Entrar
Cadastre-se
Ajuda
Responder
iEvolution Fóruns: Desde quando e o que te fez se interessar pela área de segurança em aplicações e redes?
Leonardo Cavallari: Comecei a mexer na Internet ainda garoto, logo quando iniciou os primeiros provedores de acesso nas maiores cidades, por volta de 1996. Até aquela época, não tinha um interesse tão grande por computadores, mas quando comecei a ver e entender o mundo paralelo que a Internet oferecia, me tornei aficionado por redes e logo em seguida comecei a estudar segurança na Internet de uma forma geral. Continuei estudando e sempre me mantendo antenado das falhas de segurança, técnicas de ataques e novidades desta área, quando surgiu a oportunidade de iniciar um estágio no NSRAV em 2001, possibilitando desenvolver ainda mais meus conhecimentos e entrar de vez na segurança da informação.
iEvolution Fóruns:Hoje como você vê o papel da legislação brasileira no combate às fraudes digitais? Você notou alguma melhora significativa nesse quadro nos últimos anos?
Leonardo Cavallari: O Brasil não está muito atrás dos países que estão Legislações mais desenvolvidas, tem dado alguns bons passos a favor dos crimes e fraudes digitais. Aqui em São Paulo já existe uma delegacia específica de crimes eletrônicos para tratar deste casos. Acredito ser um bom avanço.
iEvolution Fóruns:E com relação ao retorno do projeto de Lei do senador Eduardo Azeredo? Qual sua opinião a respeito?
Leonardo Cavallari: Sinceramente, salvando os poucos sérios e íntegros, políticos gostam mesmo de aparecer e causar estardalhaço, seja em escândalos de corrupção ou com projetos de leis absurdos. Se por um lado a intenção do Azeredo é boa, por outro ele não tem muita noção do que está dizendo. Dentre as propostas deste "novo" projeto incluem o conceito de "defesa digital", na qual quem for atacado, pode atacar de volta, à La código Hamurabi ("Olho por olho, dente por dente"), e a atribuição da responsabilidade para os provedores de acesso de informar os ataques que estejam partindo da rede de sua responsabilidade
O governo não deve se precipitar em promulgar leis para o mundo digital. Isto deve ser estudado junto à especialista do ramo de segurança da informação.
iEvolution Fóruns:Você acha que a área de segurança da informação é promissora? Para você, quais serão as mudanças nos próximos anos?
Leonardo Cavallari: A segurança da informação no Brasil ainda está se disseminando. Há 3 ou 4 anos atrás, as instituições financeiras eram as únicas que tinham real preocupação com a informação e investiam em equipamentos e equipes técnicas de segurança. Hoje, vejo que as empresas de diversos setores estão começando a se conscientizar da necessidade da segurança da informação em processos e aplicações. E isso só tende a crescer, uma vez que as aplicações on-line, o comércio eletrônico e a conectividade de equipamentos eletrônicos será cada vez maior.
iEvolution Fóruns:Você acha que as empresas pequenas não investem em segurança pelo fator financeiro ou por não se preocupar mesmo com a segurança das informações?
Leonardo Cavallari: A meu ver, as empresas menores não investem por dois motivos: por não ter consciência, tanto da segurança quanto do custo envolvido para implementá-la, ou por não sentir necessidade pela segurança da informação. O problema é que qualquer sistema exposto à Internet está suscetível a uma tentativa de ataque e, até mesmo, uma invasão. E quando esta ocorre e causa uma perda, seja financeira ou de imagem, é que sentem o risco na pele e começam a se preocupar com isto.
Hoje é possível encontrar soluções UTM (Gerenciamento unificado de ameaças), que englobam firewall, IDS, anti-spam, controlador de acesso à web, etc, por um baixo custo de investimento e que são bastante eficazes.
Além disso, observo a utilização crescente, ainda que distante do ideal, de práticas de programação segura por parte dos desenvolvedores de aplicação, que cumprem seu papel na prevenção de certos ataques.
iEvolution Fóruns: Freqüentemente o profissional de segurança tem que trabalhar "do outro lado da moeda" pra tentar descobrir as possíveis brechas de seu sistema. Como se dá este trabalho "do outro lado da moeda"?
Leonardo Cavallari: Realmente, tem empresas, ou melhor, certas áreas de empresas que olham esta atividade com maus olhos, por dois principais motivos. O primeiro é o da auditoria em si. Os funcionários de empresas que estão passando por processo de auditoria, seja ele qual for, contábil, fiscal, tecnológica, nem sempre se sentem confortáveis em saber que tem alguém verificando se estão fazendo bem feito, acham que os auditores estão ali só para jogar pedra na vidraça.
