SegInfocast #77 – Faça o download para ouvir o podcast aqui.
Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe diversos convidados: Tulio Alvarez, Luciano Lima, Antônio Borge e Ricardo Salvatore, responsáveis pela tradução em português do livro “The Fifth Domain: Defending Our Country, Our Companies, and Ourselves in the Age of Cyber Threats” dos autores Richard Clarke e Robert Knake.
Qual o tema principal do livro O Quinto Domínio?
Tulio, que coordenou os trabalhos de tradução, cita que o título The Fifth Domain (O Quinto Domínio) é um termo que o Pentágono, e Forças Militares de muitos outros países, utilizam para se referir ao domínio do campo de batalha no âmbito cibernético. Os outros quatro domínios são: terrestre, marítimo, aéreo e espacial. E o quinto domínio, o cibernético, tem uma característica de permear todos os demais. Uma determinada ação no campo cibernético pode afetar sistemas, máquinas e até pessoas.
Com a dependência tecnológica cada vez maior, há um paradoxo de ter um maior risco e mais vulnerabilidades, o que permite que atores sem muitos recursos possam executar ações e causar grandes impactos. Quando levamos para o nível de conflitos, sejam declarados ou não, é fato que o mundo vem sofrendo diariamente com as ameaças existentes no ciberespaço.
E este livro vem apresentar não somente a ideia de se poder travar uma batalha neste vasto território, com ações ofensivas e defensivas no cenário atual e futuro, mas também fornecer aspectos interessantes sob o ponto de vista do setor público e privado, suas limitações e algumas ideias para tentar resolver o problema que pode afetar toda a nação.
É um livro de alto nível e extremamente recomendável para o público que tenha algum interesse no tema Segurança Cibernética. É quase obrigatório aos profissionais da área de tecnologia da informação, pois fornece uma ampla visão de como a segurança cibernética precisaria ser abordada para proteger o país, sua infraestrutura, suas empresas e todos os indivíduos, e que poderá expandir a base de conhecimentos aos leitores sobre essas questões.
Como foi o processo de tradução do livro?
A Clavis vem se consolidando como uma referência na tradução de livros sobre Segurança da Informação. Eles já foram tema de diversos episódios do SegInfocast. Vamos recordar alguns?
- Clique aqui para matar todo mundo de Bruce Schneier
- Contagem Regressiva até Zero Day de Kim Zetter
- Fundamentos da Segurança da Informação – Livro Oficial da certificação da EXIN Fundamentos da Segurança da Informação baseado na ISO 27001 e ISO 27002, que faz parte da formação DPO da EXIN.
- Livros técnicos para certificações
Novamente foi montado um super time de revisores, profissionais conceituados e com vasta experiência tanto no setor privado quanto no público.
Como estão divididos os capítulos do livro?
O livro possui cinco capítulos: Segurança sob a visão das empresas; Suporte governamental; Guerreiros, diplomatas e candidatos; Futuro próximo da guerra cibernética (tendências); e, Nossa comunidade de segurança.
Durante o podcast, os entrevistados, falaram sobre os principais pontos destacados nos capítulos.
Proteção e defesa cibernética é uma preocupação de todos. Não há como delegar uma segurança que depende de você. Quando você sai de casa, você tranca as portas e janelas, e se tiver alarme você o aciona, então por qual motivo vc sai do seu computador e não faz o mesmo?
O livro aborda o grande lobby das empresas de não quererem participar da segurança. Comenta sobre o NIST, instituto que cria padrões para serem adotados e fornece dados sobre como você consegue treinar as pessoas, tendo atenção ao grande deficit de profissionais de segurança.
Há passagens no texto que demonstram como o governo dos EUA está mudando a maneira de selecionar os profissionais de segurança. Tem que selecionar os talentos, pois eles tem que se dedicar e é ressaltado que devam ter um algo a mais para que entendam o que está ocorrendo no sistema. Como coordenar uma equipe para se defender? Eles trabalham com jogos e soluções de problemas para testar os profissionais. É bom conhecer como estão ocorrendo iniciativas de empresas de como selecionar melhor os profissionais.
