Entrevista: O futuro dos profissionais de segurança de dados no Brasil

A área de segurança de dados está em alta no Brasil. Nunca se falou tanto sobre proteção de informações pessoais na internet, muito impulsionado sobre a recém-publicada Lei Geral de Proteção de Dados (LGPD).

A Century Data, empresa que trabalha com as melhores ferramentas e plataformas para governança e segurança de dados, entrevistou Ney López, Consultor Sênior em Segurança Cibernética com certificação em privacidade e proteção de dados CIPP/E e CIPM pela IAPP (International Association of Privacy Professionals).

Century Data: As principais profissões do futuro serão de base tecnológica. Na sua opinião, como os interessados em ingressar na área podem se preparar e adquirir conhecimento? 

Ney: O primeiro ponto é estar ciente que será necessário muito conhecimento técnico. O segundo ponto é se especializar dentro de uma determinada área. Por exemplo, a área de segurança é muito grande e possui diversos segmentos. Temos a parte ofensiva, defensiva. Descubra o que você quer fazer. Para isso, é possível realizar cursos gratuitos online para se manter sempre atualizado. Atualização é primordial. Por quê? Porque o mercado de TI é muito grande e muda a todo momento. São mudanças rápidas. Ou seja, a busca por conhecimento técnico nunca deve acabar.

Agora, para além de conhecimentos técnicos, outros pontos importantes são de ordem comportamental e emocional, cruciais para que alguém obtenha sucesso na área de tecnologia. O profissional precisa saber trabalhar sob pressão, fazer análises críticas e frias de situações, e resolver problemas. Além disso, outro ponto é a boa comunicação para o trabalho em equipe com diversas áreas.

Century Data: Ney, hoje se fala muito em segurança de dados. O que isso significa e por que é tão importante estar protegido? 

Ney: A segurança da informação, ou segurança de dados, significa garantir que informações pessoais, sensíveis ou sigilosas não sejam vazadas ou compartilhadas. Em outras palavras, significa planejar e executar estratégias para garantir que empresas ou usuários mantenham essas informações em plena segurança.

Nos últimos anos, a aprovação da Lei Geral de Proteção de Dados (LGPD) trouxe regras para as empresas e organizações sobre como agir em relação aos dados dos seus usuários e clientes. Por exemplo, a LGPD veio para garantir parâmetros de como uma empresa deve compartilhar os dados de usuários em ambientes on-line e off-line. 

E por que isso é tão importante nos dias de hoje? Em 2015, a Federação das Indústrias do Estado de São Paulo (FIESP) fez uma pesquisa e apontou que 65% das empresas de pequeno e médio porte estão sofrendo ataques cibernéticos. O motivo? São empresas que não estão encarando a segurança da informação como um investimento. Afinal, a imagem de uma empresa perante o mercado vale muito, não é mesmo? Então, quanto maior for o nível de segurança que um empresário oferece aos seus clientes, maior será o destaque e o prestígio de sua empresa frente às concorrentes. Os clientes falarão “aqui os meus dados estão protegidos, logo eu posso confiar nessa empresa”.

Century Data: No pós-pandemia, muitas empresas adotaram de vez o home office. Por vezes, os profissionais utilizam os seus próprios dispositivos para trabalhar (bring your own device). Em termos de segurança, com quais riscos as empresas devem se preocupar? 

Ney: Com home office e o chamado “bring your own device”, os riscos são enormes porque, na maioria das vezes, os profissionais trabalham com dispositivos pessoais que também são utilizados para lazer e outras tarefas. É de se esperar que as pessoas entrem em diversos sites e façam downloads de quaisquer tipos de arquivos. Sem contar que, às vezes, os funcionários não possuem um antivírus de qualidade, instalado e atualizado. Imagine só um vírus que se espalha para demais arquivos dentro da rede corporativa? Outros funcionários vão abrir esses arquivos e também contaminarão seus dispositivos. Enfim, um caos.

