SegInfocast #77 – Tradução do livro The Fifth Domain – O Quinto Domínio – Defendendo nosso país, nossas companhias e nós mesmos na era das ameaças Cibernéticas – Richard A. Clarke & Robert K. Knake

SegInfocast #77 – Faça o download para ouvir o podcast  aqui.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe diversos convidados: Tulio AlvarezLuciano LimaAntônio Borge e Ricardo Salvatore, responsáveis pela tradução em português do livro “The Fifth Domain: Defending Our Country, Our Companies, and Ourselves in the Age of Cyber Threats” dos autores Richard Clarke e Robert Knake

seginfo seginfocast livro quinto domínio

Qual o tema principal do livro?

Tulio, que coordenou os trabalhos de tradução, cita que o título The Fifth Domain (O Quinto Domínio) é um termo que o Pentágono, e Forças Militares de muitos outros países, utilizam para se referir ao domínio do campo de batalha no âmbito cibernético. Os outros quatro domínios são: terrestre, marítimo, aéreo e espacial. E o quinto domínio, o cibernético, tem uma característica de permear todos os demais. Uma determinada ação no campo cibernético pode afetar sistemas, máquinas e até pessoas.

Com a dependência tecnológica cada vez maior, há um paradoxo de ter um maior risco e mais vulnerabilidades, o que permite que atores sem muitos recursos possam executar ações e causar grandes impactos. Quando levamos para o nível de conflitos, sejam declarados ou não, é fato que o mundo vem sofrendo diariamente com as ameaças existentes no ciberespaço.

E este livro vem apresentar não somente a ideia de se poder travar uma batalha neste vasto território, com ações ofensivas e defensivas no cenário atual e futuro, mas também fornecer aspectos interessantes sob o ponto de vista do setor público e privado, suas limitações e algumas ideias para tentar resolver o problema que pode afetar toda a nação.

É um livro de alto nível e extremamente recomendável para o público que tenha algum interesse no tema Segurança Cibernética. É quase obrigatório aos profissionais da área de tecnologia da informação, pois fornece uma ampla visão de como a segurança cibernética precisaria ser abordada para proteger o país, sua infraestrutura, suas empresas e todos os indivíduos, e que poderá expandir a base de conhecimentos aos leitores sobre essas questões.

Como foi o processo de tradução do livro?

A Clavis vem se consolidando como uma referência na tradução de livros sobre Segurança da Informação. Eles já foram tema de diversos episódios do SegInfocast. Vamos recordar alguns?

  1. Clique aqui para matar todo mundo de Bruce Schneier
  1. Contagem Regressiva até Zero Day de Kim Zetter
  1. Fundamentos da Segurança da Informação – Livro Oficial da certificação da EXIN Fundamentos da Segurança da Informação baseado na ISO 27001 e ISO 27002, que faz parte da formação DPO da EXIN.
  1. Guerra Cibernética – “CYBER WAR – The next threat to national security and what to do about it
  1. Livros técnicos para certificações

Novamente foi montado um super time de revisores, profissionais conceituados e com vasta experiência tanto no setor privado quanto no público.

Como estão divididos os capítulos do livro?

O livro possui cinco capítulos: Segurança sob a visão das empresas; Suporte governamental; Guerreiros, diplomatas e candidatos; Futuro próximo da guerra cibernética (tendências); e, Nossa comunidade de segurança. 

Durante o podcast, os entrevistados, falaram sobre os principais pontos destacados nos capítulos.

Proteção e defesa cibernética é uma preocupação de todos. Não há como delegar uma segurança que depende de você. Quando você sai de casa, você tranca as portas e janelas, e se tiver alarme você o aciona, então por qual motivo vc sai do seu computador e não faz o mesmo?

O livro aborda o grande lobby das empresas de não quererem participar da segurança. Comenta sobre o NIST, instituto que cria padrões para serem adotados e fornece dados sobre como você consegue treinar as pessoas, tendo atenção ao grande deficit de profissionais de segurança.

