A Associação Brasileira Online to Offline (ABO2O) acaba de anunciar a Microsoft como a sua mais nova mantenedora. Segundo Gustavo Zimmermann, ISV & Digital Native Tech Lead – Latin America da Microsoft, o grande objetivo da companhia é ser o facilitador na escala e produtividade de cada empresa, com proximidade e relevância. “A parceria tem o objetivo de conectar os associados com as tendências e as tecnologias mais vanguardistas do mercado, garantindo conhecimento e suporte em diversos temas, inclusive o de cibersegurança”, disse o executivo.
Para Marcos Carvalho, diretor geral da ABO2O, a Microsoft terá um papel fundamental para o fomento das melhores práticas do uso da tecnologia, seja para ganho de escala, operação e inteligência do negócio. “Além disso, a Microsoft irá compartilhar todo o seu conhecimento e expertise para auxiliar as empresas associadas a ter um ambiente digital mais seguro num momento em que todo negócio digital está sujeito a ameaças cibernéticas capazes de interromper as operações por dias, trazer prejuízos diversos e perda da confiança do consumidor”, afirmou.
Aliás, é devido ao crescimento significativo das ciberameaças que a Microsoft vem apostando no conceito Zero Trust (Confiança Zero) para ajudar as empresas a se prepararem para enfrentar os riscos digitais, definição que pode ser resumida como “tudo e todos são suspeitos até que se prove o contrário”. Em entrevista à ABO2O, Zimmermann falou sobre o atual cenário de cibersegurança, quais as ameaças mais iminentes, os desafios do setor, entre outros assuntos que permeiam a segurança da informação. O bate-papo na íntegra você confere logo abaixo.
– Como você avalia o atual cenário de cibersegurança comparado com a maturidade das organizações como um todo?
O cenário de cibersegurança está muito orientado a atividades criminosas que visam ganhos financeiros através de sequestro de dados e roubo de informações. Essa orientação dos cibercriminosos explora justamente as brechas de segurança deixadas pelas organizações em seus principais sistemas.
O nível de maturidade das empresas em relação a segurança depende do estágio da empresa, mas o que ainda observo no mercado é uma preocupação tardia com adoção de práticas seguras.
A cibersegurança ainda é vista como um acessório que pode ser implantado posteriormente na arquitetura de software, quando, em realidade, existiriam ganhos muito grandes em iniciar o desenvolvimento dos projetos adotando conceitos de cibersegurança apropriados. E iniciar desenvolvimento seguro ainda é mais barato do que realizar modificações posteriores para adequar sistemas e tratar de brechas de segurança.
Por exemplo, na Microsoft, acreditamos no conceito de Zero Trust ou Confiança Zero. Basicamente, o conceito propõe que ao invés de acreditar que toda a camada de tecnologia garante a segurança, nós assumimos que brechas de segurança são inevitáveis e que precisamos verificar tudo o que entra nos sistemas corporativos. Em resumo, nunca confie, sempre verifique. Se as organizações realizassem o desenvolvimento de seus sistemas pensando nesse conceito e em desenvolvimento seguro, existe a chance de reduzir o risco de ameaças de grandes proporções.
– Entre todas as ameaças, quais são as que mais têm gerado estrago nas companhias? E quais os setores mais visados pelos cibercriminosos?
A principal ameaça é o sequestro de dados e roubo de informações, pois ela afeta tanto a tecnologia como a imagem da empresa. No passado, existia uma certa romantização da atividade hacker que visava invadir sistemas e deixar suas digitais de ataque em pontos críticos do sistema para mostrar que ele invadiu determinada organização. Em seguida, o objetivo passou a ser causar indisponibilidade de serviços e problemas para os usuários, o que gerava prejuízos financeiros, mas não visava ainda o roubo de informações. Atualmente, o objetivo é o roubo de informações.
Os cibercriminosos trabalham durante meses para obter credenciais e explorar brechas de segurança até realmente realizar o ataque.
É importante reforçar que são realizadas diversas atividades que vão além da tecnologia, como engenharia social para obter dados diretamente das pessoas. O roubo de informações, algumas vezes, passa desapercebido pelas organizações. Alguns casos recentes são o vazamento de código-fonte de grandes corporações que grupos hackers confirmam após garantirem o acesso aos sistemas.
O ataque mais temido, contudo, é o sequestro de dados, pois ele afeta as empresas de duas formas: causa perda de dados e indisponibilidade dos negócios durante o período do ataque, que acaba gerando prejuízo em termos de receita nas empresas, fora os na imagem corporativa. Em termos de setores visados, praticamente todo o negócio que depende de tecnologia é um alvo, não importa o tamanho das empresas. Até mesmo pessoas físicas são alvos de sequestro de dados e roubo de informações. Os cibercriminosos realizam uma análise vizando maximizar os lucros de suas atividades dado que obter acesso pode levar meses.
– Na sua visão, quais os grandes desafios da cibersegurança na atualidade?
O principal desafio da cibersegurança é a conscientização sobre a importância do uso de práticas seguras tanto de desenvolvimento de software como operação. Se você questionar usuários e empresas sobre a importância da segurança da informação, todos respondem que consideram muito importante. Porém, quando avaliamos a aplicação de práticas de segurança, muitas práticas simples não são utilizadas. Por exemplo, o uso de duplo fator de autenticação é uma prática relativamente simples e que possui grande eficácia contra roubo e vazamento de senhas e, mesmo assim, usuários resistem a sua adoção por considerarem muito complexas.
– Como enfrentar a escassez da mão de obra especializada em cibersegurança e qual o papel da tecnologia para suprir esse gap?
A segurança depende muito de pessoas, processos e tecnologia para ser efetiva. Desse modo, a tecnologia tem um papel fundamental na implementação e escala das práticas de segurança da informação, mas tem uma cobertura limitada sem as pessoas e os processos. E não existe uma tecnologia que garanta a segurança de forma isolada. Você pode ter a melhor caixa de ferramentas disponível no mercado, mas se não tiver uma pessoa que saiba como e para que usá-las, terá uma eficácia baixa.
Outro efeito que observo da falta de pessoas é a aquisição em duplicidade de tecnologias de segurança sem a completa implementação de todas as características disponíveis na solução, ou seja, existe um certo desperdício financeiro na aquisição de tecnologia.
A falta de mão de obra especializada é um desafio imenso e vejo que a melhor forma de enfrentar é através da formação das pessoas, o que leva tempo e existe o fator falta de experiência prática que é muito importante. De todo o modo, investir na formação é uma das formas de enfrentar esse desafio.
– Como você avalia essa parceria entre a Microsoft e a ABO2O e quais os objetivos de vocês como mantenedores?
A nossa parceria tem o objetivo de conectar os associados com tendências e as tecnologias mais vanguardistas do mercado, garantido conhecimento e suporte em diversos temas, inclusive o de Cyber Segurança.
Temos hoje o portfólio de produtos mais completo para negócios digitais, programas estruturados com subsídios relevantes e profissionais capacitados para servir e atender consultivamente os residentes da associação.
O grande objetivo da Microsoft é ser o facilitador na escala e produtividade de cada empresa, com proximidade e relevância.