Pensando nisso, as empresas devem tomar cuidado com soluções mágicas. Devemos optar sempre por adquirir excelentes antivírus e utilizar medidas de análise comportamental. Podemos citar, por exemplo, ferramentas como o SentinelOne, que utiliza análise comportamental de uma ameaça para combatê-la. 

Além dessas medidas, é preciso educar os usuários. Trazer até a superfície os problemas e mostrar que cada ação terá uma repercussão não só para eles, mas para a organização inteira. Educar é sempre o melhor caminho, sobretudo para evitar outros tipos de ataque, como engenharia social e phishing.

Century Data: Na corrida entre hackers criminosos e empresas que oferecem soluções de segurança digital, quem está na frente?

Ney: Primeiro, a gente precisa entender o que significa o termo hacker. Infelizmente, o termo é associado de maneira incorreta com “cracker”. Qual a diferença entre os dois? Hacker é quem possui um profundo conhecimento de programação, de sistemas operacionais, principalmente baseado em Unix e Linux, e conhecimento de falhas de segurança do sistema. Um hacker se mantém fiel aos códigos de ética da comunidade. Já o cracker, apesar de possuir conhecimento, tem intenção criminosa. Ele rompe a segurança de um sistema em busca de informações confidenciais com o objetivo de causar danos ou obter vantagens pessoais.

De volta à pergunta, não consigo dizer quem está na frente nessa corrida, pois as relações entre hackers e soluções de segurança são de retroalimentação, isto é, uma depende da outra para avançar.

Hoje, as soluções contam com sistemas de inteligência artificial que analisam comportamentos. Então, diante de um passo dado por um hacker (ou um cracker), é possível criar uma “parede” para proteger os dispositivos de um possível ataque. Os hackers, por sua vez, estão em busca de superar soluções cada vez mais robustas por meio de engenharia social, email phishing, entre outros métodos de ataques disponíveis.

Century Data: Muito se fala sobre LGPD. Você acredita que a aplicação da lei é eficaz para proteger dados pessoais na internet?

Ney: A LGPD foi baseada na General Data Protection Regulation (GDPR). O principal objetivo é regulamentar o uso de dados pessoais em solo brasileiro. Então, ao contrário do que muitos pensam, a LGPD não tem caráter proibitivo ou somente punitivo, pelo contrário. Por meio da lei o uso de dados pessoais tende a se tornar cada vez mais seguro. Isso é bom para todos, seja cidadão, empresa, setor público e setor privado.

A lei é recente e ainda vai amadurecer. O que eu espero é que os órgãos de fiscalização comecem a agir de fato, mas sei que é preciso trabalhar primeiro em ações educativas até chegar à fase de aplicação das punições. Eu espero, de verdade, um futuro onde a “cultura da privacidade” seja de fato aplicada nas empresas, com investimentos na segurança de dados das pessoas.

Infelizmente, por questões econômicas causadas pela pandemia, poucas empresas ainda estão preparadas para a LGPD. A boa notícia é que boa parte dessas empresas tem a lei como prioridade para este ano ou para 2023. 

Century Data: Toda empresa é obrigada a se adequar à LGPD? Quais são os primeiros passos para a adequação?

Ney: A LGPD é uma realidade que criou alguns novos cargos no mercado de trabalho, como encarregado de dados, analista de privacidade, coordenador de privacidade, gerente de privacidade, entre outros. 

Na lei está escrito da seguinte forma: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Dito isso, caso a empresa faça apenas um cadastro do seu cliente, isso é configurado como uma operação de tratamento de dados. Com isso em mente, podemos dizer que todas as empresas precisam se adequar a LGPD. A adequação começa, é claro, com a leitura da lei. Entendido os objetivos da LGPD, parte-se para a instituição de uma política de privacidade na empresa e, em seguida, treinamentos da equipe. Além disso, é muito importante realizar um mapeamento e conhecer o fluxo de dados pessoais disponíveis para acesso. Dessa maneira, será possível entender o que é preciso prevenir e a maneira certa de se comunicar com os clientes, tudo para criar uma política transparente, de acesso facilitado, claro e objetivo para todos.