Com relação aos sistemas de infraestrutura existe um aperfeiçoamento do que aconteceu neste últimos dez anos. A interação entre o governo e empresas deve ser próxima, visando cooperação e resiliência.
O autor tem uma postura mais crítica quanto à estrutura existente do Comando Cibernético, questionando o avanço da ofensiva. Ele comenta que é fundamental a existência de acordos internacionais para minimizar os riscos. Acreditam que devem ter meios de usar a tecnologia protegendo a democracia.
Outro ponto ressaltado pelos revisores foi de que união dos setores público e privado é fundamental. Um não pode estar à frente do outro. Se você controla a Internet, você perde a vantagem dela não ser controlada e da liberdade. Não seria bom controlar tudo. Coloca a visão das Forcas Armadas como defesa, cita a importância dos acordos diplomáticos e a questão de proteger os sistemas eleitorais e a democracia.
Em outro capítulo, as novas tecnologias são abordadas, como, 5G e Internet das Coisas, que vem tomando conta de um mundo de dispositivos conectados. Nesse ponto, apresenta o questionamento de: o quanto isso está protegido? Na realidade existe uma grande dificuldade de segurança, faltam aspectos de boas práticas inclusive dos fabricantes.
A Inteligência Artificial inicialmente foi concebida para automatizar processos, mas existe uma corrida armamentista usando uma corrente para fazer ataques no futuro. O futuro poderá ser a própria defesa contra as máquinas.
O conhecimento será multidisciplinar e o novo profissional deve se adaptar a isso.
O básico de segurança da informação tem que valer para todos esses pontos. As coisas são criadas para facilitar o uso para o ser humano. Mas há que pensar nos sistemas legados, e não somente no futuro. A padronização deve ser cobrada, mesmo após dar um salto à frente.
Há uma grande lacuna, que por mais que a comunidade de segurança tente adotar novos frameworks e modelos, muitas empresas demoram para adotar tais controles e, para algumas, é um grande desafio. O colaborador tem grande resistência em mudança e isso impacta na segurança.
É natural que os profissionais de tecnologia queiram ter soluções técnicas, mas como há pessoas decidindo, há um problema. Enquanto esse ser humano não for treinado e conscientizado o risco sempre existirá e não será minimizado.
Quem usa os dispositivos, quem desenvolveu os softwares, foram pessoas. O fator humano é fundamental. As soluções às vezes são muito seguras, mas por serem muito difíceis, acaba que o ser humano não a utiliza apropriadamente.
A segurança não deve estar acima do negócio. Há de se mostrar o risco e a decisão será tomada de acordo com a prioridade. É dizer sim de forma segura e como garantir o mínimo de segurança para o usuário.
Em resumo, o livro trata da resiliência como fator fundamental para se manter dentro desse novo domínio.
O livro “O Quinto Domínio” será lançado em breve. Aproveitem o conteúdo deste seginfocast e acompanhe o blog Seginfo para saber os detalhes do lançamento. Será uma leitura extraordinária !
Sobre os entrevistados
Tulio Alvarez está atuando como Head of Maritime Cyber Security da CLAVIS-Segurança da Informação e pesquisador em Gestão de Riscos Cibernéticos Marítimos pela Faperj/GreenHat. É Mestre em Ciências Navais pela Escola de Guerra Naval (2012), com seu trabalho desenvolvido na área da Defesa Cibernética no setor naval. É Especialista em Redes de Computadores pela PUC-Rio (2006), com desenvolvimento do trabalho na área de Gestão da Segurança da Informação (Norma ISO ABNT 27001); Especialista em Segurança de Redes e Criptografia pela UFF (2008), com trabalho focado em Segurança da Informação; e, Especialista em Gestão Empresarial pela COPPEAD/UFRJ (2012). Tem experiência na área de Tecnologia da Informação, Auditoria, Testes de Invasão e vulnerabilidades, Ensino e treinamentos presencial e a Distância, Gestão da Segurança da Informação, “Security Officer”, Comando e Controle (C4ISR), Operações e Logística militares no Brasil e exterior (ONU), Planejamento e exercícios de Defesa Cibernética.
