Risco: pessoas e informações espalhadas

Em entrevista exclusiva para a Risk Report, Roberto Regente, vice-presidente da RSA Security para América Latina (divisão de segurança da informação da EMC), fala sobre os benefícios da aquisição, conceito de empresas hiperextendidas versus a maturidade de negócios virtualizados e nas nuvens.

Por que uma empresa de banco de dados compraria um outra de segurança?

Quando se pensa em banco de dados, em determinado momento a informação estará ali. Estamos na era do conhecimento. Portanto, o dado não é estático, vai sair da mão do usuário e passar por um meio e depois chegar em seu destino. Por isso, é preciso segurança quando o dado trafega e filtrar o que é necessário, de acordo com a política da empresa. Se coloco controles em demasia não dá para trabalhar. É importante definir as políticas de segurança, mas o problema é garantir que os controles que a governança corporativa impõe estão sendo cumpridos. O grande desafio é como garantir que esses controles sejam respeitados. De 80% a 90% das empresas sofrem fraudes eletrônicas.

O que representa a compra da RSA pela EMC?

Para a RSA houve uma ampliação da nossa cobertura e cadeia de relacionamento. Somos uma divisão independente de negócio, com nosso próprio go to market, temos o nosso próprio canal, acesso a clientes e grupos de parceiros da EMC e queremos expandir o conceito de segurança para todos os mercados. Hoje, a nossa carteira é composta mais fortemente por bancos, telecomunicações, serviços e governo. Apesar disso, temos clientes em todos os setores.

Diante de um cenário crescente de crimes digitais, como se resolve a questão da Segurança da Informação nas empresas?

Segurança não é algo que se resolva, mas se gerencia. A grande questão é como pode acessar, quem pode acessar, colocar uma governnaça que esteja de acordo com essas políticas e um controle ativo que garanta o cumprimento das normas internas.

O CSO está cada vez mais envolvido na área de compliance?

Sim. Antigamente na América Latina as normas impostas pelos países líderes da economia não afetavam muito. Hoje, é normal uma empresa da AL ter presença nos Estados Unidos ou vice versa. Por isso, as regras de compliance da matriz devem ser obedecidas em outros territórios. O CSO também está muito presente em regulamentações de mercado para adaptar as normas de segurança ao que é definido. Exemplo disso é o PCI. A principal mudança nos últimos meses são empresas com volume de vendas mais baixo e tendo que enxugar perdas operacionais. A segurança passa a ser incorporada nos processos de negócios e perde a conotação de ser um seguro. Acho que a mudança da figura do CIO é garantir a excelência operacional, operar como apoio ao negócio e ao compliance.

Como o modelo de negócios atual, fragmentado, com informações espalhadas geograficamente por vários sites, influencia no âmbito da segurança?

Cada vez que você tem um modelo de negócio fragmentado e sabe que na ponta existe uma rotatividade de pessoas muito grande. Esse é um dos fatores para que fraudes aconteçam. Por isso, hoje as corporações estão hiperextendidas. É difícil delinear fronteiras, e toda essa virtualidade acaba impondo esses tipos de desafios.

Como você avalia a evolução do cloud computing nas empresas?

Se você olhar as companhias hiperextendidas versus o conceito de nuvem e virtualização verá que uma coisa apoia a outra. Hoje em dia competidores se aliam para vendar um produto como acontece no setor automotivo, por exemplo. A nuvem só acentua a dificuldade para gerenciar as identidades. Como criar condições de prever quem acessa um serviço e outro? Seguramente, a Segurança da Informação é um dos pontos críticos da infraestrutura para operar em nuvem. Estamos trabalhando forte com a VMWare para adaptar e conhecer os endereços de segurança no sentido de estabelecer os conceitos para a nuvem e virtualização.

fonte: Risco: pessoas e informações espalhadas