Documento técnico empresarial
Identifique e
previna ameaças
de segurança
Como prestadores de serviços podem lidar com a maior preocupação de
seus clientes: a segurança
Documento técnico empresarial | Identifique e previna
ameaças de segurança
Segurança é a preocupação número um entre CIOs nos dias atuais, graças ao tamanho da empresa
e aos desafios de equipe interna de segurança, requisitos crescentes de relatório de conformidade,
expansão de pontos de conexão à Internet, serviços de acesso remoto e muito mais.
Eles sabem a impropriedade das respostas tradicionais de bloqueio para prevenir que o mundo
exterior entre. Seus firewalls, antivírus e outras soluções pontuais demonstraram ser insuficientes
contra um panorama de segurança em constante mudança.
À medida que as organizações buscam alavancar os benefícios da mobilidade e da nuvem,
fronteiras de perímetro se tornaram indefensáveis: a segurança da rede interna efetivamente
se desintegrou. E a segurança não vai ficar nem um pouco mais simples à medida que os
dados da empresa são cada vez mais gerenciados externamente. Enquanto um furacão de
malware comoditizado continua a percorrer a Internet, também há um aumento acentuado de
ciberataques altamente focados e propositados.
Como se poderia esperar, as companhias estão investindo grandes quantidades de dinheiro
para tentar prevenir o cibercrime — uma de US$ 46 bilhões só no último ano (ABI Research,
2013). Ao mesmo tempo, o crescimento das ameaças à segurança é perturbador: Em 2013,
aconteceram 20% mais invasões do que em 2012, e o custo médio de cada uma para a
organização cresceu 30% em um ano (Ponemon Institute, 2013).
Por que os adversários estão vencendo? As empresas estão com uma equipe insuficiente
demais à frente da segurança. Não se trata de pessoas erradas; são as cadeiras que estão
vazias. Espera que cerca de 40% das funções de segurança fiquem vagas em 2014 (Ponemon
Institute, 2014) e isso representa uma fraqueza sistêmica da indústria. Como prestador
de serviços, você está em uma posição única para solucionar o dilema de segurança com
cibercrimes, já que pode oferecer ao seu cliente a equipe, a tecnologia e as soluções necessárias
para abordar uma quebra de segurança antes que o cliente possa vê-la.
As quatro maiores preocupações do CIO
CIOs querem infraestrutura segura, transparência na movimentação dos dados, auditorias de
segurança facilitadas e visibilidade global consistente para ajudar a antecipar problemas de
segurança. No final das contas, quatro preocupações principais os deixam com insônia:
1.Suas infraestruturas. As informações do CIO são tão seguras quanto o data center — o da
própria organização e os de seus prestadores de serviços. Os prestadores têm segurança
de rede adequada e firewalls de próxima geração? Eles conseguem monitorar ameaças
desconhecidas, e qual o tempo de resposta média a um incidente? Há visibilidade adequada
em tempo real da segurança operacional do ambiente? O que acontecerá se os aplicativos
empresariais do cliente forem lançados no ambiente de nuvem de um prestador de
serviços? Isso foi um pesadelo para os primeiros usuários de serviços em nuvem. Quando
seus aplicativos ficavam dentro da organização, controles de contenção podiam ser
implementados para fraquezas de segurança, como código mal escrito. Mas no momento em
que esses aplicativos foram movidos externamente, um elemento de controle foi perdido e
essas fraquezas inerentes foram expostas. Essa falha de segurança não é um problema da
nuvem, e sim uma fraqueza dos aplicativos em si. As coisas não melhoraram; uma pesquisa
recente sobre aplicativos empresariais em uso no momento descobriu que nada mais, nada
menos do que 9 em cada 10 aplicativos tinham vulnerabilidades (HP Research, 2013).
