A Trellix divulgou neste mês a mais recente edição do reporte “Mind of the CISO, Behind the Breach”, em que destaca como o pós-ataque das empresas fortalece a posição dos Líderes de Segurança. Conforme os números, 95% dos CISOs afirmam receber mais apoio do board após ocorrido um incidente cibernético.
Todavia, o Regional Director da empresa no Brasil, Paulo Breitenvieser Filho, ressalva que, na prática, esse apoio pode não gerar os resultados esperados, e mesmo após passado algum tempo, apenas a preocupação por um futuro ataque deixa de cativar o Conselho. Em entrevista à Security Report, o executivo aponta diversas formas de preservar o diálogo com a alta gestão e dar sobrevida a esse posicionamento privilegiado.
Breitenvieser ainda debateu os dados relativos ao cenário de Cibersegurança a partir dessa descoberta. Segundo ele, as informações pedem ainda mais engajamento dos líderes de negócio no assunto, pautando uma mudança drástica no papel dos profissionais de Segurança no futuro, e o mercado precisa estar preparado para dar suporte a essa transformação, indo além da simples oferta de soluções.
CISO no pós-ataque
SR: O que você destacaria de pontos mais importantes nessa nova edição do “Mind of the CISO: Behind the Breach”?
Paulo Breitenvieser: Em especial se falou muito da percepção sobre a criticidade do Líder de Segurança após um ataque. Embora 95% enxergam um aumento do seu capital de apoio e financeiro depois de um incidente, essa demanda dificilmente chega da forma correta para os diretores. É bastante comum vermos um salto no apoio do board no primeiro momento após o incidente, e depois isso se diluir com o decorrer do tempo.
Vale ressaltar que, nesses contextos, o convencimento através do terror perde a eficiência facilmente. Esse discurso, de fato, pode funcionar num primeiro pedido de investimento após o incidente. Depois disso, caso o “lobo mau” não volte a aparecer, o discurso vai deixando de cativar aos poucos. Caso ocorra um novo incidente, a diretoria pode se ver obrigada a tomar medidas mais drásticas. De qualquer jeito, o Líder de Cyber perde o apoio.
SR: Por que essa percepção do board sobre a Segurança não se mantém?
Paulo Breitenvieser: Nesse ponto, o afastamento do Líder de Segurança do negócio e, principalmente, da gestão de riscos, é um ponto crítico. Embora Segurança aborde muito de tecnologia, ela, na verdade, está bem mais relacionada ao risco. Entretanto, vemos ainda muitos times de Cyber se reportando ao CIO, especialmente em empresas de menor porte. Sem uma percepção baseada em risco, a SI perde, invariavelmente, seu valor prático.
Além disso, as barreiras de diálogo ainda persistem entre muitos c-Levels e o CISO, e essa limitação tem tudo a ver com a linguagem usada entre ambos. De certa forma, a Segurança passa pelo mesmo caminho da Tecnologia da Informação: o estilo de diálogo técnico – nesse outro caso, mais focado em infraestrutura e desenvolvimento –se adaptou conforme esses temas se tornaram parte do negócio.
SR: Neste caso, o que o CISO precisa fazer para ser compreendido pelo business?
Paulo Breitenvieser: O primeiro passo é alinhar a visão técnica com a visão de negócio. Isso pode ser feito a partir de plataformas capazes de interpretar os dados de Segurança segundo os parâmetros de risco oferecidos pelo próprio business. Com esse tipo de solução, o time de Cyber pode estabelecer playbooks que respondam especificamente a cada demanda de operação sem paralisar nada.
Esse movimento faz o Líder de Segurança conviver com o cotidiano do negócio, percebendo valor onde havia apenas dados. Agora, também é função deles próprios se acostumarem com essa nova linguagem, mostrando as áreas afetadas e as informações expostas caso determinadas brechas de Segurança sejam exploradas. Esse é o caminho inicial da jornada para transformar Segurança em risco.
Causas e consequências
SR: O cenário de ameaças detectado na pesquisa se relaciona, de algum modo, com essa realidade do CISO?
Paulo Breitenvieser: Sim, pois a Cibersegurança no Brasil possui questões muito complexas. A própria pesquisa ressalta que a consequência mais comum de uma invasão é a perda de dados, com 42% dos líderes apontando isso. O problema é que, apesar de códigos legais como a LGPD, poucas empresas são realmente expostas devido a esse problema, pois ainda não existe a necessidade clara de se informar as autoridades.
A questão é que, infelizmente, o roubo de dados atinge diretamente os usuários e clientes de uma companhia. Portanto, o maior impacto sofrido nesses casos são indiretos, ligados aos danos à reputação caso a sociedade descubra o ocorrido. Essa inversão de valores reitera como a priorização da Segurança não se cria na prática.
SR: Neste caso, qual deve ser a melhor abordagem contra essas ameaças de vazamento de dados, por exemplo?
Paulo Breitenvieser: Na Trellix falamos muito do conceito de Segurança viva, pois ela possui um dinamismo bastante visível diante de tantas formas de ataques surgindo no mercado constantemente e evoluindo depressa. Devido a isso, muitas das brechas de proteção se devem à falta de atualizações e configurações eficientes dos sistemas.
O primeiro passo é ter um plano de ação diante dessa possibilidade. E parte do planejamento de Cyber precisa incluir a prevenção além da remediação. Ocorre que, infelizmente, temos o costume regional de investir muito mais na remediação do que na prevenção. Sendo assim, parte do plano de resposta deve incluir ações proativas para evitar a repetição daquele primeiro incidente.
Expectativas para 2024
SR: Na sua visão, quais são expectativas de mudança no mercado de Cyber Security, especialmente nessa relação entre board e CISOs?
Paulo Breitenvieser: Eu acredito que o setor de Cyber já compreende a necessidade de aproximação com o negócio. Agora, cada vez mais é uma questão de implementação. Conforme as soluções se consolidarem no mercado, essa visão se tornará uma questão de sobrevivência do próprio profissional, focada em áreas fora do espaço de atuação.
No entanto, os boards ainda se mantém na posição de se proteger de algo ainda incompreendido por eles. Conforme o CISO levar as próprias demandas traduzidas em perda de valor do business, a alta gestão passa a não somente entender a narrativa do Líder de Cyber como também se verá na obrigação de fazer algo a respeito.
SR: Isso é uma visão que a Trellix espera para o mercado nacional em 2024, também?
Paulo Breitenvieser: Sim, e isso se justifica pelo nível de tradição estabelecido por nós por um legado importante de atuação. Se hoje vemos cada vez mais vendors surgindo sem uma estrutura de experiências passadas para oferecer um tipo de conhecimento mais elevado aos clientes, nós tentamos caminhar na contramão disso.
Como consequência, a nossa falha tende a impactar estruturas mais críticas da sociedade, o que nos torna menos dispostos a aventuras irresponsáveis. Portanto, ver nossos clientes assumindo papéis de fato prioritários nas organizações responde à nossa disposição em tratar Cyber com responsabilidade, e tratar a relação com os times de Segurança e com os boards.
SR: E de que forma a Trellix se dispõe a apoiar essa trajetória?
Paulo Breitenvieser: Isso se relaciona a outro fenômeno esperado no próximo ano: os recursos de Segurança disruptivos, como as próprias plataformas que mencionamos, chegando ao alcance de empresas menores já carregando políticas de Segurança absorvidos do feedback de organizações maduras. Esse processo tende a disseminar um padrão estrutural de proteção cibernética a partir das atividades da indústria, e se torna a nossa contribuição com a evolução da maturidade média do mercado.
