No universo em constante expansão da tecnologia, a segurança cibernética emerge como um pilar fundamental para empresas e indivíduos. Com a crescente interconexão digital, os desafios para proteger dados e sistemas se multiplicam, tornando a cibersegurança uma preocupação global. Nesta entrevista exclusiva, mergulhamos no mundo da segurança da informação com Diego Manoel dos Santos, Diego Manoel dos Santos, Head de Estratégia e Operações de Produtos na Senhasegura.
Com anos de experiência e conhecimento especializado, Diego oferece uma visão aprofundada sobre as últimas tendências em cibersegurança, compartilhando insights valiosos sobre como empresas e indivíduos podem fortalecer suas defesas digitais. Vamos explorar desde os desafios mais prementes enfrentados atualmente até soluções inovadoras que a Senhasegura oferece, redefinindo os padrões de segurança no ambiente virtual. Junte-se a nós nessa jornada pela defesa da segurança digital.
Entrevista com Diego Manoel dos Santos, Head de Estratégia e Operações de Produtos na Senhasegura
Além do Click Tech: Para começar, seria ótimo se você pudesse nos contar um pouco mais sobre a Senhasegura. Qual é a missão da empresa e quais são os principais produtos e soluções que vocês oferecem?
Diego Manoel dos Santos: A Senhasegura é uma empresa nacional que atua no cenário de cibersegurança. Embora tenhamos uma abrangência nacional, já estamos presentes em diversos países ao redor do mundo e isso nos enche de orgulho, pois competir com concorrentes internacionais nos motiva. Nosso principal foco é garantir a soberania digital de nossos clientes. Queremos assegurar que a população e as empresas estejam protegidas, pois acreditamos que isso reverbera em um ambiente mais seguro para todos, inclusive nossos próprios familiares.
Se pensarmos em empresas nacionais, como a Dataprev, que têm informações divulgadas amplamente, podemos imaginar o impacto de um possível incidente de segurança. Por exemplo, se os dados da Dataprev fossem violados, como isso afetaria a aposentadoria das pessoas e o impacto na vida de muitos conhecidos? Portanto, nossa visão principal é garantir a soberania digital, não apenas ao nível nacional, mas também global.
No que diz respeito à nossa solução, a Senhasegura já está presente no mercado há mais de 20 anos. Quando falamos sobre o produto senhasegurança em si, ele já tem mais de dez anos no mercado. A empresa foi fundada por dois visionários, o Marcos e o Arthur, que começaram do zero. Eles desenvolveram sistemas para empresas enquanto estavam na faculdade e, ao longo do tempo, perceberam a importância crescente da segurança no mercado. Foi assim que surgiu a Senhasegura, que hoje visa ser líder mundial nesse segmento.
Além do Click Tech: Vemos que a Senhasegura tem uma trajetória sólida e uma missão realmente relevante. Gostaria de saber mais sobre as soluções que vocês oferecem. Poderia nos falar um pouco mais sobre o Privileged Access Management (PAM) e como ele se encaixa no contexto de cibersegurança?
Diego Manoel dos Santos: Nós disponibilizamos uma plataforma abrangente, chamada 360, no campo de gestão de privilégios. O nosso produto principal é o PAM, que significa Privileged Access Management. Essa solução é voltada para o gerenciamento de credenciais em infraestruturas de alta criticidade. Para entender melhor, imagine um banco de dados de uma instituição financeira que contém informações sensíveis, como dados de correntistas e valores de contas. Agora, estenda esse cenário para outros setores, como saúde, onde há laudos de pacientes. Cada empresa possui ativos críticos, independente do setor em que atua.
O PAM da Senhasegura garante que apenas as pessoas autorizadas e com os devidos privilégios tenham permissão para acessar esses dispositivos. Além disso, todas as ações são registradas e auditadas, fornecendo relatórios detalhados sobre quem acessou, quando e por quê. Também é possível aplicar bloqueios para determinadas ações durante o acesso. Em resumo, essa solução visa proteger os ativos críticos dentro da infraestrutura de um cliente.
Além do Click Tech: Em relação à questão de cibersegurança, a gente costuma ver que mesmo que as empresas adotem muitas ferramentas, soluções demais, não raras vezes o problema da cibersegurança está em pessoas que abrem a porta da empresa virtualmente para a entrada de malwares através de phishing e outras coisas. Como é que vocês veem isso? Porque, por exemplo, estou vendo que a solução de vocês é muito boa, mas só a tecnologia não adianta. Como vocês trabalham isso, em relação à educação, à conscientização dos empregados, dos clientes nos casos de vocês?
