Tag Conferência Gartner Segurança e Gestão de Riscos 2016

Gartner divulga tendências de segurança na Era dos Negócios Digitais

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, divulga tendências de segurança na Era dos Negócios Digitais. Segundo analistas, a explosão digital vem remodelando a gestão de riscos e segurança organizacional. Redes móveis, Nuvem, redes sociais e a Internet das Coisas são apenas alguns fatores geradores dessa transformação. As principais tendências em segurança serão abordadas durante a Conferência Gartner Segurança e Gestão de Riscos, nos dias 2 e 3 de agosto, em São Paulo.

As empresas que forem capazes de aproveitar os benefícios das plataformas e ferramentas digitais terão uma vantagem competitiva permanente com o passar do tempo, enquanto aquelas que não estão habilitadas para seguir essa tendência vivenciarão uma queda entre a concorrência já em 2017.

“Essa realidade desafia o atual cenário de segurança da informação e gestão de riscos. Muitos padrões e tecnologias nas quais as práticas de risco e segurança foram baseadas não são adequados a essa nova realidade. Líderes de segurança da informação e gerenciamento de riscos de TI devem avaliar e transformar seus programas para que impulsionem os negócios digitais em vez de serem obstáculos para a inovação. As organizações que conseguirem estabelecer um ecossistema que equilibre proteção e crescimento do negócio permanecerão competitivas e serão capazes de resolver as ameaças cibernéticas”, afirma Tom Scholtz, Vice-Presidente e Fellow do Gartner.

Para o Gartner, os negócios digitais estão levando o ambiente de proteção de dados e infraestrutura para o mundo físico, incorporando funções focadas em dados e informações àquelas que conduzem mudanças reais nas pessoas e no ambiente ao seu redor. A maioria das iniciativas de segurança convencionais sempre focou em técnicas de bloqueio e prevenção (como antivírus), bem como em controles baseados em normas (firewalls etc.) para bloquear ameaças. “Apenas proteger as informações não é o suficiente. Não basta garantir o sigilo, integridade e disponibilidade dos dados. Líderes de riscos e segurança cibernética devem assumir a responsabilidade de proporcionar segurança para as pessoas e o ambiente ao seu redor”, explica Scholtz.

No entanto, uma defesa infalível é impossível. Ataques sofisticados e direcionados estão passando tranquilamente pelos mecanismos de prevenção baseados em assinaturas e firewalls. Todas as organizações devem agora assumir que estão em uma posição de comprometimento contínuo. Entretanto, elas podem acreditar erroneamente que uma prevenção 100% eficaz é possível e passar a depender excessivamente de mecanismos baseados em assinaturas ou bloqueios para garantir sua proteção. Como resultado, muitas empresas passam a ter capacidade limitada de detectar e reagir aos ataques quando eles inevitavelmente ocorrem, gerando maior tempo de espera e piores danos.

Para viabilizar uma arquitetura de proteção de segurança adaptável e abrangente, o Gartner aponta quatro vertentes com 12 habilidades específicas fundamentais para aumentar a capacidade de bloquear, evitar, detectar e reagir aos ataques:

– Prever: Análise Proativa de Exposição, Prever Ataques, Sistemas de Base;
– Prevenir: Sistemas Isolados e Consolidados, Distrair os Invasores, Prevenir Incidentes;
– Detectar: Detectar Incidentes, Confirmar e Priorizar Riscos, Conter os Incidentes;
– Responder: Remediar/Conduzir Mudanças, Mudança de design/modelo, Investigar/perícia.

Conferência Gartner Segurança e Gestão de Riscos 2016
Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Site: Gartner.com/br/security.

Tags,

Gartner indica tendências de Blockchain para executivos de TI e de segurança

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, alerta as empresas brasileiras para o surgimento de novos termos e de tendências na área de TI que afetam diretamente líderes de tecnologia (CIOs-Chief Information Officers) e de segurança da informação (CISOs – Chief Information Security Officers). Os analistas do Gartner apresentarão na Conferência Gartner Segurança e Gestão de Riscos, que acontece em São Paulo nos dias 2 e 3 de agosto, que os questionamentos dos clientes do Gartner sobre Blockchain e tópicos relacionados ao tema quadriplicaram desde 2015.

“As consultas transcendem a área financeira. Estamos indicando para clientes de diversas indústrias a importância de analisar a contagiante ‘febre de Blockchain’ que atingiu o setor”, diz Ray Valdes, Vice-Presidente e Fellow do Gartner. Segundo ele, é importante que os líderes de TI e de segurança entendam as possibilidades e limitações do Blockchain, as tecnologias associadas de registro distribuído e os cenários de negócios futuros para suas indústrias, em uma economia cada vez mais programável.