Com relação aos serviços de segurança em geral, eles normalmente geram uma porção de atividades de reconfiguração, implementação e mudança de processos que demandam certo empenho dos profissionais da empresa.
O lado bom, é que com a maior disseminação da conscientização por segurança, estas atividades estão sendo vistas por uma nova ótica, que são realizadas para agregar, e não desmoralizar.
iEvolution Fóruns: Dizem que muitos problemas de segurança e acesso indevido a dados em uma empresa são provenientes de próprios funcionários ou ex-funcionários com más intenções. Isto é verdade? Esta estatística vêm crescendo ou diminuindo? Como uma empresa pode se proteger de funcionários mal intencionados?
Leonardo Cavallari: Tem uma expressão muito utilizada pelo pessoal de segurança que diz que o maior problema da segurança é o ser humano, pois é o elo mais fraco de toda corrente. Mal ou bem intencionados, os funcionários podem trazer uma série de ameaças para o ambiente interno da empresa, seja na forma de tentativa de acesso indevida ou na má utilização da Internet e e-mail.
Com relação aos usuários mal-intencionados, sim, eles continuam sendo considerados a principal ameaça interna no ambiente de TI e não existe uma perspectiva de que deixem de liderar este posto. No entanto, existem medidas que podem ajudar a minimizar este risco como a adoção de processo de contratação rigoroso, com consulta de antecedentes criminais, utilização de sistemas de monitoração específicos para averiguar o que os funcionários andam fazendo e acessando a partir de suas estações de trabalho.
Além disso, deve-se fornecer treinamentos e criar campanhas de conscientização voltado para a importância da segurança da informação, para que as pessoas não caiam facilmente em ataques de engenharia social.
iEvolution Fóruns: Existem algum "modelo" padrão de política de segurança para empresas? Digo no sentido servir de guia para quem esta implantando.
Leonardo Cavallari: Em primeiro, o que não devemos confundir é política de segurança com boas práticas. A política considera fatores muito mais abrangentes do que um guia de boas práticas, o qual serve para instruir as pessoas a não utilizar senhas fracas, não colar post-it com senha no monitor, entre outros. Digamos que um guia de boas práticas ou uma cartilha de segurança deve ser extraída da política de segurança.
Na minha opinião, o "guia" que deve ser seguido para a elaboração de uma política de segurança completa é a própria norma NBR ISO/IEC 17799, que apresentam recomendações gerais de segurança que deveriam ser seguidas por todas empresas. Ao contrário do que muitos pensam, pode ser obtida por um valor relativamente baixo (R$160,00 aprox.). Ainda mais específica e atual, existe a série ISO/IEC 27000, que apresenta os requisitos para um sistema de gerenciamento da segurança da informação.
Vale lembrar que a complexidade e profundidade da política de segurança da empresa varia de acordo com o nível de criticidade e confidencialidade das informações que a empresa trata.
iEvolution Fóruns: Você poderia mandar um recado para aqueles que podem se inspirar em seu trabalho e decidirem seguir com esta carreira? Quais conselhos você daria?
Leonardo Cavallari: O mercado de segurança tem duas demandas, a do generalista, o famoso Security Officer, e do especialista técnico. Identifique seu perfil e comece a atuar, busque o conhecimento dentro da área desejada. Demanda na área de segurança sempre terá para quem ingressar de verdade.
iEvolution Fóruns: O espaço agora é todo seu para comentários ou para dizer algo que não foi perguntado.
Leonardo Cavallari: Você não precisa ser um profissional de segurança para trabalhar com segurança. A segurança está no seu próprio comportamento. Observar sua atitude, observar o que fala, pra quem e aonde, ler e buscar entender as informações que são constantemente apresentadas em sites de bancos on-line, sistemas de e-commerce e portais, o tornará uma pessoa mais informada e integra, no que tange a segurança pessoal e de seus próprios bens.
Leonardo, a equipe do iEvolution agradece a gentileza pela entrevista concedida. Todos nós desejamos que você tenha muito sucesso em sua vida pessoal e profissional!
Entrevista elaborada por Lucas, Caliope, Joaquim Tito, Micox, marcinha, dragun da Equipe iEvolution.
Quote
Postou 12 junho 2007 - 09:32