Diego Manoel dos Santos: Esse ponto é realmente bem importante. Você está coberto de razão quando você menciona que a gente tem muitas tecnologias no mercado, todas elas com o objetivo legítimo de proteger os ambientes, mas quando a gente vê o cenário de incidentes relacionados à cibersegurança dentro dessas empresas, 74% deles estão relacionados ao usuário. Ou seja, diversos controles são inseridos, a gente coloca como barreiras para poder conscientizar e para poder tentar trazer para um cenário mais seguro, mas se o usuário não tivesse cuidado e não tiver consciência, não vale de nada, porque o atacante vai conseguir chegar onde ele quer chegar.
Fora tudo isso, a gente tem um cenário que é um pouco mais catastrófico. Segundo pesquisa do Gartner, as pessoas dão bypass nos controles que existem de cibersegurança, ou seja, as pessoas têm noção dessas necessidades e desses controles, mas elas dão bypass porque elas precisam atingir uma meta, ou um prazo, ou um budget, ou qualquer coisa do tipo. Isso é um cenário bem ruim, daí você soma ao cenário de milhares de pessoas conectadas, seja de onde for, seja para qualquer contexto que ela esteja trabalhando remotamente, participando de eventos. Assim, você tem pessoas dando bypass e pessoas trabalhando com seus próprios equipamentos, ou muitas vezes carregando os equipamentos corporativos para outros lugares, tudo isso potencializa o cenário de risco.
Naturalmente o Senhasegura tem mecanismos para poder bloquear isso.Além do PAM, temos outra solução chamada Endpoint Manager, que se destaca na elevação e gestão de privilégios em workstations. Esse produto é especialmente relevante para ambientes corporativos. Ele permite que um usuário, por exemplo, solicite uma credencial ou permissão de um administrador para executar determinadas aplicações em sua máquina. Dessa forma, garantimos um controle rigoroso sobre quais aplicações podem elevar o nível de acesso na workstation.
Então, resumindo um pouco disso que você falou, a gente tem um cenário de fraude, onde mesmo com todos esses controles as pessoas dão bypass ou muitas vezes caem em phishing, onde o atacante vai tentar instalar alguma coisa na sua máquina, para ficar ali fazendo um sniffer na sua rede, para ficar diagnosticando quais são os equipamentos que estão na sua rede, tentar descobrir alguma coisa.
Para isso nós temos uma aplicação onde somente aquilo que é liberado pelo administrador poderá ser executado com a credencial de alto privilégio na Workstation. Sendo assim, mesmo que uma pessoa caia no phishing, o atacante vai tentar instalar alguma coisa na máquina desse usuário, mas não vai conseguir, porque o nosso produto vai bloquear esse tipo de execução, fazendo com que o ambiente da pessoa esteja mais seguro.
Outra solução que gostaria de destacar é o Zero Trust, que atua em uma camada mais interna, por assim dizer, oferecendo um bloqueio eficaz contra possíveis ataques internos. Quando a gente fala de Zero Trust a gente tem aqueles dois principais pilares que é nunca confiar ou sempre verificar. Para isso, a gente começa a fazer uma validação de tudo que o usuário está fazendo dentro da máquina, afinal de contas, ele tem uma identidade, ele tem um acesso que é legítimo, que ele deve executar, ele deve chegar a determinado dispositivo, ele tem a permissão adequada para poder enxergar determinadas aplicações e enxergar determinados equipamentos. Ele foi contratado legitimamente pela empresa para executar aquela função e ele tem os direitos e deveres de acessar aquilo. Porém, em alguns casos ele é um insider, que está ali como um espião, para pegar informações de alguém, alguma coisa que essa empresa detém para depois utilizar para benefício próprio.
Isso aconteceu em uma instituição financeira no ano passado, quando a pessoa pegou dados para fazer Pix da conta do Neymar para sua própria conta. Ou seja, essa pessoa tinha os acessos adequados, ela tinha que ter aqueles acessos, mas utilizou de maneira maliciosa. Então dentro desse contexto, a gente está monitorando tudo o que o usuário faz na máquina dele enquanto ele está utilizando o Senhasegura. A partir desse momento, a gente começa a formar um rating desse cara. Por exemplo, um determinado empregado acessa diariamente das 8h às 18h uma determinada lista de dispositivos, porém em determinado dia ele acessou um dispositivo diferente, ou então ele acessou uma tabela diferente onde consta a conta do Neymar. Assim, a gente começa a diminuir o rating do empregado, ele começa a perder pontos no Senhasegura, por exemplo, até chegar num momento em que ele não pode mais acessar a plataforma, ou um determinado dispositivo.
