“Outras indústrias estão de olho na experiência do Open Banking. Qualquer setor pode pensar em uma plataforma de APIs e criar um ecossistema ‘Open’, ou no futuro podemos ter ‘Open*’, com dados compartilhados entre companhias de diversos setores”, disse Glauco Sampaio, CISO da Cielo, no talk show sobre Cibersegurança e Proteção de Dados no Micro Focus Realize.

“Nós fazemos criptografia, controle de acessos e dá um frio na barriga falar em compartilhamento. Isso tem que ir para a gestão de riscos; de estabelecer políticas com parceiros e provedores”, observa Leandro Ribeiro, CISO do Hospital Sírio-Libanês.

“Diferente do setor financeiro, outras indústrias não têm a regulação do Bacen e não há ninguém olhando os controles”, pondera Sílvio Eberardo, diretor da Acorp e mediador do talk show. “As organizações devem acordar padrões de segurança, quando regulador não der referência”, sugere Diogo Rispoli, estrategista de cibersegurança e segurança de dados da Micro Focus.

LGPD, Open Banking e compliance com APIs abertas

Glauco Sampaio enfatiza que o Open Banking segue o mesmo princípio da GDPR (regulamento geral de proteção de dados) e da LGPD, em relação à titularidade dos dados. “Na Europa, os movimentos foram seguidos. Há o viés de garantia de direitos e o viés de negócios”, compara.

Embora do ponto de vista ético as normas sigam a mesma direção, o CISO da Cielo reconhece que gerenciar privacidade e exposição é um desafio mesmo no setor financeiro. “Tudo que sempre quisemos foi proteger os dados e o Open Banking propõe abrir”, constata. Embora a Cielo esteja acostumada a lidar com trocas de dados críticas, isso se restringia a ambientes de grandes instituições, como bancos e bandeiras. Contudo, Glauco reafirma a robustez dos padrões técnicos do Open Banking. “O arcabouço tecnológico traz alguma tranquilidade. Mas mesmo com padrões, tem que se saber implementar”, adverte.

O CISO destaca a necessidade de considerar segurança de aplicação, gestão de chaves e acessos e classificação de dados em uma mesma transação em ecossistemas abertos. “As APIs têm que ser blindadas para só fazerem o que foram autorizadas e, principalmente, por quem foi autorizada”.

No setor de Saúde, além da criticidade dos dados, a granularidade das políticas de acesso, com prerrogativas diferentes para cada elo da cadeia de serviços, torna as implementações mais complexas. “Todos estão preocupados com segurança, os gestores de projetos já ouviram falar de SAST, DAST e pen test, mas poucos sabem em que momento isso tudo se aplica. A grande dificuldade que tivemos com o Prontuário Eletrônico do Paciente é como inserir a segurança em todo o ciclo”, lembra Leandro Ribeiro, CISO do Hospital Sírio-Libanês.

Diogo Rispoli, estrategista de cibersegurança e segurança de dados da Micro Focus, menciona que, seja qual for a metodologia e arquitetura, tudo que se faz em desenvolvimento e TI é voltado a escopo. “Deve se incluir no processo os requisitos de segurança junto aos prazos e orçamentos”, explicita. “Na área financeira, se vê muito claramente o impacto (do investimento em segurança), mas nem todas as verticais são assim”, constata.

Sem treinamento, pânico retarda resposta a incidentes

Os planos de resposta a incidentes devem contar com uma preparação sistemática todas as partes envolvidas, recomendam os especialistas do talk show entre CISOs, no Realize. “O setor financeiro tem uma normatização forte de resposta a incidentes. É preciso exercitar esses processos”, diz Glauco Sampaio, CISO da Cielo. “Nós (da indústria financeira) já temos um couro que a maioria das companhias não tem. Na hora do incidente, quem não está acostumado a tratar tem um surto e não se sabe nem como fazer o press release”, constata. “Se a organização não estiver preparada, as pessoas entram em pânico, e se tem pouco tempo”, acrescenta Sílvio Eberardo, diretor da Acorp e mediador do talk show.

Básico de analytics minimizam ameaças internas

“Contar com ferramentas de avaliação de comportamento do usuário é fundamental”, recomendou Leandro Ribeiro, CISO do Hospital Sírio-Libanês, no talk show de CISOs, no Micro Focus Realize. “A gestão de identidades ou duplo fator de autenticação às vezes não são implementados imediatamente. E há pessoas que compartilham credenciais”, lamenta.

Diogo Rispoli, estrategista de cibersegurança e segurança de dados da Micro Focus, lembra de um caso de um call center em que o supervisor distribuía a senha aos operadores, até o dia em que o cliente fez um cancelamento e o operador autorizou o depósito do reembolso em sua própria conta. “Uma ferramenta com as regras mais básicas já teria visto a mesma senha em três logins ao mesmo tempo, ou o uso em horários estranhos”, exemplifica.

Saiba mais sobre
as soluções de TI da Micro Focus

Informe seus dados e entraremos em contato






    Prometemos que não enviaremos spam ;-)