As indicações do Gartner sobre as tendências nessa área são:

Blockchain 101

A explicação de Blockchain pode ser iniciada com Bitcoin, já que ela é a primeira implementação de tecnologia de registro distribuído. Como moeda digital, o Bitcoin compensa a falta de uma moeda física ao rastrear o histórico de cada transação e registrar os dados cada vez que uma moeda é transferida de uma pessoa para outra. Cada transação de Bitcoin torna disponível o histórico completo daquele Bitcoin, em uma cadeia de blocos, chamada de Blockchain (uma forma de registro distribuído). Para que as entradas no Blockchain sejam confiáveis e seguras, o Bitcoin depende de poder computacional significativo e partes interessadas ou “exploradores” para validarem e confirmarem as transações, usando um processo estruturado para adicionar registros de transações ao Blockchain em troca de recompensa monetária.

“Essa estrutura de incentivo é inerente ao Blockchain de Bitcoin e não se pode usá-la sem levar em consideração o papel desempenhado pelo código de criptomoeda de Bitcoin”, diz o analista do Gartner. Essa fórmula, no entanto, possui suas limitações.

Promessa e riscos do Blockchain

O segredo do Blockchain reside no uso inovador de tecnologias existentes para autorizar que partes não confiáveis realizem transações, independente de uma autoridade central. “Em sua forma atual, o Blockchain sofre limitações significativas em escalabilidade, governança e flexibilidade”, diz David Furlonger, Vice-Presidente e Fellow do Gartner. Como os CIOs exploram os casos de uso para Blockchain e registros distribuídos, é importante entender as seguintes limitações:

Escalabilidade: No Blockchain, o sistema requer poder computacional significativo (consequentemente, eletricidade) para verificar e confirmar cada bloco de transações. Devido ao desenho desse processo, um máximo de sete transações por segundo podem ocorrer e cada bloco requer 10 minutos para confirmação, no mínimo.

Falta de resistência para centralização: Já que a necessidade de poder computacional para verificar as transações aumentou, a atividade de prova de trabalho tem sido principalmente consolidada em quatro organizações principais, todas estabelecidas na China. Isso altera o conceito de Blockchain como um sistema descentralizado. “Duas dessas quatro organizações poderiam teoricamente pactuar e, juntas, constituiriam uma maioria dos recursos computacionais necessários para exploração, conseguindo, assim, controlar a atualização do registro distribuído”, alerta Valdes.

Confidencialidade e Transparência: Todas as transações são públicas, possuindo seus prós e contras em termos de acesso à informação transacional, mas não necessariamente à identificação dos participantes para a rede.

Governança: O responsável pelo software de fonte aberta Bitcoin é desconhecido e, portanto, sua autoria está aberta a questionamento. Então, não há uma estrutura clara para tomada de decisão e o Blockchain de Bitcoin é altamente dependente de agendas individuais.

Novas tendências

A essência dos registros distribuídos é que eles possuem o potencial para permitir que qualquer forma de valor seja alterada entre partes não confiáveis em um formato criptografado, sem a necessidade de intermediação de uma autoridade centralizada. A capacidade de conduzir transações de qualquer tamanho, com qualquer forma, sugere um futuro no qual os dispositivos e aplicativos de Internet das Coisas (IoT) possam ser dinamicamente monetizados. Isto promoverá o crescimento da economia programável.

Devido à natureza do registro distribuído, é compreensível que as empresas líderes de serviços financeiros vejam o conceito como uma ameaça em termos de desintermediação e como uma oportunidade para reiterar o controle do ecossistema ou para mudar radicalmente a estrutura de custo de suas operações.

A indústria de seguro também pode se beneficiar desse conceito ao verificar bens e prevenir fraudes. Por exemplo, a Everledger rastreia milhares de diamantes anotando 40 pontos de dados únicos de cada pedra no registro distribuído. Qualquer transação subsequente do diamante pode ser rastreada até a transação anterior.

O importante para os CIOs, de acordo com o analista Furlonger, é olhar além desses casos iniciais de uso e pensar nos valores de troca possibilitados pela economia programável. Por exemplo, títulos fundiários podem ser verificados, dando aos proprietários de terras em países em desenvolvimento um registro incontestável de posse, evitando corrupção e roubo. Registros educacionais imutáveis promoverão mobilidade global de talentos. Além disso, carros autônomos poderão negociar e pagar por espaços de estacionamento, por sistemas de compartilhamento de viagens e, até mesmo, por mudança de via quando for preciso economizar tempo.
Recomendações para CIOs

É aconselhável que os CIOs entendam o estado atual da arte de fazer provas de conceito e implementem mobilizações táticas que os ajudem a resolver problemas específicos. “O objetivo está tanto nas lições aprendidas quanto no valor entregue aos negócios, especialmente porque as tecnologias favoráveis são imaturas e infundadas”, diz Valdes.

Na sequência, enquanto agem taticamente, é aconselhável que as organizações pensem estratégica e conceitualmente sobre modelos de negócios de longo prazo viabilizados pela próxima geração de plataformas de registro distribuído. “Qualquer coisa desenvolvida hoje, especialmente recursos construídos sobre o Blockchain original terão uma vida útil de no máximo 24 meses”, diz Furlonger.

