Especialistas em segurança enfatizam o trabalho conjunto
O Fórum da América Latina do PCI SSC, um evento virtual aconteceu esta semana com mais de 800 profissionais de segurança de pagamentos da América Latina discutindo o que há de mais recente em segurança e padrões de pagamentos. Aqui conversamos com Carlos Caetano, Diretor Associado do PCI Security Standards Council, Região da América Latina para o Brasil; Elder Vinicius Telles de Arruda, Gerente de Segurança da Informação, Getnet; Enildo Barros, Chefe de Serviços de TI, C6 Bank, e Ricardo Nilsen Moreno, Superintendente de Segurança da Informação, Banco Safra, sobre tendências de segurança em nuvem, destaques do Fórum da América Latina (LAF) e oportunidades de envolvimento da indústria para a região.
Por que o PCI SSC realizou este fórum virtual?
Carlos Caetano: É incrível como o tempo voa. Este foi o nosso 5º Fórum da América Latina. Nossos três primeiros eventos foram presenciais, mas os últimos dois anos foram virtuais devido à pandemia de COVID-19. Organizamos este evento todos os anos a fim de reunir especialistas em segurança de pagamentos e partes interessadas para discutir padrões e programas de segurança, as últimas tendências e ameaças de segurança e estabelecer networking em nosso setor. O evento deste ano foi mais uma vez um grande sucesso.
Falando em tendências, a segurança em nuvem tornou-se uma área de crescimento significativo à medida que mais e mais organizações contam com os serviços em nuvem. Que mudanças você viu na nuvem nos últimos 5 anos?
Carlos Caetano: O uso de serviços de computação em nuvem explodiu nos últimos anos no Brasil e no mundo e deve continuar se expandindo em um futuro próximo. A computação em nuvem tem o potencial de ajudar as organizações a reduzir a complexidade e os custos de TI, aumentando a agilidade. No mundo dos pagamentos, muitas organizações tiveram que se reinventar e se adaptar a transações remotas e ao mundo do comércio eletrônico. Isso resultou em um aumento no uso de serviços de computação em nuvem, bem como em preocupações de segurança associadas ao uso da nuvem.
O PCI SSC recentemente elaborou um boletim do setor com a Cloud Security Alliance (CSA) sobre a importância de definir o escopo adequado para ambientes em nuvem.
Elder Vinicius Telles de Arruda: Acredito que os grandes participantes da nuvem estão trabalhando muito em conformidade, padrões, estruturas e boas práticas de segurança. Tudo isso facilitou a adoção da nuvem em serviços em qualquer setor, principalmente no setor de meios de pagamento. Isso tem suportado a transformação daqueles que desejam migrar o módulo local para o ambiente de segurança em nuvem.
Enildo Barros: Nos últimos anos, os serviços em nuvem estão, cada vez mais, sendo desenvolvidos para serem mais confiáveis. Continuamos a ver um avanço na presença de provedores de serviços em nuvem, uma tendência que acredito que continuará nos próximos anos devido ao seu potencial para fornecer serviços que ajudem consumidores e empresas.
Ricardo Nilsen Moreno: Acho que a palavra é maturidade. Os serviços em nuvem realmente amadureceram nos últimos 5 anos, por isso temos visto um crescimento tão gigantesco nesta área, especialmente em relação à segurança da informação. Acho que a confiança nos controles de segurança entre os principais participantes da nuvem cresceu significativamente nos últimos anos.
Quais são os principais pontos que uma organização precisa considerar ao implementar um ambiente 100% em nuvem?
Ricardo Nilsen Moreno: Acho que é muito importante para uma organização considerar os custos de segurança desde o início, ao pensar em mudar para um ambiente 100% em nuvem. Certifique-se de que todos os custos estão sendo considerados desde o início. Eu também recomendaria que as organizações entendessem totalmente suas funções e responsabilidades ao migrar para a nuvem. Finalmente, as organizações precisam preparar suas equipes de resposta, para que sejam confiáveis ao responder a um incidente.
Enildo Barros: O primeiro passo é entender a nuvem e isso significa montar uma equipe capaz. Ao implementar um ambiente 100% em nuvem, ter os profissionais certos envolvidos é fundamental para o sucesso. Também é importante entender quais serviços estão disponíveis e quais são mais importantes para sua organização. Por fim, saiba que certificações seus provedores de serviços em nuvem possuem. A avaliação adequada do seu provedor é fundamental e é uma responsabilidade que deve ser levada a sério.
Elder Vinicius Telles de Arruda: Uma análise de risco consistente é importante e implementar a segurança da informação e controles de segurança é fundamental. As estratégias de recuperação de desastres são essenciais para manter a continuidade de um negócio. Os participantes da nuvem devem fornecer documentação robusta e suporte consultivo. A governança de segurança com monitoramento e indicadores de ameaças também é uma boa ideia.
Qual é o futuro da nuvem e dos pagamentos?
Elder Vinicius Telles de Arruda: Acredito que haverá uma grande convergência de serviços em nuvem com o setor de pagamentos. A evolução que vimos nos últimos anos demonstra mais confiabilidade nos serviços em nuvem. Existem muitas oportunidades para explorar os benefícios dos recursos de segurança em nuvem para empresas. A adoção desses serviços, em linha com a segurança em nuvem, terá um papel importante no futuro dos pagamentos.
Enildo Barros: A agilidade e o alcance da utilização de serviços em nuvem significam que o uso da nuvem continuará a crescer cada vez mais. Acredito que continuaremos a olhar para arquiteturas que explorem ainda mais os recursos da nuvem. Acho que todos investiram muito na escalabilidade e segurança da nuvem. Todos neste espaço continuarão trabalhando juntos e os serviços em nuvem continuarão a crescer no futuro.
Ricardo Nilsen Moreno: Continuaremos a crescer em uma curva de aprendizado. Parece que todos os dias há notícias de um novo método de pagamento que usa uma nova forma de tornar a transação mais fácil para o consumidor. Isso requer agilidade e os serviços em nuvem provavelmente desempenharão um papel importante em ajudar as empresas a alcançar. seus objetivos.
Um tema importante do Fórum da América Latina foi trabalhar para aumentar a participação de partes interessadas da indústria de pagamentos brasileira no PCI Security Standards Council. Quais são algumas das principais oportunidades de envolvimento?
Carlos Caetano: Nosso programa de Organizações Participantes (PO) é um excelente ponto de partida para organizações que desejam fazer parte da comunidade de segurança de pagamento. Ser uma PO permite que uma organização colabore com outras no setor de pagamentos e tenha voz no desenvolvimento de nossos padrões e programas. O cerne da missão do PCI SSC é reunir as partes interessadas da indústria de pagamentos para desenvolver e impulsionar a implementação de padrões e recursos de segurança de dados.
Além disso, as Organizações Participantes são elegíveis para candidatura e seleção em nosso Conselho Consultivo Regional (REB). O REB reúne líderes da indústria de pagamentos brasileira para compartilhar seu conhecimento e compreensão local do espaço de pagamentos no Brasil e em toda a região, 2021 é o ano para as POs se candidatarem para participar no mandato do REB de 2022-23. O período de candidatura começará em novembro.
Finalmente, o PCI SSC terá treinamentos de eLearning para nossos programas de treinamento de Assessor de Segurança Interna (ISA) em português e espanhol ainda este ano. O treinamento de ISA em português acontecerá no dia 20 de outubro de 2021, e a versão em espanhol no dia 10 de novembro de 2021.
unto