A era digital está em constante evolução e os desafios aparecem para empresas de todos os setores, incluindo meios de pagamento. Como garantir que a Segurança da Informação esteja em dia neste cenário?
Para responder, convidamos o Chief Information Security Officer (CISO) da EcommIT, Fabio Marques, para falar sobre a importância desse profissional no desenvolvimento de produtos e políticas de cibersegurança. Boa leitura!
Qual é o papel do CISO para as soluções de meios de pagamentos?
Na EcommIT, um produto nasce a partir de uma ideia de negócio, mapeada pelos analistas de negócios. Eles elaboram um desenho funcional e me envolvem desde o início para entender o processo passo a passo. Em cada etapa, adiciono controles para garantir uma solução mais segura.
Durante o desenvolvimento, seguimos princípios para mitigar vulnerabilidades, evitando o reaproveitamento de código, armazenamento de senhas e transações não criptografadas. Além disso, implementamos autenticação de usuários, senhas complexas e segundo fator de autenticação.
Vale destacar que não há garantias absolutas de segurança em tecnologia, mas nós aplicamos o princípio de segurança desde o início do planejamento, considerando a proteção do banco de dados, a criptografia, a replicação em diferentes regiões e medidas contra roubo de dados.
Também projetamos a aplicação para integração segura com sistemas como o Microsoft 365 e o Google Workspace. Além disso, implementamos medidas como Clean Pipe para lidar com ataques DDoS e utilizamos a Web Application Firewall (WAF) para proteção contra ataques não previstos, como novas vulnerabilidades em código Java. Este é o nosso processo de segurança, seguindo o princípio de Security by Design.
Como driblar as fraudes no cenário digital atual?
Trabalhamos com o conceito de modelagem de ameaças, que envolve pensar em possíveis fraudes durante o desenvolvimento do produto. Nosso foco é preventivo, antecipando cenários possíveis e entendendo tipos de ataques. Realizamos um trabalho de inteligência de ameaças, monitorando a internet para identificar fraudes comuns, como o uso de cartões de crédito roubados ou chaves de acesso.
Além disso, dentro da nossa solução, implementamos métodos para identificar cartões de crédito suspeitos e integrações com sistemas de antifraude. Trabalhamos tanto de forma preventiva quanto reativa para garantir a segurança do ambiente.
Qual é a importância da segurança da informação para o usuário?
A cada dia, o mundo se torna mais conectado. Estamos em um processo de hiperconectividade. Um exemplo disso é a casa moderna, onde temos Smart TVs, microondas, geladeiras, ar-condicionado, máquinas de lavar, roteadores, telefones, tablets, computadores, todos conectados à internet.
Todos esses dispositivos precisam ser pensados com segurança em mente. Um problema comum é a vulnerabilidade dos roteadores fornecidos pelas operadoras, que podem representar um perigo para a segurança da família. Sem perceber, podemos ser vítimas ou participar de ataques, como os de negação de serviço, através desses dispositivos vulneráveis.
É importante manter atualizados os roteadores e dispositivos conectados para evitar esses problemas. Antigamente, a internet era algo restrito, mas hoje em dia, quase tudo está conectado. Todos os dispositivos, inclusive geladeiras, estão ligados ao meio de pagamento, o que significa que devemos ter atenção à segurança em todas as transações.
Esse novo mundo traz facilidades, como fazer compras diretamente da geladeira, mas também levanta preocupações sobre como nossos dados estão sendo utilizados. É essencial que mais profissionais e esforços sejam direcionados para garantir a segurança nesse ambiente em constante evolução.
E quanto à relação com as empresas de meios de pagamento?
As empresas precisam se preocupar desde o momento em que o cliente utiliza o celular ou o cartão na maquininha até a conexão chegar ao gateway de pagamento.
Existe uma pressão para que as transações sejam rápidas, então as empresas investem em tecnologias mais velozes, como o 5G, em soluções de antifraude que são capazes de identificar e avaliar o risco de fraude de forma mais rápida.
Isso inclui a implementação de soluções de aprendizado de máquina e inteligência artificial, algo em que também estamos investindo na EcommIT. Por exemplo, se alguém passa o cartão em uma localização fora do padrão, em um valor não habitual, ou em uma loja não frequente, o sistema de antifraude analisa esses padrões e gera um score para a transação, reduzindo assim as chances de fraudes.
Outro exemplo é o alerta de transações suspeitas, como uma compra em São Paulo seguida de uma transação em Nova York em um curto período de tempo, o que chamamos de “viagem impossível”. Investimos tempo e recursos para desenvolver e implementar essas soluções para nossos parceiros, visando garantir a segurança das transações.
Quais são as maiores preocupações para o mercado de segurança hoje?
O grande alvoroço no mercado de segurança atualmente é em torno da inteligência artificial. O que preocupa é principalmente o uso malicioso dessa tecnologia. Atualmente, vemos apenas uma parte da inteligência artificial, conhecida como inteligência artificial generativa, que é exemplificada por ferramentas como o ChatGPT.
Essas ferramentas podem criar respostas a partir de uma conversa ou até mesmo gerar imagens e vídeos. O que preocupa é como isso pode ser utilizado de forma maliciosa, como no caso dos deep fakes, onde vídeos e áudios falsificados podem ser criados para enganar.