2.O software de seus prestadores. Seus parceiros estão desenvolvendo e operando sistemas
de software protegidos? Se a organização estiver usando plataformas de parceiros, cada
um deles está gerenciando os riscos em um nível confortável para o CIO? Uma solicitação
de inventário provavelmente não será útil aqui. Embora as respostas de um prestador
de serviços para dúvidas de segurança da infraestrutura geralmente demonstrem
confiança, suas respostas para segurança de software podem ser mais complexas e menos
tranquilizadoras. Os CIOs querem uma descrição de como o software foi desenvolvido:
espera-se um ciclo de desenvolvimento seguro, avaliações de vulnerabilidade de terceiros
e outras evidências de que o prestador de serviços está levando a segurança a sério e
investindo de acordo. É essencial ganhar a confiança de seus clientes antes que eles
repassem seus dados.
3.O software da organização. Se o departamento de TI estiver desenvolvendo software
personalizado a ser hospedado em um prestador de serviços, o CIO deve garantir que o
software esteja alinhado e interaja corretamente com os serviços que utiliza do prestador.
Quanto acesso os desenvolvedores da organização têm ao ambiente do prestador de
serviços? Há documentação suficiente? O departamento de TI consegue desenvolver
software comprovadamente seguro? Se os desenvolvedores estiverem criando software
composto, o prestador de serviços permite acesso e visibilidade suficientes dessa solução
combinada para saber que é segura?
2
Documento técnico empresarial | Identifique e previna
ameaças de segurança
4.Sua conformidade regulamentar. As empresas estão sujeitas a uma série de regulamentações
transnacionais, como PCI, SOX e BASEL II, assim como diversos regulamentações de privacidade
nacional e local. Como você se mantém atualizado com a conformidade e a regulamentações
do setor? Elas são complicadas, mudam com frequência e são diferentes em cada país. Como
você alinha a segurança e o orçamento de riscos aos processos empresariais mais críticos?
Como você determina quais são esses processos e garante visibilidade dos fatores de risco?
Qual o seu plano de registro e como você integra os diversos departamentos (como TI,
jurídico, conformidade e terceirização) em um plano único?
Reconhecendo as capacidades do cibercriminoso de hoje
Com todas essas preocupações com segurança, a próxima questão óbvia é: "Por quê?”. Os
adversários sabem que as organizações estão tentando defender seus dados e a si mesmas,
e a indústria tem discutido por anos o que os motiva. Mas na verdade, não importa se os
perpetradores de cibercrimes são ativistas, agem por motivos sociopolíticos ou estão buscando
ganhos monetários. Suas capacidades importam muito mais.
Nos dias atuais, os cibercriminosos estão se organizando em um espaço que permite
colaboração de maneiras sem precedentes. Claro, esse é um efeito típico de qualquer mercado
organizado em qualquer setor: à medida que o mercado amadurece, vemos colaboração,
especialização e monetização crescente. Os cibercriminosos não estão mais atuando sozinhos;
estão colaborando em escala massiva. Eles falam abertamente em diversos fóruns; compram
e vendem segredos, ferramentas e informações uns aos outros. Atores e grupos diferentes
estão se especializando em áreas diversas da segurança ou em estilos variados de invasão,
permitindo que cobrem uma taxa maior por esses serviços.
Por exemplo, pense em um grupo de cibercriminosos com habilidades específicas de acesso
a máquinas supostamente inacessíveis. Uma vez lá dentro, eles não roubam ou destroem
nenhum dado; simplesmente vendem esse ponto de partida. Ou talvez eles tenham apenas
invadido aquela máquina específica em resposta a uma solicitação em um fórum: "Quem tem
acesso à máquina X?". Eles estavam trabalhando, de fato, para atender a uma solicitação
de cliente. E os adversários têm sua dose de humor. Derrubar sistemas que receberam uma
marca específica de segurança se tornou uma questão de honra, simplesmente porque os
adversários podem.