Century Data: O que os empresários (pequenos, médios ou grandes) que lidam com dados pessoais precisam fazer para evitar os temíveis “sequestros de informações”? 

Ney: O primeiro passo é investir na área de segurança. Essa é a mentalidade que todo empresário precisa ter. Os investimentos nunca acabam e não são meros custos, afinal, hoje em dia é obrigatório estar em “compliance” com a LGPD. O segundo passo é treinar a equipe para evitar que ela caia em golpes digitais. O terceiro passo é estar atento ao mercado de cibersegurança, tudo para identificar e adquirir novas tecnologias. Lembre-se, os investimentos são constantes.

Nesse sentido, quero citar a SentinelOne como uma tecnologia disponível no mercado de segurança de dados e que figura nos primeiros lugares de melhores ferramentas. Vale a pena dar uma olhada no produto aqui.

Century Data: No que diz respeito à segurança de dados, como é o mercado no Brasil?

Ney: Quando o assunto é segurança de dados, infelizmente o Brasil está no final da fila. Isso se dá porque a maioria dos nossos programadores estão migrando para outro país ou trabalhando em home office para empresas internacionais. Infelizmente o nosso país não remunera bem os programadores, e isso é um problema. 

Esse cenário precisa mudar, pois é notório que o Brasil possui os melhores hackers do mundo. A informação circulou na mídia e a afirmação foi feita por um norte americano chamado Chris Roland, diretor da XFORCE, um grupo de especialistas da Internet Security System (ISS) que monitora o tráfego de internet e combate a ação de crackers.

Century Data: Você trabalha em uma empresa que representa a SentinelOne, BigID, Noname e outros softwares de cibersegurança muito respeitados no mundo. Fale um pouco mais sobre eles.

Ney: Quando falamos de SentinelOne, por exemplo, pensamos em uma ferramenta líder de mercado no que diz respeito à proteção de endpoints. Trata-se de uma ferramenta que se conecta com o seu ecossistema de segurança, ou seja, se conecta com o DLP, firewall, IPS, para proteger os endpoints. 

Já o BigID faz o inverso. Ele faz a descoberta, classifica e cataloga os dados. Faz com que a empresa conheça os seus dados, seja capaz de entender o que tem em mãos, tudo para tomar boas decisões. 

O Noname é uma ferramenta voltada para segurança de APIs. Ele escaneia uma API e identifica se ela possui alguma vulnerabilidade. Também, dentro do Noname existe uma esteira de testes de API onde é possível, antes de ela ir a público, verificar se é segura ou não. Uma das coisas mais comuns captadas nos scans dessas APIs são falhas de configuração por parte humana. 

O TrustArc trabalha principalmente com a parte de privacidade de websites. Então, se você precisa de um banner de privacidade ou entender quais cookies você está utilizando, o TrustArc é a ferramenta perfeita.

Century Data: Ney, para concluir, qual conselho você daria para empresários brasileiros que coletam e armazenam dados pessoais de clientes?

Ney: Antes de tudo, conheçam os dados já existentes internamente. Cataloguem e classifiquem esses dados. Façam reuniões com cada departamento da empresa para entender porque os dados são importantes e como eles foram coletados. Para coletas futuras, atribua o princípio de minimização, ou seja, coletem o mínimo possível de dados para um determinado processo. E, claro, invistam mais no departamento de segurança e treinem os colaboradores. Não adianta gastar altos valores em tecnologia se a equipe não adota padrões de segurança digital.  

Segurança e LGPD são os termos da vez. Se as empresas não se adequarem, estarão fora do mercado, não serão competitivas. Se uma empresa tem muitos vazamentos de dados, as pessoas vão fugir dela. Então, todo cuidado é pouco e o investimento nessa área é extremamente importante.