Isso representa um sério problema para diversas indústrias, incluindo meios de pagamento e telecomunicações, pois torna difícil distinguir o que é real e o que é falso. Outro ponto de preocupação é o impacto da migração para a nuvem, que está gerando uma demanda crescente por profissionais de segurança, criando um grande desafio na formação de equipes de segurança qualificadas.
Quais são as principais tendências para a empresa se proteger?
A principal preocupação hoje é com os casos crescentes de trabalho híbrido ou remoto. Proteger as estações de trabalho dos funcionários tornou-se crucial, com a necessidade de ter boas soluções de antivírus, manter as máquinas atualizadas e gerenciar o acesso a esses equipamentos.
Na nuvem, é essencial realizar uma avaliação abrangente da segurança do ambiente, garantindo configurações adequadas, conexões seguras e autenticação correta. Na EcommIT, estabelecemos uma célula de segurança da informação, onde desenvolvemos uma variedade de produtos. Oferecemos serviços de teste de penetração, que são análises com a perspectiva de um hacker, além de serviços de adequação às normas ISO 27000, NIST ou CIS Controls, que ajudam as empresas a aprimorar sua maturidade em segurança.
Também realizamos análises de maturidade em segurança, onde nossos especialistas avaliam os processos da empresa em comparação com o mercado. Além disso, estamos lançando um serviço de monitoramento chamado SOC (Security Operations Center), no qual estamos investindo bastante esforço. Esse serviço proporcionará monitoramento contínuo dos ambientes dos clientes, permitindo a identificação e tratamento de ataques por parte de hackers.
Quando é o momento ideal de contratar um serviço de segurança da informação?
Atualmente, para prestarmos serviços a empresas maiores ou participarmos de editais, é crucial atender aos requisitos da LGPD (Lei Geral de Proteção de Dados). As empresas são obrigadas a ter um nível mínimo de segurança para evitar punições em caso de incidentes de segurança. Muitas vezes, ao participarem de uma solicitação de proposta (RFP) ou de um edital, as empresas recebem questionários que se assemelham a auditorias.
É necessário ter processos mínimos de segurança, pois no Brasil existe a tendência de investir em segurança somente após ocorrer um incidente, o que é bastante comum. À medida que as empresas crescem e se tornam mais expostas a problemas, como funcionários desligados que mantêm acesso aos sistemas, a gestão de acesso torna-se um grande desafio. Muitas vezes, falta o controle adequado nesses casos, onde funcionários demitidos continuam tendo acesso a informações confidenciais da empresa, como e-mails e sistemas importantes, e permanecem em grupos de comunicação da empresa, como o WhatsApp.
Quando as empresas se deparam com essa falta de controle ao responderem esses questionários, percebem a necessidade de investir em medidas de segurança adequadas, como ter um antivírus e uma equipe capaz de lidar com problemas de segurança. Portanto, a competitividade das empresas hoje também se baseia na capacidade de ter uma segurança organizada e eficiente.
Existe um tamanho de empresa “ideal” para esse investimento?
Atualmente, não há um tamanho mínimo para atendermos. Podemos fornecer serviços de segurança desde startups com apenas cinco funcionários até empresas já estabelecidas e estruturadas. Graças ao nosso investimento e trabalho contínuo, conseguimos atender empresas de qualquer porte.
Como a EcommIT se adapta às necessidades da empresa na hora de entregar a solução?
Quando recebemos uma proposta de segurança, realizamos uma análise preliminar da empresa. Levantamos informações sobre sua maturidade, como processos existentes e o número de funcionários, além de entender o ramo de atuação e eventuais obrigações legais específicas, como legislações do setor.
Com esses dados, conseguimos criar uma proposta de valor personalizada, adequada ao tamanho e às necessidades específicas da empresa. Dessa forma, podemos atender desde pequenas startups até grandes corporações, com propostas altamente customizadas.
Muitos clientes não têm recursos para pagar por serviços de consultorias de grande porte, como testes de invasão de empresas multinacionais, por exemplo. No entanto, conseguimos oferecer serviços de qualidade, dentro do prazo e com preços acessíveis para eles. Isso nos permite não apenas ser fornecedores, mas também parceiros dessas empresas.
Começamos a trabalhar com eles desde o início, ajudando-os a desenvolver suas práticas de segurança desde o início. Isso cria um relacionamento de longo prazo, e temos clientes que nos acompanham há muito tempo, desde os estágios iniciais de suas jornadas, devido à nossa visão e compromisso em atender a todos da melhor forma possível.
CISO como serviço: como funciona?
O serviço CISO as a Service (Chief Information Security Officer) é essencialmente quando a EcommIT “vende” as horas do nosso especialista em segurança da informação para um cliente para desempenhar o papel de um diretor de segurança contratado.
Durante esse tempo, a responsabilidade é estruturar a equipe de segurança do cliente. Isso inclui ajudar a recrutar um gerente de segurança, criar uma estrutura de segurança, desenvolver uma estratégia e comunicar a visão de segurança para outros diretores da empresa. Este serviço é bastante flexível e pode ser aplicado a qualquer área ou tipo de empresa, não sendo nichado para um setor específico, podendo ser utilizado por empresas de qualquer ramo ou porte.
Conheça a consultoria de Segurança da Informação da EcommIT
A cibersegurança que você precisa está aqui! As empresas de meios de pagamentos podem contar com a nossa consultoria, que traz uma estrutura de Segurança da Informação completa. Oferecemos a tecnologia mais avançada e diagnósticos bem estruturados para garantir as melhores políticas em cibersegurança para a sua empresa. Saiba mais clicando aqui!