Conferência Gartner Segurança e Gestão de Riscos 2016
Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Site: Gartner.com/br/security.

Tags, ,

Gartner alerta para áreas de Segurança em Nuvem que as empresas devem focar

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, alerta as empresas para a segurança de aplicações armazenadas em ambientes Cloud (em Nuvem). Enquanto muitos profissionais de tecnologia ainda estão desenhando suas estratégias de Cloud, hesitando em adotar ou definindo seus fornecedores, os funcionários das organizações já estão amplamente utilizando centenas de aplicações Cloud, em especial Software como Serviço (do inglês, Software as a Service – SaaS). Esse tema será amplamente debatido na Conferência Gartner Segurança e Gestão de Riscos, que acontece nos dias 2 e 3 de agosto no Sheraton São Paulo WTC Hotel (SP).

Segundo o Gartner, a computação em Nuvem cria muitos desafios para todas as empresas. Geralmente, nenhuma política corporativa de Cloud ou projeto de segurança é abrangente o suficiente. Do ponto de vista da Segurança e da Gestão de Riscos, a ambiguidade é especialmente difícil de lidar. Um dos principais dilemas com relação à introdução de políticas de computação em Nuvem é que ninguém consegue realmente definir o que ela é. “Enquanto os CISOs (do inglês, Chief Information Security Officers) veem a Nuvem como um estilo de computação, outras partes da empresa enxergam apenas como ‘coisas acessadas pela Internet’”, afirma Jay Heiser, Vice-Presidente de Pesquisa do Gartner.

Independentemente de como os grupos definem a computação em Nuvem, os analistas do Gartner indicam que é essencial ter uma estratégia bem definida, assim como políticas para o seu uso. As empresas devem focar em três áreas principais de segurança na Nuvem: multilocação, virtualização e software como serviço.

A multilocação proporciona flexibilidade limitada nos serviços para empresas dividem espaço com outros clientes. Com os dados fora do controle físico da companhia, a segurança acaba se tornando um problema. De fato, 38% das organizações que não planejam utilizar a Nuvem Pública apontaram a segurança e a privacidade como os principais motivos de risco. No entanto, as empresas podem estar usando a segurança e a privacidade como “desculpa”, tanto pelo medo de abdicar do controle sobre os dados quanto pela grande mudança no status quo do modo como estão acostumadas a trabalhar. “Não há correlação entre falha de segurança e o grau de multilocação. Às vezes, tornar-se híbrida pode ser a melhor forma para que algumas empresas ganhem confiança no modelo de Nuvem Pública”, explica Heiser.

A virtualização requer uma gestão de vulnerabilidade e processos de comparação distintos para o ambiente de Nuvem. As empresas podem usar ferramentas diferentes para gerenciar máquinas virtuais, uma vez que sua natureza complexa, dinâmica e distribuída não permite a indicação física de segurança como as “luzes piscantes” dos modelos tradicionais.

Os aplicativos de SaaS (Software como Serviço) oferecem um nível cada vez maior de segurança, com inúmeras funcionalidades de controle. No entanto, as aplicações de SaaS estão, no geral, sob o comando dos usuários finais, oferecendo uma transparência mínima e sem possibilidades de personalização para as demandas das empresas. Para aumentar a complexidade, muitas empresas chegam a ter 1.000 aplicativos SaaS em uso.

Priorize suas escolhas de SaaS

Os profissionais de segurança (CISOs) precisam definir suas prioridades e definir o tempo e os melhores recursos para lidar com o contexto de risco no uso de SaaS. Dessa forma, é necessário dividir os aplicativos de SaaS (Software como Serviço) em três níveis:

Nível 1: Realisticamente, cerca de 80% do mercado está centrado em 100 serviços de Cloud. Os principais fornecedores têm opções comprovadas, mas as organizações precisam se debruçar sobre o tema e verificar se realmente elas estão fora de risco para usar as soluções de forma segura.

Nível 2: Estas empresas, tipicamente grandes marcas que estão experimentando Cloud Services, não tinham oferecido antes como ofertas principais por mais de cinco anos. Geralmente com uma estratégia vertical de oferta de aplicativos, eles bloquearam avaialçies de terceiros. É neles que os CISOs devem focar suas avaliações e seus recursos.

Nível 3: Os milhares de aplicativos de computação em Nuvem classificados como nível 3 são praticamente irrelevantes, segundo Heiser. Não se pode assumir que um pequeno provedor de serviço em Nuvem (CSP) seja seguro ou financeiramente estável. Apesar de ser um risco aceitável, estes aplicativos devem ser utilizados com cuidado.

Conferência Gartner Segurança e Gestão de Riscos 2016
Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Local: Sheraton São Paulo WTC Hotel – Av. das Nações Unidas, nº 12.559
Site: Gartner.com/br/security.

Tags, , , , , ,