Entrevista sobre segurança com Mauricio Kigiela – Site Blindado
A segurança no e-commerce frequentemente tem sido tema de debates em todas as partes do mundo, e não é para menos, diversas pesquisas tem comprovado que é um dos principais fatores avaliados pelos consumidores no processo de compra. Além disso, inúmeros exemplos tem nos mostrado a dificuldade das empresas em venderem pela internet por não transmitirem a credibilidade necessária exigida pelo seu consumidor, incluindo prejuízos causados por criminosos virtuais.
Pensando nisso, convidamos Mauricio Kigiela para uma entrevista, um dos principais especialistas em segurança do Brasil e diretor do Site Blindado SA, uma empresa brasileira especializada em segurança para a internet focada no comércio eletrônico, responsável pela segurança de algumas das principais lojas virtuais do país, como Casas Bahia, PontoFrio.com, Extra, SACK´S, entre outras.
Há quanto tempo o Site Blindado atua no mercado de segurança?
Maurício Kigiela: Estamos no mercado desde 2005, há cinco anos e meio. Somos pioneiros no conceito de blindagem de sites e 100% dedicados à proteção de aplicações web.
Explique para muitos que ainda não conhecem a empresa, de que forma o selo do Site Blindado mantém protegido um determinado estabelecimento virtual?
Maurício Kigiela: O Site Blindado é um sistema de auditoria de segurança que realiza semanalmente uma simulação de invasão de hacker, buscando vulnerabilidades na aplicação web e no servidor (IP) testados.
Além do selo, recentemente lançaram uma nova ferramenta, a “Site Blindado Alerta”. Como funciona, a quem se destina?
Maurício Kigiela: O Site Blindado Alerta é uma barra de ferramenta (add on) lançada primeiramente para Firefox e com lançamento para o IE prevista para Dezembro/2010. Ela mostra ao usuário quais sites são protegidos por nós, alterando a cor do selo “Site Blindado”, que fica posicionado ao lado da barra de endereços do navegador. Desta forma, o usuário não precisa buscar pelo selo ao longo da navegação. Ainda, ao realizar pesquisas pelo Google, destacamos na página de resultado da busca, quais são os sites blindados por nós.
Atualmente, um dos principais entraves para os consumidores aderirem ao comércio eletrônico é a segurança, impedindo muitos empresários de alavancarem suas vendas por não remeterem a confiança necessária em seus empreendimentos. Soubemos que realizaram um estudo neste sentido, quais foram os resultados?
Maurício Kigiela: Realizamos um estudo com milhares de usuários e constatamos que 55% das pessoas que selecionam produtos, realizam seu cadastro e abandonam o site na tela de pagamento, os fazem devido à insegurança. Destes, 35% estão preocupados com a clonagem dos seus dados e roubo de identidade, e 20% estão preocupados em não receber o produto ou que o produto recebido seja diferente do produto comprado. Os outros 45% são formados por pessoas que não desejam pagar frete, que não querem esperar alguns dias para receber o produto, que querem tocar no produto antes da compra ou que não sabem comprar pela internet.
Realizamos um teste chamado AB TEST, que mostra a conversão de vendas de uma loja virtual COM e SEM o selo Site Blindado. Ao inserir o selo, a loja aumenta em até 15% suas vendas online, justamente por mostrar para aqueles usuários mais receosos, que nunca compraram naquela loja, que o site é seguro. A sensação do usuário é de que, se a empresa se preocupa com a segurança, ela se preocupa com outros aspectos da venda e com isso, o usuário se sente seguro para comprar online.
Qual é o valor do investimento para que os empresários possam contar com uma plataforma segura?
Maurício Kigiela: A blindagem de sites é um processo que, assim como na blindagem de carros, possui diferentes níveis. Quanto maior a exposição de determinada loja no mercado, maior a segurança que ela precisa.
Para ter o selo Site Blindado, que é o primeiro nível de blindagem, o lojista vai desembolsar a partir de R$ 300,00 mensais.
Os outros níveis são compostos por certificado digital (SSL-EV), testes de penetração, firewall de aplicação (WAF) e testes de vulnerabilidade na rede interna. O Site Blindado oferece toda essa gama de soluções.