Desequilíbrio fundamental entre hackers e indústria
Os lados da batalha são claros: são hackers e outros cibercriminosos vs. a indústria. E embora
prestadores de serviços possam achar que adversários colaborando entre si devam ser derrotados,
em última instância, pelas corporações peso-pesadas, há um desequilíbrio estrutural entre as
partes que evita que isso aconteça.
Para definir sucesso, cada prestador de serviços precisa acertar o tempo todo: considera-se que
falharam se apenas um único sistema ou bloco de dados for comprometido. Porém, o hacker
pode atacar milhares de vezes, e só precisa estar certo uma delas. A não ser que mudemos a
natureza fundamental desse conflito, a indústria continuará perdendo.
Procurando a "bala de prata"
O lugar óbvio para buscar a solução é a tecnologia. Mas a HP reconhece que, embora a tecnologia
seja uma parte crítica da solução, as empresas investiram em excesso em produtos e tecnologia
de segurança: há tantas "balas de prata" que é quase impossível gerenciar todas elas.
Além disso, as empresas estão gastando no momento quantidades desproporcionais de
dinheiro na tentativa de parar as infiltrações: 86% dos gastos com segurança são contabilizados
dessa maneira, mas há vários outros lugares dignos de gasto. Pesquisas demonstraram que
as empresas obtêm encorajadores 21% de retorno do investimento se gastam em sistemas
de inteligência de segurança; em outras palavras, um investimento combinado em produtos,
pessoas e processos (Ponemon Institute, 2013). A mensagem clara é que os prestadores de
serviços devem usar a combinação certa de produtos e processos de segurança para proteger
seus clientes com eficácia.
3
Documento técnico empresarial | Identifique e previna
ameaças de segurança
Aprendendo uma lição com os adversários
No revide, as organizações devem aprender uma lição com os cibercriminosos. As empresas devem
começar a colaborar de formas que ainda não estão evidentes, mesmo dentro de segmentos e cortes
verticais de indústrias em comum.
A HP está liderando essa iniciativa de desenvolver e compartilhar inteligência compartilhada que
possa ser usada contra ameaças, e reconhece a importância de coleta de dados sistematizada em
tempo real e do compromisso com sistemas abertos. Além de conduzir essa iniciativa na indústria
de alta tecnologia, a HP está lançando uma plataforma que permite às organizações compartilhar
inteligência de segurança, ameaças e suas análises e correções com outras organizações e
comunidades confiáveis.
A visão é gerar uma defesa comum por toda a indústria. Os adversários estão usando as mesmas
técnicas sem parar; portanto, a indústria deve compartilhar informações e solucionar esses ataques.
Essa colaboração pode ajudar alvos futuros a anteciparem os ataques ou, pelo menos, ter defesas
fortes implementadas. A HP acredita que o desenvolvimento de comunidades confiáveis reequilibrará
a balança, eliminando a desvantagem estrutural atual.
Abalar, gerenciar, ampliar
O mundo confia na HP para uma abordagem
mais inteligente da segurança:
•Nº 1 na identificação de vulnerabilidades e
ameaças à segurança2
•Mais de 10 mil clientes em todo o mundo,
incluindo nove entre dez dos maiores bancos
com mais de US$ 9 trilhões de dólares em
transações todos os dias.
•Oito centrais de operações de segurança
com mais de 5 mil profissionais da segurança
credenciados no mundo todo
Gartner, Inc., Quadrante mágico para
informações de segurança e gestão de eventos,
Kelly M. Kavanagh, Mark Nicolett, Oliver
Rochford, 25 de junho de 2014; Quadrante
mágico para teste de segurança de aplicativos,
Joseph Feiman, Neil MacDonald, 1º de julho
de 2014; Quadrante mágico para sistemas de
prevenção contra invasões, Adam Hils, Greg
Young, Jeremy D’Hoinne, 16 de dezembro
de 2013. A Gartner não endossa nenhum
fornecedor, produto ou serviço descrito nas suas
publicações de pesquisa e não recomenda que
usuários de tecnologia selecionem somente
os fornecedores com as classificações mais
altas ou outras designações. As publicações de
pesquisa da Gartner consistem em opiniões da
organização de pesquisa da Gartner e não devem
ser consideradas como declarações de fatos. A
Gartner se isenta de todas as garantias, explícitas
ou implícitas, com relação a esta pesquisa,
incluindo as garantias de comercialização ou
adequação a um propósito específico.
