Bruno Zani, da McAfee: "proteção tem que ser vista como prioridade e não como necessidade pontual" (sxc.hu)
Da Redação
Publicado em 7 de setembro de 2014 às 15h33.
São Paulo - Se fora do ambiente corporativo a segurança não é tão priorizada, dentro dele a história não é exatamente diferente. A proteção é vista, por vezes, mais como uma necessidade pontual do que como uma prioridade, como explicou o especialista Bruno Zani, gerente de engenharia de sistemas da McAfee, hoje parte da Intel Security.
O executivo falou com INFO durante o evento Secure Brasil, realizado nos últimos dias de agosto, em São Paulo. Zani deu palestras voltadas para a segurança de rede e de negócios, e, na entrevista, falou um pouco sobre a necessidade de mudar a forma como tratamos o assunto dentro de empresas. Confira a conversa a seguir.
Info - Mesmo dentro de empresas, é visível que pensar em segurança nem sempre é uma prioridade. Como reverter esta situação?
Bruno Zani - Basicamente, é preciso deixar de ver a segurança como um mero requisito, porque se continuarmos assim, não sairemos desse pensamento comum. Ficamos hoje muito restritos às necessidades pontuais, e, normalmente, o gestor só vai olhar para segurança no momento que ele tiver um problema. Quando a empresa sofre um ataque, ele pensa: “Vamos falar com o time de segurança para ver o que aconteceu”. Só que conter o incêndio ou responder a um incidente custa muito caro – e por isso que, quando vamos falar com as empresas, falamos em prevenção, mas também em redução de custos, em algo que vai se pagar em questão de meses.
O segredo aqui é tentar fazer ligar mais o chefe de segurança ao negócio, fazer com que ele entenda melhor para onde a empresa está indo, qual a missão dela, e consiga encaixar o discurso de proteção dentro desta visão. Fica mais fácil para os dois lados, porque a culpa nem sempre está no lado dos negócios, que só olham para nós como um “requisito”. Ela às vezes está do nosso lado, já que nem sempre olhamos para a outra parte. Continuamos trabalhando pontualmente em requisitos, e se não estamos enfrentando catástrofes, nosso trabalho acaba aqui. Só que precisamos entender que o risco não é com a gente, e sim com a empresa. E se não entendemos o que ela faz, também não vamos conseguir levar mensagens para a parte de cima da companhia e nem facilitar nosso trabalho.
Info - Como os investimentos da Intel na McAfee se relacionam com essa parte corporativa?
Zani - A Intel sempre foi uma empresa criadora de padrões. É algo bem diferente do mercado de segurança, onde temos empresas desenvolvedoras de softwares e requisitos pontuais. Enfim, hoje se fala muito da Internet das Coisas (IdC), tanto no lado corporativo quanto no doméstico – e a ideia da Intel com a McAfee é fazer com que consigamos embutir segurança já no pensamento da IdC [mercado no qual a Intel tem presença forte]. Porque, afinal, um dispositivo vestível dá mobilidade e apresenta novas tecnologias aos usuários, mas traz também um risco imenso na utilização. Há um investimento grande da Intel na McAfee nisso de embutir a proteção nesses dispositivos.
A ideia é fazer com que a Internet das Coisas já comece pensando em segurança, algo que não aconteceu na internet convencional – foi algo que foi trazido depois, depois de muito custo. Hoje, se pensarmos no usuário doméstico, conseguimos conscientizá-lo um pouco, fazendo-o não clicar sempre em qualquer link, não baixar qualquer coisa de fontes não confiáveis e usar uma ferramenta de segurança para evitar infecções. No lado corporativo, o que fazemos é disseminar essa mesma mensagem de integração, de ferramentas trabalhando de forma integrada, esquecendo um pouco as pontualidades – embora seja algo que eu não veja acontecendo no curto prazo.
Info - Quais os maiores desafios para fazer isso acontecer?
Zani -Temos que entregar a segurança sem impactar os usuários, sem causar aquela sensação de limitação. É um desafio muito maior do que o de bloquear ameaças. Então, em um projeto de mobilidade, por exemplo: todo mundo quer entregá-la ao usuário, só que essa mobilidade traz um risco grande, de perda de aparelho, de informação, de ataque ao próprio dispositivo. Precisamos incorporar a segurança nesse processo sem impactar a pessoa, sem fazer com ela se sinta coagida ou limitada por causa da proteção.
Tentamos, então, conscientizar o usuário, já que, naquela tríade “Tecnologia, Processo e Pessoa”, esta última é a importantíssima quando falamos de mobilidade. Se eu não entrego o processo de conscientização junto com a tecnologia, estarei fadado ao fracasso. Enfim, do lado corporativo, é o que a gente tem feito: explicamos como a tecnologia será implantada, qual será o processo e tentamos fazer o usuário entender que, [no caso de usar um aparelho da empresa], ele pode ter que lidar com dados confidenciais, que às vezes são perdidos sem que ele perceba.
Info - E esta estratégia tem dado resultado?
Zani - Sim. Temos feito seminários e webcasts ou mesmo criado conteúdos online – uma área nossa cuida disso, fazendo treinamentos de “awareness” e de conscientização do usuário final. Eles explicam os motivos para limitações em ferramentas novas, por exemplo. Não é simplesmente dizer “Você não pode fazer isso”, mas sim “Você não pode fazer isso por que...”. Tentamos trazer casos práticos, de empresas que perderam milhões de dólares para falar: “Olha, isso aqui pode acontecer com a gente na empresa e afetar todo mundo”.
Aqui acaba entrando muito daquilo que falamos no começo, de entender o negócio e verificar o que pode ser uma ameaça inerente à iniciativa de mobilidade nesse negócio, passando a informação depois ao usuário. Sem terrorismo, claro, mas mostrando a ele por que a segurança tem que ser implementada, criando consciência. Se você não vai a lugares considerados perigosos vestindo um relógio caro, por que então navega em sites de reputação ruim sem proteção nenhum? É trazer um pouco disso às pessoas. Gosto dessa analogia com o mundo, porque ele e o virtual estão cada vez mais próximos. Nossa identidade digital é quase tão importante quanto a física.