Há passagens no texto que demonstram como o governo dos EUA está mudando a maneira de selecionar os profissionais de segurança. Tem que selecionar os talentos, pois eles tem que se dedicar e é ressaltado que devam ter um algo a mais para que entendam o que está ocorrendo no sistema. Como coordenar uma equipe para se defender? Eles trabalham com jogos e soluções de problemas para testar os profissionais. É bom conhecer como estão ocorrendo iniciativas de empresas de como selecionar melhor os profissionais.

Com relação aos sistemas de infraestrutura existe um aperfeiçoamento do que aconteceu neste últimos dez anos. A interação entre o governo e empresas deve ser próxima, visando cooperação e resiliência.

O autor tem uma postura mais crítica quanto à estrutura existente do Comando Cibernético, questionando o avanço da ofensiva. Ele comenta que é fundamental a existência de acordos internacionais para minimizar os riscos. Acreditam que devem ter meios de usar a tecnologia protegendo a democracia.

Outro ponto ressaltado pelos revisores foi de que união dos setores público e privado é fundamental. Um não pode estar à frente do outro. Se você controla a Internet, você perde a vantagem dela não ser controlada e da liberdade. Não seria bom controlar tudo. Coloca a visão das Forcas Armadas como defesa, cita a importância dos acordos diplomáticos e a questão de proteger os sistemas eleitorais e a democracia.

Em outro capítulo, as novas tecnologias são abordadas, como, 5G e Internet das Coisas, que vem tomando conta de um mundo de dispositivos conectados. Nesse ponto, apresenta o questionamento de: o quanto isso está protegido? Na realidade existe uma grande dificuldade de segurança, faltam aspectos de boas práticas inclusive dos fabricantes.

A Inteligência Artificial inicialmente foi concebida para automatizar processos, mas existe uma corrida armamentista usando uma corrente para fazer ataques no futuro. O futuro poderá ser a própria defesa contra as máquinas.

O conhecimento será multidisciplinar e o novo profissional deve se adaptar a isso.

O básico de segurança da informação tem que valer para todos esses pontos. As coisas são criadas para facilitar o uso para o ser humano. Mas há que pensar nos sistemas legados, e não somente no futuro. A padronização deve ser cobrada, mesmo após dar um salto à frente.

Há uma grande lacuna, que por mais que a comunidade de segurança tente adotar novos frameworks e modelos, muitas empresas demoram para adotar tais controles e, para algumas, é um grande desafio. O colaborador tem grande resistência em mudança e isso impacta na segurança.

É natural que os profissionais de tecnologia queiram ter soluções técnicas, mas como há pessoas decidindo, há um problema. Enquanto esse ser humano não for treinado e conscientizado o risco sempre existirá e não será minimizado.

Quem usa os dispositivos, quem desenvolveu os softwares, foram pessoas. O fator humano é fundamental. As soluções às vezes são muito seguras, mas por serem muito difíceis, acaba que o ser humano não a utiliza apropriadamente.

A segurança não deve estar acima do negócio. Há de se mostrar o risco e a decisão será tomada de acordo com a prioridade. É dizer sim de forma segura e como garantir o mínimo de segurança para o usuário.

Em resumo, o livro trata da resiliência como fator fundamental para se manter dentro desse novo domínio.

O livro “O Quinto Domínio” será lançado em breve. Aproveitem o conteúdo deste seginfocast e acompanhe o blog Seginfo para saber os detalhes do lançamento. Será uma leitura extraordinária !

Sobre os entrevistados

Tulio Alvarez está atuando como Head of Maritime Cyber Security da CLAVIS-Segurança da Informação e pesquisador em Gestão de Riscos Cibernéticos Marítimos pela Faperj/GreenHat. É Mestre em Ciências Navais pela Escola de Guerra Naval (2012), com seu trabalho desenvolvido na área da Defesa Cibernética no setor naval. É Especialista em Redes de Computadores pela PUC-Rio (2006), com desenvolvimento do trabalho na área de Gestão da Segurança da Informação (Norma ISO ABNT 27001); Especialista em Segurança de Redes e Criptografia pela UFF (2008), com trabalho focado em Segurança da Informação; e, Especialista em Gestão Empresarial pela COPPEAD/UFRJ (2012). Tem experiência na área de Tecnologia da Informação,  Auditoria, Testes de Invasão e vulnerabilidades, Ensino e treinamentos presencial e a Distância, Gestão da Segurança da Informação, “Security Officer”, Comando e Controle (C4ISR), Operações e Logística militares no Brasil e exterior (ONU), Planejamento e exercícios de Defesa Cibernética. 

