Perguntas e Respostas sobre riscos cibernéticos e produção de software

Perguntas e Respostas com Mark e Sebastian

Conselho de Segurança da Splashtop conversa sobre riscos cibernéticos e repensa a produção de software com o especialista em segurança cibernética Sebastian Goodwin

Por Mark Lee, CEO e cofundador da Splashtop

Recentemente, a Splashtop tornou pública uma novidade do seu Conselho de Segurança em dezembro de 2020: Sebastian Goodwin. Sebastian é pesquisador de segurança cibernética, palestrante, consultor corporativo, professor adjunto da Escola de Informações da UC Berkeley e Diretor de Segurança da Informação (CISO) da Nutanix. Ele possui mais de 20 anos de experiência ajudando empresas da Global 2000 a gerenciar o risco cibernético em escala.

Sebastian conversou com o CEO da Splashtop, Mark Lee, sobre as razões pelas quais ele se juntou ao Conselho de Segurança da Splashtop, ele é apaixonado por questões de segurança e pela evolução da segurança nesta era de ataques de ransomware e outras ameaças de segurança cibernéticas.

Mark Lee: Sebastian, estamos muito satisfeitos por você fazer parte do nosso Conselho de Segurança. Você descobriu a Splashtop através de um de nossos investidores, certo?

Sebastian Goodwin: Sim, foi isso mesmo. Ele sabia da minha formação e a Splashtop estava procurando consultores de segurança, nossa parceria estava premeditada.

Mark: Você possui grande experiência profissional em segurança cibernética, suas funções atuais como CISO na Nutanix e membro do conselho SADA, um parceiro Premier do Google Cloud e provedor de soluções,além dos seus antigos cargos de liderança na Palo Alto Networks, Robert Half, PeopleSoft e IBM, entre outros. Você possui uma boa visão panorâmica de como as empresas lidam com riscos cibernéticos. No geral, você acha que as organizações estão lidando bem com questões de segurança nos dias de hoje?

Sebastian: Atualmente, as empresas estão enfrentando riscos à segurança cibernética sem precedentes. Como muitas notícias recentes destacaram, ataques ransomware são uma enorme ameaça. Os invasores perceberam que podem atacar softwares amplamente utilizados de diferentes setores e mercados. As empresas precisam repensar como produzem seu software para manter sua segurança e a confiança dos clientes em alta.

Mark: Você pode falar mais sobre como as empresas podem “repensar” o modo como produzem software?

Sebastian: Claro. Repensar significa encontrar o equilíbrio perfeito entre a segurança em uma ponta e a agilidade dos negócios na outra. Investir muito na entrega rápida de novos produtos e recursos aos clientes pode significar menos custos em segurança. Mas investir na segurança leva tempo e pode diminuir a agilidade e a sua capacidade competitiva.

A chave é encontrar o ponto certo ao longo deste espectro, onde você pode atender seus clientes com os produtos e recursos aprimorados que eles exigem, ao mesmo tempo em que torna os seus produtos o mais seguros possível.

Mark: Os clientes esperam obter recursos mais recentes e superiores do mercado, de maneira rápida, mas talvez eles não estejam cientes dos riscos de usar um software que não tenha sido completamente examinado. Você enxerga algum tipo de mudança?

Sebastian: Tudo isso faz parte de uma mudança maior na conscientização dos riscos cibernéticos. Claramente, qualquer empresa ou indivíduo que tenha presenciado um ataque em primeira mão entende a importância de boas práticas de segurança cibernética, mesmo que eles cheguem a essa realização tarde demais para minimizarem o impacto de um ataque. Aqueles que ainda não sofreram um ataque cibernético se enquadram em uma das seguintes categorias: ou estão comprometidos em proteger proativamente a si mesmos e a suas empresas, ou estão se tornando um alvo fácil. Um ataque pode custar toda a sua operação.

Mark: O que empresas de software como a nossa podem fazer para ajudar a proteger os clientes contra ataques de segurança cibernética?

Sebastian: O processo começa com prestar muita atenção na segurança como um todo e projetar produtos de software seguros. Por exemplo, a autenticação de dois fatores para autenticação em serviços em redes públicas são estritamente necessários.

Adotar uma postura de confiança zero, o que significa não confiar em nada nem ninguém. Suponha que tudo será eventualmente violado e trabalhe para limitar esse raio de explosão — o termo que o setor de segurança usa para descrever o limite de um determinado ataque. Por exemplo, faça com que, se um usuário em uma rede possuir um dispositivo comprometido, o malware não possa se espalhar além desse usuário e infectar outros dispositivos na rede.

Mark: Você está comprometido a ensinar empresas a melhorar suas práticas de segurança cibernética. Você pode falar um pouco sobre esse aspecto do seu trabalho?

Sebastian: Acho crucial que as organizações sejam capazes de medir e gerenciar seus riscos cibernéticos para que seja possível proteger proativamente seus negócios. Uma maneira de ajudar é como palestrante de segurança cibernética e consultor de CEOs e conselhos de administração. Servir no seu Conselho de Segurança é um exemplo dessa função. Também ofereço um curso de pós-graduação que criei na UC Berkeley, no qual eu ajudo os futuros líderes de tecnologia e negócios a se tornarem mais conscientes sobre o gerenciamento de riscos cibernéticos em níveis executivos e pessoais.

Mark: Você é claramente apaixonado por gerenciar riscos cibernéticos. De onde vem essa paixão?

Sebastian: Bem, eu nem consigo lembrar quando comecei a me interessar por computadores. Eu aprendi a programar muito jovem, quando os modems eram 2400-baud, era o amanhecer da web mundial. Sempre fui fascinado por hackers e pela criatividade e habilidade envolvida nos seus ataques. Pense dessa forma, primeiro você precisa entender profundamente como um sistema foi construído para funcionar de uma determinada maneira, e então você precisa descobrir maneiras de fazer esse sistema fazer coisas que ele não foi projetado para fazer.

É um quebra-cabeça fascinante e um grande desafio. Uma história engraçada: no ensino médio, quase fui expulso porque consegui quebrar o software de criptografia de disco recém-implantado do departamento de computadores. O que me salvou foi que alguns dias antes um dos meus professores havia criado um desafio para “qualquer aluno que pudesse hackear a criptografia inquebrável”. Felizmente, consegui escapar da expulsão.

Mark: Ficamos felizes em você ter escolhido prevenir ataques ao invés de se juntar aos hackers!

Sebastian: Eu também! Mas eu acho interessante admirar o nível de habilidade dos hackers. Quando contrato profissionais de segurança para as minhas equipes, preciso me certificar de que eles entendam toda essa pilha de tecnologia. Um universitário recém-formado que é ótimo em escrever códigos precisa de muito treinamento para compreender todas as maneiras de como o software que eles estão construindo pode ser contornado. É um desafio sem fim, mas também é infinitamente fascinante.

Mark: Muito obrigado por essa conversa, Sebastian. Também agradeço por você ter se juntado ao nosso Conselho de Segurança para ajudar a Splashtop a melhorar ainda mais a segurança dos seus produtos.

Sebastian: Agradeço muito a disposição da Splashtop. Como a minha empresa atual, Nutanix, a Splashtop está comprometida em olhar para o futuro e se manter proativa perante os inúmeros riscos de segurança. Esse é o único ponto de partida para descobrir como criar soluções mais seguras para nossos clientes.

Banner de avaliação gratuita no final desta página