Luciano Lima tem 24 anos de experiência profissional em TI e nos últimos 14 anos trabalhou exclusivamente com Segurança da Informação. Conquistou sua primeira certificação em 2001. Atualmente possui as principais certificações de segurança: CISSP (Certified Information Systems Security Professional), CSAE (CompTIASecurity Analytics Expert), CASP+ (CompTIA AdvancedSecurity Practitioner), CySA+(CompTIA CybersecurityAnalyst), CompTIA Security+, CEH (Certified EthicalHacking), ITIL V3 Foundation, MCP, MCSA, MCSE, MCSA Security e MCSE Security.
Como especialista em segurança da informação, tem grande experiência em segurança cibernética e gerenciamento de segurança. Também possui experiência na criação e implementação de políticas de segurança para proteger empresas de médio e grande porte. Tem experiência na implementação e acompanhamento de auditorias internas e externas com base na ISO / IEC 27001 e ISAE 3402. Também possui experiência em Análise de Vulnerabilidades no Windows, Unix, Linux e Networking.
Autor dos livros:
• Guia de Certificação MCSE Windows XP Professional;
• Simulados para a Certificação CompTIA Security+ SY0-401;
• Simulados para a Certificação CompTIACybersecurity Analyst (CySA+) – CS0-001;
• CompTIA Cybersecurity Analyst (CySA+) Certification Practice Exams – CS0-001;
• Simulados para el examen CompTIA CybersecurityAnalyst (CySA+) – CS0-001;
• Simulados para a Certificação CompTIA Security+ SY0-501;
• CompTIA Security+ SY0-501 Certification Practice Exams;
• Simulados para el examen CompTIA Security+ SY0-501;
• Simulados para o Exame CompTIA Cloud Essentials+ CLO-002; e
• CompTIA Cloud Essentials+ CLO-002 CertificationPractice Exams (English Edition).
Antônio Borge é Gestor de Segurança Cibernética, Especialista em Segurança da Informação e Gestão de Redes. Oficial da Ativa da Marinha do Brasil. Possui formação em Processamento de Dados pela UNIABEU (1996) com o desenvolvimento de um sistema para controle do processo licitatório da prefeitura de Mesquita, RJ. Especialista em Gestão da Segurança da Informação, pela Universidade Gama Filho (2010), com o trabalho focado na política de segurança como fator principal para segurança de informação. Especialização no Curso Superior (C-Sup), pela Escola de Guerra Naval (2011), com o trabalho focado em Guerra Cibernética: Ameaças à infraestrutura de Tecnologia da Informação da Marinha do Brasil.
Atua na área de Tecnologia da Informação desde 1988 e especificamente na área de segurança desde 1997. Atualmente está exercendo a função de Adjunto do Estado Maior Conjunto do Comando de Defesa Cibernética do Brasil.
Ricardo Salvatore é Mestre em Ciência da Computação pela Naval Postgraduate School (NPS), Califórnia-EUA. Pós-Graduado em: Gerência de Projetos de Software, Arquitetura da Informação, Análise de Sistemas pela PUC-Rio e Processamento Digital de Sinais pela UFRJ. Graduado em Eletrônica pela Escola Naval e Comandante da reserva da Marinha do Brasil. Tem Mais de 15 anos de experiência em gestão de Segurança da Informação, Governança de TI, Arquitetura da Informação e Gerência de Projetos de Software. Hoje é Gerente de Tecnologia e Segurança na Petronect.
Sobre o entrevistador:
Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.