Mas isso é importante até para o próprio empregado, porque se alguém roubar a conta deste empregado, se alguém pegar a credencial de acesso ao Senhasegura, será identificado que este invasor está tentando navegar por lugares onde o empregado não costuma navegar.
Além do Click Tech: Falando um pouco sobre o panorama brasileiro, o IDC (International Data Corporation) divulgou recentemente uma pesquisa que aponta que 37,5% das empresas brasileiras consideram investimentos em cibersegurança como a principal iniciativa de TI para este ano. Embora esse número represente um avanço, ainda parece ser insuficiente diante do cenário atual de ameaças. Como você vê essa situação e qual seria a sua recomendação para empresas que estão avaliando seus investimentos em segurança cibernética?
Diego Manoel dos Santos: Eu concordo plenamente. Na minha opinião, todas as empresas deveriam considerar a cibersegurança como um investimento primordial, não apenas uma iniciativa de TI. Como mencionado, vivemos em um mundo onde os ataques cibernéticos são cada vez mais sofisticados e frequentes. Não é uma questão de “se” um ataque vai acontecer, mas sim “quando”. Portanto, a prevenção é fundamental.
A recomendação que faço é que as empresas invistam em soluções de cibersegurança robustas e atualizadas. Além disso, é essencial promover a conscientização e o treinamento dos colaboradores. Muitos ataques começam com ações de phishing, por exemplo, e uma equipe bem treinada pode ser a primeira linha de defesa contra essas ameaças.
Também é importante estar ciente de que a segurança cibernética não é uma responsabilidade exclusiva da equipe de TI. É uma preocupação que deve envolver toda a organização, desde a alta direção até os colaboradores do dia a dia. Afinal, a segurança digital é um pilar fundamental para a continuidade dos negócios e a proteção dos dados dos clientes.
Além do Click Tech: Pra terminar eu queria que você desse algumas dicas de como as pessoas, não só empresas, podem se proteger, se resguardar ou tomar atitudes para não cair em golpes e situações que as deixem exposta em relação à cibersegurança, tendo em vista que tais situações têm aumentado muito.
Diego Manoel dos Santos: Quando a gente olha pro cenário das pessoas, particularmente, acho que o primeiro ponto que elas precisam ter a consciência de utilizar um MFA (multi-factor authentication). Acho que é a primeira recomendação que eu tenho para todo mundo hoje em dia. Ela não é a única, obviamente, mas é a primeira barreira que a gente pode colocar de maneira simples.
A segunda é nunca fornecer informações quando você não tem certeza de quem está do outro lado da linha, essa é um pouco mais difícil, mas é o básico que a gente aprendeu quando a gente era mais novo, nunca confie em pessoas estranhas. Então você vai lá e fornece um dado seu que uma pessoa está do outro lado da linha que você nunca viu. Você não sabe quem é, então você vai lá e confia realmente na pessoa que te mandou uma mensagem no WhatsApp que você nem conhece e começa a perder seus dados.
Além, claro, de não se conectar em redes de Wi-Fi públicas de jeito nenhum, porque você não sabe o que está conectado nesse mesmo Wi-Fi.
Conclusão
A cibersegurança deve ser encarada como uma responsabilidade coletiva e como um investimento estratégico para o negócio. Conforme destaca Diego Manoel dos Santos: “A cibersegurança não é uma área restrita apenas aos especialistas em tecnologia. Ela diz respeito a todos nós. Vivemos em uma era digital e praticamente tudo o que fazemos está de alguma forma conectado à internet. Portanto, é crucial que estejamos cientes dos riscos e tomemos medidas para proteger nossos dados e nossa privacidade”.
Assim, é essencial que as empresas a priorizarem a segurança cibernética em sua estratégia de negócios, não encarando como um gasto, mas como um investimento que pode salvar a reputação e a continuidade da organização.
Finalizando nossa conversa, Diego Manoel dos Santos enfatiza ainda a importância da colaboração e do compartilhamento de conhecimento no universo da segurança da informação, destacando a necessidade de trabalharmos coletivamente para fortalecer a segurança cibernética e criar um espaço digital onde todos possam se sentir protegidos e confiantes em suas atividades online.
“Lembrem-se de que a colaboração e o compartilhamento de conhecimento são essenciais no mundo da segurança da informação. Juntos, podemos construir um ambiente digital mais seguro e confiável para todos.”
A segurança cibernética não é apenas um assunto para especialistas em tecnologia, mas sim uma preocupação que abrange a todos na era digital em que vivemos. Portanto, ao tomar medidas para proteger nossos dados e privacidade, estamos contribuindo para um ambiente online mais seguro e confiável para todos.
