Durante a sexta edição da H2HC, aconteceu o primeiro H2CSO, um encontro apoiado pela Decision Report que colocou hackers e CSOs, gerentes e diretorias que respondem pela segurança da informação, juntos em um fórum para debate e aproximação dos dois lados da “força”.

Estavam presentes CSO de diversas empresas como Daniel Sobral, da Friboi, Antonio Vinhas,do Deutsch Bank, Sérgio Ricupero, da editora Abril, entre outros. Do lado dos hackers, estavam alguns caras muito bons como o Rodrigo Rubira Branco, da Checkpoint/Coseinc, Nicolas Waisman, da Immunity, Sebastian Porst, Zynamics, etc.

Eu estava lá e acompanhei de perto o debate.  Na primeira parte foi discutido sobre o conceito hacker e a visão que as empresas tem desses profissionais. Tive que sair no meio da primeira parte pois o Bruno iria começar a palestrar e não queria deixar de perder uma das melhores e mais provocativas apresentações do evento: “Breaking the Perimeter Through The Human Stupidity”, na qual reproduziu  a gravação de um ataque de engenharia social realizado com sucesso (com a devida autorização da empresa atacada, claro!).

Voltei para a segunda parte do H2CSO e aqui a discussão começou a ficar interessante.

Começou a ser discutido o ROI (Retorno do Investimento)  em Segurança da Informação, que continua a ser a principal resistência para as empresas em investirem em segurança. Por um lado, as empresas precisam de uma forma para estimar o impacto de incidentes de segurança nos negócios, que mostre os resultados, benefícios e ampare as decisões e budget de investimento nesta área, como apontado por Cibele Tessari, CIO da Andrade Gutierrez. Por outro lado, Nicolas Waisman lançou a seguinte reflexão: “Quanto uma empresa perde com um ataque ou incidente?”. Nesta reflexão podemos elencar perdas em diferentes aspectos como: imagem da empresa, indisponibilidade, financeira, custos com recuperação do ambiente, comprometimento de dados e informações, etc.

Para cada um dos cenários, a estimativa do impacto se torna ainda mais difícil de ser identificada previamente, pois depende de outros fatores como a maturidade de TI e segurança da empresa em questão. A presença de controles de segurança, de logs até WAFs, permitem a identificação, rastreamento e, até, a minimização dos escopo de um incidente.

Ou seja, sem um diagnóstico do atual estado de TI, não é possível identificar gaps e planejar a segurança corporativa adequadamente. Normalmente, os gastos relacionados a segurança da informação são empregados pontualmente com testes de segurança ou soluções que nem sempre são adequadas para a empresa ou, então, como meros “extintores de incêndio”,  situações em que não é possível identificar o retorno para a empresa. Por isso, é necessário que o alto escalão enxergue a segurança como um fator crítico ao negócio, uma vez que todos os processos covergem para ambientes tecnológicos e interconectados, independente do segmento de atuação.

Outra discussão importante foi quanto a presença de equipes de segurança técnica e a contratação de hackers profissionais pelas empresas. Sérgio Ricupero fez uma interessante analogia desses profissionais internos com um eventual ERP desenvolvido pela empresa. Por mais que o resultado seja satisfatório, não é o business da empresa.

É indiscutível a necessidade de haver equipes de segurança da informação e conformidade nas empresas, para definição de diretrizes, acompanhamento de processos e qualidade. Porém, manter equipes técnicas multidisciplinares acarreta em alto custo para a empresa e muitas vezes desinteressante para o profissional, por conta da desmotivação causada pela rotina e ausência de desafios.

Em resumo: a área de segurança da informação está ganhando força e as empresas estão começando a entender isso como sendo crítico ao negócio. A tendência para serviços está caminhando para a terceirização, de forma que as empresas possam contar com profissionais qualificados para cada situação, sem ter que gastar fortunas em equipes internas.

O modelo do evento foi inédito e creio que muito proveitoso para ambos os lados da discussão:  hackers e CSOs! Parabéns Rodrigo e Balestra pela idéia e iniciativa!

[]´s