável”.
Qual o preço que se paga em resolver a qualquer custo, de qualquer jeito?
Douglas afirma que fazer as coisas de qualquer jeito, a qualquer custo, simplesmente por entregar, traz consequências negativas, que podem não aparecer em um primeiro momento, mas aparecem depois.
“É bom chamar mais pessoas para colaborar, pois elas podem ter uma visão que você não está tendo, te mostrar coisas que você não está enxergando”. Darci complementa dizendo que, durante muito tempo, as equipes de cibersegurança foram vistas como as equipes do “não”.
“O que nós queremos dizer tem muito a ver com fazer as coisas com cautela. Não é que você não vai poder fazer, é fazer de modo seguro para que, em longo prazo, aquilo não gere consequências negativas”, expõe.
Ele acrescenta que muitas vezes, as pessoas, nas empresas, iniciam um projeto sem contactar o time de TI e o time de cibersegurança. “Elas acabam dando um jeitinho ali, põem um sistema aleatório, fazem suas atividades e entregam. Só que depois os rastros estão pela internet inteira. A informação sai do controle.”
Dar luz aos problemas
Douglas afirma que o perfil das empresas mudou, já que antes, ao terem um problema, elas não tinham a oportunidade de forçar a empresa fornecedora do software a corrigi-lo, diferentemente de hoje.
“As empresas desenvolveram técnicas para divulgar os problemas das outras empresas. É como se fosse uma fofoca mesmo, só que para todo mundo”, explica. Ele ressalta que existe um processo padronizado, em que as empresas dão 30 dias para os fornecedores de software corrigirem determinado problema.
“Então, eu vou trazer esse problema à luz, porque você não vai ter outra opção a não ser corrigi-lo. Senão, a sua reputação vai ficar em jogo”.
Douglas diz ainda que empresas como o Meta e Google têm programas que pagam valores muito expressivos para quem encontra problemas nas suas ferramentas, já que a recompensa paga a essas pessoas não chegam nem perto do prejuízo que elas teriam se a vulnerabilidade fosse explorada por um hacker.
“Esse é o objetivo. Dentro da nossa empresa, a gente pode pensar nisso de uma forma muito mais local. Se vocês mesmos enxergarem algum problema, disserem: ‘não tenho conhecimento, mas acho que isso aqui é um problema de segurança’, tragam para o Douglas, levem para o Darci, para a gente poder ajudar nisso e enxergar isso”.
Conclusão
Neste artigo, compartilhamos um breve resumo do 13º episódio do podcast Vozes de Peso. Se você deseja assistir ao conteúdo na íntegra, clique no vídeo abaixo.
VEJA TAMBÉM NO BLOG DA TOLEDO DO BRASIL
Campanha “ATualize”: qual a importância desse movimento
Balança contadora de peças: qual é a importância dessa tecnologia
Área classificada: o que é e qual é a importância de escolher equipamentos adequados para ambientes com risco de explosão