Luciano Lima tem 24 anos de experiência profissional em TI e nos últimos 14 anos trabalhou exclusivamente com Segurança da Informação. Conquistou sua primeira certificação em 2001. Atualmente possui as principais certificações de segurança: CISSP (Certified Information Systems Security Professional), CSAE (CompTIASecurity Analytics Expert), CASP+ (CompTIA AdvancedSecurity Practitioner), CySA+(CompTIA CybersecurityAnalyst), CompTIA Security+, CEH (Certified EthicalHacking), ITIL V3 Foundation, MCP, MCSA, MCSE, MCSA Security e MCSE Security.

Como especialista em segurança da informação, tem grande experiência em segurança cibernética e gerenciamento de segurança. Também possui experiência na criação e implementação de políticas de segurança para proteger empresas de médio e grande porte. Tem experiência na implementação e acompanhamento de auditorias internas e externas com base na ISO / IEC 27001 e ISAE 3402. Também possui experiência em Análise de Vulnerabilidades no Windows, Unix, Linux e Networking.

Autor dos livros:

• Guia de Certificação MCSE Windows XP Professional;

• Simulados para a Certificação CompTIA Security+ SY0-401;

• Simulados para a Certificação CompTIACybersecurity Analyst (CySA+) – CS0-001;

• CompTIA Cybersecurity Analyst (CySA+) Certification Practice Exams – CS0-001;

• Simulados para el examen CompTIA CybersecurityAnalyst (CySA+) – CS0-001;

• Simulados para a Certificação CompTIA Security+ SY0-501;

• CompTIA Security+ SY0-501 Certification Practice Exams;

• Simulados para el examen CompTIA Security+ SY0-501;

• Simulados para o Exame CompTIA Cloud Essentials+ CLO-002; e

• CompTIA Cloud Essentials+ CLO-002 CertificationPractice Exams (English Edition).

Antônio Borge é Gestor de Segurança Cibernética, Especialista em Segurança da Informação e Gestão de Redes. Oficial da Ativa da Marinha do Brasil. Possui formação em Processamento de Dados pela UNIABEU (1996) com o desenvolvimento de um sistema para controle do processo licitatório da prefeitura de Mesquita, RJ. Especialista em Gestão da Segurança da Informação, pela Universidade Gama Filho (2010), com o trabalho focado na política de segurança como fator principal para segurança de informação. Especialização no Curso Superior (C-Sup), pela Escola de Guerra Naval (2011), com o trabalho focado em Guerra Cibernética: Ameaças à infraestrutura de Tecnologia da Informação da Marinha do Brasil.
Atua na área de Tecnologia da Informação desde 1988 e especificamente na área de segurança desde 1997. Atualmente está exercendo a função de Adjunto do Estado Maior Conjunto do Comando de Defesa Cibernética do Brasil.

Ricardo Salvatore é Mestre em Ciência da Computação pela Naval Postgraduate School (NPS), Califórnia-EUA. Pós-Graduado em: Gerência de Projetos de Software, Arquitetura da Informação, Análise de Sistemas pela PUC-Rio e Processamento Digital de Sinais pela UFRJ. Graduado em Eletrônica pela Escola Naval e Comandante da reserva da Marinha do Brasil. Tem Mais de 15 anos de experiência em gestão de Segurança da Informação, Governança de TI, Arquitetura da Informação e Gerência de Projetos de Software. Hoje é Gerente de Tecnologia e Segurança na Petronect.

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.