Entrevista com Bob Booth: Executivo da Empresa Codenomicon, Especialista em Segurança da informação
É com muita satisfação que divulgo a seguir uma entrevista exclusiva cedida ao Portal GSTI por Bob Booth, Executivo especialista em Segurança da Informação.
O Diretor da Codenomicon na América Latinha nos respondeu sobre riscos em Segurança da Informação com foco em vulnerabilidades empresariais, ações de hackers, segurança em softwares e falou um pouco sobre as oportunidades para carreira profissional em Segurança da Informação.
A multinacional Codenomicon foi uma das patrocinadores do Cyber Security Brazil realizado no início de Março deste ano com o apoio do Portal GSTI. A empresa é responsável por descobertas de vulnerabilidades como a Heartbleed em sites considerados seguros. Veja mais sobre estas descobertas nesta reportagem da Globo.com.
Agradecemos imensamente pela Disponibilidade do Executivo e aproveitamos para agradecer também ao jornalista Daniel dos Santos da EDF Communications pela assessoria que foi prestada para que esta entrevista fosse possível.
Portal GSTI: Para quais tipos de Impactos as empresas estão expostas por conta de vulnerabilidades de Segurança da Informação?
Bob Booth : Os impactos podem variar. Vulnerabilidades podem causar desde pequenos problemas de operação em sistemas, causando indisponibilidade, ou até mesmo a explosão de uma usina de refino de petróleo ou nuclear. E as vulnerabilidades podem causar grandes danos a imagem de uma empresa. As empresas ainda se perdem ao definir as melhores práticas e têm dificuldade de identificar e priorizar dados sensíveis ou sistemas críticos que precisam ser resguardados. A perda de dados sensíveis, por exemplo, é algo real e que causa grandes impactos na competitividade e na imagem de uma empresa.Portal GSTI : Quais são os tipos e ataques mais comuns a informações de Empresas?
Bob Booth : O roubo de informações sensíveis e de dinheiro sempre foi o alvo favorito de crackers (hacker que usam o seu conhecimento para ações ilegais), porém, o cenário de ataques tem mudado nos últimos anos. Hoje, as organizações dependem da tecnologia não só para processar informações delicadas, mas também para realizar funções essenciais. Há muitas vulnerabilidades desconhecidas em softwares e dispositivos essenciais para os negócios e isto representa uma ameaça significativa.Portal GSTI : Qual é a relação entre Segurança da Informação e Continuidade do Negócio?
Bob Booth: A relação é total e direta. Proteger as informações das empresas e de seus clientes é vital para a continuidade dos negócios e para o sucesso de uma operação. As organizações precisam estar protegidas contra ameaças e vulnerabilidades e as informações precisam estar disponíveis quando solicitadas.Portal GSTI : Toda empresa precisa de Segurança da Informação?
Bob Booth: Sim. Seja pela necessidade que temos em proteger informações básicas, como comunicações entre funcionários e acessos à Internet, como também informações ou sistemas que são relacionados ao négocio. Não há como pensar em uma corporação sólida e confiável sem a proteção de seus dados.Portal GSTI : O que você recomenda para uma empresa que quer dar os primeiros passos em Segurança da Informação?
Bob Booth: O segredo está na prevenção: o custo para tratar vulnerabilidades é absurdamente maior quando efetuamos ações e respostas de forma reativa. A descoberta proativa e o combate às vulnerabilidades desconhecidas evitam ataques e reduz custos. A principal missão da Codenomicon é ajudar as empresas com este desafio, trabalhando com o descobrimento de vulnerabilidades desconhecidas (Codenomicon Defensics) e também com a varredura de binários buscando por vulnerabilidades conhecidas em componentes externos utilizados por aplicações (Codenomicon AppCheck).Portal GSTI : Quais são os desafios para a Segurança da Informação nos próximos anos?
Bob Booth:A expansão do campo de ataque é um dos principais desafios. Cada aplicativo em rede e dispositivo representa uma oportunidade para um ataque. Atualmente há quase 13 bilhões de dispositivos conectados e até 2020 esse número chegará a 25 bilhões, o que deve aumentar significativamente as possibilidades de invasões.Portal GSTI : Os Softwares Livres são mais ou menos seguros do que os proprietários?
Bob Booth: O software mais seguro é aquele que foi mais testado! O fato de um software possuir seu código aberto (uma das características do software livre) permite que mais pessoas efetuem seus próprios testes de segurança e robustez, porém, não significa que softwares proprietários sejam menos seguros pela ausência desta condição. Se o desenvolvedor da solução possui um plano de testes exaustivo e contínuo, ele terá um software mais seguro. Quanto mais testes, melhor será seu nível de segurança!Portal GSTI : Que tipo de ações você recomenda para evitar Vulnerabilidades em Softwares?
Bob Booth: As empresas precisam investir mais em tecnologias proativas. Atualmente, a grande preocupação das corporações é de identificar algum tipo de ataque conhecido que tenha sua rede como destino, além de encontrar serviços vulneráveis. As boas práticas em segurança, principalmente em ambientes críticos, extrapolam a utilização de ferramentas que lidam com ataques conhecidos. A necessidade de descobrir as ameaças antes que os crackers é real, e a única maneira de executar esta difícil tarefa é efetuar testes de segurança e robustez nos sistemas adquiridos e desenvolvidos internamente. As empresas devem usar as mesmas ferramentas que os hackers utilizam para descobrir novas ameaças e é exatamente nesta parte que nós podemos ajudar. Ferramentas como o Codenomicon Defensics (testes fuzzing para descobrimento de novas vulnerabilidades) foram desenvolvidas com este intuito.Portal GSTI : Quais são as oportunidades de carreira na área de Segurança da Informação?
Bob Booth: As oportunidades de carreira na área técnica continuam crescendo de forma rápida devido a falta de profissionais no mercado e ao crescimento constante da demanda. Em alguns casos, o conhecimento técnico profundo em determinados assuntos só pode ser adquirido por meio de uma combinação de estudos e experiência.Portal GSTI : Quais certificações profissionais você recomenda para uma carreira em Segurança da Informação?
Bob Booth : O mercado exige cada vez mais conhecimentos específicos em produtos ou áreas de atuação dentro da segurança de informação. Embora o número de certificações técnicas de produtos tenha aumentado, a demanda por profissionais que tenham um conhecimento técnico amplo ainda existe e continuará a existir. Certificações de órgãos internacionais, como ISC2 e SANS ainda continuam entre as principais e mais requisitadas pelas empresas. Vale salientar que a experiência comprovada na área e projetos executados valem tanto, ou até mais, que as certificações de mercado.
Bob Booth - Diretor de vendas para a América Latina da Codenomicon
Contato e mais informações em www.codenomicon.com ou pelo e-mail LATAM@codenomicon.com