Vamos falar um pouco sobre os criminosos que atuam virtualmente, conhecidos também como “Hackers”. Grandes varejistas como Amazon.com, e Walmart, já tiveram problemas desta natureza, inclusive empresas renomadas de segurança como a russa kaspersky. O site blindado já teve algumas destas “visitas indesejadas”?
Maurício Kigiela: Tentativas de ataques são normais em qualquer aplicação web. Nossa infra-estrutura conta com diversas camadas de segurança que vão desde datacenter de última geração, monitoração 24 horas, firewall de portas e de aplicação, token de segurança, assim como testes freqüentes de penetração, vulnerabilidade e compliance.
Costumo dizer que não existe 100% de segurança ou de garantia de que uma aplicação esteja protegida. Assim como no mercado off-line, criminosos conseguem assaltar bancos, no online os crimes também existem mesmo em grandes empresas. Ocorre que a segurança é algo que tem que ser pensado e praticado por todos, desde colaboradores a equipe de segurança. Não faz sentido nenhum seu site passar por todas as certificações e, ao logar no painel administrativo, o sistema permite que se usem senhas fáceis, por exemplo.
É como usar um carro blindado todo o tempo e ser assaltado dentro da padaria comprando pão!
Cite alguns dos principais erros cometidos pelos empresários ao tornarem seus sites vulneráveis?
Maurício Kigiela: O principal problema é em relação à importância destinada à segurança. Enquanto o site não é invadido e informações sensíveis são roubadas causando prejuízo às empresas, a maioria das empresas não investe em segurança.
O fato é que, dentro do ciclo de desenvolvimento de qualquer aplicação que vai ficar exposta na web (ao mundo todo!), a segurança deveria ser uma fase.
Acontece que, devido à baixa verba de desenvolvimento e ao curto prazo dado aos desenvolvedores para finalizar seus projetos, a fase reservada à segurança, que estava prevista no planejamento, é a primeira a ser cortada.
Muitas empresas permitem que seu empreendimento virtual seja gerenciado externamente por empresas terceirizadas, ou até mesmo por funcionários que acessam o gerenciador da plataforma utilizando um computador em sua própria residência. Existe algum risco neste procedimento?
Maurício Kigiela: Pode existir. Geralmente empresas de outsourcing são especialistas em determinado assunto e precisam acessar remotamente as aplicações. Mas esse acesso deve ser controlado e limitado a horários, IPs de origem e até mesmo com o uso de tokens de segurança.
Não é possível garantirmos que os computadores da residência de colaboradores das empresas estejam 100% livres de malwares, vírus e outras infecções que possam comprometer toda a infraestrutura da aplicação web.
As redes sociais tem se consolidado com uma grande ferramenta para o e-commerce. Quais são os cuidados que se deve ter para não cair em “armadilhas” nestes espaços.
Maurício Kigiela: O importante com as redes sociais é a violação de privacidade que usuários e empresas podem estar sujeitas. Nelas, a possibilidade de acessar a vida das pessoas é muito grande. Vale mais uma vez as regras gerais: entender com quem está lidando através de pesquisas na própria rede social ou na internet para saber o que estão falando dessa suposta empresa. Ao acessar o site, busque pelas políticas de privacidade, troca e devoluções de produtos. Procure também pelos selos de blindagem de sites e, ao digitar qualquer informação confidencial como dados cadastrais ou números de cartão de crédito, observe se o cadeado do navegador está ativo e se o endereço do site começa com https://, com o “s” de seguro.
Categoria: Entrevistas
Creio que o maior problema de segurança é o fato de todo o programador achar que sabe desenvolver e-commerce. Pequenos erros em um código podem abrir a porteira para as invasões.
Investimento em segurança não é ponto incluso no planejamento de projeto, apenas é pensado depois que o site já sofreu seus ataques.
É, concordo com você; na maioria dos casos a segurança não é colocada em primeiro lugar.
Ótima entrevista com Maurício Kigiela. É, infelizmente muitos empresários só investem quando sofrem ataques; vamos ser preventivos pessoal.