2
Avaliada como a principal organização de
pesquisa de vulnerabilidades de segurança pela
Frost & Sullivan, 2012.
Para ajudar prestadores de serviços a proteger melhor os seus clientes e os dados deles, a HP defende
uma abordagem integrada de segurança. Ela se inicia com uma visão única e abrangente dos riscos
em toda a organização, e é conduzida pelas prioridades e metas da empresa. A Segurança HP se foca
em três princípios: abalar, gerenciar, ampliar.
Mais do que simplesmente manter os adversários fora, os prestadores de serviço devem abalá-los,
investindo mais em prevenção e detecção. Com as capacidades de dados desestruturados das
soluções de Analítica de informação da HP, prestadores de serviços podem, literalmente, monitorar
"conversas cibercriminosas", permitindo ataques preventivos.
Respondendo à escassez de pessoal de segurança, a HP está em uma posição única para gerenciar
riscos de segurança, oferecendo aos prestadores de serviços acesso a 5.000 especialistas da
indústria de segurança, serviços de resposta a incidentes de segurança e serviços forenses, de litígio
e de recuperação de dados, sustentados por Produtos de segurança corporativa da HP. E essas
soluções de segurança ampliam suas capacidades. Você pode ter uma abordagem holística por
meio de uma prática de segurança que inclui conformidade e auditoria, políticas, riscos e ameaças,
treinamento e percepção, e uma arquitetura técnica para garantir que você tenha a visibilidade
correta de ameaças, tanto externas quanto internas.
1
Inscreva-se para receber atualizações
hp.com/go/getupdated
Proteja seus clientes internamente
Quando empresas aproveitam soluções de TI externas de prestadores de serviços, suas preocupações
de segurança são amplificadas, devido a uma falta de controle percebido. Como um prestador de
serviços pode garantir que está lidando com essas preocupações para proteger seus clientes?
Como uma líder do mercado de segurança, a HP conduz pesquisas inovadoras para desenvolver
produtos e serviços de segurança. A HP está posicionada como líder em três Quadrantes mágicos
da Gartner nas respectivas categorias de seus produtos de segurança: HP ArcSight, HP Fortify e
HP TippingPoint.1 Como uma prestadora de serviços que entende as maiores preocupações de seus
clientes, ao trabalhar com a HP, você pode proporcionar a confiança para lidar com os requisitos de
segurança de seus clientes.
O ambiente da segurança continua a mudar, segundo a segundo, mas os mocinhos estão acertando
as coisas. Eles estão dependendo menos da tecnologia e mais da combinação de produtos, pessoas
e processos — e, o mais importante, da colaboração. Avalie as medidas de segurança que você
usa para prestar serviços aos seus clientes. Para saber mais, confira soluções de segurança para
proteger o que importa e contate a HP para levar a sua segurança ao próximo nível.
Saiba mais em
hp.com/go/cyber-security
Compartilhe com colegas
© Copyright 2014 Hewlett-Packard Development Company, L.P. As informações contidas neste documento estão sujeitas a alterações sem aviso. As
únicas garantias para produtos e serviços da HP são as estabelecidas nas declarações de garantia expressa que acompanham tais produtos e serviços.
Nada aqui contido deve ser interpretado como constituindo garantia adicional. A HP não se responsabiliza por erros técnicos ou editoriais ou omissões
contidos neste documento.
4AA5-6234PTL, dezembro de 2014